BAB II LANDSAN TEORI 2.1 Sistem Informasi/Teknologi...
Transcript of BAB II LANDSAN TEORI 2.1 Sistem Informasi/Teknologi...
8
BAB II
LANDSAN TEORI
2.1 Sistem Informasi/Teknologi Informasi Komunikasi
2.1.1Pengertian Sistem/Teknologi Informasi
Teknologi Informasi dan Komunikasi (TIK) adalah suatu teknologi yang
digunakan untuk mengolah data, termasuk memproses, mendapatkan, menyusun,
menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan informasi
yang berkualitas, yaitu informasi yang relevan, akurat dan tepat waktu, yang
digunakan untuk keperluan pribadi, bisnis dan pemerintah dan merupakan informasi
yang strategis untuk pengambilan keputusan (Tata Sutabri, 2013). Sedangkan teori
lain menyatakan bahwa TIKadalah komputerapasajayangberbasisperangkat yang
digunakan orang untuk berkerja denganinformasi dan mendukunginformasidan
kebutuhanprosesinformasidarisebuahorganisasi (Haag,Cummings,danMcCubbrey,
2005).TIK adalah suatu teknologi yang digunakan untuk mengolah data, termasuk
memproses, mendapatkan, menyusun, menyimpan, memanipulasi data dalam berbagai
cara untuk menghasilkan informasi yang berkualitas, yaitu informasi yang relevan,
akurat dan tepat waktu, yang digunakan untuk keperluan pribadi, bisnis dan
pemerintah dan merupakan informasi yang strategis untuk pengambilan keputusan.
(Tata Sutabri, 2013).
Sistem informasi (SI) adalah sejumlah komponen (manusia, teknologi informasi
dan komunikasi, data/informasi, dan prosedur kerja) dalam suatu keterkaitan yang
terkoordinasi dan dimaksudkan untuk mencapai suatu sasaran atau tujuan, yaitu
menghasilkan informasi yang sesuai dengan kebutuhan opera penggunanya (users).
Menurut Fatta (2007) sistem informasi adalah suatu alat untuk menyajikan informasi
9
sedemikian rupa sehingga bermanfaat bagi penerimanya.Menurut laudaon dan laudon
(2006 P:7) sistem informasi adalah sejumlah komponen yang saling berkerja sama
untuk mengumpulkan, memproses, menyimpan, dan mendistribusikan informasi
sehingga dapat membantu manajer mengambil keputusan dalam pengkoordinasian,
pengontrolan, penganalisaan, dan penanggulangan masalah dalam suatu perusahaan.
Menurut O’Brein(2005, P.704) teknologi informasi adalah
hardware,software,telekomunikasi,manajemen database, dan teknologi pemrosesam
infomasi lainnya yang digunakan dalam sistem informasi berbasis komputer.
Teknologi informasi merupakan suatu alat yang dapat menerima, memproses,
menyimpan dan mengeluarkan hasil digital, yakni dari bagian-bagian pembangunan
yang digunakan untuk membuat sistem informasi.
Menurut Thompson dan Baril (2003,P3), teknonologi informasi adalah preangkat
keras dan perangkat lunak yang dikemas sebagai suatu alat untuk
menangkap,menyimpan,memproses dan menghasilkan digital. Adapun pendapat
Turban, Rainer, dan Porter (2003,P3) teknologi informasi adalah kumpulan dari
komponen teknologi individu yang secara khusus diatur dalam komputer berbasis
sistem informasi.Menurut Haag, Cummings, dan Mc Cubbrey(2005,P14) Teknologi
informasi adalah komputer apa saja yang diberbasiskan parangkat yang digunakan
oleh orang (People) untuk bekerja dengan informasi dan mendukung informasi dan
kebutuhan proses informasi dari sebuah organisasi.
Jadi, teknologi informasi atau yang biasa disingkat oleh TI dapat disimpulkan
sebagai alat yang mendukung aktifitas dari sebuah sistem informasi.Tujuannya adalah
untuk menyajikan informasi guna pengambilan keputusan pada perencanaan,
pemrakarsaan, pengorganisasian, pengendalian kegiatan, operasi suatu perusahaan
yang menyajikan sinergi organisasi pada proses.Adapun definisi sistem informasi
10
menurut Whitten, Jeffery L., Bentley, Lonnie D., Dittman, Kevin C. (2004, p.12)
adalah suatu tatanan dari data, proses dan teknologi informasi yang saling berinteraksi
untuk mengumpulkan, memproses, menyimpan dan menyediakan suatu output
informasi yang dibutuhkan untuk mendukung kinerja suatu perusahaan.
Jadi pengertian TIK adalah perangkat yang berupa perangkat keras, perangkat
lunak dan jaringan informasi yang mendukung pengolahan data dalam sistem
informasi. Adapun SI adalah suatu alat yang digunakan untuk mengolah data menjadi
suatu informasi yang berguna untuk suatu organisasi.
2.1.2 Komponen Sistem Informasi/Teknologi Informasi
Menurut Haag, Cumming, dan Mc Cubbrey (2005, P15), ada dua kategori
dasar dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan
fisik yang menyusun sebuah komputer (sering dikenal sebagai sistem komputer).
Software adalah kumpulan instruksi-instruksi yang menjalankan hardware untuk
menyelesaikan suatu tugas tertentu.
1. Hardware
Menurut O’Brein (2005),Hardwareadalahmesindan media;perlengkapan
fisik,kebalikandariprogramkomputeratau metodepenggunaan;
peralatanmekanis,magnetis,elektrik,elektronik, atauoptikal.
Hardware dibagi menjadi 6 kategori antara lain:
a. Input device
Inputdevicemerupakanperalatanyangdigunakan untukmemasukan
informasi danperintahyangmisalnya keyboard, mouse,touchscreen,
gamecontroller,danbarcodereader.
b. Output device
11
Outputdeviceadalahperalatanyangdigunakan untukmelihat,
mendengar, atausebaliknyamengenalihasildaripermintaan proses
informasi yangterdiridariprinter,monitor, danspeaker. Storagedevice
adalah peralatan yang digunakan untuk menyimpan informasi yang
digunakandilainwaktu misalnyaharddisk,flashmemorycard,dan DVD.
c. CPU
CPUadalah hardwareyangmengartikandanmenjalankansistemdan
instruksi-instruksiaplikasisoftwaredanmengaturpengoperasian dari
keseluruhanhardware.
d. RAM
RAM adalah sebuah kawasansementarauntukinformasiyang
bekerjasepertihalnyasistem,daninstruksi aplikasisoftware yang
dibutuhkanolehCPU sekarangini.
e. Telecommunications device
Telecommunications deviceperalatan yang digunakan untuk
mengirimdanmenerimainformasidariorangataukomputerlaindalam
satujaringan,contohnyamodem
f. Connecting divice
Connecting device merupakan peralatan yang digunakan untuk
menghubungkan device dengan komputer, contohnya
terminalparalelyang
menghubungkanprinter,kabelpenghubungyangmenghubungkanprinte
r keterminalparalel.
2. Sofware
12
Ada dua tipesoftware,yaituaplikasidansistem. Aplikasi
memungkinkanpenyelesaianmasalah-masalah spesifik ataumenampilkan
tugas-tugasspesifik sedangkan sistemmenangani tugas-tugasspesifik
untukmengelolateknologidanmengaturinteraksidari
keseluruhanperalatanteknologi.Sistem operasiadalahsoftwaresistemyang
mengendalikan softwareaplikasidanmengelolaperalatan hardware dan
aplikasibekerjabersama-sama.
3. Prosedur, yaitu sekumpulan aturan yang dipakai untuk mewujudkan
pemrosesan data dan pembakitan keluaran yang dikehendaki.
4. Orang, yakni semua pihak yang bertangguna jawab dalam pengembangan
sistem informasi, pemrosesan, dan penggunaan keluaran sistem informasi.
5. Basis Data (database), yaitu kunpulan data/ informasi berwujud tabel,
sifat hubungan antar table (entityrelationship), dan lain-lain yang
berkaitan dengan penyimpanan data.
Jaringan komputer dan komunikasi data, yaitu sistem penghubung yang
memungkinkan sumber (resources) dipakai secara bersama atau diakses oleh
sejumlah pemakai.
Hardware dibagi menjadi 6 kategori, yaitu :
1. Input device
2. Output device
3. Storage device
4. Cpu dan RAM
5. Telecomunications device
6. Connecting device.
13
Input device adalah peralatan yang digunakan untuk memasukkan informasi
dan perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan
bar coce reader.
Output device adalah peralatan yang digunakan untuk melihat, mendengar,
atau sebalikanya mengenali hasil dari permintaan proses informasi yang terdiri dari
dari printer, monitor dan speaker.
Storage service adalah peralatan yang digunakan untuk menyimpan informasi
yang digunakan dilain waktu terdiri atas hard disk, flash, memory card, dan dvd.
CPU adalah hardware yang mengartikan dan menjalankan sistem dan istruksi-
instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware.
RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya
sistem dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini.
Telecommunication device adalah peralatan untuk mengirim informasi dan
menerima informasi dan menerima informasi dari orang atau kompter lain dalam satu
jaringan contohnya modem.Adapun connecting hardware termasuk hal-hal seperti
terminal paralel yang menghubungkan printer, kabel dan peralatan penghubung
internal yang sebagian besar termasuk alat pengantar untuk perjalanan informasi dari
satu bagian hardware kebagian lainnya.
Ada 2 tipe utama software, yaitu application dan system. Application software
yang memungkinkan untuk menyelesaikan masalah-masalah spesifik atau
menampilkan tugas-tugas spesifik. System software yaitu menangani tugas-tugas
spesifik untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan
14
teknologi. Didalam system software ditemukan operating system software dan utility
software.
Operating system software adalah software sistem yang mengendalikan
software aplikasi dan mengelola bagaiamana peralatan hardware bekerja sama.
Sedangkan utility software adalah software yang menyediakan tambahan
fungsionalitas untuk mengoperasikan sistem software, seperti antivirus software,
screen saver, disk optimization software.
2.1.3 IT Governance
Grembergen,Win Van (2004 p188)IT Governance merupakan suatu struktur
dan proses yang saling berhubunganserta mengarahkan dan mengendalikan
organisasi dalam pencapaian tujuanorganisasi melalui nilai tambah dan
menyeimbangkan antara risiko dan manfaatdari teknologi informasi serta
prosesnya.IT Governance memastikan adanya pengukuran yang efisien dan efektif
terhadappeningkatan proses bisnis organisasi melalui struktur yang mentautkan
prosesprosesTI, sumber daya TI dan informasi ke arah dan strategi organisasi. Dapat
dikatakan bahwa IT Governance memadukan dan melembagakan best practice dari
proses perencanaan, pengelolaan, pemilikan, dan penerapan, pelaksanaan
danpendukung, serta pengawasan kinerja TI untuk memastikan informasi
organisasidan teknologi yang terkait lainnya benar-benar menjadi pendukung
bagipencapaian sasaran organisasi.
Oleh karenanya IT Governance harus dipastikan bahwa performa TI yang diatur
penggunaannya harus sesuai dengan tujuan berikut ini :
1. Keselarasan TI dengan organisasi dan realisasi keuntungan-keuntungan
yang dijanjikan dari penerapan TI.
15
2. Penggunaan TI agar memungkinkan organisasi mengeksploitasi
kesempatan yang ada dan memaksimalkan keuntungan.
3. Penggunaan sumber daya TI yang bertanggung jawab.
4. Penanganan manajemen risiko berkaitan dengan TI secara tepat.
Dari keterpaduan tersebut diharapkan organisasi dapat memastikan kalau
informasi organisasi dan teknologi yang terkait lainnya benar-benar menjadi
pendukung bagi pencapaian sasaran organisasi melaui perencanaan dan
pengorganisasian TI, pembangunan dan pengimplementasian, deliver dan support,
serta memonitor dan evaluasi kinerja TI untuk dengan adanya IT Governance proses
bisnis di organisasi akan menjadi jauh lebih transparan , dimana tanggung jawab dan
akuntabilitas setiap fungsi dan individu juga semakin jelas.
2.2 Risiko Teknologi Informasi
2.2.1Jenis-jenis Risiko Teknologi Informasi
Menurut Hughes (2006, p. 36), penggunaan teknologi informasi dapat
mengandung berbagai risiko, antara lain risiko terhadap kehilangan informasi dan
pemulihannya yang tercakup dalam 6 kategori, yaitu:
1. Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak
berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan
terorisme cyber.
2. Ketersediaan
Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena
kesalahan manusia (humanerror), Perusahaan konfigurasi, dan kurangnya
pengurangan arsitektur.
3. Daya pulih
16
Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu
yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras,
ancaman eksternal, atau bencana alam.
4. Performa/ Kinerja
Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh
arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi
teknologi yang beragam.
5. Daya skala
Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk
arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan
biaya bisnis secara efektif.
6. Ketaatan
Risiko yang manajemen atau penggunaan informasinya melanggar keperluan
dari pihak pengatur. Yang dipersalahkan dalam hal ini mencakup aturan
pemerintah, panduan pengaturan perusahaan dan kebijakan internal.
Sedangkan menurut Jordan dan Silcock (2005, p. 49), risik-risiko teknologi
didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga
melakukan kesalahan, tetapi konsekuensinya dapat berakibat negative bagi bisnis.
Kelas-kelas risiko tersebut terdiri dari : Projects-failing to deliver, IT service
continuity-when business operations go off the air, Information assets – failing to
project and preserve, Service providers and vendors-breaks in the IT value chain,
Applications – flaky systems, Infrastructure – shaky foundations, Strategic and
emergent-disabled by IT.
Dalam segi pandang yang lain, risiko-risiko juga dapat dibedakan menurut
kelas-kelas risiko, sebagai berikut:
17
1. Projects-failing to deliver
Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari
gagalnya penyampaian proyek adalah: menyelesaikan proyek yang ada telat/tidak
pada waktunya, sumber daya dan biaya yang dikonsumsi dalam penyelesaian
proyek besar sehingga tidak efisien, menganggu proses bisnis selama proses
implementasi, dan juga fungsi dari proyek tidak sesuai dengan keinginan dari
yang diharapkan user.
2. IT service continuity-when business operations go off the air
Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman dan tidak
dapat diandalkan sehingga menganggu proses bisnis yang sedang berjalan.
Biasanya behubungan dengan sistem operasional dan produksi perusahaan serta
kemampuan mereka untuk menyediakan kebutuhan dari user.
3. Information assets – failing to project and preserve
Risiko ini berhubungan khusus dengan kerusakan, kehilangan, dan eksploitasi
asset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi
perusahaan. Contohnya informasi yang penting bisa dicuri oleh perusahaan
kompetitor, detail dari kartu kredit dapat dilihat oleh pihak yang tidak berwenang,
sehingga dengan demikian akan merusak hubungan antara pelanggan dengan
perusahaan. Ini tentunya akan sangat merugikan perusahaan.
4. Service providers and vendors – breaks in the IT value chain
Risiko ini berhubungan dengan kemampuan dari provider dan vendor. Bila
merekagagal dalam menyediakan pelayanan yang baik bagi kita, maka akan
berdampak segnifikan bagi sistem IT perusahaan. Dampak lainnya berhubungan
dengan dampak jangka panjang seperti kekurangan dalam penyediaan layanan TI
bagi user perusahaan tersebut.
18
5. Applications – flaky systems
Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi
biasanya berinteraksi dengan user dan dalam suatu perusahaan biasanya terdapat
kombinasi antara software paket dan software buatan yang diintegrasikan menjadi
satu.
6. Infrastructure – shaky foundations
Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI.
Infrastrukturadalah suatu nama yang umum bagi komputer maupun jaringan
yang sedang dipakai dan berjalan di perusahaan tersebut. Didalam infrastruktur
juga termasuk software, seperti sistem operasi dan sistem database management.
Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu komponen
terbakar, dicuri, rusak maupun koneksi jaringannya sedang putus, maka dampak
dari kegagalan tersebut tergantung dari ketahanan sistem yang ada. Apabila
terdapat sitem yang sudah tidak cocok dengan model yang baru, maka sistem
tersebut perlu diganti. Apabila risiko ini dapat ditangani secara rutin, maka itu
merupakan suatu perencanaan jangka panjang yang baik.
7. Strategic and emergent-disabled by IT
Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan strategi
bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat
signifikan dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan
dari perusahaan untuk terus bergerak maju kearah visi strategi. Untuk tetap
kompetitif diperlukan kemajuan TI untuk dipahami dan dicocokan potensi
kesempatan eksploitasi bagi bisnis.
19
2.2.2 IdentifikasiRisiko dan Analisis Risiko
Identifikasi risiko adalah proses memahami potensi risiko yang dapat merusak atau
mempengaruhi operasional SI/TIK. Identifikasi risiko sangat berguna dalam manajemen
risiko, karena itu semua potensi risiko perlu diidentifikasi seteliti mungkin yang akan
membantu dalam penilaian manajemen risiko itu sendiri (Schwalbe, 2010). Identifikasi
risiko digunakan untuk menentukan risiko yang mempengaruhi SI/TIK dan
mendokumentasikan karakteristik dari risiko tersebut baik itu kemungkinan penyebab,
tanggapan, dan hal lainnya. Identifikasi risiko harus dilakukan dengan suatu metode untuk
memastikan bahwa semua kegiatan yang signifikan dalam organisasi telah diidentifikasi dan
semua risiko yang terjadi berjalan sesuai alur. Semua hal yang berkaitan dengan kegiatan ini
harus diidentifikasi dan dikelompokkan (PMI, 2008)
Gambar12.1.Perencanaan Management Risiko : Input, tools & technique, dan output (PMI, 2008)
Analisis risiko merupakan pengukuran risiko dengan cara melihat potensi risiko yang akan
terjadi dalam bentuk seberapa besar risiko dan seberapa besar kemungkinan terjadi risiko. Ada risiko
yang mudah untuk diukur dan ada juga risiko yang susah untuk diukur, ada yang berdampak besar dan
20
ada juga yang berdampak kecil.Analisis risiko dimulai dengan studi rinci dari isu-isu risiko yang telah
diidentifikasi dan disetujui oleh pembuat keputusan untuk evaluasi lebih lanjut, tujuannya adalah
untuk mengumpulkan informasi yang cukup mengenai isu-isu risiko untuk menilai kemungkinan
terjadi, biaya dan konsekuensi teknis jika risiko terjadi (Kerzner, 2006)
Analisis risiko seringkali didasarkan pada informasi rinci yang mungkin berasal dari berbagai
teknik, misalnya (Kerzner, 2006) :
1. Analisis rencana dan dokumen terkait
2. Data dari teknik atau model lainnya
3. Pengalaman dan wawancara
4. Masukan analisis alternative
5. Spesialis dan penilaian ahli
Analisis risiko berguna untuk mengukur dampak dari ancaman-anacaman yang berpotensi
terhadap sistem aplikasi yang dibangun dan tentu saja akan dapat mempengaruhi
pengambilan keputusan dan langkah selanjutnya.
Analisis risiko kualitatif termasuk metode untuk memprioritaskan risiko yang
teridentifikasi, sebagai bentuk tindakan lebih lanjut, seperti analisis risiko kuantitatif atau
perencanaan tanggapan risiko. Organisasi dapat meningkatkan kinerja proses secara efektif
dengan berfokus pada prioritas risiko yang tinggi. Analisis Risiko kualitatif menilai prioritas
risiko diidentifikasi menggunakan probabilitas yang terjadi, dampak yang sesuai pada tujuan
proyek jika risiko terjadi, serta faktor-faktor lain seperti waktu dan toleransi risiko proyek
dalam kendala-kendala biaya, jadwal, lingkup dan kualitas (PMI, 2013, p.328)
21
Gambar22..2. Perencanaan Management Risiko : Input, tools & technique, dan output (PMI, 2008)
Gambar32.3. Probability and Impact Matrix
(PMI, 2008)
Seperti diilustrasikan dalam gambar 2.3. sebuah organisasi dapat menilai risiko secara
terpisah untuk masing-masing tujuan (misalnya biaya, waktu, dan ruang lingkup). Selain itu,
mungkin mengembangkan cara untuk menentukan satu keseluruhan rating untuk setiap
resiko. Akhirnya, peluang dan ancaman yang ditangani dalam matriks yang sama dengan
menggunakan definisi dari berbagai tingkat dampak yang sesuai untuk masing-masing.
Analisis risiko kuantitatif dilakukan pada risiko yang telak diprioritaskan oleh proses
analisis risiko kualitatif sebagai potensi dan substansial yang berdampak pada kemampuan
proyek untuk bersaing. Proses analisis risiko yang kuantitatif menganalisis dampak peristiwa
22
risiko tersebut dan memberikan nilai angka untuk risiko tersebut, hal ini akan menyajikan
pendekatan kuantitatif untuk membuat keputusan di hadapan ketidakpastian (PMI, 2013,
p.333)
Gambar42.4. Identifikasi Risiko : Input, Tools & Techniques, Outputs (PMI, 2008)
2.2.3 Perencanaan Tanggapan Risiko
Setelah mengidentifikasi dan mengukur risiko, diputuskan cara menanggapi risiko
tersebut. Risiko yang telah diidentifikasi dan dianalisis terbagi atas dua kategori, yaitu negatif
dan positif sehingga diperlukan penanganan yang berberda untuk risiko yang ditimbulkan.
Risiko yang negatif dihindarkan sedangkan risiko yang positif diusahakan secara maksimal.
Empat strategi utama untuk risiko negatif (Schwalbe, 2007, p. 475):
A. Menghindari risiko: penghilangan suatu ancaman tertentu, biasanya menghindari
risiko tersebut dilakukan dengan menghilangkan penyebabnya. Tentu saja, tidak
semua risiko dapat dihilangkan, namun peristiwa risiko yang spesifik dapat
dihilangkan. Sebagai contoh, sebuah tim proyek mungkin memutuskan untuk terus
menggunakan bagian tertentu dari suatu perangkat keras atau perangkat lunak pada
sebuah proyek karena mereka mengetahui hal tersebut dapat digunakan. Produk lain
yang dapat digunakan pada proyek tersebut mungkin saja tersedia, tapi jika tim
proyek belum terbiasa dengan produk lain tersebut, produk itu dapat menimbulkan
23
risiko yang signifikan. Dengan menggunakan perangkat keras atau perangkat lunak
yang sudah biasa dapat menghilangkan risiko ini.
B. Menerima risiko: menerima konsekuensi suatu risiko yang harus terjadi. Sebagai
contoh, sebuah tim proyek merencanakan pertemuan kajian proyek besar untuk dapat
mengambil risiko dengan pendekatan aktif yang menggunakan rencana cadangan jika
mereka tidak bisa mendapatkan persetujuan yang spesifik dalam pertemuan tersebut.
Di sisi lain, mereka bisa mengambil pendekatan yang pasif dan menerima fasilitas
apapun dari organisasi yang menyediakan fasilitas untuk mereka.
C. Transfer risiko: risiko dan tanggung jawab diberikan kepada pihak ketiga. Sebagai
contoh, transfer risiko sering digunakan dalam berurusan dengan risiko finansial.
Sebuah tim proyek mungkin membeli asuransi khusus atau jaminan asuransi
perlindungan untuk perangkat keras yang dibutuhkan pada proyek tersebut. Jika
perangkat keras tersebut gagal, maka pihak asuransi harus menggantinya dalam waktu
yang telah disepakati pada jangka waktu tertentu.
D. Mitigasi risiko: mengurangi dampak peristiwa risiko dengan mengurangi probabilitas
dari terjadinya suatu peristiwa. Contoh dari mitigasi risiko termasuk penggunaan
teknologi yang telah terbukti. Menggunakan staf proyek yang kompeten, dengan
menggunakan berbagai teknik analisis dan teknik validasi, dan pembelian
pemeliharaan atau perjanjuan pelayanan dari subkontraktor yang sudah
berpengalaman dan telah terbukti.
Empat strategi utama untuk risiko positif (Schwalbe, 2007, p. 475):
A. Eksploitasi risiko: melakukan apapun yang dapat dilakukan untuk memastikan
terjadinya risiko positif. Misalnya, perusahaan Cliff mendanai suatu proyek untuk
menyediakan sebuah ruang kelas komputer baru untuk sekolah terdekat yang
membutuhkan. Manajer SI/TIK tersebut dapat mengatur liputan berita dari proyek itu,
24
menulis pers release, atau mengadakan beberapa acara publik lainnya untuk
memastikan proyek tersebut dapat menghasilkan berita yang baik bagi perusahaan,
yang dapat menyebabkan keuntungan bagi bisnis perusahaan.
B. Membagi risiko: mengalokasikan kepemilikan risiko kepada pihak lain. Dengan
menggunakan contoh yang sama yaitu membuat ruang kelas komputer manajer
proyek dapat membentuk hubungan kemitraan dengan kepala dewan sekolah, atau
orang tua serta organisasi guru untuk berbagi tanggung jawab untuk mencapai sesuatu
yang baik bagi proyek tersebut. Atau, perusahaan setuju untuk dapat bekerja sama
dengan perusahaan pelatihan lokal dalam memberikan pelatihan gratis bagi semua
guru mengenai cara penggunaan komputer untuk kelas baru.
C. Menambah risiko: mengubah ukuran peluang dengan mengidentifikasi dan
memaksimalkan pemicu utama risiko positif. Sebagai contoh, sebuah pemicu penting
untuk mendapatkan berita yang baik untuk proyek kelas komputer dalam memperoleh
siswa, orang tua, dan guru pun ikut antusias mendukung proyek tersebut, kemudian
mereka dapat membuat iklan formal yang ingin mereka lakukan maupun iklan
informal dari proyek tersebut dan perusahaan Cliff yang pada gilirannya mungkin
menarik kelompok-kelompok lain dan dapat menghasilkan lebih banyak keuntungan
untuk bisnis mereka.
D. Menerima risiko: berlakuk untuk risiko positif ketika tim proyek tidak dapat atau
memilih untuk tidak mengambil tindakan terhadap risiko. Sebagai contoh, manajer
proyek kelas komputer mungkin hanya berasumsi proyek akan menghasilkan
hubungan yang baik untuk perusahaan mereka, baik bila mereka melakukan atau
tanpa melakukan apa-apa.
25
2.2.4 Pengendalian Internal
Pengendalian internal (control internal) adalah seluruh mekanisme yang dirancang
dan diimplementasikan untuk mencegah, mendeteksi, dan koreksi terhadap kesalahan
dan penyalahgunaan. Menurut Jordan, Ernie & Luke Silcock(2005p:45)
InternalControl adalah merupakan suatu sistem yang terdiri dariberbagai macam
unsur dengan tujuan untuk melindungi harta benda, meneliti ketetapan dan seberapa
jauh dapat dipercayai, dan mendorong efisien operasi dan menunjang dipatuhinya
kebijaksanaan Pimpinan.Adapun menurutnya, tujuan dari Internal Control ini adalah :
1. Menjaga keamanan aset milik perusahaan.
2. Memeriksa ketelitian dan kebenaran data.
3. Meningkatkan efisiensi operasional perusahaan.
4. Membantu untuk menjaga kebijaksanaan manajemen yang telah ditetapkan
dapat dilakukan.
Kontrol intern dibangun untuk menyediakan landasan yang dapat mendukung
pencapaian tujuan bisnis organisasi dan pencegahan risiko yang tidak diinginkan.
Pengendalian intern dirancang untuk sistem berbasis teknologi informasi yang baik
harus mempunyai kontrol yang mencakup:
a. Kontrol intern akuntansi pada kegiatan akuntansi atau pembukuan, tujuannya
adalah melindungi aset atau menjaga keandalan catatan keuangan.
b. Kontrol operasi yang ditujukan oleh operasi sehari-hari, fungsi dan aktivitas
serta menjamin aktivitas yang dilakuakan sesuai dengan tujuan.
c. Kontol administrasi yang memperhatikan efisiensi operasi dalam area fungsi-
onal dan ketaatan terhadap kebijakan manajemen.
26
Terdapat beberapa framework/model yang dapat digunakan sebagai referensi, yaitu:
COSO, COBIT, SAC, dan sebagainya. Referensi adalah acuan yang dapat kita pakai sebagai
dasar pemikiran perancangan/desain sistem pengendalian intern pada suatu organisasi. Model
COSO lebih bersifat generic (umum) dan hampir dapat dikatakan rancangan dasar framework
yang lain mengacu kepadanya (tidak heran karena COSO beranggotakan berbagai organisasi
profesi: AAA, AICPA, IIA, IMA, dan FEI).
COSO framework memang merupakan international generalized internal control model
yang paling banyak dikenal, padahal sebetulnya terdapat berbagai model lain yang dirancang
dengan ruang-lingkup semacam itu. Beberapa model lain, misalnya ialah:
A. United Kingdom’s Cadbury commission (Cadbury)
Model pengendalian yang disusun di Inggris ini mirip dengan model COSO, tujuannya
mendorong efektivitas dan efisiensi operasional, pelaporan yang handal, serta kepatuhan
pada kebijakanorganisasidanperaturan (hukum) yang berlaku. Model ini mencakup aspek
keuangan maupun operasi perusahaan.
B. The Canadian Criteria of Control committee (CoCo)
Model CoCo juga hampir mirip dengan COSO, tetapi lebih kompleks (rumit), mencakup
juga riskmanagement dan managementobjectives.
C. South Africa’s King Report
D. France’sVienotReport
Internalcontrol penting dalam rangka goodcorporategovernance, tetapi mungkin itu
saja tidak cukup. Perusahaan membutuhkan imagetoimprovepublicconfidence dalam
menggunakan produk atau jasanya. Karena itu selain model pengendalian intern tersebut,
terdapat pula qualitycontrolstandards yang dapat juga dijadikan sebagai acuan dalam
27
pengelolaan organisasi yang sudah mempertimbangkan aspek-aspek risiko dan antisipasi
demi kehandalan sistem atau dalam rangka goodcorporategovernance:
1. ISO 9000
The International standard Organization telah merancang standar teknis engineering
untuk kualitas produk sejak 1947. Pada tahun 1987 ISO memperkenalkan ISO 9000
(terdiri dari ISO 9001, 9002, 9003), yang merupakan qualityassurancemodel dan
perusahaan dapat meminta sertifikasi salah satunya. Perusahaan yang mendapat sertifikasi
ISO 9000 tidak berarti terjamin mutu produknya atau pasti prosesnya berjalan baik,
melainkan sertifikasi ini hanya menunjukkan kepatuhan perusahaan terhadap prosedur
yang ditetapkan sehingga dengan sendirinya diharapkan meningkatkan proses yang
dijalankannya. Dengan sertifikasi tersebut perusahaan harus mendokumentasikan
prosesnya dalam standardoperatingprocedures (SOP) sesuai aturan yang ditetapkan.
Selain itu motivasi yang mendorong perusahaan mengikuti sertifikasi adalah harapan
adanya bestpractices yang dapat diikuti.
2. Six Sigma
Kalau ISO lebih menekankan pada SOP dan kepatuhan terhadap aturan prosedur tersebut,
six sigma lebih menekankan pada standardisasi pendekatan-pendekatan yang
memungkinkan prosesnya itu sendiri ditingkatkan. Dalam konsepnya dibuat peta SIPOC
(suppliers, inputs, process, output, dan customers). Karena tujuan metoda six sigma ini
pada peningkatan mutu proses, maka hingga kini sudah banyak perusahaan yang
mengadopsinya. Salah satu contoh successstory adalah General Electric, yang mengklaim
memperoleh manfaat peningkatan kualitas proses (sistem) yang menyebabkan
keuntungan keuangan (costsavoidance, peningkatan revenue, productioncost menurun),
manfaat organisasional, dan operasional.
28
2.2.5 ReferensiSistem Kontrol Internal
A. COBIT Framework
Alat yang komprehensif untuk menciptakan adanya IT Governance di
organisasi adalah penggunaan Cobit (Control Objectives For Information And Related
Technology) yang mempertemukan kebutuhan beragam manajemen dengan
menjembatani celah antara risiko bisnis, kebutuhan kontrol, dan masalah-masalah
teknis TI. Cobit menyediakan referensi best business practice yang mencakup
keseluruhan proses bisnis organisasi dan memaparkannya dalam struktur aktivitas-
aktivitas logis yang dapat dikelola dan dikendalikan secara efektif.
Tujuan utama Cobit adalah memberikan kebijaksanaan yang jelas dan latihan
yang bagus bagi IT Governance bagi organisasi di seluruh dunia untuk membantu
manajemen senior untuk memahami dan mengatur risiko–risiko yang berhubungan
dengan TI. Cobit melakukannya dengan menyediakan kerangka kerja IT Governance
dan petunjuk kontrol obyektif yang rinci bagi manajemen, pemilik proses bisnis,
pemakai dan auditor.
COBIT (Control Objectives For Information And Related Technology) adalah
Kerangka IT Governance yang ditujukan kepada manajemen, staf pelayanan TI,
control departement, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis
(business process owner’s), untuk memastikan confidenciality, integrity dan
availability data serta informasi sensitif dan kritikal.
Konsep dasar kerangka kerja COBIT adalah bahwa penentuan kendali dalam
TI berdasarkan informasi yang dibutuhkan untuk mendukung tujuan bisnis dan
informasi yang dihasilkan dari gabungan penerapan proses TI dan sumber daya
terkait. Dalam penerapan pengelolaan TI terdapat dua jenis model kendali, yaitu
model kendali bisnis (business controls model) dan model kendali TI (IT
29
focusedcontrol model), COBIT mencoba untuk menjembatani kesenjangan dari kedua
jenis kendali tersebut. Pada dasarnya kerangka kerja COBIT terdiri dari 3 tingkat
control objectives, yaitu activities dan tasks, process, domains. Activities dan tasks
merupakan kegiatan rutin yang memiliki konsep daur hidup, sedangkan task
merupakan kegiatan yang dilakukan secara terpisah. Selanjutnya kumpulan activity
dan task ini dikelompokan ke dalam proses TI yang memiliki permasalahan
pengelolaan TI yang sama dikelompokan ke dalam domains. Untuk memastikan hasil
yang diperoleh dari proses TI sesuai kebutuhan bisnis, perlu diterapkan kendali-
kendali yang tepat terhadap proses TI tersebut. Hasil yang diperoleh perlu diukur dan
dibandingkan kesesuaiannya dengan kebutuhan bisnis organisasi secara berkala.
Keseluruhan informasi tersebut dihasilkan oleh sebuah TI yang dimiliki organisasi,
dimana didalamnya terdapat sejumlah komponen sumber daya penting, yaitu:
1.Aplikasi, yang merupakan sekumpulan program untuk mengolah
danmenampilkan data maupun informasi yang dimiliki oleh organisasi.
2. Informasi, yang merupakan hasil pengolahan dari data yang merupakan
bahanmentah dari setiap informasi yang dihasilkan, dimana di dalamnya
terkandungfakta dari aktivitas transaksi dan interaksi sehari-hari masing-masing
prosesbisnis yang ada di organisasi.
3. Infrastruktur, yang terdiri dari sejumlah perangkat keras, infrastrukturteknologi
informasi sebagai teknologi pendukung untuk menjalankan portfolioaplikasi yang
ada. Selain itu yang termasuk dalam infrastruktur dapat berupasarana fisik seperti
ruangan dan gedung dimana keseluruhan perangkat sistemdan teknologi
informasi ditempatkan.
4. Manusia, yang merupakan pemakai dan pengelola dari sistem informasi
yangdimiliki.
30
Pedoman manajemen untuk COBIT, yang terdiri dari model maturity,KGI, dan
KPI, yang kemudian menyediakan manajemen dengan alat untuk menilai dan
mengukur lingkungan TI organisasi terhadap 34 proses TI yang diidentifikasikan
COBIT. Saat ini manajemen TI terkait risiko tersebut dipahami sebagai bagian inti
dari pengaturan organisasi. Pengaturan TI yang merupakan bagian dari pengaturan
organisasi, menjadi lebih dirasakan peranannya dalam mencapai tujuan organisasi.
Menurut Gondodiyoto,(2003) : pendekatan COBIT di rancang terdiri dari 34
high level control objectives yang menggambarkan proses TI yang terdiri dari 4
domain yaitu: Plan and Organise,Acquire and Implement, Deliver and Support dan
Monitor and Evaluate. Berikut kerangka kerja COBIT yang terdiri dari 34 proses TI
yang terbagi ke dalam 4 domain pengelolaan, yaitu:
1. Plan and Organise (PO), mencakup masalah mengidentifikasikan cara terbaik TI
untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuanbisnis
organisasi. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan
strategi TI dengan strategi organisasi. Domain PO terdiri dari 10 control objectives,
yaitu :
PO1 - Define a strategic IT plan.
PO2 – Define the information architechture.
PO3 – Determine technological direction.
PO4 – Define the IT processes, organisation and relationships.
PO5 - Manage the IT investment.
PO6 – Communicate management aims and direction.
PO7 – Manage IT human resource.
PO8 – Manage quality.
PO9 – Asses and manage IT risks.
PO10 – Manage projects.
31
2. Acquire and Implement (AI), domain ini menitikberatkan pada proses pemilihan,
pengadaaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah
ditetapkan, harus disertai solusi-solusi TI yang sesuai dan solusi TI tersebut
diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis
organisasi. Domain AI terdiri dari 7 control objectives, yaitu :
AI1 – Identify automated solutions.
AI2 – Acquire and maintain application software.
AI3 – Acquire and maintain technology infrastructure.
AI4 – Enable operation and use.
AI5 – Procure IT resources.
AI6 – Manage changes.
AI7 – Install and accredit solutions and changes.
3. Deliver and Support (DS), domain ini menitikberatkan pada proses pelayanan TI
dan dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan
layanan, pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang
sedang berjalan. Domain DS terdiri dari 13 control
objectives, yaitu :
DS1 – Define and manage service levels.
DS2 – Manage third-party services.
DS3 – Manage performance and capacity.
DS4 – Ensure continuous service.
DS5 – Ensure systems security.
DS6 – Identify and allocate costs.
DS7 – Educate and train users.
DS8 – Manage service desk and incidents.
32
DS9 – Manage the configuration.
DS10 – Manage problems.
DS11 – Manage data.
DS12 – Manage the physical environment.
DS13 – Manage operations.
4. Monitor and Evaluate (ME), domain ini menitikberatkan pada proses pengawasan
pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap
proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini
fokus pada masalah kendali-kendali yang diterapkan dalam organisasi,
pemeriksaan internal dan eksternal. Berikut proses-proses TIpada domain
monitoring and evaluate:
ME1 – Monitor and evaluate IT performance.
ME2 – Monitor and evaluate internal control.
ME3 – Ensure regulatory compliance.
ME4 – Provide IT Governance.
Dengan melakukan kontrol terhadap ke 34 obyektif tersebut, organisasi dapat
memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk
lingkungan TI. Untuk mendukung proses TI tersebut tersedia lagi sekitar 215 tujuan
kontrol yang lebih detil untuk menjamin kelengkapan dan efektifitas implementasi.
Karena COBIT berorientasi bisnis, maka untuk memahami control objectives
dalam rangka mengelola TI yang terkait dengan risiko bisnis dilakukan dengancara:
1. Mulai dengan sasaran bisnis dalam framework.
2. Pilih proses dan kontrol TI yang sesuai untuk enterprise dari control
objectives.
3. Operasikan rencana bisnis.
33
4. Menilai prosedur dan hasil dengan pedoman audit.
Menilai status organisasi, identifikasi aktivitas yang kritis untuk kesuksesan
dan performansi ukuran dalam mencapai tujuan enterprise dengan pedoman
manajemen. Manajemen sebuah organisasi akan berfungsi secara efektif apabila para
pengambil keputusan selalu ditunjang dengan keberadaan informasi yang berkualitas.
COBIT mendeskripsikan karakteristik informasi yang berkualitas menjadi tujuh aspek
utama, yaitu masing-masing :
1. Effectiveness, dimana informasi yang dihasilkan haruslah relevan dan
dapatmemenuhi kebutuhan dari setiap proses bisnis terkait dan tersedia secara
tepatwaktu, akurat, konsisten dan dapat dengan mudah diakses.
2.Efficiency, dimana informasi dapat diperoleh dan disediakan melalui cara
yang ekonomis, terutama terkait dengan konsumsi sumber daya yang
dialokasikan.
3. Confindentiality, dimana informasi rahasia dan yang bersifat sensitif
harusdapat dilindungi atau dijamin keamanannya, terutama dari pihak-pihak
yangtidak berhak mengetahuinya.
4. Avaibility, dimana informasi haruslah tersedia bilamana dibutuhkan
dengankinerja waktu dan kapabilitas yang diharapkan.
5.Compliancedimana informasi yang dimiliki harus
dapatdipertanggungjawabkan kebenarannya dan mengacu pada hukum
maupunregulasi yang berlaku, termasuk di dalamnya mengikuti standar
nasional atauinternasional yang ada.
6. Reliability, dimana informasi yang dihasilkan haruslah berasal dari
sumberyang dapat dipercaya sehingga tidak menyesatkan para pengambil
keputusanyang menggunakan informasi tersebut.
34
Gambar 2.6 : Framework Cobit
Sumber : Gondodiyoto,(P88, 2003)
B. COSOFramework
COSO (Committee of Sponsoring Organization) adalah komite yang diorganisir oleh
lima organisasi profesi, yaitu: IIA, AICPA, IMA FEI, dan AAA. Pada Oktober 1987, The
National Commission on Fraudulent Financial Reporting (yang lebih dikenal dengan sebutan
The Treadway Commission Report) menghasilkan kajian yang disebut COSO
framework/model of internalcontrol. COSO mengeluarkan definisi tentang pengendalian
intern pada tahun 1992, dan pada tahun 2002 menyempurnakannya menjadi COSO ERM
(Enterprise Risk Management).
COSO adalah salah satu model kontrol internal yang banyak digunakan. Sistem
pengendalian intern didefinisikan sebagai berikut:
35
“Internal Control: a process, effected by an entity’s board of directors, manajement,
and other personnel, designed toprovide reasonabel assurance regarding the
achievement of objectives in following categories:
A. Effectiveness and effisiency of operations.
B. Realibility of financial reporting.
C. Compliance with applicable laws and regulations.
Keypoint model COSO adalah:
1. Internal control is process.
2. Internal control is affected by people (board of director, manager, other personnel).
3. Internal Control can be expected to provide only reasonable assurance.
4. Internal Control is geared to the achievement of objectives.
Menurut model COSO, internalcontrol adalah suatu proses, melibatkan seluruh
anggota organisasi, dana memiliki tiga tujuan utama, yaitu: efektivitasdanefisiensioperasi,
mendorong kehandalan laporan keuangan, dan dipatuhinyahukumdanperaturanyangada.
Artinya dengan adanya sistem pengendalian internal, maka diharapkan perusahaan dapat
bekerja atau beropreasi secara efektif dan efisien, penyajian informasi dapat diyakini
kebenarannya dan semua pihak akan mematuhi semua peraturan dan kebijakan yang ada baik
peraturan dan kebijakan perusahaan ataupun aturan (legal/hukum) pemerintah. Dengan
dipatuhinya peraturan dan kebijakan maka penyimpangan dapat dihindari.
Model (framework) COSO terdiri lima komponen (unsur-unsur) yang saling
berhubungan yang akan menunjang pencapaian tujuan perusahaan yaitu :
1. Control Environment (lingkungan pengendalian)
36
Komponen ini berperan dalam membangun atmosfer (iklim) yang kondusif bagi para
karyawan mengenai kesadaran pentingnya kontrol sehingga dapat menciptakan suasana
yang membuat karyawan menjalankan tugas dan tanggungjawabnya masing-masing.
Controlenvironment merupakan fondasi bagi komponen COSO yang lain. Manajemen
harus paham pentingnya pengendalian intern, memberi contoh, dan memberikan
dukungan, serta menyampaikannya kepada seluruh karyawan.
Sub-componentcontrolenvironment terdiri dari:
a) Filosopi & gaya manajemen (managementphilosophyandoperatingstyle)
b) Komitmen pada kompetensi personel (commitmenttocompetence)
c) Peran direksi, dewan komisaris dan/atau komite audit
(theboardofdirectorsorauditcommitee)
d) Struktur organisasi (organizationalstructure)
e) Pelaksanaan wewenang & tanggungjawab (assignmentofauthorityandresponsibility).
f) Pedoman yang dibuat manajemen bagi personel dalam melaksanakan tugas dan
tanggung jawabnya (humanresourcepoliciesandpractices).
2. Risk Assessment (penaksiran risiko).
Merupakan proses identifikasi dan analisis risiko yang dapat menghambat atau
berhubungan dengan pencapaian tujuan perusahaan, serta menentukan cara bagaimana
risiko tersebut ditangani. COSO mengarahkan kita melakukan identifikasi terhadap risiko
internal maupun eksternal dari aktivitas suatu entity atau individu. Pada tahap
riskassessment terdapat cost-benefitconsideration yang memperhitungkan cost dan
benefit yang akan dihasilkan dari suatu penerapan control. Artinya, jika biaya untuk
pengendalian intern terlalu besar, maka sistem pengendalian intern tersebut sudah tidak
punya makna positif lagi.
37
3. Control Activities (aktivitas pengendalian)
Merupakan kebijakan dan prosedur yang dirancang untuk memastikan dilaksanakannya
kebijakan manajemen dan bahwa risiko sudah diantisipasi. Controlactivities juga
membantu memastikan bahwa tindakan yang diperlukan untuk penanganan risiko telah
dilakukan sesuai dengan apa yang telah direncanakan, misalnya:
financialperformancereview, rekonsiliasi, systemcontrol, Physicalcontrol, pemisahan
tugas, verifikasi.
Aktivitas Pengendalian menurut COSO terdiri dari tiga kelompok tujuan:
a) Akurasi financialreporting
Aktivitas pengendalian yang ditujukan untuk mendorong akurasi
financialreportingantara lain menyangkut:
1. Pemisahan tugas dan fungsi (segregationofduties)
2. Otorisasi yang memadai (properauthorizationoftransaction)
3. Dokumentasi yang layak (sound design and use of documentation)
4. Pengendalian fisik atas kekayaan dan catatan akuntansi
(adequatesaveguardandsecuritymeasures)
5. Verifikasi independen atau review atas kegiatan/ kinerja (independencechecks on
performance)
b) Performancereview
Aktivitas pengendalian yang ditujukan untuk mendorong kinerja:
1. Performancereview
c) Kehandalan informationprocessing:
Aktivitas pengendalian yang ditujukan untuk mendorong kehandalan
informationprocessing:
38
1. Generalcontrol (pengendalian umum)
2. Applicationcontrol (pengendalian aplikasi, atau khusus, atau yang terkait
langsung dengan transaksi)
4. Information & Communication (informasi dan komunikasi)
Komponen ini menjelaskan bahwa sistem informasi sangat penting bagi keberhasilan atau
peningkatan mutu operasional organisasi. Informasi, baik yang diperoleh dari eksternal
maupun dari pengolahan internal merupakan potensi strategis (potentialstrategic). Sistem
informasi hendaknya terintegrasi/ terpadu (integratedsystems), dan menjamin kebutuhan
terhadap kualitas data. Sistem Informasi harus dapat memberikan data yang memiliki
karakteristik:
1. Relativetoestablishedobjectives (berhubungan dengan sasaran).
2. Accurateandinsufficientdetail (akurat dan terinci)
3. Understandableandin a usableform (mudah dipahami/ digunakan).
Komunikasimembahas mengenaiperlunyapenyampaian semua hal-hal yang berhubungan
kebijakan pimpinan kepada seluruh anggota organisasi. Semua pegawai harus paham
tentang kondisi perusahaan, kebijakan pimpinan, tentang internalcontrol, competitive,
dan keadaan ekonomi. Kebijakan manajemen harus diinformasikan, harus disampaikan
dengan jelas, dibuat policymanual, tata administrasi (penggunaan surat menyurat, memo,
perintah kerja), standard pelaporan, adanya risiko yang mungkin timbul karena adanya
bidang baru, perubahan sistem, atau teknologi baru, perkembangan pesat organisasi/
entitas, aspek-aspek hukum yang harus diperhatikan, sebagainya. Segala sesuatunya harus
dikomunikasikan kepada berbagai pihak dan seluruh personil.
Contoh communication: kewajiban dan tanggung jawab karyawan terhadap pengendalian
harus dikomunikasikan dengan jelas, tertulis.
39
5. Monitoring (pemantauan)
Komponen pemantauan atau pengawasan dijelaskan dalam COSO untuk memastikan
kehandalam sistem dan internalcontrol dari waktu ke waktu. Monitoring merupakan
proses yang menilai kualitas dari kinerja sistem dan internalcontrol dari waktu ke waktu,
yang dilakukan dengan melakukan aktivitas monitoring dan melakukan evaluasi secara
terpisah. Pada hakekatnya terdapat dua mekanisme pemantauan, yaitu: (a) yang bersifat
on-goingmonitoringactivities, yaitu pengawasan yang langsung dilakukan oleh masing-
masing atasan pihak yang bersangkutan berdasarkan jenjang hirarki jabatan, dan (b) a
separatemonitoringactivities, yaitu pengawasan yang dilakukan oleh fungsi audit. Pada
masa Orde Baru kedua jenis pengawasan itu sering disebut dengan istilah pengawasan
melekat (oleh atasan) dan pengawasan fungsional.
Information and communication component connenctions
40
Definition Internal control is
a management process
Categories Effectiveness Reliable financial Compliance with
and efficiency reporting laws and regulations
of operations
Objectives Various business, Reliable financial Compliance with
company specific annual and interim ones that apply
report (e.g., GAAP) to the company
Components Control environment Control environment Control environment
Risk Assessment Risk assessment Risk assessment
Control activities Control activities Control activities
Monitoring Monitoring Monitoring
Information and Information and Information and
Communication Communication Communication
Gambar 2.6: COSO FrameworkofInternalcontrol
Sumber: Gangemi (2003, p.73)
Unsur-unsur sistem pengendalian intern sangat penting karena sistem mempunyai
beberapa unsur dan sifat-sifat tertentu yang dapat meningkatkan kemungkinan dapat
dipercayainya data-data akuntansi serta tindakan pengamanan terhadap aktiva dan catatan
Objectivescategories
41
perusahaan. Setiap unsur mempunyai kaitan langsung dengan tujuan pengendalian internal
serta langkah-langkah yang dapat ditempuh perusahaan untuk memenuhinya. Unsur paling
penting dari sistem pengendalian internal terletak pada para pelaksananya, yaitu karyawan
yang kompeten dan dapat dipercaya. Orang-orang yang jujur dan bekerja secara efisien selalu
mampu untuk bekerja dengan segala kesungguhan, meskipun hanya didukung oleh sedikit
unsur pengendalian lainnya, dan meskipun kelima unsur pengendalian lain tersebut begitu
kuat, akan tetapi orang-orang yang tidak berkompeten dan tidak jujur akan dengan mudah
membuat sistem menjadi berantakan. Memang, mempekerjakan para pelaksana yang
kompeten dan dapat dipercaya tidak dengan sendirinya akan memenuhi syarat untuk
membuat sistem memadai. Setiap orang mempunyai sejumlah kekurangan lahiriah sesuai
dengan kodratnya, misalnya rasa bosan atau kecewa, dan persoalan-persoalan pribadi yang
dapat mempengaruhi pelaksanaan kerjanya, atau tujuan hidupnya mungkin berubah.
Dari sudut kepentingan audit, mempertimbangkan mengenai kompetensi dan
integritas setiap karyawan selalu mempunyai makna yang penting, meskipun sangat sukar
untuk melakukannya, dan menggunakan sebagai bagian dari evaluasi sistem secara
keseluruhan. Agar sistem dapat berfungsi sebagaimana mestinya dan pekerjaan dapat
diselenggarakan dengan baik harus ditetapkan pertanggung-jawaban untuk melaksanakan
tugas-tugas tertentu bagi orang-orang tertentu pula. Jadi apabila ada tugas yang tidak
dilaksanakan sebagaimana mestinya, dapat diminta pertanggung-jawaban tersebut agar yang
bersangkutan dapat bekerja lebih giat serta hati-hati, dan manajemen dapat lebih mudah
mengawasinya.
2.3. Manajemen Risiko dan Model Manajemen Risiko
42
Menurut Alberts, C dan Dorofee.A (2004, p. 8), manajemen risiko
adalahproses yang berkelanjutan dalam mengenal risiko dan mengimplementasikan
rencana untuk menunjuk mereka. Adapun menurut Djojosoerdarso (2005,p. 4),
manajemen risiko adalah pelaksanaan fungsi-fungsi manajemen dalam penanggulangan
risiko, terutama risiko yang dihadapi oleh organisasi/perusahaan, keluarga dan
masyarakat. Jadi mencakup kegiatan merencanakan, mengorganisir, menyusun, dan
memimpin, dan mengawasi (termasuk mengevaluasi) program penanggulangan risiko.
Jadi manajemen risiko adalah suatu proses identifikasi, mengatur risiko,serta
membentuk strategi untuk mengelolanya melalui sumber daya yang tersedia. Strategi
yang dapat digunakan antara lain mentransfer risiko pada pihak lain, menghindari
risiko, mengurangi efek buruk dari risiko, dan menerima sebagian maupun seluruh
konsekuensi dari risiko tertentu.
Program manajemen risiko dengan demikian mencakup tugas-tugas, seperti
(1) Mengidentifikasi risiko-risiko yang dihadapi; (2) Mengukur atau menentukan
besarnya risiko tersebut; (3) Mencari jalan untuk menghadapi atau menanggulangi
risiko; (4) Menyusun strategi untuk memperkecil ataupun mengendalikan risiko; (5)
Mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi program
penanggulangan risiko yang telah di buat.
Terdapat berbagai model atau kerangka pemikiran (framework of risk
management), natara lain COSO Enterprise Risk Management (yang merupakan
pengembangan dari COSO Framework of Internal Controls), OCTAVE, NIST, dan
lain-lainnya.
43
2.3.1 COSO ERM
Menurut Alberts, Christopher and Audrey Dorofee. 2003ERM merupakan suatu
proses yang berpengaruh pada sebuah entitas, jajaran direksi, pihak manajemen, dan
personel lain yang diaplikasikan pada penetapan strategy perusahaan, didisain untuk
mengidentifikasi kejadian yang potensial yang dapat berpengaruh pada entitas, dan
mengelola risiko yang dapat diterima, dan memberikan jaminan keamanan yang
beralasan dalam rangka mencapai tujuan perusahaan.
ERM dapat dikatakan penting karena ERM mendukung terciptanya nilai – nilai
dengan memudahkan manajemen untuk menghadapi kejadian potensial yang
menciptakan ketidakpastian dan untuk memberilan respon yang tepat untuk mengurangi
resiko yang dapat mempengaruhi hasil.
Dalam menciptakan suatu keefektifan dalam ERM maka diperlukan suatu
sistem control internal yang baik.
Fungsi dari framework ERM adalah untuk mendukung terciptanya tujuan –
tujuan, tujuan – tujuan tersebut dikategorikan kedalam 4 kategori :
1. Strategic – tujuan yang paling penting.
2. Operations – penggunaan sumber daya yang efektif dan efisien.
3. Reporting – Kepastian dari laporan.
4. Compliance – Tingkat kepatuhan pada hokum dan peraturan.
Menurut Gondodiyoto,s. (2003). Audit sistem informasi : pendekatan CobitDi
dalam ERM terdapat delapan komponen yang saling berkaitan, komponen tersebut
yaitu :
44
1. Internal Environment.
ERM membuat philosophy yang berhubungan dengan risk management, baik
untuk kejadian yang diharapkan atau tidak diharapkan yang mungkin dapat
terjadi.
2. Objective setting.
Objective setting ini digunakan pada saat management mempertimbangkan
strategi resiko dalam menetapkan suatu objek.
3. Event Identification.
Mengidentifikasi kejadian – kejadian yang dapat memberikan pengaruh
negatif yang menggambarkan resiko.
4. Risk Assessment.
Menganalisa kemungkinan resiko yang dapat terjadi
5. Risk Response.
Mengidentifikasi dan mengevaluasi bagaimana respon terhadap resiko yang
mungkin terjadi.
6. Control Activities.
Prosedur yang dilakukan untuk memastikan bahwa respon terhadap resiko
dilakukan dengan efektif.
7. Information dan Communication.
Suatu proses mengidentifikasi informasi dan mengkomunikasikannya
sehingga orang – orang mengerti bagaimana tugas dan tanggung jawabnya.
8. Monitoring.
2.3.2
m
m
O
P
(O
Efek
seca
OCTAVE
Risk
manajemen k
melaksanakan
OCTAVE ya
ittsburg. Me
Christ
OCTAVEsmC
ktifitas dari
ara terus men
E
assessment
keamanan in
n risk asse
ang dikemba
etode inilah y
topher J. A
Catalog of
komponen
nerus ;Evalu
Gambar 2
Sumber
memegang
nformasi. Ad
essment, sa
angkan oleh
yang akan di
lberts, Audr
f Practices,
ERM dimo
uasi terpisahD
2.7 : Framew
r: Gondodiy
g peranan
da banyak m
atu yang te
Carnegie M
igunakan da
rey J. Doro
Version 2.0
onitor mela
Dan kombin
work ERM
yoto (2007)
penting d
metode yang
erkenal dian
Mellon Softw
alam studi ka
ofee, Julia H
0)mendefinis
lui; Aktifita
nasi dari ked
alam pener
g dapat digu
ntaranya ad
wareEngineer
asus ini.
H. Allen - O
sikan OCTA
4
as monitorin
duanya.
rapan sistem
unakan untu
dalah metod
ring Institut
October 200
TAVE sebag
45
ng
m
uk
de
te,
01
ai
46
pendekatan terhadap risiko keamanan informasi evaluasi yang bersifat komprehensif,
sistematis, konteks didorong, dan diarahkan diri.
Pada inti OCTAVE adalah konsep diri-arah, yang berarti bahwa orang-orang
dari sebuah organisasi mengelola dan mengarahkan evaluasi risiko keamanan
informasi untuk organisasi itu. Keamanan informasi adalah tanggung jawab setiap
orang dalam organisasi, bukan hanya departemen IT. Organisasi orang perlu untuk
mengarahkan aktivitas dan membuat keputusan tentang upaya perbaikan keamanan
informasi. OCTAVE mencapai hal ini dengan mendirikan sebuah kecil, tim
interdisipliner ditarik dari personil organisasi itu sendiri, yang disebut tim analisis,
untuk Pemimpin proses evaluasi organisasi.
Pendekatan OCTAVE mendefinisikan informasi risiko keamanan sebagai
praktik manajemen. Kami telah menemukan bahwa cara-cara di mana organisasi
melaksanakan evaluasi risiko keamanan informasi berbeda berdasarkan berbagai faktor
organisasional. OCTAVE diimplementasikan pada sebuah perusahaan multinasional
besar berbeda dari oktaf di sebuah start-up. Namun, beberapa prinsip umum, atribut,
dan output terus di organisasi jenis.
2.3.3 NIST (National Institute of Standard and Technolgy)Special Publication 800-30
NIST (National Institute of Standard and Technology) mengeluarkan
rekomendasi melalui publikasi khusus 800 – 30 tentang Risk Management
Guide for Information Technology System. Terdapat tiga proses pengelolaan
risiko, yaitu:
1. Karakteristik Sistem
47
Dalam menilai risiko untuk sebuah sistem TI, langkah pertama adalah
untuk menentukan cakupan usaha. Pada tahap ini, batas-batas terhadap
sistem yang diidentifikasi, bersama dengan sumber daya dan informasi
yang merupakan sistem. Karakteristik sebuah sistem TI membentuk
ruang lingkup dari risiko usaha, yang menggambarkan operasional
otorisasi atau akreditasi batas-batas, dan menyediakan informasi
(misalnya, perangkat keras, perangkat lunak, sistem konektivitas, dan
divisi yang bertanggung jawab atau dukungan personil) yang penting
untuk menentukan risiko.
2. Identifikasi Ancaman
Identifikasi ancaman yang mungkin menyerang kelemahan sistem TI.
Sebuah kelemahan atau kerentanan dapat dipicu dari kesengajaan
ataupun ketidaksengajaan, sebuah sumber ancaman tidak akan
menghasilkan sebuah risiko jika tidak ada kelemahan yang dibiarkan.
Dalam mempertimbangkan kemungkinan adanya ancaman, hal yang
tidak boleh diabaikan, yaitu mempertimbangkan sumber ancaman,
potensi kerentanan, dan kontrol yang ada.
3. Identifikasi Kerentanan
Analisis ancaman untuk sebuah sistem TI harus disertai analisis dari
kerentanan yang terkait dengan sistem lingkungan. Tujuan dari
langkah ini adalah untuk mengetahui kekurangan atau kelemahan dari
sistem yang dapat dieksploitasi oleh sumber ancaman.
4. Analisis Pengendalian
48
Tujuan dari langkah ini adalah menganalisa pengendalian yang telah
dilaksanakan atau direncanakan untuk meminimalkan atau
menghilangkan kemungkinan-kemungkinan ancaman dari kelemahan
atau kekurangan yang ada.
5. Penentuan Kemungkinana/Kecenderungan
Untuk mendapatkan keseluruhan penilaian terhadap kemungkinan atau
kecenderungan yang menunjukan adanya peluang kelemahan yang
dapat dilakukan oleh lingkungan ancaman. Berikut ini faktor-faktor
yang harus dipertimbangkan : (1) Motivasi dan Sumber Ancaman; (2)
Sifat dan Kerentanan; (3) Keberadaan dan Efektifitas Pengendalian
Saat Ini.
Kemungkinan / kecenderungan dari kelemahan potensial yang dapat terjadi,
dideskripsikan dalam tingkatan tinggi, sedang, atau rendah:
Level
Kemungkinan
Definisi kemungkinan/kecenderungan
Tinggi Sumber ancaman yang memiliki motivasi tinggi,
memiliki kemampuan yang cukup, dan
pengendalian untuk mencegah kerentanan yang
mungkin terjadi tidak efektif.
Sedang Sumber ancaman termotivasi dan mampu, tetapi
pengendalian yang ada, dapat menghambat
kerentanan dengan sukses.
49
Rendah Sumber ancaman kurang termotivasi dan mampu,
atau pengendalian yang ada untuk mencegah atau
setidaknya secara signifikan menghambat
kerentanan yang mungkin terjadi.
Tabel 2.1: Definisi kemungkinan.kecenderungan
A. Analisis Dampak
Menentukan hasil dari dampak paling buruk yang mungkin terjadi dari sebuah
ancaman yang timbul, sebelum memulai analisis dampak, diperlukan informasi
sebagai (1) Sistem Misi (misalnya, proses yang dilakukan oleh sistem TI); (2) Sistem
dan Data Kritikal (misalnya, sistem nilai atau pentingnya untuk sebuah organisasi);
(3) Sistem dan Sensitivitas Data.
Besarnya dampak Definisi dampak
Tinggi Penerapan kerentanan: (1) dapat menghasilkan
kehilangan biaya yang sangat tinggi dari aset
nyata utama atau sumber daya, (2) dapat
menyebabkan pelanggaran, kerugian atau
rintangan dalam misi organisasi, reputasi atau
pendapatan yang signifikan, (3) dapat
menyebabkan kematian atau cedera serius.
Sedang Penerapan kerentanan: (1) dapat menghasilkan
kehilangan biaya yang tinggi dari aset nyata
utama atau sumberdaya, (2) dapat menyebabkan
pelanggaran, kerugian atau rintangan dalam misi
50
organisasi, reputasi atau pendapatan, (3) dapat
menyebabkan cedera serius.
Rendah Penerapan kerentanan: (1) dapat menghasilkan
kehilangan sebagian aset nyata atau sumberdaya,
(2) dapat mempengaruhi misi, reputasi dan
pendapatan organisasi.
Tabel 2.2: definisi dampak
B. Penentuan Risiko
Tujuan dari langkah ini adalah untuk menilai tingkat risiko bagi sistem TI.
Penentuan tingkat risiko ini merupakan suatu fungsi (1) Kecenderungan suatu sumber
ancaman menyerang vulnerability dari sistem TI; (2) Besarnya dampak yang akan
terjadi jika sumber ancaman sukses menyerang vulnerability dari sistem TI; (3)
Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan
menghilangkan resiko.
C. Rekomendasi Pengendalian
Selama proses ini, pengendalian yang dapat mengurangi atau mengeliminasi
risiko yang diidentifikasi. Tujuan dari rekomendasi pengendalian adalah mengurangi
tingkat risiko bagi sistem TI dan data ketingkat yang dapat diterima oleh organisasi.
Faktor-faktor yang harus dipertimbangkan dalam rekomendasi pengendalian dan
solusi alternative untuk meminimalkan atau mengeliminasi risiko diidentifikasi, yaitu
: keefektifan dari pilihan yang direkomendasikan, perundang-undangan dan peraturan,
kebijakan organisasi, dampak operasional, keselamatan dan kehandalan
D. Dokumentasi
51
Hasil-hasilSetelah pengukuran risiko selesai (sumber ancaman, dan kerentanan
telah diidentifikasi, penilaian risiko, dan rekomendasi pengendalian tersedia), hasil-
hasil yang ada harus di dokumentasikan dalam laporan resmi.
E. Proses Pengurangan Risiko
Terdapat beberapa strategi dalam melakukan pengurangan risiko, yaitu dengan
menerima risiko (risk assumption), mencegah terjadinya risiko (risk avoidance),
membatasi level resiko (risk limitation), perencanaan risiko (risk plan), penelitian dan
pengakuan (research and acknowledgment), mentransfer risiko (risk transference).
Metodologi pengurangan risiko menggambarkan pendekatan untuk
mengimplementasikan control, yang terdiri dari : memprioritaskan aksi, evaluasi
terhadap kontrol yang direkomendasikan, melakukan Cost-Benefit Analysis, memilih
control, memberikan tanggung jawab, mengembangkan rencana implementasi
perlindungan, implementasikan control yang dipilih.
F. Proses Evaluasi Risiko
Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko yang
diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali untuk
memastikan keberadaan risiko yang teridentifikasi maupun risiko yang belum
teridentifikasi.
52
Gambar 2.8: Model Framework Manajemen Resiko TI
2.3.4 ISO 27001.
ISO/IEC 27001 adalah standar information security yang diterbitkan pada
October 2005 oleh International Organization for Standarization dan International
Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan
swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005
menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor,
menganalisa dan memelihara seta mendokumentasikan Information Security
Management System dalam konteks resiko bisnis organisasi keseluruhan
ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem
manajemen keamanan informasi (ISMS). ISMS yang baik akan membantu memberikan
perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses
bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius
pada pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan
pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang
tidak lama.
53
Penilaian risiko dan manajemen yang benar adalah faktor terpenting dalam
ISO/IEC 27001. Standar ini membolehkan organisasi memperkenalkan objek-objek
pengawasan dan memilih cara-cara penyelenggaraan keamanan yang paling sesuai. Jika
organisasi ingin memulai menerapkan standard ini, maka mulai dengan mendefinisikan
semua permasalahan dan faktor-faktor yang terkait secara sistematik dan cara-cara
manajemen risiko yang sudah atau akan diterapkan (direncanakan).
Pendefenisian ini bertujuan untuk memberikan pendekatan terhadap
pengelolaan (manajemen) risiko yang akan ditetapkan dalam bentuk aturan-aturan,
terkait dengan penilaian risiko oleh tim auditor (fihak organisasi sendiri atau konsultan
yang memahami standar ini) untuk memastikan peringkat keamanan yang diperlukan
sesuai dengan kondisi anggaran keuangan organisasi.
Objek-objek dan cara-cara kontrolnya dapat dilihat pada lampiran ISO/IEC
27001:2005 agar dapat mencapai keperluan-keperluan yang diperkenalkan (hasil
maksimal yang diharapkan) dalam penilaian risiko dan proses pemulihannya. Jika
sistem keamanan yang telah diwujudkan sudah sampai taraf memuaskan, maka kontrol
yang diuraikan dalam lampiran dapat diabaikan. Kontrol dan evaluasi yang ekstra ketat
dapat juga diterapkan. Setelah mampu mengimplementasikan manajemen risiko yang
tersistematis, organisasi dapat menetapkan bahwa sistemnya telah sesuai untuk
keperluan-keperluan sendiri dan standar.