8  

BAB II

LANDSAN TEORI

2.1 Sistem Informasi/Teknologi Informasi Komunikasi

2.1.1Pengertian Sistem/Teknologi Informasi

Teknologi Informasi dan Komunikasi (TIK) adalah suatu teknologi yang

digunakan untuk mengolah data, termasuk memproses, mendapatkan, menyusun,

menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan informasi

yang berkualitas, yaitu informasi yang relevan, akurat dan tepat waktu, yang

digunakan untuk keperluan pribadi, bisnis dan pemerintah dan merupakan informasi

yang strategis untuk pengambilan keputusan (Tata Sutabri, 2013). Sedangkan teori

lain menyatakan bahwa TIKadalah komputerapasajayangberbasisperangkat yang

digunakan orang untuk berkerja denganinformasi dan mendukunginformasidan

kebutuhanprosesinformasidarisebuahorganisasi (Haag,Cummings,danMcCubbrey,

2005).TIK adalah suatu teknologi yang digunakan untuk mengolah data, termasuk

memproses, mendapatkan, menyusun, menyimpan, memanipulasi data dalam berbagai

cara untuk menghasilkan informasi yang berkualitas, yaitu informasi yang relevan,

akurat dan tepat waktu, yang digunakan untuk keperluan pribadi, bisnis dan

pemerintah dan merupakan informasi yang strategis untuk pengambilan keputusan.

(Tata Sutabri, 2013).

Sistem informasi (SI) adalah sejumlah komponen (manusia, teknologi informasi

dan komunikasi, data/informasi, dan prosedur kerja) dalam suatu keterkaitan yang

terkoordinasi dan dimaksudkan untuk mencapai suatu sasaran atau tujuan, yaitu

menghasilkan informasi yang sesuai dengan kebutuhan opera penggunanya (users).

Menurut Fatta (2007) sistem informasi adalah suatu alat untuk menyajikan informasi

9  

sedemikian rupa sehingga bermanfaat bagi penerimanya.Menurut laudaon dan laudon

(2006 P:7) sistem informasi adalah sejumlah komponen yang saling berkerja sama

untuk mengumpulkan, memproses, menyimpan, dan mendistribusikan informasi

sehingga dapat membantu manajer mengambil keputusan dalam pengkoordinasian,

pengontrolan, penganalisaan, dan penanggulangan masalah dalam suatu perusahaan.

Menurut O’Brein(2005, P.704) teknologi informasi adalah

hardware,software,telekomunikasi,manajemen database, dan teknologi pemrosesam

infomasi lainnya yang digunakan dalam sistem informasi berbasis komputer.

Teknologi informasi merupakan suatu alat yang dapat menerima, memproses,

menyimpan dan mengeluarkan hasil digital, yakni dari bagian-bagian pembangunan

yang digunakan untuk membuat sistem informasi.

Menurut Thompson dan Baril (2003,P3), teknonologi informasi adalah preangkat

keras dan perangkat lunak yang dikemas sebagai suatu alat untuk

menangkap,menyimpan,memproses dan menghasilkan digital. Adapun pendapat

Turban, Rainer, dan Porter (2003,P3) teknologi informasi adalah kumpulan dari

komponen teknologi individu yang secara khusus diatur dalam komputer berbasis

sistem informasi.Menurut Haag, Cummings, dan Mc Cubbrey(2005,P14) Teknologi

informasi adalah komputer apa saja yang diberbasiskan parangkat yang digunakan

oleh orang (People) untuk bekerja dengan informasi dan mendukung informasi dan

kebutuhan proses informasi dari sebuah organisasi.

Jadi, teknologi informasi atau yang biasa disingkat oleh TI dapat disimpulkan

sebagai alat yang mendukung aktifitas dari sebuah sistem informasi.Tujuannya adalah

untuk menyajikan informasi guna pengambilan keputusan pada perencanaan,

pemrakarsaan, pengorganisasian, pengendalian kegiatan, operasi suatu perusahaan

yang menyajikan sinergi organisasi pada proses.Adapun definisi sistem informasi

10  

menurut Whitten, Jeffery L., Bentley, Lonnie D., Dittman, Kevin C. (2004, p.12)

adalah suatu tatanan dari data, proses dan teknologi informasi yang saling berinteraksi

untuk mengumpulkan, memproses, menyimpan dan menyediakan suatu output

informasi yang dibutuhkan untuk mendukung kinerja suatu perusahaan.

Jadi pengertian TIK adalah perangkat yang berupa perangkat keras, perangkat

lunak dan jaringan informasi yang mendukung pengolahan data dalam sistem

informasi. Adapun SI adalah suatu alat yang digunakan untuk mengolah data menjadi

suatu informasi yang berguna untuk suatu organisasi.

2.1.2 Komponen Sistem Informasi/Teknologi Informasi

Menurut Haag, Cumming, dan Mc Cubbrey (2005, P15), ada dua kategori

dasar dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan

fisik yang menyusun sebuah komputer (sering dikenal sebagai sistem komputer).

Software adalah kumpulan instruksi-instruksi yang menjalankan hardware untuk

menyelesaikan suatu tugas tertentu.

1. Hardware

Menurut O’Brein (2005),Hardwareadalahmesindan media;perlengkapan

fisik,kebalikandariprogramkomputeratau metodepenggunaan;

peralatanmekanis,magnetis,elektrik,elektronik, atauoptikal.

Hardware dibagi menjadi 6 kategori antara lain:

a. Input device

Inputdevicemerupakanperalatanyangdigunakan untukmemasukan

informasi danperintahyangmisalnya keyboard, mouse,touchscreen,

gamecontroller,danbarcodereader.

b. Output device

11  

Outputdeviceadalahperalatanyangdigunakan untukmelihat,

mendengar, atausebaliknyamengenalihasildaripermintaan proses

informasi yangterdiridariprinter,monitor, danspeaker. Storagedevice

adalah peralatan yang digunakan untuk menyimpan informasi yang

digunakandilainwaktu misalnyaharddisk,flashmemorycard,dan DVD.

c. CPU

CPUadalah hardwareyangmengartikandanmenjalankansistemdan

instruksi-instruksiaplikasisoftwaredanmengaturpengoperasian dari

keseluruhanhardware.

d. RAM

RAM adalah sebuah kawasansementarauntukinformasiyang

bekerjasepertihalnyasistem,daninstruksi aplikasisoftware yang

dibutuhkanolehCPU sekarangini.

e. Telecommunications device

Telecommunications deviceperalatan yang digunakan untuk

mengirimdanmenerimainformasidariorangataukomputerlaindalam

satujaringan,contohnyamodem

f. Connecting divice

Connecting device merupakan peralatan yang digunakan untuk

menghubungkan device dengan komputer, contohnya

terminalparalelyang

menghubungkanprinter,kabelpenghubungyangmenghubungkanprinte

r keterminalparalel.

2. Sofware

12  

Ada dua tipesoftware,yaituaplikasidansistem. Aplikasi

memungkinkanpenyelesaianmasalah-masalah spesifik ataumenampilkan

tugas-tugasspesifik sedangkan sistemmenangani tugas-tugasspesifik

untukmengelolateknologidanmengaturinteraksidari

keseluruhanperalatanteknologi.Sistem operasiadalahsoftwaresistemyang

mengendalikan softwareaplikasidanmengelolaperalatan hardware dan

aplikasibekerjabersama-sama.

3. Prosedur, yaitu sekumpulan aturan yang dipakai untuk mewujudkan

pemrosesan data dan pembakitan keluaran yang dikehendaki.

4. Orang, yakni semua pihak yang bertangguna jawab dalam pengembangan

sistem informasi, pemrosesan, dan penggunaan keluaran sistem informasi.

5. Basis Data (database), yaitu kunpulan data/ informasi berwujud tabel,

sifat hubungan antar table (entityrelationship), dan lain-lain yang

berkaitan dengan penyimpanan data.

Jaringan komputer dan komunikasi data, yaitu sistem penghubung yang

memungkinkan sumber (resources) dipakai secara bersama atau diakses oleh

sejumlah pemakai.

Hardware dibagi menjadi 6 kategori, yaitu :

1. Input device

2. Output device

3. Storage device

4. Cpu dan RAM

5. Telecomunications device

6. Connecting device.

13  

Input device adalah peralatan yang digunakan untuk memasukkan informasi

dan perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan

bar coce reader.

Output device adalah peralatan yang digunakan untuk melihat, mendengar,

atau sebalikanya mengenali hasil dari permintaan proses informasi yang terdiri dari

dari printer, monitor dan speaker.

Storage service adalah peralatan yang digunakan untuk menyimpan informasi

yang digunakan dilain waktu terdiri atas hard disk, flash, memory card, dan dvd.

CPU adalah hardware yang mengartikan dan menjalankan sistem dan istruksi-

instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware.

RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya

sistem dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini.

Telecommunication device adalah peralatan untuk mengirim informasi dan

menerima informasi dan menerima informasi dari orang atau kompter lain dalam satu

jaringan contohnya modem.Adapun connecting hardware termasuk hal-hal seperti

terminal paralel yang menghubungkan printer, kabel dan peralatan penghubung

internal yang sebagian besar termasuk alat pengantar untuk perjalanan informasi dari

satu bagian hardware kebagian lainnya.

Ada 2 tipe utama software, yaitu application dan system. Application software

yang memungkinkan untuk menyelesaikan masalah-masalah spesifik atau

menampilkan tugas-tugas spesifik. System software yaitu menangani tugas-tugas

spesifik untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan

14  

teknologi. Didalam system software ditemukan operating system software dan utility

software.

Operating system software adalah software sistem yang mengendalikan

software aplikasi dan mengelola bagaiamana peralatan hardware bekerja sama.

Sedangkan utility software adalah software yang menyediakan tambahan

fungsionalitas untuk mengoperasikan sistem software, seperti antivirus software,

screen saver, disk optimization software.

2.1.3 IT Governance

Grembergen,Win Van (2004 p188)IT Governance merupakan suatu struktur

dan proses yang saling berhubunganserta mengarahkan dan mengendalikan

organisasi dalam pencapaian tujuanorganisasi melalui nilai tambah dan

menyeimbangkan antara risiko dan manfaatdari teknologi informasi serta

prosesnya.IT Governance memastikan adanya pengukuran yang efisien dan efektif

terhadappeningkatan proses bisnis organisasi melalui struktur yang mentautkan

prosesprosesTI, sumber daya TI dan informasi ke arah dan strategi organisasi. Dapat

dikatakan bahwa IT Governance memadukan dan melembagakan best practice dari

proses perencanaan, pengelolaan, pemilikan, dan penerapan, pelaksanaan

danpendukung, serta pengawasan kinerja TI untuk memastikan informasi

organisasidan teknologi yang terkait lainnya benar-benar menjadi pendukung

bagipencapaian sasaran organisasi.

Oleh karenanya IT Governance harus dipastikan bahwa performa TI yang diatur

penggunaannya harus sesuai dengan tujuan berikut ini :

1. Keselarasan TI dengan organisasi dan realisasi keuntungan-keuntungan

yang dijanjikan dari penerapan TI.

15  

2. Penggunaan TI agar memungkinkan organisasi mengeksploitasi

kesempatan yang ada dan memaksimalkan keuntungan.

3. Penggunaan sumber daya TI yang bertanggung jawab.

4. Penanganan manajemen risiko berkaitan dengan TI secara tepat.

Dari keterpaduan tersebut diharapkan organisasi dapat memastikan kalau

informasi organisasi dan teknologi yang terkait lainnya benar-benar menjadi

pendukung bagi pencapaian sasaran organisasi melaui perencanaan dan

pengorganisasian TI, pembangunan dan pengimplementasian, deliver dan support,

serta memonitor dan evaluasi kinerja TI untuk dengan adanya IT Governance proses

bisnis di organisasi akan menjadi jauh lebih transparan , dimana tanggung jawab dan

akuntabilitas setiap fungsi dan individu juga semakin jelas.

2.2 Risiko Teknologi Informasi

2.2.1Jenis-jenis Risiko Teknologi Informasi

Menurut Hughes (2006, p. 36), penggunaan teknologi informasi dapat

mengandung berbagai risiko, antara lain risiko terhadap kehilangan informasi dan

pemulihannya yang tercakup dalam 6 kategori, yaitu:

1. Keamanan

Risiko yang informasinya diubah atau digunakan oleh orang yang tidak

berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan

terorisme cyber.

2. Ketersediaan

Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena

kesalahan manusia (humanerror), Perusahaan konfigurasi, dan kurangnya

pengurangan arsitektur.

3. Daya pulih

16  

Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu

yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras,

ancaman eksternal, atau bencana alam.

4. Performa/ Kinerja

Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh

arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi

teknologi yang beragam.

5. Daya skala

Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk

arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan

biaya bisnis secara efektif.

6. Ketaatan

Risiko yang manajemen atau penggunaan informasinya melanggar keperluan

dari pihak pengatur. Yang dipersalahkan dalam hal ini mencakup aturan

pemerintah, panduan pengaturan perusahaan dan kebijakan internal.

Sedangkan menurut Jordan dan Silcock (2005, p. 49), risik-risiko teknologi

didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga

melakukan kesalahan, tetapi konsekuensinya dapat berakibat negative bagi bisnis.

Kelas-kelas risiko tersebut terdiri dari : Projects-failing to deliver, IT service

continuity-when business operations go off the air, Information assets – failing to

project and preserve, Service providers and vendors-breaks in the IT value chain,

Applications – flaky systems, Infrastructure – shaky foundations, Strategic and

emergent-disabled by IT.

Dalam segi pandang yang lain, risiko-risiko juga dapat dibedakan menurut

kelas-kelas risiko, sebagai berikut:

17  

1. Projects-failing to deliver

Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari

gagalnya penyampaian proyek adalah: menyelesaikan proyek yang ada telat/tidak

pada waktunya, sumber daya dan biaya yang dikonsumsi dalam penyelesaian

proyek besar sehingga tidak efisien, menganggu proses bisnis selama proses

implementasi, dan juga fungsi dari proyek tidak sesuai dengan keinginan dari

yang diharapkan user.

2. IT service continuity-when business operations go off the air

Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman dan tidak

dapat diandalkan sehingga menganggu proses bisnis yang sedang berjalan.

Biasanya behubungan dengan sistem operasional dan produksi perusahaan serta

kemampuan mereka untuk menyediakan kebutuhan dari user.

3. Information assets – failing to project and preserve

Risiko ini berhubungan khusus dengan kerusakan, kehilangan, dan eksploitasi

asset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi

perusahaan. Contohnya informasi yang penting bisa dicuri oleh perusahaan

kompetitor, detail dari kartu kredit dapat dilihat oleh pihak yang tidak berwenang,

sehingga dengan demikian akan merusak hubungan antara pelanggan dengan

perusahaan. Ini tentunya akan sangat merugikan perusahaan.

4. Service providers and vendors – breaks in the IT value chain

Risiko ini berhubungan dengan kemampuan dari provider dan vendor. Bila

merekagagal dalam menyediakan pelayanan yang baik bagi kita, maka akan

berdampak segnifikan bagi sistem IT perusahaan. Dampak lainnya berhubungan

dengan dampak jangka panjang seperti kekurangan dalam penyediaan layanan TI

bagi user perusahaan tersebut.

18  

5. Applications – flaky systems

Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi

biasanya berinteraksi dengan user dan dalam suatu perusahaan biasanya terdapat

kombinasi antara software paket dan software buatan yang diintegrasikan menjadi

satu.

6. Infrastructure – shaky foundations

Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI.

Infrastrukturadalah suatu nama yang umum bagi komputer maupun jaringan

yang sedang dipakai dan berjalan di perusahaan tersebut. Didalam infrastruktur

juga termasuk software, seperti sistem operasi dan sistem database management.

Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu komponen

terbakar, dicuri, rusak maupun koneksi jaringannya sedang putus, maka dampak

dari kegagalan tersebut tergantung dari ketahanan sistem yang ada. Apabila

terdapat sitem yang sudah tidak cocok dengan model yang baru, maka sistem

tersebut perlu diganti. Apabila risiko ini dapat ditangani secara rutin, maka itu

merupakan suatu perencanaan jangka panjang yang baik.

7. Strategic and emergent-disabled by IT

Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan strategi

bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat

signifikan dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan

dari perusahaan untuk terus bergerak maju kearah visi strategi. Untuk tetap

kompetitif diperlukan kemajuan TI untuk dipahami dan dicocokan potensi

kesempatan eksploitasi bagi bisnis.

19  

2.2.2 IdentifikasiRisiko dan Analisis Risiko

Identifikasi risiko adalah proses memahami potensi risiko yang dapat merusak atau

mempengaruhi operasional SI/TIK. Identifikasi risiko sangat berguna dalam manajemen

risiko, karena itu semua potensi risiko perlu diidentifikasi seteliti mungkin yang akan

membantu dalam penilaian manajemen risiko itu sendiri (Schwalbe, 2010). Identifikasi

risiko digunakan untuk menentukan risiko yang mempengaruhi SI/TIK dan

mendokumentasikan karakteristik dari risiko tersebut baik itu kemungkinan penyebab,

tanggapan, dan hal lainnya. Identifikasi risiko harus dilakukan dengan suatu metode untuk

memastikan bahwa semua kegiatan yang signifikan dalam organisasi telah diidentifikasi dan

semua risiko yang terjadi berjalan sesuai alur. Semua hal yang berkaitan dengan kegiatan ini

harus diidentifikasi dan dikelompokkan (PMI, 2008)

Gambar12.1.Perencanaan Management Risiko : Input, tools & technique, dan output (PMI, 2008)

Analisis risiko merupakan pengukuran risiko dengan cara melihat potensi risiko yang akan

terjadi dalam bentuk seberapa besar risiko dan seberapa besar kemungkinan terjadi risiko. Ada risiko

yang mudah untuk diukur dan ada juga risiko yang susah untuk diukur, ada yang berdampak besar dan

20  

ada juga yang berdampak kecil.Analisis risiko dimulai dengan studi rinci dari isu-isu risiko yang telah

diidentifikasi dan disetujui oleh pembuat keputusan untuk evaluasi lebih lanjut, tujuannya adalah

untuk mengumpulkan informasi yang cukup mengenai isu-isu risiko untuk menilai kemungkinan

terjadi, biaya dan konsekuensi teknis jika risiko terjadi (Kerzner, 2006)

Analisis risiko seringkali didasarkan pada informasi rinci yang mungkin berasal dari berbagai

teknik, misalnya (Kerzner, 2006) :

1. Analisis rencana dan dokumen terkait

2. Data dari teknik atau model lainnya

3. Pengalaman dan wawancara

4. Masukan analisis alternative

5. Spesialis dan penilaian ahli

Analisis risiko berguna untuk mengukur dampak dari ancaman-anacaman yang berpotensi

terhadap sistem aplikasi yang dibangun dan tentu saja akan dapat mempengaruhi

pengambilan keputusan dan langkah selanjutnya.

Analisis risiko kualitatif termasuk metode untuk memprioritaskan risiko yang

teridentifikasi, sebagai bentuk tindakan lebih lanjut, seperti analisis risiko kuantitatif atau

perencanaan tanggapan risiko. Organisasi dapat meningkatkan kinerja proses secara efektif

dengan berfokus pada prioritas risiko yang tinggi. Analisis Risiko kualitatif menilai prioritas

risiko diidentifikasi menggunakan probabilitas yang terjadi, dampak yang sesuai pada tujuan

proyek jika risiko terjadi, serta faktor-faktor lain seperti waktu dan toleransi risiko proyek

dalam kendala-kendala biaya, jadwal, lingkup dan kualitas (PMI, 2013, p.328)

21  

Gambar22..2. Perencanaan Management Risiko : Input, tools & technique, dan output (PMI, 2008)

Gambar32.3. Probability and Impact Matrix

(PMI, 2008)  

Seperti diilustrasikan dalam gambar 2.3. sebuah organisasi dapat menilai risiko secara

terpisah untuk masing-masing tujuan (misalnya biaya, waktu, dan ruang lingkup). Selain itu,

mungkin mengembangkan cara untuk menentukan satu keseluruhan rating untuk setiap

resiko. Akhirnya, peluang dan ancaman yang ditangani dalam matriks yang sama dengan

menggunakan definisi dari berbagai tingkat dampak yang sesuai untuk masing-masing.

Analisis risiko kuantitatif dilakukan pada risiko yang telak diprioritaskan oleh proses

analisis risiko kualitatif sebagai potensi dan substansial yang berdampak pada kemampuan

proyek untuk bersaing. Proses analisis risiko yang kuantitatif menganalisis dampak peristiwa

22  

risiko tersebut dan memberikan nilai angka untuk risiko tersebut, hal ini akan menyajikan

pendekatan kuantitatif untuk membuat keputusan di hadapan ketidakpastian (PMI, 2013,

p.333)

Gambar42.4. Identifikasi Risiko : Input, Tools & Techniques, Outputs (PMI, 2008)

2.2.3 Perencanaan Tanggapan Risiko

Setelah mengidentifikasi dan mengukur risiko, diputuskan cara menanggapi risiko

tersebut. Risiko yang telah diidentifikasi dan dianalisis terbagi atas dua kategori, yaitu negatif

dan positif sehingga diperlukan penanganan yang berberda untuk risiko yang ditimbulkan.

Risiko yang negatif dihindarkan sedangkan risiko yang positif diusahakan secara maksimal.

Empat strategi utama untuk risiko negatif (Schwalbe, 2007, p. 475):

A. Menghindari risiko: penghilangan suatu ancaman tertentu, biasanya menghindari

risiko tersebut dilakukan dengan menghilangkan penyebabnya. Tentu saja, tidak

semua risiko dapat dihilangkan, namun peristiwa risiko yang spesifik dapat

dihilangkan. Sebagai contoh, sebuah tim proyek mungkin memutuskan untuk terus

menggunakan bagian tertentu dari suatu perangkat keras atau perangkat lunak pada

sebuah proyek karena mereka mengetahui hal tersebut dapat digunakan. Produk lain

yang dapat digunakan pada proyek tersebut mungkin saja tersedia, tapi jika tim

proyek belum terbiasa dengan produk lain tersebut, produk itu dapat menimbulkan

23  

risiko yang signifikan. Dengan menggunakan perangkat keras atau perangkat lunak

yang sudah biasa dapat menghilangkan risiko ini.

B. Menerima risiko: menerima konsekuensi suatu risiko yang harus terjadi. Sebagai

contoh, sebuah tim proyek merencanakan pertemuan kajian proyek besar untuk dapat

mengambil risiko dengan pendekatan aktif yang menggunakan rencana cadangan jika

mereka tidak bisa mendapatkan persetujuan yang spesifik dalam pertemuan tersebut.

Di sisi lain, mereka bisa mengambil pendekatan yang pasif dan menerima fasilitas

apapun dari organisasi yang menyediakan fasilitas untuk mereka.

C. Transfer risiko: risiko dan tanggung jawab diberikan kepada pihak ketiga. Sebagai

contoh, transfer risiko sering digunakan dalam berurusan dengan risiko finansial.

Sebuah tim proyek mungkin membeli asuransi khusus atau jaminan asuransi

perlindungan untuk perangkat keras yang dibutuhkan pada proyek tersebut. Jika

perangkat keras tersebut gagal, maka pihak asuransi harus menggantinya dalam waktu

yang telah disepakati pada jangka waktu tertentu.

D. Mitigasi risiko: mengurangi dampak peristiwa risiko dengan mengurangi probabilitas

dari terjadinya suatu peristiwa. Contoh dari mitigasi risiko termasuk penggunaan

teknologi yang telah terbukti. Menggunakan staf proyek yang kompeten, dengan

menggunakan berbagai teknik analisis dan teknik validasi, dan pembelian

pemeliharaan atau perjanjuan pelayanan dari subkontraktor yang sudah

berpengalaman dan telah terbukti.

Empat strategi utama untuk risiko positif (Schwalbe, 2007, p. 475):

A. Eksploitasi risiko: melakukan apapun yang dapat dilakukan untuk memastikan

terjadinya risiko positif. Misalnya, perusahaan Cliff mendanai suatu proyek untuk

menyediakan sebuah ruang kelas komputer baru untuk sekolah terdekat yang

membutuhkan. Manajer SI/TIK tersebut dapat mengatur liputan berita dari proyek itu,

24  

menulis pers release, atau mengadakan beberapa acara publik lainnya untuk

memastikan proyek tersebut dapat menghasilkan berita yang baik bagi perusahaan,

yang dapat menyebabkan keuntungan bagi bisnis perusahaan.

B. Membagi risiko: mengalokasikan kepemilikan risiko kepada pihak lain. Dengan

menggunakan contoh yang sama yaitu membuat ruang kelas komputer manajer

proyek dapat membentuk hubungan kemitraan dengan kepala dewan sekolah, atau

orang tua serta organisasi guru untuk berbagi tanggung jawab untuk mencapai sesuatu

yang baik bagi proyek tersebut. Atau, perusahaan setuju untuk dapat bekerja sama

dengan perusahaan pelatihan lokal dalam memberikan pelatihan gratis bagi semua

guru mengenai cara penggunaan komputer untuk kelas baru.

C. Menambah risiko: mengubah ukuran peluang dengan mengidentifikasi dan

memaksimalkan pemicu utama risiko positif. Sebagai contoh, sebuah pemicu penting

untuk mendapatkan berita yang baik untuk proyek kelas komputer dalam memperoleh

siswa, orang tua, dan guru pun ikut antusias mendukung proyek tersebut, kemudian

mereka dapat membuat iklan formal yang ingin mereka lakukan maupun iklan

informal dari proyek tersebut dan perusahaan Cliff yang pada gilirannya mungkin

menarik kelompok-kelompok lain dan dapat menghasilkan lebih banyak keuntungan

untuk bisnis mereka.

D. Menerima risiko: berlakuk untuk risiko positif ketika tim proyek tidak dapat atau

memilih untuk tidak mengambil tindakan terhadap risiko. Sebagai contoh, manajer

proyek kelas komputer mungkin hanya berasumsi proyek akan menghasilkan

hubungan yang baik untuk perusahaan mereka, baik bila mereka melakukan atau

tanpa melakukan apa-apa.

25  

2.2.4 Pengendalian Internal

Pengendalian internal (control internal) adalah seluruh mekanisme yang dirancang

dan diimplementasikan untuk mencegah, mendeteksi, dan koreksi terhadap kesalahan

dan penyalahgunaan. Menurut Jordan, Ernie & Luke Silcock(2005p:45)

InternalControl adalah merupakan suatu sistem yang terdiri dariberbagai macam

unsur dengan tujuan untuk melindungi harta benda, meneliti ketetapan dan seberapa

jauh dapat dipercayai, dan mendorong efisien operasi dan menunjang dipatuhinya

kebijaksanaan Pimpinan.Adapun menurutnya, tujuan dari Internal Control ini adalah :

1. Menjaga keamanan aset milik perusahaan.

2. Memeriksa ketelitian dan kebenaran data.

3. Meningkatkan efisiensi operasional perusahaan.

4. Membantu untuk menjaga kebijaksanaan manajemen yang telah ditetapkan

dapat dilakukan.

Kontrol intern dibangun untuk menyediakan landasan yang dapat mendukung

pencapaian tujuan bisnis organisasi dan pencegahan risiko yang tidak diinginkan.

Pengendalian intern dirancang untuk sistem berbasis teknologi informasi yang baik

harus mempunyai kontrol yang mencakup:

a. Kontrol intern akuntansi pada kegiatan akuntansi atau pembukuan, tujuannya

adalah melindungi aset atau menjaga keandalan catatan keuangan.

b. Kontrol operasi yang ditujukan oleh operasi sehari-hari, fungsi dan aktivitas

serta menjamin aktivitas yang dilakuakan sesuai dengan tujuan.

c. Kontol administrasi yang memperhatikan efisiensi operasi dalam area fungsi-

onal dan ketaatan terhadap kebijakan manajemen.

26  

Terdapat beberapa framework/model yang dapat digunakan sebagai referensi, yaitu:

COSO, COBIT, SAC, dan sebagainya. Referensi adalah acuan yang dapat kita pakai sebagai

dasar pemikiran perancangan/desain sistem pengendalian intern pada suatu organisasi. Model

COSO lebih bersifat generic (umum) dan hampir dapat dikatakan rancangan dasar framework

yang lain mengacu kepadanya (tidak heran karena COSO beranggotakan berbagai organisasi

profesi: AAA, AICPA, IIA, IMA, dan FEI).

COSO framework memang merupakan international generalized internal control model

yang paling banyak dikenal, padahal sebetulnya terdapat berbagai model lain yang dirancang

dengan ruang-lingkup semacam itu. Beberapa model lain, misalnya ialah:

A. United Kingdom’s Cadbury commission (Cadbury)

Model pengendalian yang disusun di Inggris ini mirip dengan model COSO, tujuannya

mendorong efektivitas dan efisiensi operasional, pelaporan yang handal, serta kepatuhan

pada kebijakanorganisasidanperaturan (hukum) yang berlaku. Model ini mencakup aspek

keuangan maupun operasi perusahaan.

B. The Canadian Criteria of Control committee (CoCo)

Model CoCo juga hampir mirip dengan COSO, tetapi lebih kompleks (rumit), mencakup

juga riskmanagement dan managementobjectives.

C. South Africa’s King Report

D. France’sVienotReport

Internalcontrol penting dalam rangka goodcorporategovernance, tetapi mungkin itu

saja tidak cukup. Perusahaan membutuhkan imagetoimprovepublicconfidence dalam

menggunakan produk atau jasanya. Karena itu selain model pengendalian intern tersebut,

terdapat pula qualitycontrolstandards yang dapat juga dijadikan sebagai acuan dalam

27  

pengelolaan organisasi yang sudah mempertimbangkan aspek-aspek risiko dan antisipasi

demi kehandalan sistem atau dalam rangka goodcorporategovernance:

1. ISO 9000

The International standard Organization telah merancang standar teknis engineering

untuk kualitas produk sejak 1947. Pada tahun 1987 ISO memperkenalkan ISO 9000

(terdiri dari ISO 9001, 9002, 9003), yang merupakan qualityassurancemodel dan

perusahaan dapat meminta sertifikasi salah satunya. Perusahaan yang mendapat sertifikasi

ISO 9000 tidak berarti terjamin mutu produknya atau pasti prosesnya berjalan baik,

melainkan sertifikasi ini hanya menunjukkan kepatuhan perusahaan terhadap prosedur

yang ditetapkan sehingga dengan sendirinya diharapkan meningkatkan proses yang

dijalankannya. Dengan sertifikasi tersebut perusahaan harus mendokumentasikan

prosesnya dalam standardoperatingprocedures (SOP) sesuai aturan yang ditetapkan.

Selain itu motivasi yang mendorong perusahaan mengikuti sertifikasi adalah harapan

adanya bestpractices yang dapat diikuti.

2. Six Sigma

Kalau ISO lebih menekankan pada SOP dan kepatuhan terhadap aturan prosedur tersebut,

six sigma lebih menekankan pada standardisasi pendekatan-pendekatan yang

memungkinkan prosesnya itu sendiri ditingkatkan. Dalam konsepnya dibuat peta SIPOC

(suppliers, inputs, process, output, dan customers). Karena tujuan metoda six sigma ini

pada peningkatan mutu proses, maka hingga kini sudah banyak perusahaan yang

mengadopsinya. Salah satu contoh successstory adalah General Electric, yang mengklaim

memperoleh manfaat peningkatan kualitas proses (sistem) yang menyebabkan

keuntungan keuangan (costsavoidance, peningkatan revenue, productioncost menurun),

manfaat organisasional, dan operasional.

28  

2.2.5 ReferensiSistem Kontrol Internal

A. COBIT Framework

Alat yang komprehensif untuk menciptakan adanya IT Governance di

organisasi adalah penggunaan Cobit (Control Objectives For Information And Related

Technology) yang mempertemukan kebutuhan beragam manajemen dengan

menjembatani celah antara risiko bisnis, kebutuhan kontrol, dan masalah-masalah

teknis TI. Cobit menyediakan referensi best business practice yang mencakup

keseluruhan proses bisnis organisasi dan memaparkannya dalam struktur aktivitas-

aktivitas logis yang dapat dikelola dan dikendalikan secara efektif.

Tujuan utama Cobit adalah memberikan kebijaksanaan yang jelas dan latihan

yang bagus bagi IT Governance bagi organisasi di seluruh dunia untuk membantu

manajemen senior untuk memahami dan mengatur risiko–risiko yang berhubungan

dengan TI. Cobit melakukannya dengan menyediakan kerangka kerja IT Governance

dan petunjuk kontrol obyektif yang rinci bagi manajemen, pemilik proses bisnis,

pemakai dan auditor.

COBIT (Control Objectives For Information And Related Technology) adalah

Kerangka IT Governance yang ditujukan kepada manajemen, staf pelayanan TI,

control departement, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis

(business process owner’s), untuk memastikan confidenciality, integrity dan

availability data serta informasi sensitif dan kritikal.

Konsep dasar kerangka kerja COBIT adalah bahwa penentuan kendali dalam

TI berdasarkan informasi yang dibutuhkan untuk mendukung tujuan bisnis dan

informasi yang dihasilkan dari gabungan penerapan proses TI dan sumber daya

terkait. Dalam penerapan pengelolaan TI terdapat dua jenis model kendali, yaitu

model kendali bisnis (business controls model) dan model kendali TI (IT

29  

focusedcontrol model), COBIT mencoba untuk menjembatani kesenjangan dari kedua

jenis kendali tersebut. Pada dasarnya kerangka kerja COBIT terdiri dari 3 tingkat

control objectives, yaitu activities dan tasks, process, domains. Activities dan tasks

merupakan kegiatan rutin yang memiliki konsep daur hidup, sedangkan task

merupakan kegiatan yang dilakukan secara terpisah. Selanjutnya kumpulan activity

dan task ini dikelompokan ke dalam proses TI yang memiliki permasalahan

pengelolaan TI yang sama dikelompokan ke dalam domains. Untuk memastikan hasil

yang diperoleh dari proses TI sesuai kebutuhan bisnis, perlu diterapkan kendali-

kendali yang tepat terhadap proses TI tersebut. Hasil yang diperoleh perlu diukur dan

dibandingkan kesesuaiannya dengan kebutuhan bisnis organisasi secara berkala.

Keseluruhan informasi tersebut dihasilkan oleh sebuah TI yang dimiliki organisasi,

dimana didalamnya terdapat sejumlah komponen sumber daya penting, yaitu:

1.Aplikasi, yang merupakan sekumpulan program untuk mengolah

danmenampilkan data maupun informasi yang dimiliki oleh organisasi.

2. Informasi, yang merupakan hasil pengolahan dari data yang merupakan

bahanmentah dari setiap informasi yang dihasilkan, dimana di dalamnya

terkandungfakta dari aktivitas transaksi dan interaksi sehari-hari masing-masing

prosesbisnis yang ada di organisasi.

3. Infrastruktur, yang terdiri dari sejumlah perangkat keras, infrastrukturteknologi

informasi sebagai teknologi pendukung untuk menjalankan portfolioaplikasi yang

ada. Selain itu yang termasuk dalam infrastruktur dapat berupasarana fisik seperti

ruangan dan gedung dimana keseluruhan perangkat sistemdan teknologi

informasi ditempatkan.

4. Manusia, yang merupakan pemakai dan pengelola dari sistem informasi

yangdimiliki.

30  

Pedoman manajemen untuk COBIT, yang terdiri dari model maturity,KGI, dan

KPI, yang kemudian menyediakan manajemen dengan alat untuk menilai dan

mengukur lingkungan TI organisasi terhadap 34 proses TI yang diidentifikasikan

COBIT. Saat ini manajemen TI terkait risiko tersebut dipahami sebagai bagian inti

dari pengaturan organisasi. Pengaturan TI yang merupakan bagian dari pengaturan

organisasi, menjadi lebih dirasakan peranannya dalam mencapai tujuan organisasi.

Menurut Gondodiyoto,(2003) : pendekatan COBIT di rancang terdiri dari 34

high level control objectives yang menggambarkan proses TI yang terdiri dari 4

domain yaitu: Plan and Organise,Acquire and Implement, Deliver and Support dan

Monitor and Evaluate. Berikut kerangka kerja COBIT yang terdiri dari 34 proses TI

yang terbagi ke dalam 4 domain pengelolaan, yaitu:

1. Plan and Organise (PO), mencakup masalah mengidentifikasikan cara terbaik TI

untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuanbisnis

organisasi. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan

strategi TI dengan strategi organisasi. Domain PO terdiri dari 10 control objectives,

yaitu :

PO1 - Define a strategic IT plan.

PO2 – Define the information architechture.

PO3 – Determine technological direction.

PO4 – Define the IT processes, organisation and relationships.

PO5 - Manage the IT investment.

PO6 – Communicate management aims and direction.

PO7 – Manage IT human resource.

PO8 – Manage quality.

PO9 – Asses and manage IT risks.

PO10 – Manage projects.

31  

2. Acquire and Implement (AI), domain ini menitikberatkan pada proses pemilihan,

pengadaaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah

ditetapkan, harus disertai solusi-solusi TI yang sesuai dan solusi TI tersebut

diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis

organisasi. Domain AI terdiri dari 7 control objectives, yaitu :

AI1 – Identify automated solutions.

AI2 – Acquire and maintain application software.

AI3 – Acquire and maintain technology infrastructure.

AI4 – Enable operation and use.

AI5 – Procure IT resources.

AI6 – Manage changes.

AI7 – Install and accredit solutions and changes.

3. Deliver and Support (DS), domain ini menitikberatkan pada proses pelayanan TI

dan dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan

layanan, pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang

sedang berjalan. Domain DS terdiri dari 13 control

objectives, yaitu :

DS1 – Define and manage service levels.

DS2 – Manage third-party services.

DS3 – Manage performance and capacity.

DS4 – Ensure continuous service.

DS5 – Ensure systems security.

DS6 – Identify and allocate costs.

DS7 – Educate and train users.

DS8 – Manage service desk and incidents.

32  

DS9 – Manage the configuration.

DS10 – Manage problems.

DS11 – Manage data.

DS12 – Manage the physical environment.

DS13 – Manage operations.

4. Monitor and Evaluate (ME), domain ini menitikberatkan pada proses pengawasan

pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap

proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini

fokus pada masalah kendali-kendali yang diterapkan dalam organisasi,

pemeriksaan internal dan eksternal. Berikut proses-proses TIpada domain

monitoring and evaluate:

ME1 – Monitor and evaluate IT performance.

ME2 – Monitor and evaluate internal control.

ME3 – Ensure regulatory compliance.

ME4 – Provide IT Governance.

Dengan melakukan kontrol terhadap ke 34 obyektif tersebut, organisasi dapat

memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk

lingkungan TI. Untuk mendukung proses TI tersebut tersedia lagi sekitar 215 tujuan

kontrol yang lebih detil untuk menjamin kelengkapan dan efektifitas implementasi.

Karena COBIT berorientasi bisnis, maka untuk memahami control objectives

dalam rangka mengelola TI yang terkait dengan risiko bisnis dilakukan dengancara:

1. Mulai dengan sasaran bisnis dalam framework.

2. Pilih proses dan kontrol TI yang sesuai untuk enterprise dari control

objectives.

3. Operasikan rencana bisnis.

33  

4. Menilai prosedur dan hasil dengan pedoman audit.

Menilai status organisasi, identifikasi aktivitas yang kritis untuk kesuksesan

dan performansi ukuran dalam mencapai tujuan enterprise dengan pedoman

manajemen. Manajemen sebuah organisasi akan berfungsi secara efektif apabila para

pengambil keputusan selalu ditunjang dengan keberadaan informasi yang berkualitas.

COBIT mendeskripsikan karakteristik informasi yang berkualitas menjadi tujuh aspek

utama, yaitu masing-masing :

1. Effectiveness, dimana informasi yang dihasilkan haruslah relevan dan

dapatmemenuhi kebutuhan dari setiap proses bisnis terkait dan tersedia secara

tepatwaktu, akurat, konsisten dan dapat dengan mudah diakses.

2.Efficiency, dimana informasi dapat diperoleh dan disediakan melalui cara

yang ekonomis, terutama terkait dengan konsumsi sumber daya yang

dialokasikan.

3. Confindentiality, dimana informasi rahasia dan yang bersifat sensitif

harusdapat dilindungi atau dijamin keamanannya, terutama dari pihak-pihak

yangtidak berhak mengetahuinya.

4. Avaibility, dimana informasi haruslah tersedia bilamana dibutuhkan

dengankinerja waktu dan kapabilitas yang diharapkan.

5.Compliancedimana informasi yang dimiliki harus

dapatdipertanggungjawabkan kebenarannya dan mengacu pada hukum

maupunregulasi yang berlaku, termasuk di dalamnya mengikuti standar

nasional atauinternasional yang ada.

6. Reliability, dimana informasi yang dihasilkan haruslah berasal dari

sumberyang dapat dipercaya sehingga tidak menyesatkan para pengambil

keputusanyang menggunakan informasi tersebut.

34  

Gambar 2.6 : Framework Cobit

Sumber : Gondodiyoto,(P88, 2003)

B. COSOFramework

COSO (Committee of Sponsoring Organization) adalah komite yang diorganisir oleh

lima organisasi profesi, yaitu: IIA, AICPA, IMA FEI, dan AAA. Pada Oktober 1987, The

National Commission on Fraudulent Financial Reporting (yang lebih dikenal dengan sebutan

The Treadway Commission Report) menghasilkan kajian yang disebut COSO

framework/model of internalcontrol. COSO mengeluarkan definisi tentang pengendalian

intern pada tahun 1992, dan pada tahun 2002 menyempurnakannya menjadi COSO ERM

(Enterprise Risk Management).

COSO adalah salah satu model kontrol internal yang banyak digunakan. Sistem

pengendalian intern didefinisikan sebagai berikut:

35  

“Internal Control: a process, effected by an entity’s board of directors, manajement,

and other personnel, designed toprovide reasonabel assurance regarding the

achievement of objectives in following categories:

A. Effectiveness and effisiency of operations.

B. Realibility of financial reporting.

C. Compliance with applicable laws and regulations.

Keypoint model COSO adalah:

1. Internal control is process.

2. Internal control is affected by people (board of director, manager, other personnel).

3. Internal Control can be expected to provide only reasonable assurance.

4. Internal Control is geared to the achievement of objectives.

Menurut model COSO, internalcontrol adalah suatu proses, melibatkan seluruh

anggota organisasi, dana memiliki tiga tujuan utama, yaitu: efektivitasdanefisiensioperasi,

mendorong kehandalan laporan keuangan, dan dipatuhinyahukumdanperaturanyangada.

Artinya dengan adanya sistem pengendalian internal, maka diharapkan perusahaan dapat

bekerja atau beropreasi secara efektif dan efisien, penyajian informasi dapat diyakini

kebenarannya dan semua pihak akan mematuhi semua peraturan dan kebijakan yang ada baik

peraturan dan kebijakan perusahaan ataupun aturan (legal/hukum) pemerintah. Dengan

dipatuhinya peraturan dan kebijakan maka penyimpangan dapat dihindari.

Model (framework) COSO terdiri lima komponen (unsur-unsur) yang saling

berhubungan yang akan menunjang pencapaian tujuan perusahaan yaitu :

1. Control Environment (lingkungan pengendalian)

36  

Komponen ini berperan dalam membangun atmosfer (iklim) yang kondusif bagi para

karyawan mengenai kesadaran pentingnya kontrol sehingga dapat menciptakan suasana

yang membuat karyawan menjalankan tugas dan tanggungjawabnya masing-masing.

Controlenvironment merupakan fondasi bagi komponen COSO yang lain. Manajemen

harus paham pentingnya pengendalian intern, memberi contoh, dan memberikan

dukungan, serta menyampaikannya kepada seluruh karyawan.

Sub-componentcontrolenvironment terdiri dari:

a) Filosopi & gaya manajemen (managementphilosophyandoperatingstyle)

b) Komitmen pada kompetensi personel (commitmenttocompetence)

c) Peran direksi, dewan komisaris dan/atau komite audit

(theboardofdirectorsorauditcommitee)

d) Struktur organisasi (organizationalstructure)

e) Pelaksanaan wewenang & tanggungjawab (assignmentofauthorityandresponsibility).

f) Pedoman yang dibuat manajemen bagi personel dalam melaksanakan tugas dan

tanggung jawabnya (humanresourcepoliciesandpractices).

2. Risk Assessment (penaksiran risiko).

Merupakan proses identifikasi dan analisis risiko yang dapat menghambat atau

berhubungan dengan pencapaian tujuan perusahaan, serta menentukan cara bagaimana

risiko tersebut ditangani. COSO mengarahkan kita melakukan identifikasi terhadap risiko

internal maupun eksternal dari aktivitas suatu entity atau individu. Pada tahap

riskassessment terdapat cost-benefitconsideration yang memperhitungkan cost dan

benefit yang akan dihasilkan dari suatu penerapan control. Artinya, jika biaya untuk

pengendalian intern terlalu besar, maka sistem pengendalian intern tersebut sudah tidak

punya makna positif lagi.

37  

3. Control Activities (aktivitas pengendalian)

Merupakan kebijakan dan prosedur yang dirancang untuk memastikan dilaksanakannya

kebijakan manajemen dan bahwa risiko sudah diantisipasi. Controlactivities juga

membantu memastikan bahwa tindakan yang diperlukan untuk penanganan risiko telah

dilakukan sesuai dengan apa yang telah direncanakan, misalnya:

financialperformancereview, rekonsiliasi, systemcontrol, Physicalcontrol, pemisahan

tugas, verifikasi.

Aktivitas Pengendalian menurut COSO terdiri dari tiga kelompok tujuan:

a) Akurasi financialreporting

Aktivitas pengendalian yang ditujukan untuk mendorong akurasi

financialreportingantara lain menyangkut:

1. Pemisahan tugas dan fungsi (segregationofduties)

2. Otorisasi yang memadai (properauthorizationoftransaction)

3. Dokumentasi yang layak (sound design and use of documentation)

4. Pengendalian fisik atas kekayaan dan catatan akuntansi

(adequatesaveguardandsecuritymeasures)

5. Verifikasi independen atau review atas kegiatan/ kinerja (independencechecks on

performance)

b) Performancereview

Aktivitas pengendalian yang ditujukan untuk mendorong kinerja:

1. Performancereview

c) Kehandalan informationprocessing:

Aktivitas pengendalian yang ditujukan untuk mendorong kehandalan

informationprocessing:

38  

1. Generalcontrol (pengendalian umum)

2. Applicationcontrol (pengendalian aplikasi, atau khusus, atau yang terkait

langsung dengan transaksi)

4. Information & Communication (informasi dan komunikasi)

Komponen ini menjelaskan bahwa sistem informasi sangat penting bagi keberhasilan atau

peningkatan mutu operasional organisasi. Informasi, baik yang diperoleh dari eksternal

maupun dari pengolahan internal merupakan potensi strategis (potentialstrategic). Sistem

informasi hendaknya terintegrasi/ terpadu (integratedsystems), dan menjamin kebutuhan

terhadap kualitas data. Sistem Informasi harus dapat memberikan data yang memiliki

karakteristik:

1. Relativetoestablishedobjectives (berhubungan dengan sasaran).

2. Accurateandinsufficientdetail (akurat dan terinci)

3. Understandableandin a usableform (mudah dipahami/ digunakan).

Komunikasimembahas mengenaiperlunyapenyampaian semua hal-hal yang berhubungan

kebijakan pimpinan kepada seluruh anggota organisasi. Semua pegawai harus paham

tentang kondisi perusahaan, kebijakan pimpinan, tentang internalcontrol, competitive,

dan keadaan ekonomi. Kebijakan manajemen harus diinformasikan, harus disampaikan

dengan jelas, dibuat policymanual, tata administrasi (penggunaan surat menyurat, memo,

perintah kerja), standard pelaporan, adanya risiko yang mungkin timbul karena adanya

bidang baru, perubahan sistem, atau teknologi baru, perkembangan pesat organisasi/

entitas, aspek-aspek hukum yang harus diperhatikan, sebagainya. Segala sesuatunya harus

dikomunikasikan kepada berbagai pihak dan seluruh personil.

Contoh communication: kewajiban dan tanggung jawab karyawan terhadap pengendalian

harus dikomunikasikan dengan jelas, tertulis.

39  

5. Monitoring (pemantauan)

Komponen pemantauan atau pengawasan dijelaskan dalam COSO untuk memastikan

kehandalam sistem dan internalcontrol dari waktu ke waktu. Monitoring merupakan

proses yang menilai kualitas dari kinerja sistem dan internalcontrol dari waktu ke waktu,

yang dilakukan dengan melakukan aktivitas monitoring dan melakukan evaluasi secara

terpisah. Pada hakekatnya terdapat dua mekanisme pemantauan, yaitu: (a) yang bersifat

on-goingmonitoringactivities, yaitu pengawasan yang langsung dilakukan oleh masing-

masing atasan pihak yang bersangkutan berdasarkan jenjang hirarki jabatan, dan (b) a

separatemonitoringactivities, yaitu pengawasan yang dilakukan oleh fungsi audit. Pada

masa Orde Baru kedua jenis pengawasan itu sering disebut dengan istilah pengawasan

melekat (oleh atasan) dan pengawasan fungsional.

 

 

 

 

 

 

 

 

 

 

 

 

   

  Information and communication component connenctions

40  

Definition Internal control is

a management process

Categories Effectiveness Reliable financial Compliance with

and efficiency reporting laws and regulations

of operations

Objectives Various business, Reliable financial Compliance with

company specific annual and interim ones that apply

report (e.g., GAAP) to the company

Components Control environment Control environment Control environment

Risk Assessment Risk assessment Risk assessment

Control activities Control activities Control activities

Monitoring Monitoring Monitoring

Information and Information and Information and

Communication Communication Communication

Gambar 2.6: COSO FrameworkofInternalcontrol

Sumber: Gangemi (2003, p.73)

Unsur-unsur sistem pengendalian intern sangat penting karena sistem mempunyai

beberapa unsur dan sifat-sifat tertentu yang dapat meningkatkan kemungkinan dapat

dipercayainya data-data akuntansi serta tindakan pengamanan terhadap aktiva dan catatan

Objectivescategories

41  

perusahaan. Setiap unsur mempunyai kaitan langsung dengan tujuan pengendalian internal

serta langkah-langkah yang dapat ditempuh perusahaan untuk memenuhinya. Unsur paling

penting dari sistem pengendalian internal terletak pada para pelaksananya, yaitu karyawan

yang kompeten dan dapat dipercaya. Orang-orang yang jujur dan bekerja secara efisien selalu

mampu untuk bekerja dengan segala kesungguhan, meskipun hanya didukung oleh sedikit

unsur pengendalian lainnya, dan meskipun kelima unsur pengendalian lain tersebut begitu

kuat, akan tetapi orang-orang yang tidak berkompeten dan tidak jujur akan dengan mudah

membuat sistem menjadi berantakan. Memang, mempekerjakan para pelaksana yang

kompeten dan dapat dipercaya tidak dengan sendirinya akan memenuhi syarat untuk

membuat sistem memadai. Setiap orang mempunyai sejumlah kekurangan lahiriah sesuai

dengan kodratnya, misalnya rasa bosan atau kecewa, dan persoalan-persoalan pribadi yang

dapat mempengaruhi pelaksanaan kerjanya, atau tujuan hidupnya mungkin berubah.

Dari sudut kepentingan audit, mempertimbangkan mengenai kompetensi dan

integritas setiap karyawan selalu mempunyai makna yang penting, meskipun sangat sukar

untuk melakukannya, dan menggunakan sebagai bagian dari evaluasi sistem secara

keseluruhan. Agar sistem dapat berfungsi sebagaimana mestinya dan pekerjaan dapat

diselenggarakan dengan baik harus ditetapkan pertanggung-jawaban untuk melaksanakan

tugas-tugas tertentu bagi orang-orang tertentu pula. Jadi apabila ada tugas yang tidak

dilaksanakan sebagaimana mestinya, dapat diminta pertanggung-jawaban tersebut agar yang

bersangkutan dapat bekerja lebih giat serta hati-hati, dan manajemen dapat lebih mudah

mengawasinya.

2.3. Manajemen Risiko dan Model Manajemen Risiko

42  

Menurut Alberts, C dan Dorofee.A (2004, p. 8), manajemen risiko

adalahproses yang berkelanjutan dalam mengenal risiko dan mengimplementasikan

rencana untuk menunjuk mereka. Adapun menurut Djojosoerdarso (2005,p. 4),

manajemen risiko adalah pelaksanaan fungsi-fungsi manajemen dalam penanggulangan

risiko, terutama risiko yang dihadapi oleh organisasi/perusahaan, keluarga dan

masyarakat. Jadi mencakup kegiatan merencanakan, mengorganisir, menyusun, dan

memimpin, dan mengawasi (termasuk mengevaluasi) program penanggulangan risiko.

Jadi manajemen risiko adalah suatu proses identifikasi, mengatur risiko,serta

membentuk strategi untuk mengelolanya melalui sumber daya yang tersedia. Strategi

yang dapat digunakan antara lain mentransfer risiko pada pihak lain, menghindari

risiko, mengurangi efek buruk dari risiko, dan menerima sebagian maupun seluruh

konsekuensi dari risiko tertentu.

Program manajemen risiko dengan demikian mencakup tugas-tugas, seperti

(1) Mengidentifikasi risiko-risiko yang dihadapi; (2) Mengukur atau menentukan

besarnya risiko tersebut; (3) Mencari jalan untuk menghadapi atau menanggulangi

risiko; (4) Menyusun strategi untuk memperkecil ataupun mengendalikan risiko; (5)

Mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi program

penanggulangan risiko yang telah di buat.

Terdapat berbagai model atau kerangka pemikiran (framework of risk

management), natara lain COSO Enterprise Risk Management (yang merupakan

pengembangan dari COSO Framework of Internal Controls), OCTAVE, NIST, dan

lain-lainnya.

43  

2.3.1 COSO ERM

Menurut Alberts, Christopher and Audrey Dorofee. 2003ERM merupakan suatu

proses yang berpengaruh pada sebuah entitas, jajaran direksi, pihak manajemen, dan

personel lain yang diaplikasikan pada penetapan strategy perusahaan, didisain untuk

mengidentifikasi kejadian yang potensial yang dapat berpengaruh pada entitas, dan

mengelola risiko yang dapat diterima, dan memberikan jaminan keamanan yang

beralasan dalam rangka mencapai tujuan perusahaan.

ERM dapat dikatakan penting karena ERM mendukung terciptanya nilai – nilai

dengan memudahkan manajemen untuk menghadapi kejadian potensial yang

menciptakan ketidakpastian dan untuk memberilan respon yang tepat untuk mengurangi

resiko yang dapat mempengaruhi hasil.

Dalam menciptakan suatu keefektifan dalam ERM maka diperlukan suatu

sistem control internal yang baik.

Fungsi dari framework ERM adalah untuk mendukung terciptanya tujuan –

tujuan, tujuan – tujuan tersebut dikategorikan kedalam 4 kategori :

1. Strategic – tujuan yang paling penting.

2. Operations – penggunaan sumber daya yang efektif dan efisien.

3. Reporting – Kepastian dari laporan.

4. Compliance – Tingkat kepatuhan pada hokum dan peraturan.

Menurut Gondodiyoto,s. (2003). Audit sistem informasi : pendekatan CobitDi

dalam ERM terdapat delapan komponen yang saling berkaitan, komponen tersebut

yaitu :

44  

1. Internal Environment.

ERM membuat philosophy yang berhubungan dengan risk management, baik

untuk kejadian yang diharapkan atau tidak diharapkan yang mungkin dapat

terjadi.

2. Objective setting.

Objective setting ini digunakan pada saat management mempertimbangkan

strategi resiko dalam menetapkan suatu objek.

3. Event Identification.

Mengidentifikasi kejadian – kejadian yang dapat memberikan pengaruh

negatif yang menggambarkan resiko.

4. Risk Assessment.

Menganalisa kemungkinan resiko yang dapat terjadi

5. Risk Response.

Mengidentifikasi dan mengevaluasi bagaimana respon terhadap resiko yang

mungkin terjadi.

6. Control Activities.

Prosedur yang dilakukan untuk memastikan bahwa respon terhadap resiko

dilakukan dengan efektif.

7. Information dan Communication.

Suatu proses mengidentifikasi informasi dan mengkomunikasikannya

sehingga orang – orang mengerti bagaimana tugas dan tanggung jawabnya.

8. Monitoring.

 

2.3.2

m

m

O

P

(O

Efek

seca

OCTAVE

Risk

manajemen k

melaksanakan

OCTAVE ya

ittsburg. Me

Christ

OCTAVEsmC

ktifitas dari

ara terus men

E

assessment

keamanan in

n risk asse

ang dikemba

etode inilah y

topher J. A

Catalog of

komponen

nerus ;Evalu

Gambar 2

Sumber

memegang

nformasi. Ad

essment, sa

angkan oleh

yang akan di

lberts, Audr

f Practices,

ERM dimo

uasi terpisahD

2.7 : Framew

r: Gondodiy

g peranan

da banyak m

atu yang te

Carnegie M

igunakan da

rey J. Doro

Version 2.0

onitor mela

Dan kombin

work ERM

yoto (2007)

penting d

metode yang

erkenal dian

Mellon Softw

alam studi ka

ofee, Julia H

0)mendefinis

lui; Aktifita

nasi dari ked

alam pener

g dapat digu

ntaranya ad

wareEngineer

asus ini.

H. Allen - O

sikan OCTA

4

as monitorin

duanya.

rapan sistem

unakan untu

dalah metod

ring Institut

October 200

TAVE sebag

45 

ng

m

uk

de

te,

01

ai

46  

pendekatan terhadap risiko keamanan informasi evaluasi yang bersifat komprehensif,

sistematis, konteks didorong, dan diarahkan diri.

Pada inti OCTAVE adalah konsep diri-arah, yang berarti bahwa orang-orang

dari sebuah organisasi mengelola dan mengarahkan evaluasi risiko keamanan

informasi untuk organisasi itu. Keamanan informasi adalah tanggung jawab setiap

orang dalam organisasi, bukan hanya departemen IT. Organisasi orang perlu untuk

mengarahkan aktivitas dan membuat keputusan tentang upaya perbaikan keamanan

informasi. OCTAVE mencapai hal ini dengan mendirikan sebuah kecil, tim

interdisipliner ditarik dari personil organisasi itu sendiri, yang disebut tim analisis,

untuk Pemimpin proses evaluasi organisasi.

Pendekatan OCTAVE mendefinisikan informasi risiko keamanan sebagai

praktik manajemen. Kami telah menemukan bahwa cara-cara di mana organisasi

melaksanakan evaluasi risiko keamanan informasi berbeda berdasarkan berbagai faktor

organisasional. OCTAVE diimplementasikan pada sebuah perusahaan multinasional

besar berbeda dari oktaf di sebuah start-up. Namun, beberapa prinsip umum, atribut,

dan output terus di organisasi jenis.

2.3.3 NIST (National Institute of Standard and Technolgy)Special Publication 800-30

NIST (National Institute of Standard and Technology) mengeluarkan

rekomendasi melalui publikasi khusus 800 – 30 tentang Risk Management

Guide for Information Technology System. Terdapat tiga proses pengelolaan

risiko, yaitu:

1. Karakteristik Sistem

47  

Dalam menilai risiko untuk sebuah sistem TI, langkah pertama adalah

untuk menentukan cakupan usaha. Pada tahap ini, batas-batas terhadap

sistem yang diidentifikasi, bersama dengan sumber daya dan informasi

yang merupakan sistem. Karakteristik sebuah sistem TI membentuk

ruang lingkup dari risiko usaha, yang menggambarkan operasional

otorisasi atau akreditasi batas-batas, dan menyediakan informasi

(misalnya, perangkat keras, perangkat lunak, sistem konektivitas, dan

divisi yang bertanggung jawab atau dukungan personil) yang penting

untuk menentukan risiko.

2. Identifikasi Ancaman

Identifikasi ancaman yang mungkin menyerang kelemahan sistem TI.

Sebuah kelemahan atau kerentanan dapat dipicu dari kesengajaan

ataupun ketidaksengajaan, sebuah sumber ancaman tidak akan

menghasilkan sebuah risiko jika tidak ada kelemahan yang dibiarkan.

Dalam mempertimbangkan kemungkinan adanya ancaman, hal yang

tidak boleh diabaikan, yaitu mempertimbangkan sumber ancaman,

potensi kerentanan, dan kontrol yang ada.

3. Identifikasi Kerentanan

Analisis ancaman untuk sebuah sistem TI harus disertai analisis dari

kerentanan yang terkait dengan sistem lingkungan. Tujuan dari

langkah ini adalah untuk mengetahui kekurangan atau kelemahan dari

sistem yang dapat dieksploitasi oleh sumber ancaman.

4. Analisis Pengendalian

48  

Tujuan dari langkah ini adalah menganalisa pengendalian yang telah

dilaksanakan atau direncanakan untuk meminimalkan atau

menghilangkan kemungkinan-kemungkinan ancaman dari kelemahan

atau kekurangan yang ada.

5. Penentuan Kemungkinana/Kecenderungan

Untuk mendapatkan keseluruhan penilaian terhadap kemungkinan atau

kecenderungan yang menunjukan adanya peluang kelemahan yang

dapat dilakukan oleh lingkungan ancaman. Berikut ini faktor-faktor

yang harus dipertimbangkan : (1) Motivasi dan Sumber Ancaman; (2)

Sifat dan Kerentanan; (3) Keberadaan dan Efektifitas Pengendalian

Saat Ini.

Kemungkinan / kecenderungan dari kelemahan potensial yang dapat terjadi,

dideskripsikan dalam tingkatan tinggi, sedang, atau rendah:

Level

Kemungkinan

Definisi kemungkinan/kecenderungan

Tinggi Sumber ancaman yang memiliki motivasi tinggi,

memiliki kemampuan yang cukup, dan

pengendalian untuk mencegah kerentanan yang

mungkin terjadi tidak efektif.

Sedang Sumber ancaman termotivasi dan mampu, tetapi

pengendalian yang ada, dapat menghambat

kerentanan dengan sukses.

49  

Rendah Sumber ancaman kurang termotivasi dan mampu,

atau pengendalian yang ada untuk mencegah atau

setidaknya secara signifikan menghambat

kerentanan yang mungkin terjadi.

Tabel 2.1: Definisi kemungkinan.kecenderungan

A. Analisis Dampak

Menentukan hasil dari dampak paling buruk yang mungkin terjadi dari sebuah

ancaman yang timbul, sebelum memulai analisis dampak, diperlukan informasi

sebagai (1) Sistem Misi (misalnya, proses yang dilakukan oleh sistem TI); (2) Sistem

dan Data Kritikal (misalnya, sistem nilai atau pentingnya untuk sebuah organisasi);

(3) Sistem dan Sensitivitas Data.

Besarnya dampak Definisi dampak

Tinggi Penerapan kerentanan: (1) dapat menghasilkan

kehilangan biaya yang sangat tinggi dari aset

nyata utama atau sumber daya, (2) dapat

menyebabkan pelanggaran, kerugian atau

rintangan dalam misi organisasi, reputasi atau

pendapatan yang signifikan, (3) dapat

menyebabkan kematian atau cedera serius.

Sedang Penerapan kerentanan: (1) dapat menghasilkan

kehilangan biaya yang tinggi dari aset nyata

utama atau sumberdaya, (2) dapat menyebabkan

pelanggaran, kerugian atau rintangan dalam misi

50  

organisasi, reputasi atau pendapatan, (3) dapat

menyebabkan cedera serius.

Rendah Penerapan kerentanan: (1) dapat menghasilkan

kehilangan sebagian aset nyata atau sumberdaya,

(2) dapat mempengaruhi misi, reputasi dan

pendapatan organisasi.

Tabel 2.2: definisi dampak

B. Penentuan Risiko

Tujuan dari langkah ini adalah untuk menilai tingkat risiko bagi sistem TI.

Penentuan tingkat risiko ini merupakan suatu fungsi (1) Kecenderungan suatu sumber

ancaman menyerang vulnerability dari sistem TI; (2) Besarnya dampak yang akan

terjadi jika sumber ancaman sukses menyerang vulnerability dari sistem TI; (3)

Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan

menghilangkan resiko.

C. Rekomendasi Pengendalian

Selama proses ini, pengendalian yang dapat mengurangi atau mengeliminasi

risiko yang diidentifikasi. Tujuan dari rekomendasi pengendalian adalah mengurangi

tingkat risiko bagi sistem TI dan data ketingkat yang dapat diterima oleh organisasi.

Faktor-faktor yang harus dipertimbangkan dalam rekomendasi pengendalian dan

solusi alternative untuk meminimalkan atau mengeliminasi risiko diidentifikasi, yaitu

: keefektifan dari pilihan yang direkomendasikan, perundang-undangan dan peraturan,

kebijakan organisasi, dampak operasional, keselamatan dan kehandalan

D. Dokumentasi

51  

Hasil-hasilSetelah pengukuran risiko selesai (sumber ancaman, dan kerentanan

telah diidentifikasi, penilaian risiko, dan rekomendasi pengendalian tersedia), hasil-

hasil yang ada harus di dokumentasikan dalam laporan resmi.

E. Proses Pengurangan Risiko

Terdapat beberapa strategi dalam melakukan pengurangan risiko, yaitu dengan

menerima risiko (risk assumption), mencegah terjadinya risiko (risk avoidance),

membatasi level resiko (risk limitation), perencanaan risiko (risk plan), penelitian dan

pengakuan (research and acknowledgment), mentransfer risiko (risk transference).

Metodologi pengurangan risiko menggambarkan pendekatan untuk

mengimplementasikan control, yang terdiri dari : memprioritaskan aksi, evaluasi

terhadap kontrol yang direkomendasikan, melakukan Cost-Benefit Analysis, memilih

control, memberikan tanggung jawab, mengembangkan rencana implementasi

perlindungan, implementasikan control yang dipilih.

F. Proses Evaluasi Risiko

Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko yang

diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali untuk

memastikan keberadaan risiko yang teridentifikasi maupun risiko yang belum

teridentifikasi.

52  

Gambar 2.8: Model Framework Manajemen Resiko TI

2.3.4 ISO 27001.

ISO/IEC 27001 adalah standar information security yang diterbitkan pada

October 2005 oleh International Organization for Standarization dan International

Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.

ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan

swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005

menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor,

menganalisa dan memelihara seta mendokumentasikan Information Security

Management System dalam konteks resiko bisnis organisasi keseluruhan

ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem

manajemen keamanan informasi (ISMS). ISMS yang baik akan membantu memberikan

perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses

bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius

pada pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan

pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang

tidak lama.

53  

Penilaian risiko dan manajemen yang benar adalah faktor terpenting dalam

ISO/IEC 27001. Standar ini membolehkan organisasi memperkenalkan objek-objek

pengawasan dan memilih cara-cara penyelenggaraan keamanan yang paling sesuai. Jika

organisasi ingin memulai menerapkan standard ini, maka mulai dengan mendefinisikan

semua permasalahan dan faktor-faktor yang terkait secara sistematik dan cara-cara

manajemen risiko yang sudah atau akan diterapkan (direncanakan).

Pendefenisian ini bertujuan untuk memberikan pendekatan terhadap

pengelolaan (manajemen) risiko yang akan ditetapkan dalam bentuk aturan-aturan,

terkait dengan penilaian risiko oleh tim auditor (fihak organisasi sendiri atau konsultan

yang memahami standar ini) untuk memastikan peringkat keamanan yang diperlukan

sesuai dengan kondisi anggaran keuangan organisasi.

Objek-objek dan cara-cara kontrolnya dapat dilihat pada lampiran ISO/IEC

27001:2005 agar dapat mencapai keperluan-keperluan yang diperkenalkan (hasil

maksimal yang diharapkan) dalam penilaian risiko dan proses pemulihannya. Jika

sistem keamanan yang telah diwujudkan sudah sampai taraf memuaskan, maka kontrol

yang diuraikan dalam lampiran dapat diabaikan. Kontrol dan evaluasi yang ekstra ketat

dapat juga diterapkan. Setelah mampu mengimplementasikan manajemen risiko yang

tersistematis, organisasi dapat menetapkan bahwa sistemnya telah sesuai untuk

keperluan-keperluan sendiri dan standar.