BAB 2 LANDASAN TEORI

Transkripsi

1 BAB 2 LANDASAN TEORI 2.1 Teori Umum Evaluasi Menurut Griffin dan Nix (1991, p3) Evaluasi adalah judgment terhadap nilai atau implikasi dari pengukuran. Menurut definisi ini selalu didahului dengan kegiatan pengukuran dan penilaian. Endang Sri Astuti dan Resminingsih (2010) evaluasi merupakan pemikiran kritis terhadap keberhasilan dan kekurangan dalam sebuah program pengembangan diri yang telah dilakukan seseorang. Menurut Kamus Besar Bahasa Indonesia (2008), Evaluasi adalah proses penelitian yang sistematis, mencakup pemberian nilai, atribut, apresiasi, pengenalan masalah, dan pemberian solusi atas permasalahan yang ditemukan. Disimpulkan evaluasi adalah suatu kegiatan penelitian yang sistematis mencakup pemberian nilai, atribut, apresiasi, pengenalan masalah, dan pemberian solusi untuk menentukan apakah suatu sistem atau nilai bekerja dengan seharusnya dan memiliki manfaat dan nilai yang diharapkan, sehingga informasi yang dihasilkan dapat digunakan untuk menentukan alternatif yang tepat dalam mengambil sebuah keputusan dan kebijakan bagi decision maker. Evaluasi diperlukan oleh perusahaan untuk mengukur apakah sistem yang berjalan sudah sesuai dengan tujuan atau keinginan perusahaan Pengertian Sistem Informasi Menurut Ludwig Von Bertalanffy (1940) sistem adalah sebagian suatu set elemen-elemen yang berada dalam kedaan yang saling terhubung. Prasojo dan Riyanto (2011:3) perngertian informasi sering disamakan dengan perngertian data. Data adalah sesuatu yang belum di olah dan belum dapat digunakan sebagai dasar yang kuat dalam pengambilan keputusan. Menurut Rainer & Turban (2009, p.415), Sistem informasi adalah mengumpulkan, memproses, menyimpan, meneliti, dan menyebarluaskan informasi untuk suatu tujuan spesifik yang memproses masukan (Input) dan 5

2 6 menghasilkan keluaran (Output) yang dikirim kepada pemakai, atau kepada sistem itu sendiri. O Brien (2008,p.7) mendefinisikan, Sistem informasi adalah suatu kesatuan yang terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer, dan sumber data yang mengumpulkan, mentrasnformasikan dan mendistribusikan informasi di dalam suatu organisasi. Menurut Gelinas dan Dull (2010,p12) Sistem informasi adalah sebuah sistem buatan manusia yang pada umumnya terdiri dari serangkaian komponen berbasis komputer yang terintegrasi dan komponen manual yang dibentuk untuk mengumpulkan, menyimpan, dan mengelola data dan memberikan informasi output ke pengguna. I Gusti Made Karmawan(2011) menjelaskan bahwa Sistem informasi adalah serangkaian perangkat keras dan perangkat lunak yang dirancang untuk mengubah data menjadi informasi yang bermanfaat untuk mendukung pembuatan keputusan dan pengawasan dalam organisasi. Dari pernyataan-pernyataan tersebut dapat disimpulkan sistem informasi adalah sebuah sistem kesatuan buatan manusia, terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer, dan sumber data yang terintegrasi satu sama lain yang dibentuk untuk mengumpulkan, menyimpan, mengelola data, dengan memproses informasi masukan (Input) dan menghasilkan informasi keluaran (Output) ke pengguna Manfaat Sistem Informasi Menurut O Brien dan Marakas (2008, p23) sistem informasi memiliki beberapa manfaat yaitu : Mendukung fungsi dari area bisnis untuk mencapai tujuan yang mencakup bagian keuangan, akuntansi, operasional, pemasaran, dan sumber daya manusia. Untuk meningkatkan efisiensi dari proses produksi, meningkatkan produktivitas pekerja, memberikan pelayanan dan kepuasan pelanggan.

3 7 Sebagai sumber utama informasi dan mendukung pengambilan keputusan efektif yang diambil oleh manajer dan professional bisnis. Untuk mengembangkan produk dan jasa yang kompetitif dan sebagai sebuah keuntungan strategis dalam menghadapi persaingan global. Sebagai komponen utama dalam sumber daya infrastruktur dan kehandalan jaringan bisnis masa kini Sistem Informasi Akuntansi Menurut Kieso, Weygandt, dan kimmel (2007:4) akutansi adalah suatu sistem informasi yang mengidentifikasi, mencatat dan mengkomunikasikan kejadian ekonomi dari suatu organisasi kepada pihak yang berkepentingan. Suryanto (2009) menyimpulkan pengertian sistem informasi akuntansi adalah sistem yang mengumpulkan, mencatat, menyimpan, dan memproses data akuntansi menjadi informasi yang berguna bagi user. Menurut Rama dan Jones (2008, p6), sistem informasi akuntansi adalah suatu subsistem dari sistem informasi manajemen yang menyediakan informasi akuntansi dan keuangan, juga informasi lain yang diperoleh dari pengolahan rutin atas transaksi akuntansi Kegunaan Sistem Informasi Akuntansi Menurut Rama dan Jones (2008, p 7), terdapat 5 kegunaan dari sistem infomasi akuntansi, yaitu: 1. Membuat laporan eksternal Perusahaan menggunakan sistem informasi akuntansi untuk menghasilkan laporan-laporan khusus untuk memenuhi kebutuhan informasi dari para investor, kreditor, dinas pajak, badan-badan pemerintah, dan yang lain. Laporan-laporan ini mencakup laporan keuangan, SPT pajak, dan laporan yang diperlukan oleh badan-badan pemerintah yang mengatur perusahaan dalam industri perbankan dan utilitas. Sebagai hasilnyac, setelah informasi yang diperlukan dicatat, laporan-laporan eksternal dapat dihasilkan dengan jauh lebih cepat dan lebih mudah dibandingkan dengan di masa lalu. 2. Mendukung aktivitas rutin Para manajer memerlukan sistem infromasi akuntansi untuk menangani aktivitas operasi rutin sepanjang siklus operasi perusahaan

4 8 itu. Contohnya antara lain menerima pesanan pelanggan, mengirimkan barang dan jasa, membuat faktur penagihan pelanggan, dan menagih kas ke pelanggan. Sistem komputer mahir menangani transaksi-transaksi yang berulang, dan banyak paket peranti lunak akuntansi yang mendukung fungsi-fungsi yang rutin ini. Teknologi lain, seperti scanner untuk memindai kode produk, meningkatkan kode produk, meningkatkan efisiensi dari proses bisnis. 3. Mendukungpengambilan keputusan Informasi juga diperlukan untuk mendukung pengambilan keputusan yang tidak rutin pada semua tingkat dari suatu organisasi. Contohnya antara lain mengetahui produk-produk yang penjualannya bagus dan pelanggan mana yang paling banyak melakukan pembelian. Informasi ini sangat penting untuk merencanakan produksi baru, memutuskan produk-produk apa yang harus ada di persediaan, dan memasarkan produk ke para pelanggan. 4. Perencanaan dan pengendalian Suatu sistem informasi juga diperlukan untuk aktivitas perencanaan dan pengendalian. Informasi mengenai anggaran dan biaya standar disimpan oleh sistem informasi, dan laporan dirancang untuk membandingkan angka anggaran dengan jumlah aktual. Menggunakan pemindai untuk mencatat barang yang dibeli dan dijual mengakibatkan terkumpulnya jumlah informasi yang sangat banyak dengan biaya yang rendah, memungkinkan pengguna untuk merencanakan dan mengendalikan dengan lebih terperinci. Sebagai contoh, analisa pendapatan dan beban bisa dilakukan di tingkatan produk secara individu. 5. Menerapkanpengendalian internal Pengendalian internal (internal control) mencakup kebijakankebijakan, prosedur-prosedur, dan sistem informasi yang digunakan untuk melindungi aset-aset perusahaan dari kerugian atau korupsi, dan untuk memelihara keakuratan data keuangan. Dimungkinkan untuk membangun pengendalian ke dalam suatu sistem informasi akuntansi yang terkomputerisasi untuk membantu mencapai tujuan ini. Sebagai contoh, satu sistem informasi dapat menggunakan kata sandi

5 9 (password) untuk mencegah individu lain memiliki akses ke format data entri dan laporan yang tidak diperlukan untuk menjalankan pekerjaan mereka. Selain itu, format data entri dapat dirancang untuk secara otomatis memeriksa error dan mencegah jenis tertentu dari data entri yang akan melanggar aturan-aturan yang sudah dibuat Pengertian Audit Menurut Rai (2008,p29), Audit (auditing) adalah kegiatan membandingkan suatu kriteria (apa yang seharusnya) dengan kondisi (apa yang sebenarnya terjadi). Menurut Randal danbeasley (2010) audit adalah sebuah akumulasi dan evaluasi dari bukti-bukti mengenai informasi untuk pengambilan keputusan dan laporan dari ukuran korespondensi diantara informasi dan kriteria yang diterapkan. Auditing harus dilakukan oleh seorang yang kompeten dan independen.-- Jadi dapat disimpulkan audit adalah suatu kegiatan akumulasi dan pengevaluasian dengan membandingkan bukti-butki mengenai informasi pengambilan keputusan dan laporan dari ukuran korespondensi diantara informasi dan criteria yang ditetapkan serta harus dilakukan oleh seseorang yang kompeten dan independen Tipe Audit Menurut Randal dan Beasley (2010), Auditing digolongkan menjadi 3 golongan tipe yaitu : 1. Audit Operasional (Operational Audit) Audit Operasional, adalah audit yang mengevaluasi efisiensi dan efektitfitas dari setiap bagian dalam prosedur pengoperasionalan dan metode yang diterapkan organisasi/perusahaan. 2. Audit Ketaatan (Compliance Audit) Audit Ketaatan, adalah audit yang dilakukan untuk menentukan apakah seorang pengaudit mengikuti prosedur spesifik, peraturan, dan regulasi yang ditentukan oleh para pemegan otoritas yang lebih tinggi. 3. Audit Laporan Keuangan (Financial Statement Audit) Audit Laporan Keuangan, adalah audit yang dilakukan untuk menentukan apakah apakah sebuah laporan keuangan (informasi yang

6 10 sudah diverifikasi) telah dinyatakan sesuai dengan kriteria spesifik yang ada. 2.2 Teori Khusus Pengertian Audit Sistem Informasi Menurut James Hall (2011 p10) audit sistem informasi adalah suatu audit yang berfokus pada aspek-aspek yang berbasis komputer dari sistem informasi perusahaan dan sistem modern yang mempekerjakan tingkat signifikan dari teknologi. Menurut Basalamah (2011, p16), audit sistem informasi adalah suatu proses pengumpulan dan penilaian bukti untuk menentukan apakah suatu sistem komputer melindungi aktiva, mempertahankan integritas data, serta memugkinkan bagi tercapainya tujuan organisasi secara efektif dan penggunaan sumber daya secara efisien. Menurut Restianto danbawono (2011, p15), Audit Sistem Informasi dapat didefinisikan sebagai sebuah proses pengumpulan dan pengevaluasian bukti untuk menilai apakah sistem komputer dapat menjaga aset, menjaga integritas data, menjamin tercapainya tujuan organisasi dengan efektif dan penggunaan sumber daya dengan efisien. Berdasarkan definisi tersebut dapat dijelaskan bahwa tujuan audit sistem informasi adalah untuk meningkatkan efektifitas dan efisiensi Standar Audit ISACA Berdasarkan IT Audit and Assurance Standards and Guidelines ISACA(2013), penerapan audit memiliki standar sebagai kode etik professional bagi para auditor yaitu sebagai berikut : 1. Audit Charter a. Tujuan, tanggung jawab, otoritas dan akuntabilitas fungsi audit SI pada suatu organisasi/perusahaan ataupun penugasan audit harus dengan dibuat tertulis (didokumentasikan) dalam audit charter atau engagement letter. b. Audit charter atau engagement letter harus disetujui dan ditandatangani oleh pemimpin organisasi. 2. Independence

7 11 a. Independensi professional. b. Dalam segala hal yang berkaitan dengan audit, auditor harus independensi dalam sikap dan penampilan. c. Independensi organisasi. d. Fungsi audit SI harus bebas (tidak ada conflict of interest) dari area yang diperiksa untuk dapat menyelesaikan tugas audit dengan baik. 3. Professional Etichs and Standards a. Auditor SI harus menganut dan berpegang teguh pada kode etik profesi auditor SI (ISACA) dalam menjalankan tugas auditnya. b. Auditor SI harus menjalankan tugasnya secara seksama (due professional care) dan bekerja sesuai dengan standar professional audit. c. Professional Competence. d. Auditor SI harus mampu secara professional, mempunyai pengetahhuan dan keahlian teknis untuk melakukan penugasan tugas audit. e. Auditor SI harus memelihara kemampuan profesionalnya dengan pendidikan dan pelatihan berkelanjutan. 4. Planning a. Auditor SI harus membuat rencana kerja audit SI, mencakup tujuan audit dan bahwa kegiatan-kegiatan auditnya akan sesuai dengan aturan, hukum, dan standar professional audit yang ada. b. Auditor SI harus melakukan teknik pendekatan audit berbasis resiko (risk based audit) dan mendokumentasikanya dengan baik. c. Auditor SI harus menyusun rencana kerja audit, mencakup rincian tentang hakekat dan tujuan audit periode atau waktu yang diperlukan dan sumber daya yang diperlukan dan sumber daya yang diperlukan untuk penugasan audit tersebut. d. Auditor SI harus menyusun rencana kerja audit dan atau program audit, mencakup prosedur audit yang diperlukan untuk penyelesaian tugas audit itu. 5. Performance of Audit Work

8 12 a. Supervise : Staf audit SI harus disupervisi untuk memperoleh keyakinan memadai bahwa tujuan audit telah dicapai sesuai dengan standar professional. b. Bukti-audit : Dalam pelaksanaan tugasnya auditor SI harus memperoleh bukti yang cukup, dapat diandalkan dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan harus didukung oleh analisis yang tepat dan interpretasi bukti ini. c. Dokumentasi : Proses audit harus didokumentasikan, menjelaskan pekerjaan audit yang dilakukan dan bukti audit yang mendukung temuan dan kesimpulan IS auditor. 6. Reporting a. Auditor SI harus membuat laporan hasill audit dalam format yang tepat setelah selesai melakukan tugas auditnya. Laporan hasil audit harus memuat organisasi, pihak yang dituju, dan batasan batasan sirkulasi. b. Laporan audit harus menyebutkan ruang lingkup, tujuan, dan periode pelaksanaan pemeriksaan. c. Laporan audit harus berisi temuan, kesimpulan dan rekomendasi, serta pengungkapan mengenai penyediaan, kualifikasi atau pembatasan cakupan audit yang dialami oleh auditor SI dalam melaksanakan tugasnya. d. Temuan hasil audit yang dilaporkan harus didukung bukti audit yang cukup, lengkap dan kompeten untuk mendukung laporan hasil pemeriksaan itu. e. Laporan hasil audit harus ditandatangani, dibubuhi tanggal pelaporan, dan didistribusikan sesuai ketentuan pada audit charter. 7. Follow Up Activities a. Setelah laporan hasil audit yang mengemukakan temuan dan rekomendasi, auditor SI harus mengevaluasi informasi yang relevan untuk memperoleh keyakinan apakah tindak lanjut yang diperlukan telah dilaksanakan oleh pihak manajemen sesuai jadwal yang diusulkan. 8. Irregularities and Illegal Acts

9 13 a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko audit, auditor SI harus mempertimbangkan resiko ketidakteraturan dan illegal acts. b. Auditor SI harus bersikap profesional skeptis dalam pelaksanaan audit, paham kemungkinan misstatements yang material dapat saja terjadi karena adanya irregularities dan illegal acts, diluar evaluasi yang telah dilakukan. c. Auditor SI harus memahami organisasi dan lingkungannya, termasuk sistem pengendalian internal pada bidang yang diaudit. 9. IT Governance a. Auditor SI harus melakukan peninjuan dan penilaian apakah fungsi SI sudah selaras dengan visi, misi, tata-nilai, dan strategis serta tujuan organisasi. b. Auditor SI melakukan peninjauan apakah fungsi SI memiliki pernyataan yang jelas mengenai kinerja yang diharapkan oleh organisasi dan nilai apakah hal hal tersebuat sudah tercapai. c. Auditor SI harus meninjau dan menilai efektivitas sumber daya SI dan kinerja proses manajemennya. 10. Use of Risk Assessment in Audit Planning a. Auditor SI harus menggunakan teknik penilaian resiko yang cocok dalam pengembangan rencana kerja audit SI, dan dalam menentukan prioritas alokasi sumberdaya audit yang efektif. b. Ketika merencanakan peninjauan individual, auditorsi harus mengidentifikasi dan menilai resiko yang relevan dari area yang diperiksanya. 11. Audit Materiality a. Auditor SI harus mempertimbangkan konsep materialitas dalam hubungannya dengan resiko audit. b. Dalam merencanakan audit, auditor SI mempertimbangkan kelemahan kelemahan potensial atau tidak adanya kontrol internal dan apakah hal itu dapat mempunyai dampak yang siginifikan pada SI. c. Auditor SI mempertimbangkan dampak kumulatif dari kelemahan atau ketiadaan pengendalian intern.

10 14 d. Laporan SI harus mengungkapkan adanya pengendalian intern yang tidak efektif atau tidak adanya pengendalian intern. 12. Using the Work of Other Experts a. Auditor SI harus, jika memungkinkan, menggunakan hasil kerja auditor atau tenaga ahli lain. b. Auditor SI harus menilai kualifikasi profesional, kompetensi, pengalaman yang relevan, sumberdaya, independensi, dan proses pengawasan mutu dari ahli sebelum menerima tugas audit. c. Audior SI harus menentukan dan menyimpulkan apakah hasil kerja tenaga ahli yang lain tersebut sebagai bagian dari audit dan menentukan tingkat penggunaan. 13. Audit Evidence a. Audior SI harus memiliki bukti audit yang cukup dan layak untuk dapat menarik kesimpulan hasil audit. b. Auditor SI harus mengevaluasi komptensi dan kecukupan bukti fisik. 14. IT Controls. c. Auditor IS harus mengevaluasi dan memonitor pengendalian IT yang merupakan bagian penting dalam lingkungan pengendalian dari perusahaan. d. Auditor IS harus membantu manajemen dengan memberikan saran mengenai desain, implementasi, operasi, dan peningkatan dari pengendalian IT. 15. E-Commerce a. Auditor IS harus mengevaluasi pengendalian yang dapat diterapkan dan pengukuran resiko ketika membahas lingkungan E- commerce untuk memastikan transaksi E-Commerce sudah terkendali dengan benar Tehnik Audit Sistem Informasi Menurut Restianto dan Bawono (2011, p20), audit sistem informasi dapat dilaksanakan dengan salah satu dari tiga teknik pendekatan, yaitu: 1. Audit di Sekitar Komputer (Audit Around the Computer)

11 15 Auditor menelaah struktur pengendalian internal, menguji transaksi dan prosedur verifikasi saldo akun dengan cara yang sama seperti dalam sistem manual/bukan teknologi informasi. Auditor tidak menguji pengendalian pada sistem informasi tetapi sebatas pada masukan dan keluaran sistem informasi. Berdasarkan penilaian pada kualitas masukan dan keluaran sistemtersebut, auditor mengambil kesimpulan tentang kualitas pemrosesan data dalam sistem. Oleh karena itu, auditor harus mendapatkan dokumen sumber dan dokumen keluaran yang cukup dalam bentuk cetakan (hardcopy) atau dalam bentuk yang mudah dibaca oleh pemakai. Dalam pendekatan ini, sistem komputer dapat diibaratkan sebagai sebuah kotak hitam (black box). Keunggulan audit di sekitar komputer adalah kesederhanaannya sehingga auditor yang memiliki pengetahuan minimal di bidang komputer dapat terlatih dengan mudah untuk melaksanakan audit. Sementara itu, kelemahan metode ini adalah jika terjadi perubahan lingkungan organisasi, ada kemungkinan bahwa sistem itupun akan berubah sehingga auditor tidak dapat menilai dan menelaah sistem yang baik. Oleh karena itu, auditor harus dapat menilai kemampuan system informasi dalam menyesuaikan diri dengan perubahan lingkungan. 2. Audit Melalui Komputer (Audit Through the Computer) Pendekatan ini digunakan untuk melakukan audit pada lingkungan sistem yang kompleks (complex automated processing systems). Dalam pendekatan ini, auditor menggunakan komputer untuk menguji logika dan pengendalian yang ada dalam sistem komputer dan keluaran yang dihasilkan oleh sistem. Besar kecilnya peranan komputer dalam audit tergantung pada kompleksitas dari sistem komputer yang diaudit. Dalam pendekatan ini, fokus perhatian auditor langsung tertuju pada operasi pemrosesan data di dalam sistem komputer. Keunggulan pendekatan audit melalui komputer adalah sebagai berikut:

12 16 a. Auditor akan memperoleh bukti-bukti audit yang memadai. b. Auditor lebih efektif dalam menguji sistem komputer. c. Auditor akan memiliki keyakinan yang lebih memadai terhadap kualitas auditnya. d. Auditor dapat menilai kemampuan sistem komputer dalam menghadapi perubahan lingkungan. Sedangkan kelemahan dari pendekatan ini adalah dibutuhkannya biaya yang relatif besar dan dibutuhkannya tenaga ahli yang terampil, tidak hanya di bidang auditing, tetapi di bidang komputer, pengembangan sistem, komunikasi data, dan bidang lain yang terkait dengan teknologi informasi. 3. Audit dengan Komputer (Audit with the Computer) Pada pendekatan audit dengan komputer, audit dilakukan dengan menggunakan komputer dan perangkat lunak audit untuk menjalankan prosedur audit secara otomatis. Pendekatan ini menggunakan beberapa jenis Computer Assisted Audit Techniques (CAAT), seperti System Control Audit Review File (SCARF) dan pemotretan (snapshoot). Pendekatan audit dengan komputer sangat bermanfaat dalam pengujian substantif atas file-file basis data (database). Perangkat lunak audit dapat digolongkan menjadi dua jenis, yaitu perangkat lunak audit terspesialisasi (Specialized Audit Software [SAS]) dan perangkat lunak audit tergeneralisasi (Generalized Audit Software [GAS]). a. Specialized Audit Software (SAS) SAS merupakan program khusus yang dirancang oleh auditor agar sesuai dengan situasi audit tertentu. SAS jarang digunakan karena penyusunannya membutuhkan waktu dan biaya yang relatif tinggi. Selain itu, keahlian auditor di bidang komputer juga diperlukan, meskipun auditor tidak harus membuat sendiri aplikasi SAS karena dapat diserahkan pada pemrogram komputer, namun paling tidak auditor harus mengetahui konsep pemrograman secara umum. b. Generalized Audit Software (GAS) Perangkat lunak audit tergeneralisasi atau umum adalah program aplikasi komputer

13 17 yang dapat melakukan berbagai macam fungsi pemrosesan data atau manipulasi data. GAS dapat digunakan oleh auditor untuk berbagai penugasan audit yang berbeda-beda. Saat ini auditor tidak harus membuat sendiri aplikasi GAS karena telah banyak aplikasi GAS yang dapat dibeli dari vendor atau pengembang perangkat lunak Pengertian Pengendalian Internal Menurut The Institute of Internal Auditors (IIA) (2009) proses pengendalian internal adalah sebuah asuransi obyektif yang independen dan aktivitas konsultasi yang dirancang untuk menambah nilai dan meningkatkan pengoperasionalan organisasi. ini dapat membantu organisasi mencapai tujuannya dengan memberikan pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola. Menurut Gelinas dan Dull (2010,p226)Pengendalian internal adalah proses yang dilakukan oleh badan entitas direksi, manajemen, dan personil yang dirancang untuk memberikan keyakinan memadai mengenai pencapaian tujuan dalam kategori berikut: 1. Efektivitas dan efisiensi operasi. 2. Reliabilitas laporan. 3. Kepatuhan terhadap hukum dan peraturan yang berlaku. Jadi dapat disimpulkan pengendalian internal adalah sebuah asuransi obyektif yang independen dan aktifitas konsultasi untuk meningkatkan nilai dan memberikan keyakinan pencapaian tujuan organisasi dalam kategori : 1. Efektivitas dan efisiensi operasi. 2. Reliabilitas laporan. 3. Kepatuhan terhadap hukum dan peraturan yang berlaku. Dengan memberikan pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola.

14 Tujuan Pengendalian Internal Menurut Gondodiyoto (2009, p148), tujuan disusunnya system control atau pengendalian internal pada sistem informasi adalah untuk : 1. Meningkatkan pengamanan (improve safeguard) aset sistem informasi (data/catatan (accounting records) yang bersifat logical assets, maupun physical assets seperti hardware, infrastructures, dan sebagainya) 2. Meningkatkan integritas data (improve data integrity), sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar. 3. Meningkatkan efektifitas sistem (improve systems effectiveness) 4. Meningkatkan efisien sistem (improve system efficiency). Menurut Bayangkara (2008,p1), setidaknya ada empat tujuan penting yang ingin dicapai melalui pengendalian internal yang dilakukan perusahaan, yaitu: 1. Dapat dipercayanya data data akuntansi yang disajikan perusahaan. 2. Terjaganya keamanan aset yang dimiliki perusahaan. 3. Berjalannya operasi secara efisien. 4. Ditaatinya semua ketentuan, peraturan, dan kebijakan yang ditetapkanperusahaan Sistem Informasi Pembelian Pengertian Pembelian Menurut (Gelinas, Dull, & Wheeler, 2012, p. 438) pembelian adalah struktur yang saling berinteraksi dari orang orang, peralatan, aktivitas, dan pengendalian yang di desain untuk : - Menangani rutinitas pekerjaan yang berulang ulang dari bagian pembelian dan penerimaan - Mendukung pengambilan keputusan dari orang orang yang mengatur bagian pembelian dan penerimaan - Membantu dalam penyajian laporan internal dan laporan eksternal

15 Prosedur Pembelian Menurut (Heripracoyo, 2009) proses pembelian setiap jenis perusahaan hampir serupa karena meliputi beberapa atau seluruh kegiatan berikut ini : 1. Konsultasi dengan supplier yang diadakan sebelum pembelian berlangsung dengan cara menghubungi beberapa supplier untuk mendapatkan pemahaman mengenai ketersediaan kuantitas dan harga dari barang dan jasa. 2. Pembuatan dokumen permintaan pengadaan barang atau jasa dengan mendapatkan persetujuan dari supervisor. Permintaan ini kemudian digunakan oleh departemen pembelian untuk memesan barang. 3. Mengadakan perjanjian dengan supplier untuk pembelian barang atau jasa dimasa yang akan datang. Perjanjian dengan supplier meliputi pesanan-pesanan pembelian (pesanan yang sebetulnya dikirim ke supplier) dan kontrak dengan supplier. 4. Penerimaan barang atau jasa dari supplier dimana perusahaan harus memastikan bahwa hanya barang yang dipesan berada dalam kondisi baiklah yang akan diterima. 5. Pengakuan kewajiban atas barang dan jasa yang diterima dari supplier yang akan dicatat oleh departemen hutang pada saat tagihan diterima dari supplier. 6. Pemilihan invoice yang akan dibayar. 7. Penulisan, penandatanganan dan pengiriman cek kepada supplier. Dokumen yang terkait ke kepada siklus pembelian adalah: 1. Purchase requisition (Permintaan Pembelian) 2. Purchase order (Pemesanan Pembelian) 3. Receiving order (Penerimaan Pesanan) 4. Supplier (vendor) invoice 5. Disbursment voucher 6. Disbursment check 7. Debit memorandum 8. New supplier (vendor) form 9. Request for proposal (or quotation)

16 Sistem Informasi Akuntasi Pembelian Menuru (Heripracoyo, 2009) t sistem informasi akuntansi pembelian (SIA Pembelian) merupakan sistem yang dibangun untuk mempermudah pelaksanaan pembelian dengan mengotomatisasikan atau mengkomputerisasi keseluruhan maupun beberapa bagian dari proses pembelian tersebut disertai dengan pengendalian atau kontrol atas sistem komputerisasi tersebut Persediaan Pengertian Persediaan Menurut Nafarin (2007), persediaan (Inventory) adalah barang yang diperoleh dan tersedia dengan maksud untuk dijual atau dipakai dalam produksi atau dipakai untuk keperluan non produksi dalam siklus kegiatan yang normal. Pengertian inventory menurut Herjanto (2008) adalah bahan atau barang yang disimpan yang akan digunakan untuk memenuhi tujuan tertentu, misalnya untuk digunakan dalam proses produksi atau perakitan, untuk dijual kembali, atau untuk suku cadang dari peralatan atau mesin. Persediaan dapat berupa bahan mentah, bahan pembantu, bahan dalam proses, barang jadi, ataupun suku cadang dimana bisa dikatakan bahwa persediaan hanyalah suatu sumber dana menganggur, karena sebelum persediaan digunakan berarti data terikat didalamnya tidak dapat digunakan untuk keperluan lain. Menurut Assauri (2009), inventory adalah barang-barang persediaan berwujud yang digunakan dalam proses produksi, barang mana dapat diperoleh dari sumber-sumber ataupun dibeli dari supplier atau perusahaan yang menghasilkan bahan baku bagi perusahaan pabrik yang menggunakannya. Dapat pengertian diatas, dapat disimpulkan persediaan (Inventory) adalah sejumlah barang atau bahan-bahan dalam kendali perusahaan yang disimpan dalam beberapa waktu tertentu, menunggu sampai digunakan untuk keperluan produksi ataupun dijual Tujuan Persediaan Setiap perusahaan yang menyelenggarakan kegiatan produksi akan memerlukan persediaan (Inventory). Dengan tersedianya bahan baku maka

17 21 diharapkan perusahaan industri dapat melakukan proses produksi sesuai kebutuhan atau permintaan konsumen. Selain itu dengan adanya persediaan (Inventory) yang cukup tersedia digudang juga diharapkan dapat memperlancar kegiatan produksi atau pelayanan kepada konsumen, perusahaan dan dapat menghindari terjadinnya kekurangan bahan baku. Menurut Aquilano (2006), tujuan penyimpanan persediaan dapat dikarenakan beberapa alasan berikut: a. Untuk mempertahankan kelangsungan operasional. b. Untuk memenuhi variasi permintaan produk. c. Untuk memungkinkan fleksibilitas dalam perencanaan produksi. d. Untuk mengantisipasi adanya variasi waktu pengiriman mulai dari order pembelian sampai dengan barang diterima dalam gudang. Fungsi dasar persediaan (Inventory) sebenarnya sangat sederhana, yaitu meningkatkan tingkat keuntungan (profitability) perusahaan. Menurut Herjanto (2008), fungsi persediaan (Inventory) adalah: a. Menghilangkan resiko keterlambatan pengiriman bahan baku atau barang yang dibutuhkan perusahaan. b. Menghilangkan resiko jika material yang dipesan tidak baik. c. Menghilangkan resiko terhadap kenaikan harga atau inflasi. d. Sehingga perusahaan tidak akan kesulitan jika bahan baku itu tersedia di pasaran. e. Mendapatkan keuntungan dari pembelian berdasarkan diskon kuantitas. f. Memberikan pelayanan kepada pelanggan dengan tersedianya barang yang diperlukan Jenis jenis Persediaan Menurut Herjanto (2008), persediaan (Inventory) dapat dikelompokkan kedalam empat jenis, yaitu: persediaan fluktuasi (Fluctuation stock) Merupakan persediaan yang dimaksudkan untuk menjaga terjadinya fluktuasi permintaan yang tidak diperkirakan sebelumnya, dan untuk mengatasi bila terjadi kesalahan atau penyimpangan dalam perkiraan penjualan, waktu produksi, atau pengiriman barang.

18 22 persediaan antisipasi (Anticipation stock) Merupakan persediaan untuk menghadapi permintaan yang dapat diramalkan pada musim permintaan tinggi, tetapi kapasitas produksi pada saat itu tidak mampu memenuhi permintaan. Persediaan ini juga dimaksudkan untuk menjaga kemungkinan sukarnya diperoleh bahan baku sehingga tidak mengakibatkan terhentinya produksi. persediaan besar (Lot-size inventory) Merupakan persediaan yang diadakan dalam jumlah yang lebih besar daripada kebutuhan saat itu. Persediaan dilakukan untuk mendapatkan keuntungan dari harga barang (berupa diskon) karena membeli dalam jumlah yang besar, atau untuk mendapatkan penghematan dari biaya pengangkutan per unit yang lebih rendah. alur persediaan (Pipeline inventory) Merupakan persediaan yang dalam proses pengiriman dari tempat asal ketempat dimana barang tersebut akan digunakan. Misalnya, barang yang dikirim dari pabrik menuju tempat penjualan, yang dapat memakan waktu beberapa hari atau minggu Literatur Pembanding Metode penelitian ini merupakan metedologi studi perbandingan, dengan mencari metode penelitian sejenis dengan topik yang berbeda, lalu mencari kelemahan atau kekurangan dari penelitian sebelumnya. Penelitian sejenis ini berjudul Pengukuran Tingkat Kematangan Penyelarasan Strategi Teknologi Informasi Terhadap Strategi Bisnis Analisa Menggunakan Cobit 4.1 pada PT. BRI, Tbk. Tujuan Penelitian 1. Mengetahui tingkat kematangan penyelarasan strategi teknologi informasi dengan strategi bisnis pada Perusahaan. 2. Mengidentifikasikan berada pada tingkat manakah kelarasan strategi teknologi informasi dengan strategi bisnis perusahaan.

19 23 3. Menentukan tingkat kematangan penyelarasan strategi teknologi informasi dengan strategi bisnis ditinjau dari sudut pandang 4 perspektif balanced scorecard. Metoda Penelitian Penelitian ini merupakan penelitian Explanatory yang merupakan pengembangan dari penelitian terdahulu, yaitu Pengaruh Penilaian Control Objectives for Information and Related Technology (CobiT) dan Unified Theory of Acceptance and Use of Technology (UTAUT) terhadap pencapaian Key Performance Indicators (KPI) dan Key Goals Indicators (KGI): studi di PT.BRI (Persero), Tbk Jakarta. Dewi (2008) dan Pengaruh Penyelarasan Strategik Terhadap Kinerja Organisasi pada Sektor Perbankan (Jogiyanto dan Iman, 2006). Analisis Analisis yang dipakai dalam penelitian ini adalah analisis kualitatif dan analisis kuantitatif. Analisis kualitatif berasal dari hasil pemetaan (mapping) elemen elemen penelitian. Analisis kuantitatif menggunakan alat analisis yaitu perhitungan skor rata rata dengan basis software Microsoft Excel. (Jogiyanto 2007 dan Jogiyanto 2008). Sumber Data Data sekunder diperoleh dari penelitian terdahulu yaitu: Pengaruh Penilaian Control Objectives for Information and Related Technology (CobiT) dan Unified Theory of Acceptance and Use of Technology (UTAUT) terhadap pencapaian Key Performance Indicators (KPI) dan Key Goals Indicators (KGI): studi di PT.BRI (Persero), Tbk Jakarta. Dewi (2008).Data yang digunakan berupa tingkat kematangan (Capability Maturity Model) dari 34 IT Process dalam Cobit PENGUKURAN TINGKAT KEMATANGAN PENYELARASAN STRATEGI TEKNOLOGI INFORMASI TERHADAP STRATEGI BISNIS. ANALISIS

20 24 MENGGUNAKAN FRAMEWORK COBIT 4.1 (Studi Kasus PT. BRI, Tbk) Adityawarman Universitas Diponegoro Selain itu data sekunder yang digunakan berupa IT Strategic Plan PT. Bank BRI., Tbk tahun Tambahan data diperoleh dari kajian terhadap studi pustaka seperti literatur, referensi dan jurnal-jurnal nasional maupun internasional yang berkaitan dengan sumbersumber lain di luar perusahaan yang dapat menunjang penelitian. Pemetaan Proses Teknologi Informasi. Pemetaan Business Goals dan IT Goals Setelah diperoleh skor dari setiap IT Goals dari PT. BRI, maka dapat disusun kartu skor untuk mengukur tingkat penyelarasan strategik di PT. BRI (Van Grembergen). Kartu skor ini disusun menggunakan kerangka dalam CobiT 4.1 appendix 1. Skor penyelarasan strategik tersebut ditampilkan pada tabel 2.1 Tabel 2.1 Hasil kartu skor dari penyelarasan strategik PT. BRI, Tbk Hasil Pembahasan Berdasarkan hasil kartu skor yang terdapat dalam tabel 5, diperoleh skor tingkat penyelarasan strategi bisnis dengan strategi teknologi informasi pada angka 2,90. Berdasarkan tabel tingkat kematangan yang terdapat pada CobiT 4.1, maka PT. BRI berada pada tahap Defined.

21 Kerangka kerja audit SI Menurut ISACA (2013) dalam websitenya, COBIT (Control Objectives for Information and Related Technology) merupakan kerangka kerja tata kelola TI dan set alat pendukung yang memungkinkan manajer untuk menjembatani kesenjangan/celah diantara kebutuhan control, masalah teknis dan risiko bisnis. COBIT memungkinkan pengembangan kebijakan yang jelas dan praktek yang baik untuk mengontrol TI di seluruh organisasi. COBIT menekankan kepatuhan terhadap peraturan, membantu organisasi untuk meningkatkan nilai diperoleh dari IT, memungkinkan keselarasan dan menyederhanakan pelaksanaan kerangka COBIT. 1. Pengertian COBIT Control Objectives for Information and Related Technology (COBIT) dapat definisikan sebagai alat pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan oleh Information System Audit and Control Association (ISACA) melalui lembaga yang dibentuknya yaitu Information and Technology Governance Institute (ITGI) pada tahun Cobit yang pertama kali diluncurkan pada tahun 1996, mengalami perubahan berupa perhatian lebih kepada dokumen sumber,revisi pada tingkat lebih lanjut serta tujuan pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set) pada edisi keduanya yang dipublikasikan pada tahun 1998.Cobit pada edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT yaitu ITGI. COBIT edisi keempat merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait. Menurut Sarno (2009: 19).COBIT mendefinisikan tujuan bisnis terkait dengan aktivitas teknologi informasi yang umumnya ada di perusahaan. Pada kerangka kerja COBIT hanya menjelaskan tujuantujuan bisnis yang berkaitan dengan proses teknologi informasi. Demi memudahkan proses kontrol, COBIT mengelompokkan tujuan tersebut ke dalam perspektif kinerja Balanced Scorecard seperti terlihat dalam tabel 2.1 (ITGI, COBIT 4.1, 2007). Perusahaan/organisasi mungkin tidak

22 26 memiliki semua tujuan bisnis seperti yang dikelompokkan dalam tabel tersebut. Dalam penyusunan tujuan bisnis, perusahaan dapat memilih yang sesuai dengan karakteristik organisasinya masing-masing. Pemilihan tujuan bisnis dapat dilakukan dengan mendefinisikan proses bisnis utama maupun bisnis pendukung organisasi terlebih dahulu. Kriteria Pengukuran Evaluasi 1. Plan and Organise a. PO1 Define a Strategic IT plan 1) PO1.1 IT value management 2) PO1.2 Business-IT alignment 3) PO1.3 Assessment of current capability and performance\ 4) PO 1.4 IT strategic plan 5) PO 1.5 IT tactical plan 6) PO 1.6 IT portofolio management b. PO2 Define the infrmation architecture 1) PO2.1 Enterprise information architecture model 2) PO 2.2 Enterprise data dictionary and data syntax rules 3) PO 2.3 Data classification scheme 4) PO 2.4 Integrity management c. PO3 Determine technological direction 1) PO 3.1 Technological direction planning 2) PO 3.2 Technology infrastructure plan 3) PO 3.3 Monitor future trends and regulations 4) PO 3.4 Technology standards 5) PO 3.5 IT architecture board d. PO4 Define the IT process, organisation and relationships 1) PO 4.1 IT process framework 2) PO 4.2 IT strategy committee 3) PO 4.3 IT steering committee 4) PO 4.4 Organisational placement of the IT function 5) PO 4.5 IT organisational structure

23 27 6) PO 4.6 Establishment of roles and responsibilities 7) PO 4.7 Responsibility for IT quality assurance 8) PO 4.8 Responsibility for risk, security and compliance 9) PO 4.9 Data and system ownership 10) PO 4.10 Supervision 11) PO 4.11 Segregation of duties 12) PO 4.12 IT staffing 13) PO 4.13 Key IT personnel 14) PO 4.14 Contracted staff policies and procedures 15) PO 4.15 Relationships e. PO5 Manage the IT invesment 1) PO 5.1 Financial management framework 2) PO 5.2 Prioritisation within IT budget 3) PO 5.3 IT budgeting 4) PO 5.4 Cost management 5) PO 5.5 Benefit management f. PO6 Communicate management aimsand direction 1) PO 6.1 IT policy and control environment 2) PO 6.2 Enterprise IT risk and control framework 3) PO 6.3 IT policies management 4) PO 6.4 Policy, standard and procedures rollout 5) PO 6.5 Communication of IT objectives and direction g. PO7 Manage IT human resources 1) PO 7.1 Personnel recruitment and retention\ 2) PO 7.2 Personnel competencies 3) PO 7.3 Staffing of roles 4) PO 7.4 Personnel training 5) PO 7.5 Dependence upon individuals 6) PO 7.6 Personnel clearance procedures 7) PO 7.7 Employee job performance evaluation 8) PO 7.8 Job change and termination

24 28 h. PO9 Assess and Manage IT Risks 1) PO 9.1 IT risks management framework 2) PO 9.2 Establishment of risk context 3) PO 9.3 Event identification 4) PO 9.4 Risk assessment 5) PO 9.5 Risk Response 6) PO 9.6 Maintenance and monitoring of a risk action plan i. PO10 Manage projects 1) PO 10.1 Programee management framework 2) PO 10.2 Project management framework 3) PO 10.3 Project management approach 4) PO 10.4 Stakeholder commitment 5) PO 10.5 Project scope statement 6) PO 10.6 Project phase initation 7) PO 10.7 Integrated project plan 8) PO 10.8 Project Resource 9) PO 10.9 Project risk management 10) PO Project quality plan 11) PO Project change control 12) PO Project planning of assurance methods 13) PO Project performance measurement, reporting and monitoring 14) PO Project closure 2. Acquire and Implement a. AI1 Identify automated solutions 1) AI 1.1 Definition and maintenance of business functional and technical requirements 2) AI 1.2 Risk analysis report 3) AI 1.3 Feasibility study and formulation of alternative courses of action b. AI2 Acquire and maintain application software 1) AI 2.1 High-Level design

25 29 2) AI 2.2 Detailed design 3) AI 2.3 Application control and auditability 4) AI 2.4 Application security and availability 5) AI 2.5 Configuration and implementation of acquired application software 6) AI 2.6 Major upgrades to existing systems 7) AI 2.7 Developement of application software 8) AI 2.8 Software quality assurance 9) AI 2.9 Applications requirement management 10) AI 2.10 Application software maintenance c. AI3 Acquire and maintain technology infrastructure 1) AI 3.1 Technological infrastructure acquisition plan 2) AI 3.2 Infrastructure resource protection and availability 3) AI 3.3 Infrastructure maintenance 4) AI 3.4 Feasibility test environment d. AI4 Enable operation and use 1) AI 4.1 Planning for operational solutions 2) AI 4.2 Knowledge transfer to business management 3) AI 4.3 Knowledge transfer to end users 4) AI 4.4 Knowledge transfer to operations and support staff e. AI5 Procure IT resources 1) AI 5.1 Procurement control 2) AI 5.2 Supplier contract management 3) AI 5.3 Supplier selection 4) AI 5.4 IT resources acquisition f. AI6 Manage changes 1) AI 6.1 Change standards and procedures 2) AI 6.2 Impact assessment, prioritisation and authorisation 3) AI 6.3 Emergency changes 4) AI 6.4 Change status tracking and reporting 5) AI 6.5 Change closure and documentation

26 30 g. AI7 Install and accredit solutions and changes 1) AI 7.1 Training 2) AI 7.2 Test plan 3) AI 7.3 Implementation plan 4) AI 7.4 Test environment 5) AI 7.5 System and data conversion 6) AI 7.6 Testing of changes 7) AI 7.7 Final acceptence test 8) AI 7.8 Promotion to production 9) AI 7.9 Post-implementation review 3. Deliver and Support a. DS2 Manage third-party service 1) DS 2.1 Identification of all supplier relationships 2) DS 2.2 Supplier relationship management 3) DS 2.3 Supplier risk management 4) DS 2.4 Supplier performance monitoring b. DS3 Manage performance and capacity 1) DS 3.1 Performance and capacity planning 2) DS 3.2 Current performance and capacity 3) DS 3.3 Future performance and capacity 4) DS 3.4 IT resource availability 5) DS 3.5 Monitoring and reporting c. DS4 Ensure continuous service 1) DS 4.1 IT continuity framework 2) DS 4.2 IT continuity plans 3) DS 4.3 Critical IT resource 4) DS 4.4 Maintemance of the IT continuity plan 5) DS 4.5 Testing of the IT continuity plan 6) DS 4.6 IT continuity plan training 7) DS 4.7 Distribution of the IT continuity plan 8) DS 4.8 IT services recovery and resumptio 9) DS 4.9 Offsite backup storage 10) DS 4.10 Post-resumption rewiew

27 31 d. DS5 Ensure system security 1) DS 5.1 Management of IT security 2) DS 5.2 IT security plan 3) DS 5.3 Identity management 4) DS 5.4 User account management 5) DS 5.5 Security testing, surveillance and monitoring 6) DS 5.6 Security incident definition 7) DS 5.7 Protection of security technology 8) DS 5.8 Cryptographic key management 9) DS 5.9 Malicious software preventio, detection and correction 10) DS 5.10 Network security 11) DS 5.11 Exchange of sensitive data e. DS7 Educate and train users 1) DS 7.1 Identification of education and training needs 2) DS 7.2 Delivery of training education 3) DS 7.3 Evaluation of training received f. DS9 Manage the configuration 1) DS 9.1 Configuration repository and baseline 2) DS 9.2 Identification and maintenance of configuration items 3) DS 9.3 Configuration integrity review g. DS10 Manage Problems 1) DS 10.1 Identification and Classification of Problems 2) DS 10.2 Problem Tracking and Resolution 3) DS 10.3 Problem Closure 4) DS 10.4 Integration of Configuration, Incident, and Problem Management h. DS11 Manage Data 1) DS 11.1 Business requirement for data management 2) DS 11.2 Storage and retention arrangement 3) DS 11.3 Media library management system 4) DS 11.4 Disposal 5) DS 11.5 Backup and restoration 6) DS 11.6 Security requirements for data management

28 32 i. DS13 Manage operations 1) DS 13.1 Operations procedures and instructions 2) DS 13.2 Job scheduling 3) DS 13.3 IT infrastructure monitoring 4) DS 13.4 Sensitive documents and output devices 5) DS 13.5 Preventive maintemance for hardware 4. Monitor and Evaluate a. ME1 Monitor and evaluate IT performance 1) ME 1.1 Monitoring approach 2) ME 1.2 Definition and collection of monitoring data 3) ME 1.3 Monitoring method 4) ME 1.4 Performance assessment 5) ME 1.5 Board and executive reporting 6) ME 1.6 Remedial actions b. ME2 Monitor and evaluate internal control 1) ME 2.1 Monitoring of internal control framework 2) ME 2.2 Supervisory review 3) ME 2.3 Control exceptions 4) ME 2.4 Control Self-assessment 5) ME 2.5 Assurance of internal control 6) ME 2.6 Internal control at third parties 7) ME 2.7 Remedial action c. ME4 Provide IT Governance 1) ME 4.1 Establishment of an IT governance framework 2) ME 4.2 Strategic alignment 3) ME 4.3 Value delivery 4) ME 4.4 Resource management 5) ME 4.5 Risk management 6) ME 4.6 Performance measurement 7) ME 4.7 Independent assurance

29 33 Tabel 2.2 Tujuan Bisnis dalam COBIT Perspektif Kinerja No. Tujuan Bisnis Perspektif Penyediaan pengembalian investasi yang baik dari 1. Keuangan bisnis yang dibangkitkan teknologi informasi. 2. Pengelolaan resiko bisnis yang terkait dengan teknologi informasi. 3. Peningkatan transparansi dan tata kelola perusahaan. Perspektif Pelanggan 4. Peningkatan layanan dan orientasi terhadap pelanggan. 5. Penawaran produk dan jasa yang kompetitif. 6. Penentuan ketersediaan dan kelancaran layanan Penciptaan ketangkasan (agility) untuk menjawab permintaan bisnis yang berubah. Pencapaian optimasi biaya dari penyampaian layanan. Perolehan informasi yang bermanfaat dan handal untuk pembuatan keputusan strategis. Perspektif Proses Bisnis/ Internal Peningkatan dan pemeliharaan fungsionalitas proses 10. bisnis. 11. Penurunan biaya proses. 12. Penyediaan kepatutan terhadap hukum eksternal, regulasi dan kontrak. 13. Penyediaan kepatutan terhadap kebijakan internal. 14. Pengelolaan perubahan bisnis. 15. Peningkatan dan pengelolaan produktivitas operasional dan staf. Perspektif Pembelajaran & Pertumbuhan 16. Pengelolaan inovasi produk dan bisnis. Perolehan dan pemeliharaan karyawan yang cakap 17. dan termotivasi.

30 Tujuan Teknologi Informasi Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari. Dengan bahasa lain, COBIT dapat pula dikatakan sebagai sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis melalui pengendalian terhadap masing-masing dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT. COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit. Fokus utama COBIT adalah harapan bahwa melalui adopsi COBIT ini perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya. Untuk mengetahui keterkaitan antara tujuan bisnis dengan tujuan teknologi informasi, maka perlu dipahami terlebih dahulu keseluruhan tujuan teknologi informasi yang telah didefinisikan dan diklasifikasikan pada kerangka kerja COBIT seperti yang terlihat pada tabel 2.2 (ITGI, COBIT 4.1, 2007). Pemetaan tujuan teknologi informasi tersebut dapat dijadikan acuan bagi perusahaan/ organisasi dalam menerjemahkan kebutuhan bisnis akan ketersediaan teknologi informasi. Perlu diketahui bahwa tujuan bisnis yang dipaparkan hanya merupakan tujuan yang terkait atau yang dapat membangkitkan bisnis.

31 35 Tabel 2.3 Tujuan Teknologi Informasi dalam COBIT No. Tujuan Teknologi Informasi 1. Respon terhadap kebutuhan bisnis yang selaras dengan strategi bisnis. 2. Respon terhadap kebutuhan tata kelola yang sesuai dengan arahan direksi. 3. Kepastian akan kepuasan pengguna akhir dengan penawaran dan tingkatan layanan. 4. Pengoptimasian dari penggunaan informasi. 5. Penciptaan teknologi informasi yang tangkas (IT Agility). 6. Pendefinisian bagaimana kebutuhan fungsional bisnis dan kontrol diterjemahkan dalam solusi otomatis yang efektif dan efisien. 7. Perolehan dan pemeliharaan sistem aplikasi yang standar dan terintegrasi. 8. Perolehan dan pemeliharaan infrastruktur teknologi informasi yang strandar dan terintegrasi. 9. Perolehan dan pemeliharaan kemampuran teknologi informasi sebagai respon terhadap strategi teknologi informasi. 10. Jaminan akan kepuasan yang saling menguntungkan dengan pihak ketiga. 11. Jaminan akan konsistensi terhadap integrasi aplikasi ke dalam proses bisnis. 12. Jaminan transparansi dan pemahaman terhadap biaya teknologi informasi, keuntungan, strategi, kebijakan dan tingkatan layanan. 13. Jaminan akan penggunaan dan kinerja dari aplikasi serta solusi teknologi yang sesuai. 14. Kemampuan memberikan penjelasan dan perlindungan terhadap aset-aset teknologi informasi. 15. Pengoptimasian infrastruktur, sumber daya dan kemampuan teknologi informasi. 16. Pengurangan terhadap ketidaklengkapan dan pengolahan kembali dari solusi dan penyampaian layanan. 17. Perlindungan terhadap pencapaian sasaran teknologi informasi. 18. Penentuan kejelasan mengenai resiko dari dampak bisnis terhadap sasaran dan sumber daya teknologi informasi. 19. Jaminan bahwa informasi yang kritis dan rahasia disembunyikan dari pihak-

32 36 No. Tujuan Teknologi Informasi pihak yang tidak berkepentingan. 20. Kepastian bahwa transaksi bisnis yang secara otomatis dan pertukaran informasi dapat dipercaya. 21. Jaminan bahwa layanan dan infrastruktur teknologi informasi dapat sepatutnya mengatasi dan memulihkan kegagalan karena eror, serangan yang disengaja maupun bencana alam. 22. Kepastian akan minimnya dampak bisnis dalam kejadian gangguan layanan atau perubahan teknologi informasi. 23. Jaminan bahwa layanan teknologi informasi yang tersedia sesuai dengan yang dibutuhkan. 24. Peningkatan terhadap efisiensi biaya teknologi informasi dan kontribusinya terhadap keuntungan bisnis. 25. Penyampaian rencangan tepat waku dan sesuai dengan kualitas standar maupun anggaran biaya. 26. Pemeliharaan terhadap integritas informasi dan pemrosesan infrastruktur. 27. Kepastian bahwa teknologi informasi selaras degan regulasi dan hukum yang berlaku. 28. Jaminan bahwa teknologi informasi dapat menunjukkan kualitas layanan yang efisien dalam hal biaya, perbaikan yang berkelanjutan dan kesiapan terhadap perubahan di masa mendatang. COBIT (Control Objectives for Information and related Technology) Menurut Alindita (2008). IT Governance adalah sistem yang mengatur dan mengendalikan seluruh proses teknologi informasi perusahaan/organisasi yang strukturnya akan menetapkan pendistribusian hak dan tanggung jawab antara pihak-pihak yang terlibat juga berisikan peraturan serta strategi yang ditetapkan perusahaan/ organisasi Menurut Indrajit (2004). Information System Audit and Control Association (ISACA) memperkenalkan sebuah kerangka untuk mengelola IT Governance di sebuah perusahaan yang dikenal dengan nama COBIT. Menurut Putra (2009). Pada dasarnya COBIT dikembangkan untuk membantu memenuhi berbagai kebutuhan manajemen terhadap informasi

33 37 dengan menjembatani kesenjangan antara resiko bisnis, kontrol dan masalah teknik Menurut Surendro (2004: 243) karakteristik utama kerangka kerja COBIT adalah pengelompokkan aktivitas teknologi informasi dalam empat domain, yaitu Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) serta Monitor and Evaluate (ME). Domain PO menyediakan arahan untuk mewujudkan solusi penyampaian (AI) dan penyampaian jasa (DS). AI menyediakan solusi dan menyalurkannya untuk dapat diubah menjadi jasa. Sementara DS menerima solusi tersebut dan membuatnya lebih bermanfaat bagi pengguna akhir. Sedangkan ME memonitor seluruh proses untuk kepastian bahwa arahan yang diberikan telah diikuti. Keterkaitan keempat domain COBIT dapat dilihat dalam gambar 2.1 (ITGI, COBIT 4.1, 2007). Gambar 2.1 Keterkaitan Domain dalam COBIT Menurut Sarno (2009: 31-42). Secara jelas, COBIT membagi proses pengelolaan teknologi informasi menjadi empat domain utama dengan total tiga puluh empat proses teknologi informasi. Masing-masing domain dalam COBIT mempunyai beberapa rincian sebagai berikut : 1. Plan and Oganise (PO) Membahas mengenai strategi, taktik, dan pengidentifikasian teknologi informasi dalam mendukung tercapainya tujuan

34 38 PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 bisnis.domain PO ini terdiri dari 10 (sepuluh) proses teknologi informasi seperti terlihat pada tabel 2.4. Tabel2.4 Proses Teknologi Informasi dalam Domain PO Mendefinisikan rencana strategis TI Proses : ini berfokus pada penggabungan antara TI dan manajemen bisnis untuk membuat kebutuhan bisnis menjadi layanan yang ditawarkan perusahaan dan bagaimana perkembangan strategi yang dipakai untuk memberikan layanan secara transparan dan efektif Mendefinisikan arsitektur informasi : Berfokus pada pembentukan model data perusahaan yang menggabungkan skema klasifikasi data untuk memastikan integritas dan konsistensi dari semua data Menentukan arahan teknologi : Berfokus pada menerjemahkan dan mengimplementasikan teknologi infrastruktur, arsitektur, dan standar yang diakui serta pengaruh peluang teknologi. Mendefinisikan proses TI, organisasi dan keterhubungannya : Membangun struktur organisasi yang transparan, fleksibel, dan responsif dan mendefinisikan serta menerapkan proses TI dengan pemilik, dan pihak-pihak yang berperan dan bertanggung jawab terhadap bisnisnya. Mengelola investasi TI : Mengatur Investasi teknologi informasi yang efektif dan efisien dengan menetapkan dan menganggarkan teknologi informasi yang sejalan dengan strategi teknologi informasi dan keputusan investasi. Mengkomunikasikan tujuan dan arahan manajemen : Memberikan aturan, prosedur, arahan, serta dokumentasi pada stakeholder yang akurat, dapat dimengerti dan diterima dalam pengendalian kerangka kerja teknologi informasi. Mengelola sumber daya TI : Berfokus pada merekrut dan melatih karyawan, memotivasi, menetapkan jabatan sesuai dengan keahlian, dan memastikan kesadaran akan ketergantungan pada individu Mengelola kualitas : Memantau kinerja yang sedang berlangsung terhadap tujuan yang telah ditetapkan sebelumnya untuk meningkatkan layanan teknologi informasi secara berkesinambungan. Menapsir dan mengelola resiko TI : Proses ini berfokus pada pengembangan manajemen risiko yang terintegrasi dalam bisnis dan

35 39 PO10 kerangka kerja manajemen risiko operasional, penilaian risiko, risiko mitigasi, dan komunikasi dari risiko residual. Mengelola proyek : Mendefinisikan program dan pendekatan manajemen proyek yang diterapkan untuk proyek teknologi informasi dan memungkinkan stakeholders untuk berpartisipasi dalam dan pemantauan proyek risiko dan bagaimana kemajuannya 2. Acquire and Implement (AI) Pada domain Acquire and Implement sebuah solusi teknologi informasi perlu diidentifikasikan, dikembangkan, diimplementasikan dan diintegrasikan ke dalam proses bisnis.domain AI ini terdiri dari 7 (tujuh) proses teknologi informasi seperti terlihat pada tabel 2.5. AI1 AI2 AI3 AI4 AI5 AI6 Tabel 2.5 Proses Teknologi Informasi dalam Domain AI Mengidentifikasi solusi otomatis : Mengidentifikasi teknologi yang layak dan solusi yang hemat biaya Memperoleh dan memelihara software aplikasi : Memastikan bahwa proses pembangunan yang dilakukan tepat waktu dan hemat biaya. Memperoleh dan memelihara infrastruktur teknologi : Menyediakan platform yang sesuai untuk aplikasi bisnis dan sejalan dengan arsitektur teknologi informasi dan standar teknologi. Memungkinkan operasional dan penggunaan : Menyediakan pengguna yang efektif dan operasional manual dan materi pelatihan untuk menyalurkan pengetahuan yang penting untuk sistem operasional dan penggunaan yang baik. Memenuhi sumber daya TI : Memperoleh dan mempertahankan kemampuan teknologi informasi yang merespon strategi pengiriman, infrastruktur teknologi informasi yang terstandarisasi dan terpadu, dan mengurangi risiko pengadaan teknologi informasi. Mengelola perubahan : Mengendalikan dampak pengendalian, otorisasi dan pelaksanaan semua perubahan pada infrastruktur TI, aplikasi dan solusi teknik, meminimalisasikan kesalahan karena spesifikasi permintaan yang tidak lengkap.

36 40 AI7 Instalasi dan akreditasi solusi beserta perubahaannya : Pengujian aplikasi dan solusi infrastruktur yang cocok untuk tujuan yang ingin dicapai dan bebas dari kesalahan dan perencanaan untuk produksi. 3. Deliver and Support (DS) Domain ini fokus pada aspek penyampaian teknologi informasi terhadap dukungan dan layanan teknologi informasi mencakup dukungan dan layanan teknologi informasi pada bisnis, mulai dari penanganan keamanan dan kesinambungan, dukungan bagi pengguna serta manajemen data.domain DS ini terdiri dari 13 (tiga belas) proses teknologi informasi seperti terlihat pada tabel 2.6. DS1 DS2 DS3 DS4 DS5 DS6 DS7 Tabel 2.6 Proses Teknologi Informasi dalam Domain DS Mendefinisikan dan mengelola tingkat layanan : Mengidentifikasi persyaratan layanan, menyepakati tingkat layanan dan pemantauan prestasi dari tingkat layanan. Mengelola layanan pihak ketiga : Membangun hubungan dan tanggung jawab bilateral dengan memenuhi syarat layanan pihak ketiga dan memantau layanan apakah terverifikasi dan memastikan kepatuhan terhadap perjanjian. Mengelola kinerja dan kapasitas : Memperkirakan kebutuhan yang akan datang dilihat dari beratnya pekerjaan, penyimpanan dan kemungkinan kebutuhan. Proses ini menyediakan jaminan bahwa sumber informasi mendukung kebutuhan bisnis yang akan terus ada. Memastikan layanan yang berkelanjutan : Sebuah proses pelayanan efektif yang berkelanjutan meminimalkan peluang dan dampak gangguan pelayanan teknologi informasi pada fungsi utama bisnis dan prosesnya Memastikan keamanan system : Proses ini termasuk membangun dan memelihara peranan keamanan teknologi informasi dan tanggung jawab, kebijakan, standar, dan prosedur. Mengidentifikasikan dan mengalokasikan biaya : Berfokus pada membangun dan menjalankan sistem untuk menangkap, mengalokasikan dan melaporkan biaya teknologi informasi bagi para pengguna layanan. Mendidik dan melatih pengguna : Proses ini termasuk menetapkan dan melaksanakan strategi untuk pelatihan efektif dan pengukuran hasil.

37 41 DS8 DS9 DS10 DS11 DS12 DS13 Mengelola service desk dan insiden : Pengadaan fungsi bagian layanan dengan pendaftaran, peningkatan insiden, kecenderungan dan analisis akar penyebab, dan resolusi. Mengelola konfigurasi : Mengumpulkan informasi awal konfigurasi, dan memperbaharui gudang konfigurasi yang diperlukan. Mengelola permasalahan : Merekam, melacak, dan menyelesaikan masalah operasional, menyelidiki akar penyebab dari masalah, dan bagaimana solusi dari masalah yang sudah teridentifikasi. Mengelola data : Pendirian dari prosedur efektif untuk mengelola media penyimpanan, cadangan dan penemuan kembali data, dan pembagian media yang tepat. Mengelola lingkungan fisik : termasuk menegaskan tempat fisik, memilih sesuai fasilitas, dan mendesain proses efektif karena mengamati faktor lingkungan dan mengelola akses fisik. Mengelola operasi : Menetapkan kebijakan pengoperasian dan prosedur untuk pengelolaan yang efektif dari pengolahan yang dijadwalkan, melindungi kepekaan hasil akhir, pengamatan kinerja prasarana dan menjamin pemeliharaan pencegahan perangkat keras. 4. Monitor and Evaluate (ME) Pada domain ini akan ditekankan kepada pentingnya semua proses teknologi informasi perlu diakses secara berkala untuk menjaga kualitas dan kesesuaian dengan standar yang telah ditetapkan.domain ME ini terdiri dari 4 (empat) proses teknologi informasi seperti terlihat pada tabel 2.7. Tabel 2.7 Proses Teknologi Informasi dalam Domain ME Mengawasi dan mengevaluasi kinerja TI : Memonitor dan melaporkan ME1 proses metric dan mengidentifikasikan serta menerapkan peningkatan dari kinerja teknologi informasi. Mengawasi dan mengevaluasi kontrol internal : Memonitor proses ME2 pengendalian internal untuk aktivitas teknologi informasi yang saling berhubungan dan mengidentifikasi peningkatan kinerja. ME3 Memastikan pemenuhan terhadap kebutuhan eksternal :

38 42 ME4 Mengidentifikasi semua undang-undang, peraturan dan kontrak dengan tingkatan teknologi informasi yang sesuai serta mengoptimalkan proses teknologi informasi untuk mengurangi risiko. Menyediakan tata kelola TI Menyiapkan laporan strategi : kinerja dan risiko dan menanggapi persyaratan pemerintahan yang sejalan dengan aturan yang berlaku. COBIT memberikan satu langkah praktis melalui domain dan framework yang menggambarkan aktivitas teknologi informasi dalam suatu struktur dan proses yang disesuaikan. Gambaran kerangka kerja (framework) COBIT secara keseluruhan dapat dilihat pada gambar berikut : Gambar 2.2 Kerangka Kerja COBIT 4.1 (Sumber: Information Technology Governace Institute, 2007)

39 No. ITGI (Information Technology Governance Institue, 2007) memberikan pemetaan tujuan teknologi informasi dan tujuan bisnis berdasarkan standar COBIT menjadi 28 tujuan teknologi informasi dan 17 tujuan bisnis. Tabel 2.8 Pemetaan Tujuan Bisnis dan Tujuan Teknologi Informasi berdasarkan COBIT Tujuan Bisnis 1. Penyediaan pengembalian investasi yang baik dari bisnis yang dibangkitkan teknologi informasi. 2. Pengelolaan resiko bisnis yang terkait dengan teknologi informasi. 3. Peningkatan transparansi dan tata kelola perusahaan. 4. Peningkatan layanan dan orientasi terhadap pelanggan. 24 Tujuan Teknologi Informasi Penawaran produk dan jasa yang kompetitif Penentuan ketersediaan dan kelancaran layanan Penciptaan ketangkasan (agility) untuk menjawab permintaan bisnis yang berubah. 8. Pencapaian optimasi biaya dari penyampaian layanan. 9. Perolehan informasi yang bermanfaat dan handal untuk pembuatan keputusan strategis. 10. Peningkatan dan pemeliharaan fungsionalitas proses bisnis Penurunan biaya proses Penyediaan kepatutan terhadap hukum eksternal, regulasi dan kontrak. 13. Penyediaan kepatutan terhadap kebijakan internal Pengelolaan perubahan bisnis

40 Peningkatan dan pengelolaan produktivitas operasional dan staf. 16. Pengelolaan inovasi produk dan bisnis Perolehan dan pemeliharaan karyawan yang 9 cakap dan termotivasi. Sumber: Sarno, 2009: Menurut (Gondodiyoto, 2007). Suatu organisasi dapat dianggap sukses membangun teknologi informasi dalam suatu kerangka sistem informasi yang lengkap apabila telah memenuhi kriteria ukuran informasi Kriteria ukuran informasi berdasarkan kerangka kerja COBIT agar tercapainya sasaran bisnis, informasi harus memenuhi kriteria yang direferensikan oleh COBIT sebagai berikut : 1. Effectiveness (Efektifitas) : Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten, dapat dipercaya, dan tepat waktu. 2. Efficiency (Efisiensi) : Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis yang optimal). 3. Confidentiality (Kerahasiaan) : Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/ tidak berwenang. 4. Integrity (Integritas) : Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis. 5. Availability (Ketersediaan) : Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait. 6. Compliance (Kepatuhan) : Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis. 7. Reliability (Handal) : Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.

41 45 Menurut Sarno (2009: ).Pengukuran informasi melalui audit teknologi informasi dengan mengacu pada contoh yang baik (best prastice) berdasarkan kerangka kerja COBIT Stakeholder COBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu : a. Manajemen Dengan penerapan COBIT,manajemen dapat terbantu dalam proses penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang tidak dapat diprediksi. b. User Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga. c. Auditor Dengan penerapan COBIT, auditor dapat memeproleh dukungan dalam opini yang dihasilkan dan/atau untuk memberikan saran kepda manajemen atas pengendalian internal yang ada Overview COBIT Secara singkat dapat COBIT memiliki kerangka kerja yang terdiri atas beberapa arahan (guindelines), yakni : I. Control Objectives COBIT terdiri atas 4 tujuan pengendalian tingkat-tinggi (highlevel control objectives), yaitu : 1. Planning and Organization Mencakup strategi, taktik dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis.selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagi perspektif ynag berbeda.terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus ditempatkan di tempat yang semestinya.proses dalam domain ini adalah :

42 46 a. Menetapkan rencana strategi IT b. Menetapkan susunan informasi c. Menetapkan kebijakan teknologi d. Menetapkan hubungan dan organisasi IT e. Mengelola investasi IT f. Mengkomunikasikan arah dan tujuan manajemen g. Mengelola sumberdaya manusia h. Memastikan pemenuhan keperluan pihak eksternal i. Menaksir risiko j. Mengelola proyek k. Mengelola kualitas 2. Acqusition and Implementation Untuk merealisasikan stategi IT, solusi TI perlu diidentifikasi, dikembangkanatau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.langkah-langkah domain ini adalah : a. Mengidentifikasi solusi terotomatisasi b. Mendapatkan dan memelihara software aplikasi c. Mengembangkan dan memelihara prosedur d. Memasang dan mengakui sistem e. Mengelola perubahan 3. Delivery and Support Domain ini berfokus utama pada aspek penyampaian/ pengiriman dari IT.Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan. Proses dalam domain ini adalah :

43 47 a. Menetapkan dan mengelola tingkat pelayaran b. Mengelola pelayanan kepada pihak lain c. Mengelola kinerja dan kapasitas d. Memastikan pelayanan yang kontinyu e. Memastikan keamanan sistem f. Melakukan identifikasi terhadap atribut biaya g. Memberi pelatihan kepada user h. Melayani konsumen IT i. Mengelola konfigurasi/susunan j. Mengelola masalah dan kecelakaan k. Mengelola data l. Mengelola fasilitas m. Mengelola operasi 4. Monitoring and Evaluating Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pendendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber alternatif lainnya. Proses dalam domain ini sebagai berikut : a. Memonitor proses b. Menaksir kecukupan pengendalian internal c. Mendapatkan kepastian yang independen 5. Auditor Guidelines COBIT Berisi sebanyak 318 tujuan tujuan pengendalian yang bersifat rinci(detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

44 48 6. Management Guidelines COBIT Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan. Kerangka kerja COBIT juga memasukkan hal-hal-berikut ini : a. Maturity Models : untuk memetakan status maturity prosesproses TI (dalam 0-5) dibandingkan dengan the best in the class in the industry dan juga international besr practices. b. Critical Success Factors (CSFs) : arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses Ti. c. Key Goal Indicators (KGIs) : kinerja proses-proses TI sehubungan dengan business requirements. d. Key Performance Indicators (KPIs) : kinerja proses-proses TI sehubungan dengan process goal. 7. Konsep Pengendalian COBIT mengadopsi definisi pengendalian dari COSO yaitu : kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki. Sedangkan dalam tujuan pengendalian, COBIT mendefinisikannya sebagai : Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas TI tertentu. COBIT melihat pengendalian dala tiga dimensi berbeda yaitu sumber IT, proses IT, dan kriteria informasi IT. Dimensi pertama mencakup semua asset IT suatu perusahaan, yang dapat diidentifikasikan sebagai berikut : a. Data b. Sistem aplikasi c. Teknologi d. Fasilitas e. Manusia

45 49 Proses IT sebagai dimensi kedua dari COBIT terdiri dari tiga segmen, yaitu : domains,proses, dan aktivitas. Sedangkan dalam dimensi ketiganya COBIT menetapkan kriteria informasi yang berguna dalam mendukung tercapainya tujuan organisasi dengan merujuk pada kebutuhan informasi di organisasi atau perusahaan. COBIT mengkombinasikan beberapa prinsip penyusunan informasi berdasarkan model-model yang sudah ada, dan merumuskan kedalam tiga kategori utama, yaitu : quality, fiduciaryresponsibility dan security. Tiga kategori ini kemudian diuraikan lebih lanjut dalam kriteria-kriteria sebagai berikut : a. Efektifitas b. Efisiensi c. Kerahasiaan d. Integritas e. Ketersediaan f. Kepatuhan g. Keandalan Maturity Models Maturity model adalah suatu cara untuk mengukur bagaimana suatu proses manajemen telah dilakukan. Secara umum, maturity model berguna untuk memampukan perusahaan melakukan branch marking dan identifikasi pembaharuan yang dilakukan. Keuntungan dari pendekatan maturity model ini adalah kemudahan bagi manajemen untuk menempatkan dirinya pada skala tertentu dan menghargai apa yang perlu diikutsertakan jika peningkatan performa diperlukan. Model akan membantu para profesional untuk menjelaskan kepada para manajer dimana manajemen proses TI muncul dan menetapkan target dimana perusahaan harus ada. Maturity yang dapat dipengaruhi oleh business objective perusahaan, lingkungan operasional, dan

46 50 praktik industri. Setiap proses pada CobIT terdapat skala penilaian berdasarkan deskripsi maturity model secara umum dibawah ini : 1) Level 0 Non Existent Benar-benar kurang proses yang sepenuhnya diketahui perusahaan. Perusahaan bahkan belum mengenali isu yang harus dihadapi. 2) Level 1 Initial Ada bukti bahwa perusahaan telah menganalisa isu-isu yang ada dan harus diselesaikan. Namun tidak ada proses yang terstandarisasi dan ada beberapa pendekatan yang bersifat ad-hoc yang cenderung diaplikasikan pada kasus individual atau kasus per kasus. 3) Level 2 Repeatable Proses telah dikembangkan pada tahap dimana prosedur yang sama diikuti oleh beberapa orang yang berbeda pada saat melakukan tugas yang sama. Tidak ada pelatihan formal atau komunikasi setiap individu. Ada kecenderungan untuk bertumpu pada pengetahuan individu sehingga kesalahan cenderung terjadi. 4) Level 3 Defined Process Prosedur telah distandarisasi dan didokumentasi serta dikomunikasikan melalui pelatihan. Namun hal ini diserahkan pelaksanaannya kepada masing-masing individu untuk mengikutinya atau tidak, dan penyimpangan sulit untuk dideteksi. 5) Level 4 Managed Adalah mungkin untuk memonitor dan mengukur kepatuhan terhadap prosedur-prosedur dan melakukan suatu tindakan ketika suatu proses tidak sesuai. 6) Level 5 Optimised Proses telah diperbaiki pada tingkat best practice berdasarkan pada hasil dari peningkatan yang berkelanjutan dan maturity modelling dengan perusahaan lain. TI digunakan pada cara yang terintegrasi ke arus kerja yang telah terotomatisasi, menyediakan perangkat untuk

47 meningkatkan kualitas dan efektivitas sehingga membuat perusahaan cepat beradaptasi. 51 Gambar 2.3 Skala Penilaian proses pada CobIT Pembanding Alat Evaluasi COBIT 1. Pengertian VAL IT (IT Governance Institute (ITGI), 2006) IT Governance Institute (ITGI), lembaga yang mengeluarkan kerangka kerja tata kelola TI, sekitar bulan April 2006 mengeluarkan kerangka kerja pelengkap yang dapat digunakan untuk mengukur nilai TI yang disebut dengan Val IT. Saat ini, Val IT berfokus pada investasi TI baru dan selanjutnya akan dikembangkan hingga meliputi semua layanan dan asset TI. Tujuan inisiatif Val IT meliputi riset, publikasi dan dukungan layanan untuk membantu manajemen memahami nilai investasi TI dan menjamin bahwa organisasi dapat memperoleh nilai optimal atas investasi TI dalam konteks biaya dan resiko yang dapat diterima. Val IT terdiri atas pedoman, proses dan beberapa saran praktis untuk membantu pihak manajemen dan eksekutif untuk memahami dan menjalankan perannya dalam investasi TI. Kriteria Pengukuran Evaluasi VAL IT

48 52 1) Value Governance (VG) a. VG1 Ensure informed and committed leadership b. VG2 Define and implement processes. c. VG3 Define roles and responsibilities. d. VG4 Ensure appropriate and accepted accountability e. VG5 Define information requirements. f. VG6 Establish reporting requirements. g. VG7 Establish organisational structures. h. VG8 Establish strategic direction. i. VG9 Define investment categories. j. VG10 Determine a target portfolio mix. k. VG11 Define evaluation criteria by category. 2. Portfolio Management (PM) a. PM1 Maintain a human resource inventory. b. PM2 Identify resource requirements. c. PM3 Perform a gap analysis. d. PM4 Develop a resourcing plan. e. PM5 Monitor resource requirements and utilisation. f. PM6 Establish an investment threshold. g. PM7 Evaluate the initial programme concept business case. h. PM8 Evaluate and assign a relative score to the programme business case. i. PM9 Create an overall portfolio view. j. PM10 Make and communicate the investment decision. k. PM11 Stage-gate (and fund) selected programmes. l. PM12 Optimise portfolio performance m. PM13 Re-prioritise the portfolio. n. PM14 Monitor and report on portfolio performance 3. Investment Management a. IM1 Develop a high-level definition of investment opportunity. b. IM2 Develop an initial programme concept business case. c. IM3 Develop a clear understanding of candidate programmes.

49 53 d. IM4 Perform alternatives analysis. e. IM5 Develop a programme plan. f. IM6 Develop a benefits realisation plan g. IM7 Identify full life cycle costs and benefits. h. IM8 Develop a detailed programme business case. i. IM9 Assign clear accountability and ownership. j. IM10 Initiate, plan and launch the programme. k. IM11 Manage the programme. l. IM12 Manage/track benefits. m. IM13 Update the business case. n. IM14 Monitor and report on programme performance. o. IM15 Retire the programme. Proses VAL IT Untuk memperoleh hasil sebuah investasi, prinsip Val IT harus diterapkan oleh pihak yang berkepentingan, melalui tiga proses berikut: Value governance(vg) Tujuan VG adalah untuk mengoptimasi nilai yang diperoleh atas investasi IT dengan cara: a. Menetapkan tata kelola, mengontrol dan memonitor kerangka kerjanya. b. Menyediakan arahan strategis bagi investasi c. Mendefinisikan karakteristik portofolio investasi. Portfolio management (PM) Tujuan PM adalah untuk menjamin bahwa semua portofolio investasi IT selaras dan memberikan kontribusi optimal terhadap sasaran strategis organisasi dengan cara: a. Menetapkan dan mengelola profil sumber daya b. Mendefinisikan batasan investasi. c. Mengevaluasi, prioritasi dan memilih, menunda atau menolak investasi baru. d. Mengelola portofolio secara keseluruhan.

50 54 e. Memonitor dan mengevaluasi kinerja portofolio Investment management (IM) Tujuan investment management adalah untuk menjamin bahwa program investasi TI di organisasi dapat memberikan hasil yang optimal dengan biaya yang masuk akal dan dalam batas resiko yang masih dapat diterima, dengan cara: a. Identifikasi kebutuhan bisnis b. Membangun pemahaman yang jelas atas kandidat program investasi c. Menganilisi alternative d. Mendefinisikan program dan mendokumentasikan sebuah business case secara rinci termasuk menguraikan secara jelas dan terinci manfaat program tersebut bagi perusahaan e. Menetapkan kejelasan akuntabilitas dan kepemilikan program. f. Memonitor dan melaporkan kinerja program. Gambar 2.4 Kerangka Kerja VAL IT