BAB 2 LANDASAN TEORI

Transkripsi

1 BAB 2 LANDASAN TEORI 2.1 Teori Umum Pengertian Sistem Informasi Menurut Hall (2013:5), sistem informasi merupakan serangkaian prosedur formal di mana data dikumpulkan, disimpan, diproses menjadi informasi, dan didistribusikan kepada pengguna. Sedangkan menurut Cegielski (2013:12), sistem informasi adalah mengumpulkan, memproses, menyimpan, menganalisis, dan menyebarkan informasi untuk tujuan tertentu. Tujuan sistem informasi adalah untuk mendapatkan informasi yang tepat kepada orang yang tepat, pada waktu yang tepat, dalam jumlah yang tepat, dan dalam format yang tepat. Sistem informasi dimaksudkan untuk memberikan informasi yang berguna, kita perlu membedakan antara informasi dan dua istilah yang terkait erat: data dan pengetahuan. Terdapat 6 komponen dalam sistem informasi, yaitu : - Perangkat Keras - Perangkat Lunak - Database - Jaringan - Kebijakan - Manusia Jadi dapat ditarik kesimpulan bahwa sistem informasi adalah serangkaian prosedur formal di mana data dikumpulkan, disimpan, dianalisis, dan diproses menjadi informasi yang dapat disebarkan untuk tujuan tertentu Pengertian Teknologi Informasi Menurut Weickgenannt (2013:8), teknologi informasi (TI) adalah sebagai komputer, peralatan pendukung, perangkat lunak, layanan, dan sumber daya terkait yang diterapkan untuk mendukung proses bisnis. Dengan adanya teknologi informasi pada sebuah organisasi 9

2 10 dapat mendukung enam tujuan bisnis, yaitu: menaikan produktivitas, mengurangi biaya, mempercepat pembuatan keputusan, memfasilitasi kerjasama, meningkatkan customer relationship, mengembangkan strategi aplikasi baru. Sedangkan menurut Rainer (201:17), TI berhubungan dengan semua alat berbasis komputer yang digunakan orang untuk bekerja dengan informasi dan mendukung informasi dan kebutuhan pengolahan informasi organisasi. Jadi dapat ditarik kesimpulan bahwa teknologi informasi adalah jaringan dari semua sistem informasi yang digunakan oleh sebuah organisasi untuk bekerja dengan informasi dan mendukung informasi dan kebutuhan pengolahan informasi organisasi Pengertian Hardware Menurut Cegielski (2013:13), hardware terdiri dari perangkat seperti prossesor, monitor, keyboard, dan printer yang secara bersama-sama perangkat ini menerima, mengolah, dan menampilkan data dan informasi. Sedangkan menurut O Brien (2009:117), komponen hardware termasuk perangkat input dan output seperti sebuah CPU, dan perangkat penyimpanan primer dan sekunder. Jadi dapat ditarik kesimpulan bahwa Hardware (Perangkat Keras) perangkat yang terdiri dari prosessor, monitor, keyboard, dan printer yang termasuk perangkat input dan output Pengertian Software Menurut Cegielski (2013:13), perangkat lunak/software adalah program atau kumpulan program yang memungkinkan perangkat keras untuk memproses data. Sedangkan menurut O Brien (2009:126), software adalah istilah umum untuk berbagai jenis program yang digunakan untuk mengoperasikan dan memanipulasi komputer pada perangkat periferal mereka. Jadi dapat ditarik kesimpulan bahwa software adalah suatu program yang memungkinkan perangkat keras untuk memproses data dalam mengoperasikan dan memanipulasi komputer pada perangkat periferal mereka.

3 Pengertian Jaringan Komputer Menurut Cegielski (2013:149), jaringan komputer adalah sistem yang menghubungkan komputer dan perangkat lain (misalnya, printer) melalui media komunikasi sehingga data dan informasi dapat ditransmisikan antara mereka. Sedangkan menurut Sofana (2013:3), jaringan komputer merupakan kumpulan beberapa komputer (dan perangkat lainnya seperti router,switch, dan sebagainya) yang saling terhubung satu sama lain melalui media perantara. Media perantara bisa berupa media kabel ataupu media tanpa kabel (nirkabel). Jadi dapat ditarik kesimpulan bahwa Jaringan Komputer adalah sistem yang menghubungkan komputer dengan perangkat lain melalui suatu media perantara yang dilakukan antara satu dengan yang lain Pengertian Internet Menurut Turban (2010:121), Internet interkoneksi jaringan komputer skala besar yang dihubungkan menggunakan protokol khusus yang berfungsi sebagai mekanisme transportasi. Koneksi antar jaringan dapat dilakukan dengan dukungan protokol yang khas, yaitu TCP/IP (Transmission Control Protocol/ Internet Protocol). Sedangkan menurut O Brien (2009:217), internet adalah fenomena revolusioner dalam komputasi dan telekomunikasi. Internet telah menjadi jaringan terbesar dan paling penting dari jaringan saat ini dan telah berkembang menjadi superhighway informasi global. Jadi dapat ditarik kesimpulan bahwa internet merupakan interkoneksi jaringan komputer skala besar yang dihubungkan menggunakan sebuah protokol yang disebut TCP/IP yang telah terevolusioner dalam komputer dan telekomunikasi informasi global Pengertian Intranet Menurut O Brien (2009:221), intranet adalah jaringan di dalam sebuah organisasi yang menggunakan teknologi Internet (seperti Web browser dan server, protokol jaringan TCP/IP, HTML hypermedia dokumen penerbitan dan database, dan sebagainya) untuk

4 12 menyediakan lingkungan Internet seperti dalam perusahaan untuk berbagi informasi, komunikasi, kolaborasi dan dukungan dari proses bisnis. Intranet dilindungi oleh langkah-langkah keamanan seperti password, enkripsi, dan firewall sehingga dapat diakses melalui oleh para pengguna melalui internet. Sedangkan menurut Turban (2010:122), intranet adalah jaringan yang dirancang untuk melayani kebutuhan informasi internal perusahaan, dengan menggunakan alat internet. Intranet menyediakan kemudahan dan browsing yang murah. Jadi dapat ditarik kesimpulan intranet adalah jaringan yang dirancang untuk melayani kebutuhan informasi internal perusahaan yang menggunakan teknologi Internet Pengertian Extranet Menurut O Brien (2009:223), extranet adalah link jaringan yang menggunakan teknologi internet untuk menghubungkan intranet dari bisnis dengan intranet dari pelanggan, pemasok, atau mitra bisnis lainnya. Sedangkan menurut Cegielski (2013:157), extranet menghubungkan bagian dari intranet organisasi yang berbeda. Memungkinkan mitra bisnis untuk berkomunikasi secara aman melalui internet dengan menggunakan jaringan virtual private. Jadi dapat disimpulkan extranet merupakan internet jaringan yang dikontrol dengan menggunakan password untuk private user daripada general public untuk dapat berkomunikasi secara aman dengan menggunakan jaringan virtual private Pengertian Virtual Private Network (VPN) Menurut Cegielski (2011:108) Virtual Private Network adalah jaringan pribadi yang menggunakan jaringan publik (biasanya adalah Internet) untuk menghubungkan sesama pengguna. VPN mengintegrasikan konektivitas global internet dengan keamanan jaringan pribadi dan dengan demikian memperluas jangkauan jaringan organisasi. VPN memiliki beberapa kelebihan yaitu dengan VPN dapat mengizinkan remote user untuk mengakses ke jaringan perusahaan dan VPN juga memberikan kemudahan bagi organisasi

5 13 untuk dapat memberlakukan kebijakan keamanan bagi organisasi. Jadi dapat ditarik kesimpulan bahwa Virtual Private Network adalah jaringan pribadi yang menggunakan jaringan publik untuk menghubungkan dan memperluas jangkauan jaringan organisasi Teori Local Area Network Menurut Cegielski (2013:149), Local Area Network (LAN) menghubungkan dua atau lebih perangkat di wilayah geografis yang terbatas, biasanya dalam gedung yang sama, sehingga setiap perangkat di dalam jaringan dapat berkomunikasi dengan setiap perangkat lain. Sedangkan menurut O Brien (2009:223), LAN menghubungkan komputer dan perangkat pengolahan informasi lain dalam area fisik yang terbatas, seperti kantor, ruang kelas, bangunan, atau tempat kerja lainnya. LAN menyediakan kemampuan jaringan telekomunikasi yang menghubungkan pengguna akhir di kantorkantor, departemen, dan kelompok kerja lainnya. Jadi dapat ditarik kesimpulan Local Area Network adalah jaringan lokal yang menghubungkan dua atau lebih komputer pada perangkat pengolahan informasi lain dalam area fisik yang terbatas yang digunakan untuk menyediakan kemampuan jaringan telekomunikasi yang menghubungkan pengguna akhir di kantor-kantor, departemen, dan kelompok kerja lainnya Teori Wide Area Networks Menurut Cegielski (2013:151), Wide Area Network (WAN) adalah jaringan yang mencakup area geografis yang luas. Sedangkan menurut O Brien (2009 : 223), WAN adalah jaringan telekomunikasi yang mencakup wilayah geografis yang luas. Jaringan ini telah menjadi kebutuhan untuk melaksanakan hari untuk kegiatan hari banyak bisnis dan organisasi pemerintah dan pengguna akhir mereka. Jadi Wide Area Network adalah jaringan telekomunikasi yang mencakup wilayah geografis yang luas.

6 Pengertian Website Menurut Cegielski (2013:165), sebuah website adalah berbasis web, gerbang personal menuju informasi dan pengetahuan yang memberikan informasi yang relevan dari sistem TI yang berbeda dan internet dengan menggunakan teknik pencarian dan pengindeksan yang maju. Corporate website menawarkan satu poin akses personal melalui web browser untuk informasi bisnis penting yang terletak di dalam dan di luar organisasi. Jadi dapat ditarik kesimpulan bahwa website adalah gerbang personal menuju informasi dan pengetahuan yang memberikan informasi yang relevan dari sistem TI yang berbeda Pengertian UML Menurut Lee (2012:157), Unified Modeling Language merupakan notasi standar dalam mengembangkan metodologi desain berorientasi obyek untuk aplikasi komputer. UML adalah alat untuk menentukan sistem perangkat lunak yang mencakup diagram standar untuk mendefinisikan, menggambarkan dan memetakan secara visual atau memodelkan desain perangkat lunak sistem dan struktur. Diagram UML termasuk menggunakan Usecase Diagram, Class Diagram, Sequence Diagram, Statechart Diagram, Activity Diagram, Component Diagram, dan Deployment Diagram. Sedangkan menurut Wixom (2013:511), UML adalah untuk menyediakan kosakata umum istilah berbasis obyek dan teknik diagram yang cukup kaya untuk model setiap proyek pengembangan sistem dari analisis untuk merancang. Jadi dapat disimpulkan bahwa UML adalah notasi standar yang digunakan dalam desain untuk pelaksanaan setiap sistem dan perangkat lunak arsitektur serta membantu mencapai persyaratan fungsional dan non-fungsional dari sistem Teori Rich Picture Menurut penelitian dari Stenlund dalam Using Grounded Theory Methodology and Rich Picture Diagrams in Analyzing Value Creation in Houses of Culture Projects in Sweden (2010: 18), That s rich

7 15 picture diagrams are tools suitable for analyzing complex building process, yang artinya rich picture adalah alat yang sesuai untuk menganalisa berbagai pembentukan proses bisnis yang kompleks Teori Event Table Menurut Rama (2008:3), event adalah kejadian yang terjadi pada suatu waktu tertentu yang terdiri dari satu atau lebih objek. Sebuah event table dihasilkan dari aktivitas-aktivitas dari class. Bagian horizontal berisi class yang terpilih, bagian vertical berisi event-event. Jadi dapat disimpulkan bahwa event table adalah suatu proses mengidentifikasi aktivitas-aktivitas yang terjadi dalam suatu rangkaian sistem yang berjalan dalam perusahaan Teori Overview Activity Diagram Menurut Rama (2008:79), Overview Activity Diagram menyajikan suatu pandangan tingkat tinggi dari proses bisnis dengan mendokumentasikan kejadian-kejadian penting, urutan kejadiankejadian ini, dan aliran informasi antar kejadian. Overview Activity Diagram bermanfaat dalam memahami kejadian-kejadian penting pada suatu proses bisnis, tanggung jawab atas kejadian ini, dan perpindahan informasi antar kejadian. Menurut Rama (2008 : 85), dalam menyiapkan overview activity diagram terdapat langkahlangkah sebagai berikut : a. Membaca narasi dan mengidentifikasi event-event yang penting. b. Mencatat narasi secara jelas untuk mengidentifikasi eventevent yang terlibat di dalamnya. c. Menggambarkan agent (aktor) yang terlibat dalam proses bisnis yang terjadi. d. Membuat diagram event-event dan menunjukkan urutan event yang terjadi. e. Menggambarkan dokumen yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari dokumen tersebut.

8 16 f. Menggambarkan table files yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari files tersebut. Jadi dapat ditarik kesimpulan bahwa overview activity diagram adalah sekumpulan aliran aktivitas yang digambarkan dalam suatu diagram yang dimulai dari proses bisnis yang penting menuju ke proses bisnis yang biasa secara berurutan Teori Detailed Activity Diagram Menurut Rama (2008:110), detailed activity diagram adalah diagram aktivitas UML yang menyediakan penyajian terperinci dari aktivitas yang berhubungan dengan satu atau dua kejadian yang ditunjukkan di dalam overview diagram. Detailed activity diagram menunjukkan informasi mengenai aktivitas dalam suatu kejadian spesifik. Untuk membuat sebuah detailed activity diagram perlu untuk mengidentifikasi aktivitas individu dalam setiap kejadian. Jadi dapat disimpulkan bahwa detailed activity diagram merupakan diagram aktivitas UML yang menyediakan penyajian terperinci dari aktivitas dalam suatu kejadian spesifik Teori Workflow Menurut Rainer (2011:169), workflow adalah pergerakan informasi yang mengalir melalui urutan langkah-langkah yang membentuk suatu prosedur kerja organisasi. Sedangkan menurut Rama (2008:111), workflow adalah tabel dengan dua kolom yang mengidentifikasikan para pelaku dan tindakan yang dilakukannya dari sebuah proses. Para pelaku yang melaksanakan aktivitas spesifik didaftarkan di dalam kolom pada sisi kiri. Aktivitas terkait didaftarkan pada sisi kanan. Aktivitas didaftarkan dengan menggunakan kata kerja aktif. Jadi dapat disimpulkan bahwa workflow adalah sebuah tabel sederhana dua kolom yang mengidentifikasikan pergerakan informasi yang mengalir melalui urutan langkah-langkah bagi para pelaku dan tindakan yang dilakukannya dari sebuah proses.

9 Teori Entity Relationship Diagram Menurut Hall (2013:49), ERD (Entity Relationship Diagram) adalah teknik dokumentasi yang digunakan untuk mewakili hubungan antara entitas bisnis. Entitas berlaku untuk suatu hal dimana organisasi menangkap data. Suatu entitas mungkin sumber daya fisik, suatu peristiwa, atau agen. Sedangkan menurut Roth (2013:224), ERD (Entity Relationship Diagram) adalah gambar yang menunjukkan informasi yang dibuat, disimpan, dan digunakan oleh sistem bisnis. Pada ERD, jenis yang sama dari informasi yang tercantum bersama-sama dan ditempatkan di dalam kotak yang disebut entitas. Garis ditarik antara entitas untuk mewakili hubungan antar data, dan simbol khusus ditambahkan ke diagram untuk berkomunikasi aturan bisnis tingkat tinggi yang perlu didukung oleh sistem. Jadi dapat disimpulkan bahwa Entity Relationship Diagram yaitu teknik dokumentasi yang digunakan untuk menunjukkan informasi yang dibuat, disimpan, dan digunakan oleh entitas bisnis Pengertian Siklus Pendapatan Menurut Rama (2008:23), siklus pendapatan mengacu pada proses menyediakan barang dan jasa untuk para pelanggan. Siklus pendapatan dari jenis organisasi yang berbeda dapat saja sama dan mencakup didalamnya sebagian atau semua kegiatan berikut ini : 1. Merespon permintaan informasi dari pelanggan. 2. Membuat perjanjian dengan para pelanggan untuk menyediakan barang dan jasa di masa mendatang. Contoh perjanjiannya adalah Purchased Order& Sales Order. 3. Menyediakan jasa atau mengirim barang ke pelanggan. 4. Melakukan penagihan ke pelanggan. Perusahaan akan mengakui klaimnya terhadap pelanggan dengan mencatat piutang dan menagih pelanggan. 5. Melakukan penagihan uang. 6. Menyetorkan uang ke bank. 7. Menyusun laporan Contohnya adalah laporan daftar pesanan, daftar pengiriman, dan daftar penerimaan kas.

10 18 Menurut Speer (2012:399), penjualan di dalam siklus pendapatan adalah dokumen formal yang disusun dengan menggunakan formulir pemesanan pelanggan yang berupa satu salinan dokumen tersebut juga siap untuk memulai pengiriman dan menerima pembayaran dari pelanggan. Pesanan penjualan disiapkan oleh penjual dalam penjualan unit. Jadi dapat ditarik kesimpulan bahwa siklus pendapatan mengacu pada proses menyediakan barang dan jasa untuk para pelanggan dengan menyertakan dokumen formal yang disusun dengan menggunakan formulir pemesanan pelanggan Pengertian Penjualan Kredit Menurut Anggadini (2011:165), penjualan kredit adalah aktivitas penjualan yang menimbulkan tagihan/klaim/piutang kepada pembeli sehingga penjual tidak menerima uang tunai pada saat barang diserahkan kepada pembeli. Sedangkan menurut Vini Mariani (2011: 274), penjualan kredit dan piutang merupakan dua hal yang tidak dapat dipisahkan, karena penjualan kredit akan selalu menimbulkan piutang. Tidak ada atau lemahnya pengendalian internal dalam sistem akuntansi penerimaan kas akan berakibat semakin besarnya resiko kerugian yang akan ditanggung perusahaan akibat tak tertagihnya piutang maupun penyimpangan atau kecurangan akan yang mengakibatkan terancamnya kelangsungan hidup perusahaan. Untuk itu diperlukan adanya pengendalian internal yang baik untuk mendukung sistem akuntansi ketiganya. Prosedur penjualan kredit terdiri dari aktivitas : a. Permintaan informasi persediaan barang/jasa b. Penerimaan pesanan penjualan c. Pengecekan persediaan dan harga d. Persetujuan kredit e. Pengambilan barang/persediaan f. Pembuatan faktur penjualan g. Pengiriman barang

11 19 h. Pencatatan transaksi i. Penagihan Jadi dapat ditarik kesimpulan bahwa penjualan kredit menimbulkan piutang dan keduanya merupakan hal yang tidak bisa dipisahkan dan juga penjualan barang dagang yang dilakukan secara tidak tunai dan dicatat sebagai debit pada perkiraan piutang dagang dan kredit pada perkiraan penjualan. 2.2 Teori Khusus Pengertian Risiko Menurut Peltier (2005:16), risiko merupakan fungsi dari kemungkinan yang mengidentifikasikan ancaman yang akan terjadi, dan kemudian dampak bahwa ancaman akan terjadi pada proses atau misi dari aset dalam bisnis. Sedangkan Istiningrum (2011:2), risiko mengandung tiga unsur pembentuk risiko, yaitu (i) kemungkinan kejadian atau peristiwa, (ii) dampak atau konsekuensi jika terjadi, risiko akan membawa akibat atau konsekuensi, dan (iii) kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas). Jadi dapat ditarik kesimpulan bahwa risiko adalah kemungkinan yang mengidentifikasikan ancaman yang akan terjadi dalam bisnis yang dapat menimbulkan kerugian Komponen Risiko Menurut Arens (2012:281), komponen risiko adalah sebagai berikut: 1. Risiko Deteksi yang Direncanakan (Planned Detection Risk) Risiko bahwa bukti audit untuk segmen akan gagal mendeteksi salah saji yang melebihi toleransi. 2. Risiko Audit yang Dapat Diterima (Acceptable Audit Risk) Ukuran tentang kesediaan auditor untuk menerima bahwa laporan keuangan mungkin disalahsajikan secara material setelah audit selesai dan pendapat wajar tanpa pengecualian telah dikeluarkan. 3. Risiko Inheren (Inherent Risk)

12 20 Ukuran penilaian auditor tentang kemungkinan bahwa ada salah saji yang material dalam suatu segmen sebelum mempertimbangkan keefektifan pengendalian internal. 4. Risiko Pengendalian (Control Risk) Ukuran penilaian auditor mengenai kemungkinan bahwa salah saji melampaui jumlah yang dapat ditoleransi dalam suatu segmen tidak akan tecegah atau terdeteksi oleh pengendalian internal klien Upaya Penanggulangan Risiko Menurut Yasa (2013:33), tindakan yang dilakukan untuk mengurangi risiko yang muncul disebut mitigasi/ penanganan risiko (risk mitigation). Tindakan yang dapat dilakukan dalam menangani risiko yaitu : 1. Menahan Risiko (Risk Retention) Tindakan ini dilakukan karena dampak dari suatu kejadian yang merugikan masih dapat diterima (acceptable). 2. Mengurangi Risiko (Risk Reduction) Mengurangi risiko dilakukan dengan mempelajari secara mendalam risiko tersebut, dan melakukan usaha-usaha pencegahan pada sumber risiko atau mengkombinasikan usaha agar risiko yang diterima tidak terjadi secara simultan. 3. Memindahkan Risiko (Risk Transfer) Dilakukan dengan cara mengansuransikan risiko baik sebagian atau seluruhnya kepada pihak lain. 4. Menghindari Risiko (Risk Avoidance) Dilakukan dengan menghindari aktivitas yang tingkat kerugiannya tinggi Risiko Teknologi Informasi Kategori Risiko Teknologi Informasi Menurut Hughes (2006:34), kategori risiko teknologi informasi antara kehilangan informasi potensial

13 21 dan pemulihannya, antara lain : 1. Security Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berotoritas. Ini merupakan kejahatan komputer, kebocoran internal dan terorisme cyber. 2. Availability Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem, karena kesalahan manusia, perubahan konfigurasi, kurangnya pengurangan arsitektur atau akibat lainnya. 3. Recoverability Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup setelah sebuah kejadian keamanan atau ketersediaan seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau bencana alam. 4. Performance Risiko dimana informasi tidak tersedia saat diperlukan yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. 5. Scalability Risiko perkembangan bisnis, peraturan bottleneck, dan bentuk arsitekturnya membuat tidak mungkin menangani banyak aplikasi baru dan biaya bisnis yang efektif. 6. Compliance Risiko yang manajemen atau pengginaan informasinya melanggar keperluan regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah, panduan pengaturann korporat dan kebijakan internal.

14 Penilaian Risiko Pengertian Penilaian Risiko Menurut Peltier (2005:16), penilaian risiko adalah proses kedua dalam manajemen siklus hidup risiko. Organisasi menggunakan penilaian risiko untuk menentukan ancaman apa yang ada untuk suatu aset dan tingkat risiko terkait ancaman itu. Prioritas ancaman (penentuan tingkat resiko) memberikan organisasi berupa informasi yang diperlukan untuk memilih tindakan yang tepat kontrol, perlindungan, atau tindakan untuk menurunkan risiko ke tingkat yang dapat diterima. Organisasi harus menetapkan ambang batas dari risiko yang dapat diterima dan melaksanakan penanggulangan yang memadai untuk mengurangi risiko ke tingkat yang ditentukan manajemen. Setiap kali penilaian risiko yang akan dilakukan, profesional manajemen risiko harus bertemu dengan klien untuk menentukan apa yang dikaji, apa jenis elemen risiko yang harus diperiksa, dan apa yang klien perlu sebagai penyampaian atau hasil dari proses. Tujuan dari proses penilaian risiko adalah untuk menentukan dampak ancaman terhadap aset informasi berdasarkan : 1. Integritas (Integrity) Segala macam informasi tanpa adanya modifikasi yang tidak sah (asli). Beberapa contoh dari ancamannya yaitu menggunakan/ menghasilkan laporan yang salah, memodifikasi/mengganti bebrapa informasi, salah mengartikan informasi, dsb. 2. Kerahasiaan (Confidentiality) Informasi yang ada diperusahaan bersifat rahasia dan hanya pihak yang berwenang yang dapat mengakses dari informasi tersebut. Beberapa contoh dari ancamannya yaitu penyalahgunaan hak akses oleh yang tidak berwenang, memberikan informasi tanpa

15 23 seizin pihak yang berwenang, mengawasi transaksi, dsb. 3. Ketersediaan sumber daya informasi (Availability) Aplikasi, sistem, atau sumber informasi yang diperlukan oleh perusahaan tersedia saat dibutuhkan. Beberapa contoh dari ancamannya yaitu perusakan informasi, menunda ketersediaan akses informasi, bencana besar ( kebakaran, banjir,dsb) Proses Penilaian Risiko Menurut Moteff (2004:2), penilaian risiko melibatkan integrasi ancaman, kerentanan, dan informasi konsekuensi. Manajemen risiko melibatkan memutuskan langkah-langkah protektif untuk mengambil berdasarkan disepakati strategi pengurangan risiko. Banyak model / metodologi yang telah dikembangkan dimana ancaman, kerentanan, dan risiko yang terintegrasi dan kemudian digunakan untuk menginformasikan alokasi sumber daya untuk mengurangi risiko tersebut. Sedangkan menurut Peltier (2005:16), organisasi menggunakan penilaian risiko untuk menentukan apa ancaman yang ada untuk suatu aset dan tingkat risiko yang terkait ancaman itu. Ancaman prioritas (penentuan tingkat risiko) memberikan organisasi dengan informasi yang dibutuhkan untuk memilih tindakan kontrol yang tepat, perlindungan, atau tindakan untuk menurunkan risiko ke tingkat yang dapat diterima. Terdapat 6 langkah dalam proses penilaian risiko, yaitu : 1. Mengidentifikasi aset 2. Mengidentifikasi, mengkarakterisasi, dan menilai ancaman Sebuah sumber ancaman didefinisikan sebagai keadaan atau peristiwa dengan potensi untuk

16 24 menyebabkan kerusakan pada aset. Biasanya, ada tiga kategori utama dari sumber ancaman : a. Natural Threats : Banjir, gempa bumi, tornado, tanah longsor, longsoran, badai listrik, dan acara lain. b. Human Threats : Tindakan yang dimulai atau disebabkan oleh manusia, seperti tindakan yang tidak disengaja (kesalahan dan kelalaian) atau tindakan yang disengaja (fraud, perangkat lunak berbahaya, akses yang tidak sah ). c. Environmental Threats : Listrik padam jangka panjang, polusi, tumpahan bahan kimia, kebocoran cairan. 3. Menentukan probabilitas kejadian Terdapat 3 level dalam menentukan kemungkinan terjadinya ancaman, yaitu : a. High : Sangat mungkin bahwa ancaman akan terjadi dalam tahun depan. b. Medium : Kemungkinan bahwa ancaman mungkin terjadi selama tahun depan. c. Low : Rendah probabilitas - Sangat tidak mungkin bahwa ancaman akan terjadi selama tahun depan. 4. Menentukan dampak dari ancaman Terdapat 3 level dalam menentukan dampak ancaman, yaitu : a. High Impact : Mematikan unit bisnis penting yang mengarah ke kerugian yang signifikan dari bisnis, citra perusahaan, atau keuntungan. b. Medium Impact : Gangguan proses kritis atau sistem yang mengakibatkan kerugian

17 25 keuangan yang terbatas untuk unit bisnis tunggal. c. Low Impact : Gangguan tanpa kehilangan keuangan. 5. Merekomendasikan pengendalian Mengidentifikasi kontrol atau perlindungan yang mungkin bisa menghilangkan risiko, atau setidaknya mengurangi risiko ke tingkat yang dapat diterima. 6. Mendokumentasikan hasil Penilaian Risiko Teknologi Informasi Berdasarkan penelitian yang kami lakukan, maka ditemukan metode pengukuran risiko teknologi informasi, yaitu dengan pendekatan FRAAP Pengertian FRAAP (Facilitated Risk Analysis & Assessment Process) Menurut Peltier (2005:132), FRAAP (Facilitated Risk Analysis& Assessment Process) merupakan metodologi formal yang dikembangkan melalui pemahaman dalam proses penilaian risiko kualitatif dan dimodifikasi untuk memenuhi kebutuhan bisnis. FRAAP telah dikembangkan sebagai proses yang efisien dan disiplin untuk memastikan bahwa informasi terkait risiko keamanan untuk operasi bisnis dipertimbangkan dan didokumentasikan. Proses ini melibatkan menganalisis satu sistem, platform aplikasi, proses bisnis, atau segmen operasi bisnis pada suatu waktu. Dengan menggunakan FRAAP diharapkan proses analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan dan juga diperlukan. Selama sesi FRAAP, tim mengungkapkan pendapat tentang ancaman yang potensial, vulnerability, dan hasil dari dampak negatif pada integritas data, confidentiality, serta

18 26 availability. Kemudian tim akan menganalisis pengaruh dampak tersebut terhadap operasi bisnis dan secara luas mengkategorikan risiko menurut prioritas levelnya. Tim biasanya tidak mencoba untuk mendapatkan atau mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau perkiraan kerugian tahunan meskipun data untuk menentukan faktor-faktor tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan literatur, dan pengalaman mereka sendiri. Setelah mengidentifikasi dan mengkategorikan risiko, tim mengidentifikasi pengendalian yang dapat diimplementasikan untuk mengurangi risiko, berfokus pada pengendalian yang paling efektif dari segi biaya. Tim akan menggunakan titik awal dari 34 kontrol umum yang dirancang untuk mengatasi berbagai jenis risiko. Pada akhirnya, keputusan seperti apa yang dibutuhkan terkait pengendalian terletak pada manajer bisnis yang mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi bisnis dan biaya pengendalian. Kesimpulan tim mengenai risikorisiko apa yang ada, bagaimana prioritasnya, dan pengendalian apa yang yang dibutuhkan, didokumentasikan dan dikirim kepada pimpinan proyek dan manajer bisnis untuk menyelesaikan action plan Tahapan FRAAP Menurut Peltier (2005:131), pendekatan FRAAP (Facilitated Risk Analysis & Assessment Process) adalah bentuk pendekatan analisis risiko kualitatif yang paling banyak digunakan saat ini. FRAAP terdiri dari 3 tahapan, yaitu : 1. Pre-FRAAP Meeting Pre-FRAAP meeting ini merupakan kunci sukses dalam suatu proyek. Pada tahap ini

19 27 pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien. Ada 6 komponen utama yang muncul dari sesi ini : a. Hasil Penyaringan (Prescreening Results) Tidak setiap aplikasi, proses bisnis, atau sistem perlu memiliki proses penilaian risiko formal maupun analisis dampak bisnis yang dilakukan. Apa yang dibutuhkan adalah sebuah metodologi formal yang enterprisewide yang memungkinkan untuk penyaringan aplikasi dan sistem untuk menentukan kebutuhan. Ketika mengembangkan metodologi penyaringan, yang terbaik adalah mulai dengan pemahaman yang jelas tentang apa tujuan atau misi dari perusahaan bisnis. Dengan menggunakan informasi ini sebagai dasar, dapat mengembangkan sejumlah pertanyaan yang dapat diselesaikan oleh pemimpin proyek dan manajer bisnis dalam pre-fraap meeting. Pertanyaanpertanyaan ini akan memungkinkan fasilitator dan pemilik untuk menentukan apakah penilaian risiko formal maupun analisis dampak bisnis harus diselesaikan. Hasil penyaringan dapat mengubah kebutuhan untuk melakukan penilaian risiko. Tabel 2.1 Contoh Prescreening Impact Information Description Longest

20 28 Value Classification Level Tolerable Outage 1 Top Secret Informasi yang rahasia, yang jika 24 Jam diungkapkan, bisa menimbulkan dampak parah pada perusahaan keunggulan kompetitif atau bisnis strategi 2 Confidential Informasi yang jika diungkapkan, bisa melanggar privasi individu, Jam mengurangi keunggulan kompetitif, atau merusak perusahaan 3 Restricted Informasi yang tersedia untuk bagian spesifik dari 3 5 Hari populasi karyawan ketika melakukan bisnis perusahaan 4 Internal Use Informasi yang dimaksudkan untuk digunakan oleh seluruh 6 9 Hari karyawan ketika melakukan bisnis perusahaan 5 Public Informasi yang ada tersedia bagi publik 10 hari - 12 hari b. Ruang Lingkup Pemimpin proyek dan manajer bisnis membuat pernyataan mengenai peluang-peluang yang ada untuk kemudian ditinjau. c. Model Visual Pembuatan diagram proses (gambaran) mengenai pernyataan ruang lingkup untuk ditinjau kembali. Model visual digunakan selama sesi FRAAP untuk

21 29 memperkenalkan tim dengan dimana proses dimulai dan berakhir. d. Pembentukan Tim FRAAP Membangun tim FRAAP yang terdiri atas orang anggota yang berhubungan dengan sistem yang terkait seperti : functional owners, system user, system analyst, application programming, database administration, processing operation management, system administrator, system programming, dan information security. e. Pertemuan Teknis Manager bisnis bertanggung jawab dalam menyediakan ruangan meeting, menyusun jadwal, dan juga menyiapkan bahan-bahan yang dibutuhkan. f. Persetujuan Definisi (Agreement of Definition) Dalam sesi pre-fraap dibutuhkan persetujuan terhadap definisi FRAAP. Persetujuan tersebut haruslah berdasarkan pada adanya threat, control,probability dan impact. Selain itu perlu juga menyepakati definisi dari elemen review (integritas, kerahasiaan,ketersediaan). 2. FRAAP Session Pada tahap ini pertemuan biasanya berlangsung selama empat jam. Komponen-komponen yang muncul dari tahap ini diantaranya adalah:

22 30 a. Identifikasi Ancaman Mengidenifikasi risiko yang mungkin terjadi pada sistem bisnis perusahaan. b. Prioritas Risiko Menentukan risiko utama dari semua risiko yang mungkin terjadi (yang memilki ancaman terbesar). Berikut adalah tabel definisi yang digunakan untuk mengidentifikasi tingkat risiko. Tabel 2.2 Definisi Kemungkinan (Probability) dalam FRAAP Kemungkinan High Medium Low Deskripsi Kemungkinan bahwa suatu peristiwa akan terjadi atau nilai kerugian yang spesifik Sangat mungkin bahwa ancaman akan terjadi dalam tahun depan Kemungkinan bahwa ancaman akan terjadi dalam tahun depan Tidak mungkin bahwa ancaman akan terjadi dalam tahun depan Tabel 2.3 Definisi Dampak (Impact) dalam FRAAP Dampak High Medium Low Deskripsi Sebuah ukuran besarnya kerugian atau kerusakan pada nilai suatu aset cenderung menempatkan perusahaan di luar dari bisnis atau sangat merusak prospek usaha dan pembangunan. akan menyebabkan kerusakan yang signifikan dan biaya, namun perusahaan akan bertahan. operasional yang diharapkan mampu dikelola sebagai bagian dari business life cycle.

23 31 c. Memberikan saran pengendalian (Suggested Controls) Memberikan solusi pengendalian untuk meminimalisir risiko dan juga ancaman yang mungkin terjadi. Berikut merupakan Matriks Prioritas dalam menganalisa aksi dan pengendalian yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kemungkinan ancaman yang dapat terjadi pada sistem perusahaan. IMPACT High Medium Low High A B C Medium B B C Low C C D Keterangan: A Tindakan perbaikan harus diimplementasikan B Tindakan perbaikan yang diusulkan C Membutuhkan pemantauan D Tidak ada tindakan yang diperlukan Gambar 2.1 FRAAP Risk Level Matrix Setelah tingkat risiko telah ditetapkan, maka dilakukan dokumentasi pengendalian apa saja yang perlu diterapkan untuk menanggulangi ancamanancaman yang ditemukan. Proses selanjutnya yang dilakukan adalah menentukan pengendalian yang diusulkan (suggested control) atas risiko yang terjadi. Suggested control dilakukan untuk

24 32 mengurangi tingkat kerentanan pada sistem yang digunakan pada perusahaan. Sehingga risiko yang terjadi di perusahaan dapat berkurang. Selain itu, Suggested control juga dilakukan untuk memberikan saran kepada perusahaan mengenai kontrol yang perlu ditambahkan. Berikut ini merupakan tabel daftar pengendalian berdasarkan kelas pengendalian yang ada menurut Peltier (2005:176) : Tabel 2.4 Definisi Kontrol Menurut Organisasi IT dan Kelompok yang Mendukung Proses Bisnis Nomor Kelompok Pengendalian TI 1 Pengendalian Operasi 2 Pengendalian Operasi 3 Pengendalian Operasi Descriptor Definisi Backup Persyaratan backup akan ditentukan dan dikomunikasikan dengan operasi, termasuk pemberitahuan elektronik di mana backup telah selesai, dapat dikirim ke administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup. Rencana Pemulihan Pengembangan, dokumen,dan pengetesan prosedur pemulihan yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan. Analisa Risiko Melakukan analisa risiko untuk menentukan tingkat ancaman, dan mengidentifikasi kemungkinan perlindungan dan pengendalian.

25 33 4 Pengendalian Operasi 5 Pengendalian Operasi 6 Pengendalian Operasi 7 Pengendalian Operasi 8 Pengendalian Operasi 9 Pengendalian Operasi 10 Pengendalian Operasi 11 Pengendalian Operasi Antivirus (1) Memastikan bahwa administrator LAN menerapkan antivirus sesuai standar perusahaan pada semua komputer. (2) Pelatihan dan kesadaran teknik pencegahan virus akan diterapkan ke dalam program perlindungan informasi organisasi. Depensi Antarmuka Sistem yang membutuhkan informasi akan diidentifikasi dan dikomunikasikan dengan proses operasi dalam upaya penekanan dampak atas kesalahan aplikasi. Pemeliharaan Persyaratan waktu untuk pemeliharaan teknis akan diteliti dan permintaan untuk penyesuaian akan dikomunikasikan kepada pihak manajemen. Service level Agreement Pemeliharaan Manajemen Perubahan Analisis Dampak Bisnis Backup Menetapkan perjanjian tingkat layanan untuk menetapkan tingkat harapan dari pelanggan dan jaminan dari operasi pendukung yang ada. Menetapkan perjanjian bagi pemasok & pemeliharaan, untuk memfasilitasi status operasional berkelanjutan dari aplikasi. Pengendalian migrasi produksi seperti proses pencarian dan penghapusan data,untuk memastikan penyimpanan data yang bersih. Analisis dampak bisnis formal akan dilakukan untuk menentukan nilai kekritisan relatif dari suatu aset dengan aset lainnya. Pelatihan backup bagi sistem administrator akan dilakukan beserta rotasi tugas, untuk memastikan efektifitas dari program

26 34 12 Pengendalian Operasi 13 Pengendalian Operasi 14 Pengendalian Operasi 15 Pengendalian Aplikasi 16 Pengendalian Aplikasi 17 Pengendalian Aplikasi pelatihan yang telah dilakukan. Backup Program kesadaran keamanan bagi karyawan harus diterapkan, diperbarui dan dilaksanakan setiap tahun. Rencana Pemulihan Menerapkan mekanisme untuk membatasi akses informasi kepada jaringan tertentu atau terhadap lokasi fisik yang ditetapkan. Contohnya backup yang dibuat, jika terjadinya kemungkinan kehilangan data. Analisa Risiko Menerapkan mekanisme otentikasi pengguna (seperti firewall, control dial-in, secure ID) untuk membatasi hak akses bagi yang tidak memiliki kewenangan dalam mengakses suatu informasi didalam sistem. Pengendalian Merancang dan menerapkan Aplikasi pengendalian aplikasi (pemeriksaan data yang masuk, melakukan validasi, indikator alarm, menilai password yang invalid) untuk menjamin integritas, kerahasiaan, dan ketersediaan informasi Pengujian Penerimaan Pelatihan aplikasi. Pengembangan prosedur pengetesan, yang harus dilakukan selama pengembangan aplikasi dijalankan, dan dalam proses modifikasi aplikasi yang diikuti dengan partisipasi dari pengguna. Melaksanakan program user (evaluasi kinerja pengguna) yang dirancang untuk mendorong kepatuhan terhadap kebijakan dan prosedur yang ada untuk memastikan pemanfaatan yang tepat dari penggunaan

27 35 18 Pengendalian Aplikasi 19 Pengendalian Aplikasi 20 Pengendalian Keamanan 21 Pengendalian Keamanan 22 Pengendalian Keamanan 23 Pengendalian Keamanan 24 Pengendalian Keamanan Pelatihan Strategi Korektif Kebijakan Pelatihan Review Klasifikasi Aset Pengendalian Akses aplikasi. Pengembang aplikasi akan memberikan dokumentasi, bimbingan, dan dukungan kepada staf operasi (operasi) dalam mekanisme pelaksanakan untuk memastikan keamanan transfer informasi antara aplikasi. Tim pengembang akan mengembangkan strategi korektif seperti pemprosesan ulang, merevisi/ merubah logika aplikasi, dll. Mengembangkan kebijakan dan prosedur untuk membatasi hak akses dan mengoperasikan hak istimewa sesuai dengan kebutuhan bisnis. Pelatihan pengguna akan mencakup instruksi dan dokumentasi tentang penggunaan aplikasi secara benar. Contohnya seperti pentingnya menjaga kerahasiaan atas akun pribadi, nilai password, dan penekanan atas pentingnya menjaga informasi. Menerapkan mekanisme untuk memantau, melaporkan, dan kebutuhan atas kegiatan audit diidentifikasi, termasuk pengecekan berkala atas validitas ID pengguna untuk memverifikasi kebutuhan bisnis. Aset yang sedang ditinjau akan diklasifikasikan sesuai dengan kebijakan perusahaan, standar, dan prosedur klasifikasi aset. Mekanisme untuk melindungi database dari akses yang tidak sah, dan modifikasi yang dilakukan

28 36 25 Pengendalian Keamanan 26 Pengendalian Keamanan 27 Pengendalian Keamanan 28 Pengendalian Keamanan 29 Pengendalian Keamanan 30 Pengendalian Keamanan Dukungan Manajemen Hak Milik Kesadaran Keamanan Pengendalian Akses Pengendalian Akses Pengendalian Akses dari luar aplikasi, akan ditentukan dan dilaksanakan. Meminta dukungan manajemen untuk menjamin kerjasama dan koordinasi dari berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi. Proses untuk memastikan bahwa aset milik perusahaan dilindungi dan bahwa perusahaan telah memenuhi semua perjanjian lisensi dari pihak ketiga. Menerapkan mekanisme pengendalian akses untuk mencegah akses tidak sah pada informasi. Mekanisme ini akan mencakup kemampuan untuk mendeteksi, logging, dan pelaporan jika ada upaya untuk pelanggaran keamanan informasi ini. Melaksanakan mekanisme enkripsi data untuk mencegah akses yang tidak sah untuk melindungi integritas sebuah kerahasiaan informasi. Mematuhi proses manajemen perubahan yang dirancang untuk memfasilitasi pendekatan terstruktur untuk modifikasi aplikasi, guna memastikan langkah yang tepat dan tindakan pencegahan yang akan diterapkan. Modifikasi darurat harus disertakan dalam proses ini. Prosedur pengendalian yang diterapkan untuk melakukan review proses sistem log oleh pihak ketiga secara independen untuk menganalisa kegiatan sistem update yang dilakukan.

29 37 31 Pengendalian Keamanan 32 Pengendalian Keamanan 33 Pengendalian Keamanan 34 Keamanan Fisik Pengendalian Akses Manajemen Perubahan Monitor system logs Keamanan Fisik Melakukan konsultasi dengan manajemen fasilitas, guna memfasilitasi kegiatan pelaksanaan pengendaliam keamanan fisik yang dirancang untuk melindungi informasi, perangkat lunak, dan perangkat keras yang dibutuhkan sistem. Persyaratan backup akan ditentukan dan dikomunikasikan dengan operasi, termasuk permintaan mengenai notifikasi elektronik backup yang telah diselesaikan, harus dikirim ke administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup. Pengembangan, dokumen, dan pengetesan prosedur pemulihan, yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, dengan menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan. Melakukan analisa risiko untuk menentukan tingkat ancaman, dan mengidentifikasi kemungkinan perlindungan atau pengendalian. Setelah penentuan suggested control, tim FRAAP mengidentifikasi pengendalian yang ada untuk ancaman tingkat tinggi. Pada tahapan ini, tim FRAAP berdiskusi mengenai beberapa hal, antara lain sebagai berikut : Identifikasi pengendalian yang sudah ada (Existing Control) pada ancaman

30 38 Identifikasi pengendalian untuk setiap ancaman tingkat tinggi yang belum terdapat pengendalian Identifikasi bagian/orang yang bertanggung jawab untuk implementasi pengendalian yang baru Dari diskusi tersebut akan dihasilkan 6 poin penting dalam FRAAP Session, yaitu : 1. Ancaman (threat) teridentifikasi 2. Tingkat risiko (level risk) telah ditetapkan 3. Mendokumentasikan pengendalian yang diusulkan 4. Pengendalian yang ada diidentifikasi 5. Pengendalian terhadap risiko high-level ditetapkan 6. Memilih kelompok atau orang yang bertanggung jawab untuk mengimplementasikan rekomendasi pengendalian yang diusulkan sebelumnya. 3. Post FRAAP Meeting Dalam fase ini, FRAAP menghasilkan laporan yang akan menetapkan penilaian risiko apa yang dicapai dan bagaimana manajemen melakukan pemeriksaan menyeluruh yang diperlukan. Selama fase ini fasilitator dan pemilik akan bekerja untuk mengumpulkan rencana aksi penilaian risiko. Rencana ini akan mencakup semua penyampaian dari tahap sesi FRAAP yaitu: 1. Ancaman (threat) teridentifikasi 2. Tingkat risiko (level risk) telah ditetapkan 3. Mendokumentasikan pengendalian yang diusulkan

31 39 4. Pengendalian yang ada diidentifikasi 5. Pengendalian terhadap risiko high-level ditetapkan 6. Orang/bagian yang bertanggung jawab dalam mengimplementasi pengedalian yang diusulkan Informasi ini akan dikombinasikan dengan pemeriksaan kontrol biaya, dan laporan akhir yang akan muncul. Post FRAAP Meeting menghasilkan tiga penyampaian, yaitu : a. Membuat Complete Action Plan Untuk mendapatkan laporan lengkap, project leader dan fasilitator harus membuat action plan (rencana aksi), yaitu dengan menggabungkan risiko dari risk list dengan kontrol yang disarankan dari control list, dengan tujuan mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana aksi tersebut agar dapat membantu perusahaan dalam melaksanakan penetapan kontrol yang diusulkan. b. Membuat ringkasan laporan manajemen (Management Summary Report) Ringkasan laporan manajemen harus dihasilkan yang didalamnya akan merangkum temuan dari proses dalam dokumen yang ringkas. Laporan ringkasan manajemen akan memberikan gambaran temuan penilaian risiko dan digunakan untuk melengkapi dokumentasi hasil

32 40 temuan keseluruhan. Laporan ini terdiri dari 6 kunci utama, yaitu : - Penilaian anggota tim. - Ringkasan manajemen - Metodologi yang digunakan dalam penilaian - Kajian temuan dan rencana - Dokumentasi temuan - Kesimpulan. c. Membuat Cross-References Sheet Membuat cross-reference sheet berdasarkan tabel risiko dan tabel pengendalian untuk mengidentifikasi pengendalian yang cocok dengan risiko yang teridentifikasi. Tujuan dari Cross Reference Sheet ini adalah untuk menentukan dan mengetahui pengendalian mana saja yang dapat memitigasi risikorisiko yang ada. Pada Cross - Reference Sheet, kita dapat melihat satu pengendalian memitigasi lebih dari satu risiko, sehingga hal tersebut bisa menjadi bantuan bagi tim FRAAP dan fasilitator dalam menentukan sumber daya terbaik guna menangani risiko-risiko yang telah ditemukan Sistem Aplikasi Microsoft Dynamics Navision versi 4.0 Menurut Microsoft Dynamics Navision merupakan sebuah produk ERP (Enterprise Resources Planning) yang dikembangkan oleh Microsoft. Produk ini merupakan bagian dari paket Microsoft Dynamics dan bertujuan untuk membantu bagian keuangan, produksi, manajemen hubungan pelanggan, analisis dan perdagangan elektronik bagi perusahaan level kecil dan

33 41 menengah. Pada bulan Desember 2008, Microsoft merilis Dynamics Navision 2009, dengan peranan baru berbasis GUI. Microsoft awalnya merencanakan untuk mengembangkan sistem ERP yang sama sekali baru (proyek hijau), tetapi telah memutuskan untuk melanjutkan pengembangan semua sistem ERP (Dynamics AX, Dynamics NAV, Dynamics GP dan Dynamics SL). Keseluruhan empat sistem ERP akan diluncurkan dengan user interface berbasis aturan baru yang sama, pelaporan dan analisis berbasis SQL, portal berbasis SharePoint, mobile client berbasis Pocket PC dan integrasi dengan Microsoft Office. Modul yang terdapat dalam Microsoft Dynamics Navision mencakup : 1. Penjualan (Sales) Modul ini digunakan untuk menjamin pengiriman tepat waktu produksi yang dijadwalkan. Dijadwalkan jumlah produksi dihitung sesuai dengan kebutuhan produksi, penjualan dan pesanan dijadwalkan internal perusahaan itu. 2. Penjualan dan Pemasaran (Sales&Marketing) Modul ini digunakan untuk mengatur dan mengelola kegiatan. Fungsi utama adalah: harga, cadangan dan jasa, manajemen order, manajemen harga promosi. Modul ini menyediakan informasi umum tentang parameter proses penjualan (volume penjualan, produk, profitabilitas klien, dan kampanye, status pesanan). 3. Distribusi (Distribution) Modul ini bertanggung jawab untuk manajemen distribusi yang fleksibel dan efektif. Sementara menggunakan fungsi penyimpanan Navision, pengguna dapat mengoptimalkan produksi manajemen arus,

34 42 keseimbangan pasokan minim, pengiriman produksi sesuai dengan kebutuhan klien. 4. Inventori (Supply Chain Management) Modul ini untuk mengelola permintaan klien sesuai dengan pasokan. Fungsi ini memungkinkan untuk mengelola pembelian, produksi dan proses distribusi. Komponen utama adalah: penjualan, produksi dan manajemen distribusi. 5. Manufaktur (Production) Modul ini digunakan untuk menjamin manajemen produksi dijadwalkan secara efektif. Dapat memodifikasi metode produksi sesuai dengan berbagai kebutuhan nasabah, untuk mengatur biaya produk bersih perhitungan kembali sesuai dengan berbagai produksi dan harga saham. 6. Manajemen Keuangan (Financial Management) Modul ini bertanggung jawab untuk analisis operasi keuangan perusahaan dan penyimpanan, mengelola anggaran dan membandingkan perkiraan untuk data aktual. 7. Sumber Daya Manusia (Customer Relationship Management) Modul ini untuk menyimpan dan mengelola informasi tentang hubungan perusahaan antara klien dan pelanggan. Modul ini berguna ketika merencanakan penjualan, pemasaran dan strategi penanganan. Strategi Perusahaan, yang meliputi hubungan antara klien dan pelanggan dengan cara yang berbeda: penjualan, pemasaran, layanan, penciptaan produk baru, harga,dll 8. Service Management

35 43 Layanan Kualitatif profitabilitas dan outbidding kebutuhan modul analisis klien bertanggung jawab untuk mengendalikan dan efektif menggunakan sumber daya yang mungkin, penanganan layanan penentuan indeks profitabilitas, menganalisis permintaan klien.