BAB 2 LANDASAN TEORI

(1)

5 BAB 2 LANDASAN TEORI

2.1 Teori Umum 2.1.1 Evaluasi

Menurut Griffin dan Nix (1991, p3) Evaluasi adalah judgment terhadap nilai atau implikasi dari pengukuran. Menurut definisi ini selalu didahului dengan kegiatan pengukuran dan penilaian.

Endang Sri Astuti dan Resminingsih (2010) evaluasi merupakan pemikiran kritis terhadap keberhasilan dan kekurangan dalam sebuah program pengembangan diri yang telah dilakukan seseorang. Menurut Kamus Besar Bahasa Indonesia (2008), Evaluasi adalah proses penelitian yang sistematis, mencakup pemberian nilai, atribut, apresiasi, pengenalan masalah, dan pemberian solusi atas permasalahan yang ditemukan.

Disimpulkan evaluasi adalah suatu kegiatan penelitian yang sistematis mencakup pemberian nilai, atribut, apresiasi, pengenalan masalah, dan pemberian solusi untuk menentukan apakah suatu sistem atau nilai bekerja dengan seharusnya dan memiliki manfaat dan nilai yang diharapkan, sehingga informasi yang dihasilkan dapat digunakan untuk menentukan alternatif yang tepat dalam mengambil sebuah keputusan dan kebijakan bagi decision maker.

Evaluasi diperlukan oleh perusahaan untuk mengukur apakah sistem yang berjalan sudah sesuai dengan tujuan atau keinginan perusahaan.

2.1.2 Pengertian Sistem Informasi

Menurut Ludwig Von Bertalanffy (1940) sistem adalah sebagian suatu set elemen-elemen yang berada dalam kedaan yang saling terhubung.

Prasojo dan Riyanto (2011:3) perngertian informasi sering disamakan dengan perngertian data. Data adalah sesuatu yang belum di olah dan belum dapat digunakan sebagai dasar yang kuat dalam pengambilan keputusan.

Menurut Rainer & Turban (2009, p.415), Sistem informasi adalah mengumpulkan, memproses, menyimpan, meneliti, dan menyebarluaskan informasi untuk suatu tujuan spesifik yang memproses masukan (Input) dan

(2)

menghasilkan keluaran (Output) yang dikirim kepada pemakai, atau kepada sistem itu sendiri.

O’Brien (2008,p.7) mendefinisikan, Sistem informasi adalah suatu kesatuan yang terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer, dan sumber data yang mengumpulkan, mentrasnformasikan dan mendistribusikan informasi di dalam suatu organisasi.

Menurut Gelinas dan Dull (2010,p12) Sistem informasi adalah sebuah sistem buatan manusia yang pada umumnya terdiri dari serangkaian komponen berbasis komputer yang terintegrasi dan komponen manual yang dibentuk untuk mengumpulkan, menyimpan, dan mengelola data dan memberikan informasi output ke pengguna.

I Gusti Made Karmawan(2011) menjelaskan bahwa Sistem informasi adalah serangkaian perangkat keras dan perangkat lunak yang dirancang untuk mengubah data menjadi informasi yang bermanfaat untuk mendukung pembuatan keputusan dan pengawasan dalam organisasi.

Dari pernyataan-pernyataan tersebut dapat disimpulkan sistem informasi adalah sebuah sistem kesatuan buatan manusia, terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer, dan sumber data yang terintegrasi satu sama lain yang dibentuk untuk mengumpulkan, menyimpan, mengelola data, dengan memproses informasi masukan (Input) dan menghasilkan informasi keluaran (Output) ke pengguna.

2.1.2.1 Manfaat Sistem Informasi

Menurut O’Brien dan Marakas (2008, p23) sistem informasi memiliki beberapa manfaat yaitu :

• Mendukung fungsi dari area bisnis untuk mencapai tujuan yang mencakup bagian keuangan, akuntansi, operasional, pemasaran, dan sumber daya manusia.

• Untuk meningkatkan efisiensi dari proses produksi, meningkatkan produktivitas pekerja, memberikan pelayanan dan kepuasan pelanggan.

(3)

• Sebagai sumber utama informasi dan mendukung pengambilan keputusan efektif yang diambil oleh manajer dan professional bisnis. • Untuk mengembangkan produk dan jasa yang kompetitif dan sebagai

sebuah keuntungan strategis dalam menghadapi persaingan global. • Sebagai komponen utama dalam sumber daya infrastruktur dan

kehandalan jaringan bisnis masa kini.

2.1.3 Sistem Informasi Akuntansi

Menurut Kieso, Weygandt, dan kimmel (2007:4) akutansi adalah suatu sistem informasi yang mengidentifikasi, mencatat dan mengkomunikasikan kejadian ekonomi dari suatu organisasi kepada pihak yang berkepentingan.

Suryanto (2009) menyimpulkan pengertian sistem informasi akuntansi adalah sistem yang mengumpulkan, mencatat, menyimpan, dan memproses data akuntansi menjadi informasi yang berguna bagi user. Menurut Rama dan Jones (2008, p6), sistem informasi akuntansi adalah suatu subsistem dari sistem informasi manajemen yang menyediakan informasi akuntansi dan keuangan, juga informasi lain yang diperoleh dari pengolahan rutin atas transaksi akuntansi.

2.1.4 Kegunaan Sistem Informasi Akuntansi

Menurut Rama dan Jones (2008, p 7), terdapat 5 kegunaan dari sistem infomasi akuntansi, yaitu:

1. Membuat laporan eksternal

Perusahaan menggunakan sistem informasi akuntansi untuk menghasilkan laporan-laporan khusus untuk memenuhi kebutuhan informasi dari para investor, kreditor, dinas pajak, badan-badan pemerintah, dan yang lain. Laporan-laporan ini mencakup laporan keuangan, SPT pajak, dan laporan yang diperlukan oleh badan-badan pemerintah yang mengatur perusahaan dalam industri perbankan dan utilitas. Sebagai hasilnyac, setelah informasi yang diperlukan dicatat, laporan-laporan eksternal dapat dihasilkan dengan jauh lebih cepat dan lebih mudah dibandingkan dengan di masa lalu.

2. Mendukung aktivitas rutin

Para manajer memerlukan sistem infromasi akuntansi untuk menangani aktivitas operasi rutin sepanjang siklus operasi perusahaan

(4)

itu. Contohnya antara lain menerima pesanan pelanggan, mengirimkan barang dan jasa, membuat faktur penagihan pelanggan, dan menagih kas ke pelanggan. Sistem komputer mahir menangani transaksi-transaksi yang berulang, dan banyak paket peranti lunak akuntansi yang mendukung fungsi-fungsi yang rutin ini. Teknologi lain, seperti scanner untuk memindai kode produk, meningkatkan kode produk, meningkatkan efisiensi dari proses bisnis.

3. Mendukungpengambilan keputusan

Informasi juga diperlukan untuk mendukung pengambilan keputusan yang tidak rutin pada semua tingkat dari suatu organisasi. Contohnya antara lain mengetahui produk-produk yang penjualannya bagus dan pelanggan mana yang paling banyak melakukan pembelian. Informasi ini sangat penting untuk merencanakan produksi baru, memutuskan produk-produk apa yang harus ada di persediaan, dan memasarkan produk ke para pelanggan.

4. Perencanaan dan pengendalian

Suatu sistem informasi juga diperlukan untuk aktivitas perencanaan dan pengendalian. Informasi mengenai anggaran dan biaya standar disimpan oleh sistem informasi, dan laporan dirancang untuk membandingkan angka anggaran dengan jumlah aktual. Menggunakan pemindai untuk mencatat barang yang dibeli dan dijual mengakibatkan terkumpulnya jumlah informasi yang sangat banyak dengan biaya yang rendah, memungkinkan pengguna untuk merencanakan dan mengendalikan dengan lebih terperinci. Sebagai contoh, analisa pendapatan dan beban bisa dilakukan di tingkatan produk secara individu.

5. Menerapkanpengendalian internal

Pengendalian internal (internal control) mencakup kebijakan-kebijakan, prosedur-prosedur, dan sistem informasi yang digunakan untuk melindungi aset-aset perusahaan dari kerugian atau korupsi, dan untuk memelihara keakuratan data keuangan. Dimungkinkan untuk membangun pengendalian ke dalam suatu sistem informasi akuntansi yang terkomputerisasi untuk membantu mencapai tujuan ini. Sebagai contoh, satu sistem informasi dapat menggunakan kata sandi

(5)

(password) untuk mencegah individu lain memiliki akses ke format data entri dan laporan yang tidak diperlukan untuk menjalankan pekerjaan mereka. Selain itu, format data entri dapat dirancang untuk secara otomatis memeriksa error dan mencegah jenis tertentu dari data entri yang akan melanggar aturan-aturan yang sudah dibuat.

2.1.5 Pengertian Audit

Menurut Rai (2008,p29), Audit (auditing) adalah kegiatan membandingkan suatu kriteria (apa yang seharusnya) dengan kondisi (apa yang sebenarnya terjadi). Menurut Randal danBeasley (2010) audit adalah sebuah akumulasi dan evaluasi dari bukti-bukti mengenai informasi untuk pengambilan keputusan dan laporan dari ukuran korespondensi diantara informasi dan kriteria yang diterapkan. Auditing harus dilakukan oleh seorang yang kompeten dan independen.--

Jadi dapat disimpulkan audit adalah suatu kegiatan akumulasi dan pengevaluasian dengan membandingkan bukti-butki mengenai informasi pengambilan keputusan dan laporan dari ukuran korespondensi diantara informasi dan criteria yang ditetapkan serta harus dilakukan oleh seseorang yang kompeten dan independen.

2.1.5.1 Tipe Audit

Menurut Randal dan Beasley (2010), Auditing digolongkan menjadi 3 golongan tipe yaitu :

1. Audit Operasional (Operational Audit)

Audit Operasional, adalah audit yang mengevaluasi efisiensi dan efektitfitas dari setiap bagian dalam prosedur pengoperasionalan dan metode yang diterapkan organisasi/perusahaan.

2. Audit Ketaatan (Compliance Audit)

Audit Ketaatan, adalah audit yang dilakukan untuk menentukan apakah seorang pengaudit mengikuti prosedur spesifik, peraturan, dan regulasi yang ditentukan oleh para pemegan otoritas yang lebih tinggi. 3. Audit Laporan Keuangan (Financial Statement Audit)

Audit Laporan Keuangan, adalah audit yang dilakukan untuk menentukan apakah apakah sebuah laporan keuangan (informasi yang

(6)

sudah diverifikasi) telah dinyatakan sesuai dengan kriteria spesifik yang ada.

2.2 Teori Khusus

2.2.1 Pengertian Audit Sistem Informasi

Menurut James Hall (2011 p10) audit sistem informasi adalah suatu audit yang berfokus pada aspek-aspek yang berbasis komputer dari sistem informasi perusahaan dan sistem modern yang mempekerjakan tingkat signifikan dari teknologi.

Menurut Basalamah (2011, p16), audit sistem informasi adalah suatu proses pengumpulan dan penilaian bukti untuk menentukan apakah suatu sistem komputer melindungi aktiva, mempertahankan integritas data, serta memugkinkan bagi tercapainya tujuan organisasi secara efektif dan penggunaan sumber daya secara efisien.

Menurut Restianto danBawono (2011, p15), Audit Sistem Informasi dapat didefinisikan sebagai sebuah proses pengumpulan dan pengevaluasian bukti untuk menilai apakah sistem komputer dapat menjaga aset, menjaga integritas data, menjamin tercapainya tujuan organisasi dengan efektif dan penggunaan sumber daya dengan efisien. Berdasarkan definisi tersebut dapat dijelaskan bahwa tujuan audit sistem informasi adalah untuk meningkatkan efektifitas dan efisiensi.

2.2.1.1 Standar Audit ISACA

Berdasarkan IT Audit and Assurance Standards and Guidelines ISACA(2013), penerapan audit memiliki standar sebagai kode etik professional bagi para auditor yaitu sebagai berikut :

1. Audit Charter

a. Tujuan, tanggung jawab, otoritas dan akuntabilitas fungsi audit SI pada suatu organisasi/perusahaan ataupun penugasan audit harus dengan dibuat tertulis (didokumentasikan) dalam audit charter atau engagement letter.

b. Audit charter atau engagement letter harus disetujui dan ditandatangani oleh pemimpin organisasi.

(7)

a. Independensi professional.

b. Dalam segala hal yang berkaitan dengan audit, auditor harus independensi dalam sikap dan penampilan.

c. Independensi organisasi.

d. Fungsi audit SI harus bebas (tidak ada conflict of interest) dari area yang diperiksa untuk dapat menyelesaikan tugas audit dengan baik. 3. Professional Etichs and Standards

a. Auditor SI harus menganut dan berpegang teguh pada kode etik profesi auditor SI (ISACA) dalam menjalankan tugas auditnya. b. Auditor SI harus menjalankan tugasnya secara seksama (due

professional care) dan bekerja sesuai dengan standar professional audit.

c. Professional Competence.

d. Auditor SI harus mampu secara professional, mempunyai pengetahhuan dan keahlian teknis untuk melakukan penugasan tugas audit.

e. Auditor SI harus memelihara kemampuan profesionalnya dengan pendidikan dan pelatihan berkelanjutan.

4. Planning

a. Auditor SI harus membuat rencana kerja audit SI, mencakup tujuan audit dan bahwa kegiatan-kegiatan auditnya akan sesuai dengan aturan, hukum, dan standar professional audit yang ada. b. Auditor SI harus melakukan teknik pendekatan audit berbasis

resiko (risk based audit) dan mendokumentasikanya dengan baik. c. Auditor SI harus menyusun rencana kerja audit, mencakup rincian

tentang hakekat dan tujuan audit periode atau waktu yang diperlukan dan sumber daya yang diperlukan dan sumber daya yang diperlukan untuk penugasan audit tersebut.

d. Auditor SI harus menyusun rencana kerja audit dan atau program audit, mencakup prosedur audit yang diperlukan untuk penyelesaian tugas audit itu.

(8)

a. Supervise : Staf audit SI harus disupervisi untuk memperoleh keyakinan memadai bahwa tujuan audit telah dicapai sesuai dengan standar professional.

b. Bukti-audit : Dalam pelaksanaan tugasnya auditor SI harus memperoleh bukti yang cukup, dapat diandalkan dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan harus didukung oleh analisis yang tepat dan interpretasi bukti ini.

c. Dokumentasi : Proses audit harus didokumentasikan, menjelaskan pekerjaan audit yang dilakukan dan bukti audit yang mendukung temuan dan kesimpulan IS auditor.

6. Reporting

a. Auditor SI harus membuat laporan hasill audit dalam format yang tepat setelah selesai melakukan tugas auditnya. Laporan hasil audit harus memuat organisasi, pihak yang dituju, dan batasan – batasan sirkulasi.

b. Laporan audit harus menyebutkan ruang lingkup, tujuan, dan periode pelaksanaan pemeriksaan.

c. Laporan audit harus berisi temuan, kesimpulan dan rekomendasi, serta pengungkapan mengenai penyediaan, kualifikasi atau pembatasan cakupan audit yang dialami oleh auditor SI dalam melaksanakan tugasnya.

d. Temuan hasil audit yang dilaporkan harus didukung bukti audit yang cukup, lengkap dan kompeten untuk mendukung laporan hasil pemeriksaan itu.

e. Laporan hasil audit harus ditandatangani, dibubuhi tanggal pelaporan, dan didistribusikan sesuai ketentuan pada audit charter. 7. Follow Up Activities

a. Setelah laporan hasil audit yang mengemukakan temuan dan rekomendasi, auditor SI harus mengevaluasi informasi yang relevan untuk memperoleh keyakinan apakah tindak lanjut yang diperlukan telah dilaksanakan oleh pihak manajemen sesuai jadwal yang diusulkan.

(9)

a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko audit, auditor SI harus mempertimbangkan resiko ketidakteraturan dan illegal acts.

b. Auditor SI harus bersikap profesional skeptis dalam pelaksanaan audit, paham kemungkinan misstatements yang material dapat saja terjadi karena adanya irregularities dan illegal acts, diluar evaluasi yang telah dilakukan.

c. Auditor SI harus memahami organisasi dan lingkungannya, termasuk sistem pengendalian internal pada bidang yang diaudit. 9. IT – Governance

a. Auditor SI harus melakukan peninjuan dan penilaian apakah fungsi SI sudah selaras dengan visi, misi, tata-nilai, dan strategis serta tujuan organisasi.

b. Auditor SI melakukan peninjauan apakah fungsi SI memiliki pernyataan yang jelas mengenai kinerja yang diharapkan oleh organisasi dan nilai apakah hal – hal tersebuat sudah tercapai. c. Auditor SI harus meninjau dan menilai efektivitas sumber daya SI

dan kinerja proses manajemennya. 10. Use of Risk Assessment in Audit Planning

a. Auditor SI harus menggunakan teknik penilaian resiko yang cocok dalam pengembangan rencana kerja audit SI, dan dalam menentukan prioritas alokasi sumberdaya audit yang efektif. b. Ketika merencanakan peninjauan individual, auditorSI harus

mengidentifikasi dan menilai resiko yang relevan dari area yang diperiksanya.

11. Audit Materiality

a. Auditor SI harus mempertimbangkan konsep materialitas dalam hubungannya dengan resiko audit.

b. Dalam merencanakan audit, auditor SI mempertimbangkan kelemahan – kelemahan potensial atau tidak adanya kontrol internal dan apakah hal itu dapat mempunyai dampak yang siginifikan pada SI.

c. Auditor SI mempertimbangkan dampak kumulatif dari kelemahan atau ketiadaan pengendalian intern.

(10)

d. Laporan SI harus mengungkapkan adanya pengendalian intern yang tidak efektif atau tidak adanya pengendalian intern.

12. Using the Work of Other Experts

a. Auditor SI harus, jika memungkinkan, menggunakan hasil kerja auditor atau tenaga ahli lain.

b. Auditor SI harus menilai kualifikasi profesional, kompetensi, pengalaman yang relevan, sumberdaya, independensi, dan proses pengawasan mutu dari ahli sebelum menerima tugas audit.

c. Audior SI harus menentukan dan menyimpulkan apakah hasil kerja tenaga ahli yang lain tersebut sebagai bagian dari audit dan menentukan tingkat penggunaan.

13. Audit Evidence

a. Audior SI harus memiliki bukti audit yang cukup dan layak untuk dapat menarik kesimpulan hasil audit.

b. Auditor SI harus mengevaluasi komptensi dan kecukupan bukti fisik.

14. IT Controls.

c. Auditor IS harus mengevaluasi dan memonitor pengendalian IT yang merupakan bagian penting dalam lingkungan pengendalian dari perusahaan.

d. Auditor IS harus membantu manajemen dengan memberikan saran mengenai desain, implementasi, operasi, dan peningkatan dari pengendalian IT.

15. E-Commerce

a. Auditor IS harus mengevaluasi pengendalian yang dapat diterapkan dan pengukuran resiko ketika membahas lingkungan E-commerce untuk memastikan transaksi E-Commerce sudah terkendali dengan benar.

2.2.1.2 Tehnik Audit Sistem Informasi

Menurut Restianto dan Bawono (2011, p20), audit sistem informasi dapat dilaksanakan dengan salah satu dari tiga teknik pendekatan, yaitu:

(11)

Auditor menelaah struktur pengendalian internal, menguji transaksi dan prosedur verifikasi saldo akun dengan cara yang sama seperti dalam sistem manual/bukan teknologi informasi. Auditor tidak menguji pengendalian pada sistem informasi tetapi sebatas pada masukan dan keluaran sistem informasi. Berdasarkan penilaian pada kualitas masukan dan keluaran sistemtersebut, auditor mengambil kesimpulan tentang kualitas pemrosesan data dalam sistem. Oleh karena itu, auditor harus mendapatkan dokumen sumber dan dokumen keluaran yang cukup dalam bentuk cetakan (hardcopy) atau dalam bentuk yang mudah dibaca oleh pemakai. Dalam pendekatan ini, sistem komputer dapat diibaratkan sebagai sebuah kotak hitam (black box).

Keunggulan audit di sekitar komputer adalah kesederhanaannya sehingga auditor yang memiliki pengetahuan minimal di bidang komputer dapat terlatih dengan mudah untuk melaksanakan audit. Sementara itu, kelemahan metode ini adalah jika terjadi perubahan lingkungan organisasi, ada kemungkinan bahwa sistem itupun akan berubah sehingga auditor tidak dapat menilai dan menelaah sistem yang baik. Oleh karena itu, auditor harus dapat menilai kemampuan system informasi dalam menyesuaikan diri dengan perubahan lingkungan.

2. Audit Melalui Komputer (Audit Through the Computer)

Pendekatan ini digunakan untuk melakukan audit pada lingkungan sistem yang kompleks (complex automated processing systems). Dalam pendekatan ini, auditor menggunakan komputer untuk menguji logika dan pengendalian yang ada dalam sistem komputer dan keluaran yang dihasilkan oleh sistem. Besar kecilnya peranan komputer dalam audit tergantung pada kompleksitas dari sistem komputer yang diaudit. Dalam pendekatan ini, fokus perhatian auditor langsung tertuju pada operasi pemrosesan data di dalam sistem komputer.

Keunggulan pendekatan audit melalui komputer adalah sebagai berikut:

(12)

a. Auditor akan memperoleh bukti-bukti audit yang memadai. b. Auditor lebih efektif dalam menguji sistem komputer.

c. Auditor akan memiliki keyakinan yang lebih memadai terhadap kualitas auditnya.

d. Auditor dapat menilai kemampuan sistem komputer dalam menghadapi perubahan lingkungan.

Sedangkan kelemahan dari pendekatan ini adalah dibutuhkannya biaya yang relatif besar dan dibutuhkannya tenaga ahli yang terampil, tidak hanya di bidang auditing, tetapi di bidang komputer, pengembangan sistem, komunikasi data, dan bidang lain yang terkait dengan teknologi informasi.

3. Audit dengan Komputer (Audit with the Computer)

Pada pendekatan audit dengan komputer, audit dilakukan dengan menggunakan komputer dan perangkat lunak audit untuk menjalankan prosedur audit secara otomatis. Pendekatan ini menggunakan beberapa jenis Computer Assisted Audit Techniques (CAAT), seperti System Control Audit Review File (SCARF) dan pemotretan (snapshoot). Pendekatan audit dengan komputer sangat bermanfaat dalam pengujian substantif atas file-file basis data (database).

Perangkat lunak audit dapat digolongkan menjadi dua jenis, yaitu perangkat lunak audit terspesialisasi (Specialized Audit Software [SAS]) dan perangkat lunak audit tergeneralisasi (Generalized Audit Software [GAS]).

a. Specialized Audit Software (SAS) SAS merupakan program khusus yang dirancang oleh auditor agar sesuai dengan situasi audit tertentu. SAS jarang digunakan karena penyusunannya membutuhkan waktu dan biaya yang relatif tinggi. Selain itu, keahlian auditor di bidang komputer juga diperlukan, meskipun auditor tidak harus membuat sendiri aplikasi SAS karena dapat diserahkan pada pemrogram komputer, namun paling tidak auditor harus mengetahui konsep pemrograman secara umum. b. Generalized Audit Software (GAS) Perangkat lunak audit

(13)

yang dapat melakukan berbagai macam fungsi pemrosesan data atau manipulasi data. GAS dapat digunakan oleh auditor untuk berbagai penugasan audit yang berbeda-beda. Saat ini auditor tidak harus membuat sendiri aplikasi GAS karena telah banyak aplikasi GAS yang dapat dibeli dari vendor atau pengembang perangkat lunak.

2.2.2 Pengertian Pengendalian Internal

Menurut The Institute of Internal Auditors (IIA) (2009) proses pengendalian internal adalah sebuah asuransi obyektif yang independen dan aktivitas konsultasi yang dirancang untuk menambah nilai dan meningkatkan pengoperasionalan organisasi. ini dapat membantu organisasi mencapai tujuannya dengan memberikan pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola.

Menurut Gelinas dan Dull (2010,p226)Pengendalian internal adalah proses yang dilakukan oleh badan entitas direksi, manajemen, dan personil yang dirancang untuk memberikan keyakinan memadai mengenai pencapaian tujuan dalam kategori berikut:

1. Efektivitas dan efisiensi operasi. 2. Reliabilitas laporan.

3. Kepatuhan terhadap hukum dan peraturan yang berlaku.

Jadi dapat disimpulkan pengendalian internal adalah sebuah asuransi obyektif yang independen dan aktifitas konsultasi untuk meningkatkan nilai dan memberikan keyakinan pencapaian tujuan organisasi dalam kategori :

1. Efektivitas dan efisiensi operasi. 2. Reliabilitas laporan.

3. Kepatuhan terhadap hukum dan peraturan yang berlaku.

Dengan memberikan pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola.

(14)

2.2.2.1 Tujuan Pengendalian Internal

Menurut Gondodiyoto (2009, p148), tujuan disusunnya system control atau pengendalian internal pada sistem informasi adalah untuk :

1. Meningkatkan pengamanan (improve safeguard) aset sistem informasi (data/catatan (accounting records) yang bersifat logical assets, maupun physical assets seperti hardware, infrastructures, dan sebagainya) 2. Meningkatkan integritas data (improve data integrity), sehingga dengan

data yang benar dan konsisten akan dapat dibuat laporan yang benar. 3. Meningkatkan efektifitas sistem (improve systems effectiveness) 4. Meningkatkan efisien sistem (improve system efficiency).

Menurut Bayangkara (2008,p1), setidaknya ada empat tujuan penting yang ingin dicapai melalui pengendalian internal yang dilakukan perusahaan, yaitu:

1. Dapat dipercayanya data – data akuntansi yang disajikan perusahaan. 2. Terjaganya keamanan aset yang dimiliki perusahaan.

3. Berjalannya operasi secara efisien.

4. Ditaatinya semua ketentuan, peraturan, dan kebijakan yang ditetapkanperusahaan.

2.2.3 Sistem Informasi Pembelian 2.2.3.1 Pengertian Pembelian

Menurut (Gelinas, Dull, & Wheeler, 2012, p. 438) pembelian adalah struktur yang saling berinteraksi dari orang – orang, peralatan, aktivitas, dan pengendalian yang di desain untuk :

- Menangani rutinitas pekerjaan yang berulang – ulang dari bagian pembelian dan penerimaan

- Mendukung pengambilan keputusan dari orang – orang yang mengatur bagian pembelian dan penerimaan

(15)

2.2.3.2 Prosedur Pembelian

Menurut (Heripracoyo, 2009) proses pembelian setiap jenis perusahaan hampir serupa karena meliputi beberapa atau seluruh kegiatan berikut ini :

1. Konsultasi dengan supplier yang diadakan sebelum pembelian berlangsung dengan cara menghubungi beberapa supplier untuk mendapatkan pemahaman mengenai ketersediaan kuantitas dan harga dari barang dan jasa.

2. Pembuatan dokumen permintaan pengadaan barang atau jasa dengan mendapatkan persetujuan dari supervisor. Permintaan ini kemudian digunakan oleh departemen pembelian untuk memesan barang.

3. Mengadakan perjanjian dengan supplier untuk pembelian barang atau jasa dimasa yang akan datang. Perjanjian dengan supplier meliputi pesanan-pesanan pembelian (pesanan yang sebetulnya dikirim ke supplier) dan kontrak dengan supplier.

4. Penerimaan barang atau jasa dari supplier dimana perusahaan harus memastikan bahwa hanya barang yang dipesan berada dalam kondisi baiklah yang akan diterima.

5. Pengakuan kewajiban atas barang dan jasa yang diterima dari supplier yang akan dicatat oleh departemen hutang pada saat tagihan diterima dari supplier.

6. Pemilihan invoice yang akan dibayar.

7. Penulisan, penandatanganan dan pengiriman cek kepada supplier.

Dokumen yang terkait ke kepada siklus pembelian adalah: 1. Purchase requisition (Permintaan Pembelian) 2. Purchase order (Pemesanan Pembelian) 3. Receiving order (Penerimaan Pesanan) 4. Supplier (vendor) invoice

5. Disbursment voucher 6. Disbursment check 7. Debit memorandum

8. New supplier (vendor) form

(16)

2.2.3.3 Sistem Informasi Akuntasi Pembelian

Menuru (Heripracoyo, 2009) t sistem informasi akuntansi pembelian (SIA Pembelian) merupakan sistem yang dibangun untuk mempermudah pelaksanaan pembelian dengan mengotomatisasikan atau mengkomputerisasi keseluruhan maupun beberapa bagian dari proses pembelian tersebut disertai dengan pengendalian atau kontrol atas sistem komputerisasi tersebut

2.2.4 Persediaan

2.2.4.1 Pengertian Persediaan

Menurut Nafarin (2007), persediaan (Inventory) adalah barang yang diperoleh dan tersedia dengan maksud untuk dijual atau dipakai dalam produksi atau dipakai untuk keperluan non produksi dalam siklus kegiatan yang normal.

Pengertian inventory menurut Herjanto (2008) adalah bahan atau barang yang disimpan yang akan digunakan untuk memenuhi tujuan tertentu, misalnya untuk digunakan dalam proses produksi atau perakitan, untuk dijual kembali, atau untuk suku cadang dari peralatan atau mesin. Persediaan dapat berupa bahan mentah, bahan pembantu, bahan dalam proses, barang jadi, ataupun suku cadang dimana bisa dikatakan bahwa persediaan hanyalah suatu sumber dana menganggur, karena sebelum persediaan digunakan berarti data terikat didalamnya tidak dapat digunakan untuk keperluan lain.

Menurut Assauri (2009), inventory adalah barang-barang persediaan berwujud yang digunakan dalam proses produksi, barang mana dapat diperoleh dari sumber-sumber ataupun dibeli dari supplier atau perusahaan yang menghasilkan bahan baku bagi perusahaan pabrik yang menggunakannya.

Dapat pengertian diatas, dapat disimpulkan persediaan (Inventory) adalah sejumlah barang atau bahan-bahan dalam kendali perusahaan yang disimpan dalam beberapa waktu tertentu, menunggu sampai digunakan untuk keperluan produksi ataupun dijual.

2.2.4.2 Tujuan Persediaan

Setiap perusahaan yang menyelenggarakan kegiatan produksi akan memerlukan persediaan (Inventory). Dengan tersedianya bahan baku maka

(17)

diharapkan perusahaan industri dapat melakukan proses produksi sesuai kebutuhan atau permintaan konsumen. Selain itu dengan adanya persediaan (Inventory) yang cukup tersedia digudang juga diharapkan dapat memperlancar kegiatan produksi atau pelayanan kepada konsumen, perusahaan dan dapat menghindari terjadinnya kekurangan bahan baku.

Menurut Aquilano (2006), tujuan penyimpanan persediaan dapat dikarenakan beberapa alasan berikut:

a. Untuk mempertahankan kelangsungan operasional. b. Untuk memenuhi variasi permintaan produk.

c. Untuk memungkinkan fleksibilitas dalam perencanaan produksi.

d. Untuk mengantisipasi adanya variasi waktu pengiriman mulai dari order pembelian sampai dengan barang diterima dalam gudang. Fungsi dasar persediaan (Inventory) sebenarnya sangat sederhana, yaitu meningkatkan tingkat keuntungan (profitability) perusahaan.

Menurut Herjanto (2008), fungsi persediaan (Inventory) adalah: a. Menghilangkan resiko keterlambatan pengiriman bahan baku atau barang

yang dibutuhkan perusahaan.

b. Menghilangkan resiko jika material yang dipesan tidak baik. c. Menghilangkan resiko terhadap kenaikan harga atau inflasi.

d. Sehingga perusahaan tidak akan kesulitan jika bahan baku itu tersedia di pasaran.

e. Mendapatkan keuntungan dari pembelian berdasarkan diskon kuantitas. f. Memberikan pelayanan kepada pelanggan dengan tersedianya barang

yang diperlukan.

2.2.4.3 Jenis – jenis Persediaan

Menurut Herjanto (2008), persediaan (Inventory) dapat dikelompokkan kedalam empat jenis, yaitu:

• persediaan fluktuasi (Fluctuation stock)

Merupakan persediaan yang dimaksudkan untuk menjaga terjadinya fluktuasi permintaan yang tidak diperkirakan sebelumnya, dan untuk mengatasi bila terjadi kesalahan atau penyimpangan dalam perkiraan penjualan, waktu produksi, atau pengiriman barang.

(18)

• persediaan antisipasi (Anticipation stock)

Merupakan persediaan untuk menghadapi permintaan yang dapat diramalkan pada musim permintaan tinggi, tetapi kapasitas produksi pada saat itu tidak mampu memenuhi permintaan. Persediaan ini juga dimaksudkan untuk menjaga kemungkinan sukarnya diperoleh bahan baku sehingga tidak mengakibatkan terhentinya produksi.

• persediaan besar (Lot-size inventory)

Merupakan persediaan yang diadakan dalam jumlah yang lebih besar daripada kebutuhan saat itu. Persediaan dilakukan untuk mendapatkan keuntungan dari harga barang (berupa diskon) karena membeli dalam jumlah yang besar, atau untuk mendapatkan penghematan dari biaya pengangkutan per unit yang lebih rendah. • alur persediaan (Pipeline inventory)

Merupakan persediaan yang dalam proses pengiriman dari tempat asal ketempat dimana barang tersebut akan digunakan. Misalnya, barang yang dikirim dari pabrik menuju tempat penjualan, yang dapat memakan waktu beberapa hari atau minggu.

2.2.5 Literatur Pembanding

Metode penelitian ini merupakan metedologi studi perbandingan, dengan mencari metode penelitian sejenis dengan topik yang berbeda, lalu mencari kelemahan atau kekurangan dari penelitian sebelumnya. Penelitian sejenis ini berjudul “Pengukuran Tingkat Kematangan Penyelarasan Strategi Teknologi Informasi Terhadap Strategi Bisnis Analisa Menggunakan Cobit 4.1 pada PT. BRI, Tbk.

• Tujuan Penelitian

1. Mengetahui tingkat kematangan penyelarasan strategi teknologi informasi dengan strategi bisnis pada Perusahaan. 2. Mengidentifikasikan berada pada tingkat manakah kelarasan

(19)

3. Menentukan tingkat kematangan penyelarasan strategi teknologi informasi dengan strategi bisnis ditinjau dari sudut pandang 4 perspektif balanced scorecard.

• Metoda Penelitian

Penelitian ini merupakan penelitian Explanatory yang merupakan pengembangan dari penelitian terdahulu, yaitu Pengaruh Penilaian Control Objectives for Information and Related Technology (CobiT) dan Unified Theory of Acceptance and Use of Technology (UTAUT) terhadap pencapaian Key Performance Indicators (KPI) dan Key Goals Indicators (KGI): studi di PT.BRI (Persero), Tbk Jakarta. Dewi (2008) dan Pengaruh Penyelarasan Strategik Terhadap Kinerja Organisasi pada Sektor Perbankan (Jogiyanto dan Iman, 2006).

• Analisis

Analisis yang dipakai dalam penelitian ini adalah analisis kualitatif dan analisis kuantitatif. Analisis kualitatif berasal dari hasil pemetaan (mapping) elemen elemen penelitian. Analisis kuantitatif menggunakan alat analisis yaitu perhitungan skor rata rata dengan basis software Microsoft Excel. (Jogiyanto 2007 dan Jogiyanto 2008).

• Sumber Data

Data sekunder diperoleh dari penelitian terdahulu yaitu: Pengaruh Penilaian Control Objectives for Information and Related Technology (CobiT) dan Unified Theory of Acceptance and Use of Technology (UTAUT) terhadap pencapaian Key Performance Indicators (KPI) dan Key Goals Indicators (KGI): studi di PT.BRI (Persero), Tbk Jakarta. Dewi (2008).Data yang digunakan berupa tingkat kematangan (Capability Maturity Model) dari 34 IT Process dalam Cobit 4.1. 172 PENGUKURAN TINGKAT KEMATANGAN PENYELARASAN STRATEGI TEKNOLOGI INFORMASI TERHADAP STRATEGI BISNIS. ANALISIS

(20)

MENGGUNAKAN FRAMEWORK COBIT 4.1 (Studi Kasus PT. BRI, Tbk) Adityawarman Universitas Diponegoro Selain itu data sekunder yang digunakan berupa IT Strategic Plan PT. Bank BRI., Tbk tahun 2003–2008. Tambahan data diperoleh dari kajian terhadap studi pustaka seperti literatur, referensi dan jurnal-jurnal nasional maupun internasional yang berkaitan dengan sumber-sumber lain di luar perusahaan yang dapat menunjang penelitian. Pemetaan Proses Teknologi Informasi.

• Pemetaan Business Goals dan IT Goals

Setelah diperoleh skor dari setiap IT Goals dari PT. BRI, maka dapat disusun kartu skor untuk mengukur tingkat penyelarasan strategik di PT. BRI (Van Grembergen). Kartu skor ini disusun menggunakan kerangka dalam CobiT 4.1 appendix 1 . Skor penyelarasan strategik tersebut ditampilkan pada tabel 2.1

Tabel 2.1 Hasil kartu skor dari penyelarasan strategik PT. BRI, Tbk

• Hasil Pembahasan

Berdasarkan hasil kartu skor yang terdapat dalam tabel 5, diperoleh skor tingkat penyelarasan strategi bisnis dengan strategi teknologi informasi pada angka 2,90. Berdasarkan tabel tingkat kematangan yang terdapat pada CobiT 4.1, maka PT. BRI berada pada tahap “Defined”.

(21)

2.2.6 Kerangka kerja audit SI

Menurut ISACA (2013) dalam websitenya, COBIT (Control Objectives for Information and Related Technology) merupakan kerangka kerja tata kelola TI dan set alat pendukung yang memungkinkan manajer untuk menjembatani kesenjangan/celah diantara kebutuhan control, masalah teknis dan risiko bisnis. COBIT memungkinkan pengembangan kebijakan yang jelas dan praktek yang baik untuk mengontrol TI di seluruh organisasi. COBIT menekankan kepatuhan terhadap peraturan, membantu organisasi untuk meningkatkan nilai diperoleh dari IT, memungkinkan keselarasan dan menyederhanakan pelaksanaan kerangka COBIT.

1. Pengertian COBIT

Control Objectives for Information and Related Technology (COBIT) dapat definisikan sebagai alat pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan oleh Information System Audit and Control Association (ISACA) melalui lembaga yang dibentuknya yaitu Information and Technology Governance Institute (ITGI) pada tahun 1992.

Cobit yang pertama kali diluncurkan pada tahun 1996, mengalami perubahan berupa perhatian lebih kepada dokumen sumber,revisi pada tingkat lebih lanjut serta tujuan pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set) pada edisi keduanya yang dipublikasikan pada tahun 1998.Cobit pada edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT yaitu ITGI. COBIT edisi keempat merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait.

Menurut Sarno (2009: 19) .COBIT mendefinisikan tujuan bisnis terkait dengan aktivitas teknologi informasi yang umumnya ada di perusahaan. Pada kerangka kerja COBIT hanya menjelaskan tujuan-tujuan bisnis yang berkaitan dengan proses teknologi informasi. Demi memudahkan proses kontrol, COBIT mengelompokkan tujuan tersebut ke dalam perspektif kinerja Balanced Scorecard seperti terlihat dalam tabel 2.1 (ITGI, COBIT 4.1, 2007). Perusahaan/organisasi mungkin tidak

(22)

memiliki semua tujuan bisnis seperti yang dikelompokkan dalam tabel tersebut. Dalam penyusunan tujuan bisnis, perusahaan dapat memilih yang sesuai dengan karakteristik organisasinya masing-masing. Pemilihan tujuan bisnis dapat dilakukan dengan mendefinisikan proses bisnis utama maupun bisnis pendukung organisasi terlebih dahulu.

Kriteria Pengukuran Evaluasi 1. Plan and Organise

a. PO1 Define a Strategic IT plan 1) PO1.1 IT value management 2) PO1.2 Business-IT alignment

3) PO1.3 Assessment of current capability and performance\ 4) PO 1.4 IT strategic plan

5) PO 1.5 IT tactical plan

6) PO 1.6 IT portofolio management

b. PO2 Define the infrmation architecture

1) PO2.1 Enterprise information architecture model 2) PO 2.2 Enterprise data dictionary and data syntax rules 3) PO 2.3 Data classification scheme

4) PO 2.4 Integrity management

c. PO3 Determine technological direction 1) PO 3.1 Technological direction planning 2) PO 3.2 Technology infrastructure plan 3) PO 3.3 Monitor future trends and regulations 4) PO 3.4 Technology standards

5) PO 3.5 IT architecture board

d. PO4 Define the IT process, organisation and relationships 1) PO 4.1 IT process framework

2) PO 4.2 IT strategy committee 3) PO 4.3 IT steering committee

4) PO 4.4 Organisational placement of the IT function 5) PO 4.5 IT organisational structure

(23)

6) PO 4.6 Establishment of roles and responsibilities 7) PO 4.7 Responsibility for IT quality assurance

8) PO 4.8 Responsibility for risk, security and compliance 9) PO 4.9 Data and system ownership

10) PO 4.10 Supervision

11) PO 4.11 Segregation of duties 12) PO 4.12 IT staffing

13) PO 4.13 Key IT personnel

14) PO 4.14 Contracted staff policies and procedures 15) PO 4.15 Relationships

e. PO5 Manage the IT invesment

1) PO 5.1 Financial management framework 2) PO 5.2 Prioritisation within IT budget 3) PO 5.3 IT budgeting

4) PO 5.4 Cost management 5) PO 5.5 Benefit management

f. PO6 Communicate management aimsand direction 1) PO 6.1 IT policy and control environment 2) PO 6.2 Enterprise IT risk and control framework 3) PO 6.3 IT policies management

4) PO 6.4 Policy, standard and procedures rollout 5) PO 6.5 Communication of IT objectives and direction

g. PO7 Manage IT human resources

1) PO 7.1 Personnel recruitment and retention\ 2) PO 7.2 Personnel competencies

3) PO 7.3 Staffing of roles 4) PO 7.4 Personnel training

5) PO 7.5 Dependence upon individuals 6) PO 7.6 Personnel clearance procedures 7) PO 7.7 Employee job performance evaluation 8) PO 7.8 Job change and termination

(24)

h. PO9 Assess and Manage IT Risks

1) PO 9.1 IT risks management framework 2) PO 9.2 Establishment of risk context 3) PO 9.3 Event identification

4) PO 9.4 Risk assessment 5) PO 9.5 Risk Response

6) PO 9.6 Maintenance and monitoring of a risk action plan

i. PO10 Manage projects

1) PO 10.1 Programee management framework 2) PO 10.2 Project management framework 3) PO 10.3 Project management approach 4) PO 10.4 Stakeholder commitment 5) PO 10.5 Project scope statement 6) PO 10.6 Project phase initation 7) PO 10.7 Integrated project plan 8) PO 10.8 Project Resource

9) PO 10.9 Project risk management 10) PO 10.10 Project quality plan 11) PO 10.11 Project change control

12) PO 10.12 Project planning of assurance methods

13) PO 10.13 Project performance measurement, reporting and monitoring

14) PO 10.14 Project closure

2. Acquire and Implement

a. AI1 Identify automated solutions

1) AI 1.1 Definition and maintenance of business functional and technical requirements

2) AI 1.2 Risk analysis report

3) AI 1.3 Feasibility study and formulation of alternative courses of action

b. AI2 Acquire and maintain application software 1) AI 2.1 High-Level design

(25)

2) AI 2.2 Detailed design

3) AI 2.3 Application control and auditability 4) AI 2.4 Application security and availability

5) AI 2.5 Configuration and implementation of acquired application software

6) AI 2.6 Major upgrades to existing systems 7) AI 2.7 Developement of application software 8) AI 2.8 Software quality assurance

9) AI 2.9 Applications requirement management 10) AI 2.10 Application software maintenance

c. AI3 Acquire and maintain technology infrastructure 1) AI 3.1 Technological infrastructure acquisition plan 2) AI 3.2 Infrastructure resource protection and availability 3) AI 3.3 Infrastructure maintenance

4) AI 3.4 Feasibility test environment

d. AI4 Enable operation and use

1) AI 4.1 Planning for operational solutions

2) AI 4.2 Knowledge transfer to business management 3) AI 4.3 Knowledge transfer to end users

4) AI 4.4 Knowledge transfer to operations and support staff

e. AI5 Procure IT resources 1) AI 5.1 Procurement control

2) AI 5.2 Supplier contract management 3) AI 5.3 Supplier selection

4) AI 5.4 IT resources acquisition

f. AI6 Manage changes

1) AI 6.1 Change standards and procedures

2) AI 6.2 Impact assessment, prioritisation and authorisation 3) AI 6.3 Emergency changes

4) AI 6.4 Change status tracking and reporting 5) AI 6.5 Change closure and documentation

(26)

g. AI7 Install and accredit solutions and changes 1) AI 7.1 Training

2) AI 7.2 Test plan

3) AI 7.3 Implementation plan 4) AI 7.4 Test environment

5) AI 7.5 System and data conversion 6) AI 7.6 Testing of changes

7) AI 7.7 Final acceptence test 8) AI 7.8 Promotion to production 9) AI 7.9 Post-implementation review 3. Deliver and Support

a. DS2 Manage third-party service

1) DS 2.1 Identification of all supplier relationships 2) DS 2.2 Supplier relationship management 3) DS 2.3 Supplier risk management

4) DS 2.4 Supplier performance monitoring b. DS3 Manage performance and capacity

1) DS 3.1 Performance and capacity planning 2) DS 3.2 Current performance and capacity 3) DS 3.3 Future performance and capacity 4) DS 3.4 IT resource availability

5) DS 3.5 Monitoring and reporting c. DS4 Ensure continuous service

1) DS 4.1 IT continuity framework 2) DS 4.2 IT continuity plans 3) DS 4.3 Critical IT resource

4) DS 4.4 Maintemance of the IT continuity plan 5) DS 4.5 Testing of the IT continuity plan 6) DS 4.6 IT continuity plan training

7) DS 4.7 Distribution of the IT continuity plan 8) DS 4.8 IT services recovery and resumptio 9) DS 4.9 Offsite backup storage

(27)

d. DS5 Ensure system security

1) DS 5.1 Management of IT security 2) DS 5.2 IT security plan

3) DS 5.3 Identity management 4) DS 5.4 User account management

5) DS 5.5 Security testing, surveillance and monitoring 6) DS 5.6 Security incident definition

7) DS 5.7 Protection of security technology 8) DS 5.8 Cryptographic key management

9) DS 5.9 Malicious software preventio, detection and correction 10) DS 5.10 Network security

11) DS 5.11 Exchange of sensitive data e. DS7 Educate and train users

1) DS 7.1 Identification of education and training needs 2) DS 7.2 Delivery of training education

3) DS 7.3 Evaluation of training received f. DS9 Manage the configuration

1) DS 9.1 Configuration repository and baseline

2) DS 9.2 Identification and maintenance of configuration items 3) DS 9.3 Configuration integrity review

g. DS10 Manage Problems

1) DS 10.1 Identification and Classification of Problems 2) DS 10.2 Problem Tracking and Resolution

3) DS 10.3 Problem Closure

4) DS 10.4 Integration of Configuration, Incident, and Problem Management

h. DS11 Manage Data

1) DS 11.1 Business requirement for data management 2) DS 11.2 Storage and retention arrangement

3) DS 11.3 Media library management system 4) DS 11.4 Disposal

5) DS 11.5 Backup and restoration

(28)

i. DS13 Manage operations

1) DS 13.1 Operations procedures and instructions 2) DS 13.2 Job scheduling

3) DS 13.3 IT infrastructure monitoring

4) DS 13.4 Sensitive documents and output devices 5) DS 13.5 Preventive maintemance for hardware

4. Monitor and Evaluate

a. ME1 Monitor and evaluate IT performance 1) ME 1.1 Monitoring approach

2) ME 1.2 Definition and collection of monitoring data 3) ME 1.3 Monitoring method

4) ME 1.4 Performance assessment 5) ME 1.5 Board and executive reporting 6) ME 1.6 Remedial actions

b. ME2 Monitor and evaluate internal control

1) ME 2.1 Monitoring of internal control framework 2) ME 2.2 Supervisory review

3) ME 2.3 Control exceptions 4) ME 2.4 Control Self-assessment 5) ME 2.5 Assurance of internal control 6) ME 2.6 Internal control at third parties 7) ME 2.7 Remedial action

c. ME4 Provide IT Governance

1) ME 4.1 Establishment of an IT governance framework 2) ME 4.2 Strategic alignment 3) ME 4.3 Value delivery 4) ME 4.4 Resource management 5) ME 4.5 Risk management 6) ME 4.6 Performance measurement 7) ME 4.7 Independent assurance

(29)

Tabel 2.2 Tujuan Bisnis dalam COBIT

Perspektif Kinerja No. Tujuan Bisnis

Perspektif Keuangan

1.

Penyediaan pengembalian investasi yang baik dari bisnis yang dibangkitkan teknologi informasi.

2.

Pengelolaan resiko bisnis yang terkait dengan teknologi informasi.

3. Peningkatan transparansi dan tata kelola perusahaan. Perspektif

Pelanggan

4.

Peningkatan layanan dan orientasi terhadap pelanggan.

5. Penawaran produk dan jasa yang kompetitif. 6. Penentuan ketersediaan dan kelancaran layanan.

7.

Penciptaan ketangkasan (agility) untuk menjawab permintaan bisnis yang berubah.

8.

Pencapaian optimasi biaya dari penyampaian layanan.

9.

Perolehan informasi yang bermanfaat dan handal untuk pembuatan keputusan strategis.

Perspektif Proses Bisnis/ Internal

10.

Peningkatan dan pemeliharaan fungsionalitas proses bisnis.

11. Penurunan biaya proses.

12.

Penyediaan kepatutan terhadap hukum eksternal, regulasi dan kontrak.

13. Penyediaan kepatutan terhadap kebijakan internal. 14. Pengelolaan perubahan bisnis.

15.

Peningkatan dan pengelolaan produktivitas operasional dan staf.

Perspektif Pembelajaran & Pertumbuhan

16. Pengelolaan inovasi produk dan bisnis.

17.

Perolehan dan pemeliharaan karyawan yang cakap dan termotivasi.

(30)

2.2.6.1 Tujuan Teknologi Informasi

Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari.

Dengan bahasa lain, COBIT dapat pula dikatakan sebagai sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis melalui pengendalian terhadap masing-masing dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT. COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit.

Fokus utama COBIT adalah harapan bahwa melalui adopsi COBIT ini perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.

Untuk mengetahui keterkaitan antara tujuan bisnis dengan tujuan teknologi informasi, maka perlu dipahami terlebih dahulu keseluruhan tujuan teknologi informasi yang telah didefinisikan dan diklasifikasikan pada kerangka kerja COBIT seperti yang terlihat pada tabel 2.2 (ITGI, COBIT 4.1, 2007). Pemetaan tujuan teknologi informasi tersebut dapat dijadikan acuan bagi perusahaan/ organisasi dalam menerjemahkan kebutuhan bisnis akan ketersediaan teknologi informasi. Perlu diketahui bahwa tujuan bisnis yang dipaparkan hanya merupakan tujuan yang terkait atau yang dapat membangkitkan bisnis.

(31)

Tabel 2.3 Tujuan Teknologi Informasi dalam COBIT

No. Tujuan Teknologi Informasi

1. Respon terhadap kebutuhan bisnis yang selaras dengan strategi bisnis. 2. Respon terhadap kebutuhan tata kelola yang sesuai dengan arahan direksi. 3. Kepastian akan kepuasan pengguna akhir dengan penawaran dan tingkatan

layanan.

4. Pengoptimasian dari penggunaan informasi.

5. Penciptaan teknologi informasi yang tangkas (IT Agility).

6. Pendefinisian bagaimana kebutuhan fungsional bisnis dan kontrol diterjemahkan dalam solusi otomatis yang efektif dan efisien.

7. Perolehan dan pemeliharaan sistem aplikasi yang standar dan terintegrasi. 8. Perolehan dan pemeliharaan infrastruktur teknologi informasi yang strandar

dan terintegrasi.

9. Perolehan dan pemeliharaan kemampuran teknologi informasi sebagai respon terhadap strategi teknologi informasi.

10. Jaminan akan kepuasan yang saling menguntungkan dengan pihak ketiga. 11. Jaminan akan konsistensi terhadap integrasi aplikasi ke dalam proses bisnis. 12. Jaminan transparansi dan pemahaman terhadap biaya teknologi informasi,

keuntungan, strategi, kebijakan dan tingkatan layanan.

13. Jaminan akan penggunaan dan kinerja dari aplikasi serta solusi teknologi yang sesuai.

14. Kemampuan memberikan penjelasan dan perlindungan terhadap aset-aset teknologi informasi.

15. Pengoptimasian infrastruktur, sumber daya dan kemampuan teknologi informasi.

16. Pengurangan terhadap ketidaklengkapan dan pengolahan kembali dari solusi dan penyampaian layanan.

17. Perlindungan terhadap pencapaian sasaran teknologi informasi.

18. Penentuan kejelasan mengenai resiko dari dampak bisnis terhadap sasaran dan sumber daya teknologi informasi.

(32)

pihak-No. Tujuan Teknologi Informasi pihak yang tidak berkepentingan.

20. Kepastian bahwa transaksi bisnis yang secara otomatis dan pertukaran informasi dapat dipercaya.

21. Jaminan bahwa layanan dan infrastruktur teknologi informasi dapat sepatutnya mengatasi dan memulihkan kegagalan karena eror, serangan yang disengaja maupun bencana alam.

22. Kepastian akan minimnya dampak bisnis dalam kejadian gangguan layanan atau perubahan teknologi informasi.

23. Jaminan bahwa layanan teknologi informasi yang tersedia sesuai dengan yang dibutuhkan.

24. Peningkatan terhadap efisiensi biaya teknologi informasi dan kontribusinya terhadap keuntungan bisnis.

25. Penyampaian rencangan tepat waku dan sesuai dengan kualitas standar maupun anggaran biaya.

26. Pemeliharaan terhadap integritas informasi dan pemrosesan infrastruktur. 27. Kepastian bahwa teknologi informasi selaras degan regulasi dan hukum

yang berlaku.

28. Jaminan bahwa teknologi informasi dapat menunjukkan kualitas layanan yang efisien dalam hal biaya, perbaikan yang berkelanjutan dan kesiapan terhadap perubahan di masa mendatang.

COBIT (Control Objectives for Information and related Technology) Menurut Alindita (2008). IT Governance adalah sistem yang mengatur dan mengendalikan seluruh proses teknologi informasi perusahaan/organisasi yang strukturnya akan menetapkan pendistribusian hak dan tanggung jawab antara pihak-pihak yang terlibat juga berisikan peraturan serta strategi yang ditetapkan perusahaan/ organisasi

Menurut Indrajit (2004). Information System Audit and Control Association (ISACA) memperkenalkan sebuah kerangka untuk mengelola IT Governance di sebuah perusahaan yang dikenal dengan nama COBIT .

Menurut Putra (2009). Pada dasarnya COBIT dikembangkan untuk membantu memenuhi berbagai kebutuhan manajemen terhadap informasi

(33)

dengan menjembatani kesenjangan antara resiko bisnis, kontrol dan masalah teknik

Menurut Surendro (2004: 243) karakteristik utama kerangka kerja COBIT adalah pengelompokkan aktivitas teknologi informasi dalam empat domain, yaitu Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) serta Monitor and Evaluate (ME). Domain PO menyediakan arahan untuk mewujudkan solusi penyampaian (AI) dan penyampaian jasa (DS). AI menyediakan solusi dan menyalurkannya untuk dapat diubah menjadi jasa. Sementara DS menerima solusi tersebut dan membuatnya lebih bermanfaat bagi pengguna akhir. Sedangkan ME memonitor seluruh proses untuk kepastian bahwa arahan yang diberikan telah diikuti. Keterkaitan keempat domain COBIT dapat dilihat dalam gambar 2.1 (ITGI, COBIT 4.1, 2007).

Gambar 2.1 Keterkaitan Domain dalam COBIT

Menurut Sarno (2009: 31-42). Secara jelas, COBIT membagi proses pengelolaan teknologi informasi menjadi empat domain utama dengan total tiga puluh empat proses teknologi informasi. Masing-masing domain dalam COBIT mempunyai beberapa rincian sebagai berikut :

1. Plan and Oganise (PO)

Membahas mengenai strategi, taktik, dan pengidentifikasian teknologi informasi dalam mendukung tercapainya tujuan

(34)

bisnis.Domain PO ini terdiri dari 10 (sepuluh) proses teknologi informasi seperti terlihat pada tabel 2.4.

Tabel2.4 Proses Teknologi Informasi dalam Domain PO

PO1

Mendefinisikan rencana strategis TI Proses : ini berfokus pada penggabungan antara TI dan manajemen bisnis untuk membuat kebutuhan bisnis menjadi layanan yang ditawarkan perusahaan dan bagaimana perkembangan strategi yang dipakai untuk memberikan layanan secara transparan dan efektif

PO2

Mendefinisikan arsitektur informasi : Berfokus pada pembentukan model data perusahaan yang menggabungkan skema klasifikasi data untuk memastikan integritas dan konsistensi dari semua data

PO3

Menentukan arahan teknologi : Berfokus pada menerjemahkan dan mengimplementasikan teknologi infrastruktur, arsitektur, dan standar yang diakui serta pengaruh peluang teknologi.

PO4

Mendefinisikan proses TI, organisasi dan keterhubungannya : Membangun struktur organisasi yang transparan, fleksibel, dan responsif dan mendefinisikan serta menerapkan proses TI dengan pemilik, dan pihak-pihak yang berperan dan bertanggung jawab terhadap bisnisnya.

PO5

Mengelola investasi TI : Mengatur Investasi teknologi informasi yang efektif dan efisien dengan menetapkan dan menganggarkan teknologi informasi yang sejalan dengan strategi teknologi informasi dan keputusan investasi.

PO6

Mengkomunikasikan tujuan dan arahan manajemen : Memberikan aturan, prosedur, arahan, serta dokumentasi pada stakeholder yang akurat, dapat dimengerti dan diterima dalam pengendalian kerangka kerja teknologi informasi.

PO7

Mengelola sumber daya TI : Berfokus pada merekrut dan melatih karyawan, memotivasi, menetapkan jabatan sesuai dengan keahlian, dan memastikan kesadaran akan ketergantungan pada individu

PO8

Mengelola kualitas : Memantau kinerja yang sedang berlangsung terhadap tujuan yang telah ditetapkan sebelumnya untuk meningkatkan layanan teknologi informasi secara berkesinambungan.

PO9 Menapsir dan mengelola resiko TI : Proses ini berfokus pada pengembangan manajemen risiko yang terintegrasi dalam bisnis dan

(35)

kerangka kerja manajemen risiko operasional, penilaian risiko, risiko mitigasi, dan komunikasi dari risiko residual.

PO10

Mengelola proyek : Mendefinisikan program dan pendekatan manajemen proyek yang diterapkan untuk proyek teknologi informasi dan memungkinkan stakeholders untuk berpartisipasi dalam dan pemantauan proyek risiko dan bagaimana kemajuannya

2. Acquire and Implement (AI)

Pada domain Acquire and Implement sebuah solusi teknologi informasi perlu diidentifikasikan, dikembangkan, diimplementasikan dan diintegrasikan ke dalam proses bisnis.Domain AI ini terdiri dari 7 (tujuh) proses teknologi informasi seperti terlihat pada tabel 2.5.

Tabel 2.5 Proses Teknologi Informasi dalam Domain AI AI1 Mengidentifikasi solusi otomatis : Mengidentifikasi teknologi yang

layak dan solusi yang hemat biaya

AI2 Memperoleh dan memelihara software aplikasi : Memastikan bahwa proses pembangunan yang dilakukan tepat waktu dan hemat biaya.

AI3

Memperoleh dan memelihara infrastruktur teknologi : Menyediakan platform yang sesuai untuk aplikasi bisnis dan sejalan dengan arsitektur teknologi informasi dan standar teknologi.

AI4

Memungkinkan operasional dan penggunaan : Menyediakan pengguna yang efektif dan operasional manual dan materi pelatihan untuk menyalurkan pengetahuan yang penting untuk sistem operasional dan penggunaan yang baik.

AI5

Memenuhi sumber daya TI : Memperoleh dan mempertahankan kemampuan teknologi informasi yang merespon strategi pengiriman, infrastruktur teknologi informasi yang terstandarisasi dan terpadu, dan mengurangi risiko pengadaan teknologi informasi.

AI6

Mengelola perubahan : Mengendalikan dampak pengendalian, otorisasi dan pelaksanaan semua perubahan pada infrastruktur TI, aplikasi dan solusi teknik, meminimalisasikan kesalahan karena spesifikasi permintaan yang tidak lengkap.

(36)

AI7

Instalasi dan akreditasi solusi beserta perubahaannya : Pengujian aplikasi dan solusi infrastruktur yang cocok untuk tujuan yang ingin dicapai dan bebas dari kesalahan dan perencanaan untuk produksi.

3. Deliver and Support (DS)

Domain ini fokus pada aspek penyampaian teknologi informasi terhadap dukungan dan layanan teknologi informasi mencakup dukungan dan layanan teknologi informasi pada bisnis, mulai dari penanganan keamanan dan kesinambungan, dukungan bagi pengguna serta manajemen data.Domain DS ini terdiri dari 13 (tiga belas) proses teknologi informasi seperti terlihat pada tabel 2.6.

Tabel 2.6 Proses Teknologi Informasi dalam Domain DS

DS1

Mendefinisikan dan mengelola tingkat layanan : Mengidentifikasi persyaratan layanan, menyepakati tingkat layanan dan pemantauan prestasi dari tingkat layanan.

DS2

Mengelola layanan pihak ketiga : Membangun hubungan dan tanggung jawab bilateral dengan memenuhi syarat layanan pihak ketiga dan memantau layanan apakah terverifikasi dan memastikan kepatuhan terhadap perjanjian.

DS3

Mengelola kinerja dan kapasitas : Memperkirakan kebutuhan yang akan datang dilihat dari beratnya pekerjaan, penyimpanan dan kemungkinan kebutuhan. Proses ini menyediakan jaminan bahwa sumber informasi mendukung kebutuhan bisnis yang akan terus ada.

DS4

Memastikan layanan yang berkelanjutan : Sebuah proses pelayanan efektif yang berkelanjutan meminimalkan peluang dan dampak gangguan pelayanan teknologi informasi pada fungsi utama bisnis dan prosesnya

DS5

Memastikan keamanan system : Proses ini termasuk membangun dan memelihara peranan keamanan teknologi informasi dan tanggung jawab, kebijakan, standar, dan prosedur.

DS6

Mengidentifikasikan dan mengalokasikan biaya : Berfokus pada membangun dan menjalankan sistem untuk menangkap, mengalokasikan dan melaporkan biaya teknologi informasi bagi para pengguna layanan.

DS7 Mendidik dan melatih pengguna : Proses ini termasuk menetapkan dan melaksanakan strategi untuk pelatihan efektif dan pengukuran hasil.

(37)

DS8

Mengelola service desk dan insiden : Pengadaan fungsi bagian layanan dengan pendaftaran, peningkatan insiden, kecenderungan dan analisis akar penyebab, dan resolusi.

DS9 Mengelola konfigurasi : Mengumpulkan informasi awal konfigurasi, dan memperbaharui gudang konfigurasi yang diperlukan.

DS10

Mengelola permasalahan : Merekam, melacak, dan menyelesaikan masalah operasional, menyelidiki akar penyebab dari masalah, dan bagaimana solusi dari masalah yang sudah teridentifikasi.

DS11

Mengelola data : Pendirian dari prosedur efektif untuk mengelola media penyimpanan, cadangan dan penemuan kembali data, dan pembagian media yang tepat.

DS12

Mengelola lingkungan fisik : termasuk menegaskan tempat fisik, memilih sesuai fasilitas, dan mendesain proses efektif karena mengamati faktor lingkungan dan mengelola akses fisik.

DS13

Mengelola operasi : Menetapkan kebijakan pengoperasian dan prosedur untuk pengelolaan yang efektif dari pengolahan yang dijadwalkan, melindungi kepekaan hasil akhir, pengamatan kinerja prasarana dan menjamin pemeliharaan pencegahan perangkat keras.

4. Monitor and Evaluate (ME)

Pada domain ini akan ditekankan kepada pentingnya semua proses teknologi informasi perlu diakses secara berkala untuk menjaga kualitas dan kesesuaian dengan standar yang telah ditetapkan.Domain ME ini terdiri dari 4 (empat) proses teknologi informasi seperti terlihat pada tabel 2.7.

Tabel 2.7 Proses Teknologi Informasi dalam Domain ME

ME1

Mengawasi dan mengevaluasi kinerja TI : Memonitor dan melaporkan proses metric dan mengidentifikasikan serta menerapkan peningkatan dari kinerja teknologi informasi.

ME2

Mengawasi dan mengevaluasi kontrol internal : Memonitor proses pengendalian internal untuk aktivitas teknologi informasi yang saling berhubungan dan mengidentifikasi peningkatan kinerja.

(38)

Mengidentifikasi semua undang-undang, peraturan dan kontrak dengan tingkatan teknologi informasi yang sesuai serta mengoptimalkan proses teknologi informasi untuk mengurangi risiko.

ME4

Menyediakan tata kelola TI Menyiapkan laporan strategi : kinerja dan risiko dan menanggapi persyaratan pemerintahan yang sejalan dengan aturan yang berlaku.

COBIT memberikan satu langkah praktis melalui domain dan framework yang menggambarkan aktivitas teknologi informasi dalam suatu struktur dan proses yang disesuaikan. Gambaran kerangka kerja (framework) COBIT secara keseluruhan dapat dilihat pada gambar berikut :

Gambar 2.2 Kerangka Kerja COBIT 4.1

(39)

ITGI (Information Technology Governance Institue, 2007) memberikan pemetaan tujuan teknologi informasi dan tujuan bisnis berdasarkan standar COBIT menjadi 28 tujuan teknologi informasi dan 17 tujuan bisnis.

Tabel 2.8 Pemetaan Tujuan Bisnis dan Tujuan Teknologi Informasi berdasarkan COBIT

No. Tujuan Bisnis Tujuan Teknologi

Informasi 1. Penyediaan pengembalian investasi yang baik

dari bisnis yang dibangkitkan teknologi informasi.

24

2. Pengelolaan resiko bisnis yang terkait dengan teknologi informasi.

2 14 17 18 19 21 22

3. Peningkatan transparansi dan tata kelola perusahaan.

2 18

4. Peningkatan layanan dan orientasi terhadap pelanggan.

3 23

5. Penawaran produk dan jasa yang kompetitif. 5 24

6. Penentuan ketersediaan dan kelancaran layanan. 10 16 22 23 7. Penciptaan ketangkasan (agility) untuk menjawab

permintaan bisnis yang berubah.

1 5 25

8. Pencapaian optimasi biaya dari penyampaian layanan.

7 8 10 24

9. Perolehan informasi yang bermanfaat dan handal untuk pembuatan keputusan strategis.

2 4 12 20 26

10. Peningkatan dan pemeliharaan fungsionalitas proses bisnis.

6 7 11

11. Penurunan biaya proses. 7 8 13 15 24

12. Penyediaan kepatutan terhadap hukum eksternal, regulasi dan kontrak.

2 19 20 21 22 26 27

13. Penyediaan kepatutan terhadap kebijakan internal.

2 13

(40)

15. Peningkatan dan pengelolaan produktivitas operasional dan staf.

7 8 11 13

16. Pengelolaan inovasi produk dan bisnis. 5 25 28

17. Perolehan dan pemeliharaan karyawan yang cakap dan termotivasi.

9

Sumber: Sarno, 2009: 57-59

Menurut (Gondodiyoto, 2007). Suatu organisasi dapat dianggap sukses membangun teknologi informasi dalam suatu kerangka sistem informasi yang lengkap apabila telah memenuhi kriteria ukuran informasi Kriteria ukuran informasi berdasarkan kerangka kerja COBIT agar tercapainya sasaran bisnis, informasi harus memenuhi kriteria yang direferensikan oleh COBIT sebagai berikut :

1. Effectiveness (Efektifitas) : Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten, dapat dipercaya, dan tepat waktu.

2. Efficiency (Efisiensi) : Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis yang optimal). 3. Confidentiality (Kerahasiaan) : Berkaitan dengan proteksi pada

informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/ tidak berwenang.

4. Integrity (Integritas) : Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.

5. Availability (Ketersediaan) : Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.

6. Compliance (Kepatuhan) : Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.

7. Reliability (Handal) : Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.