9

LANDASAN TEORI

2.1 Teori Umum

2.1.1 Pengertian Sistem Informasi

Menurut Hall (2013:5), sistem informasi merupakan serangkaian prosedur formal di mana data dikumpulkan, disimpan, diproses menjadi informasi, dan didistribusikan kepada pengguna. Sedangkan menurut Cegielski (2013:12), sistem informasi adalah mengumpulkan, memproses, menyimpan, menganalisis, dan menyebarkan informasi untuk tujuan tertentu. Tujuan sistem informasi adalah untuk mendapatkan informasi yang tepat kepada orang yang tepat, pada waktu yang tepat, dalam jumlah yang tepat, dan dalam format yang tepat. Sistem informasi dimaksudkan untuk memberikan informasi yang berguna, kita perlu membedakan antara informasi dan dua istilah yang terkait erat: data dan pengetahuan. Terdapat 6 komponen dalam sistem informasi, yaitu :

- Perangkat Keras - Perangkat Lunak - Database - Jaringan - Kebijakan - Manusia

Jadi dapat ditarik kesimpulan bahwa sistem informasi adalah serangkaian prosedur formal di mana data dikumpulkan, disimpan, dianalisis, dan diproses menjadi informasi yang dapat disebarkan untuk tujuan tertentu.

2.1.2 Pengertian Teknologi Informasi

Menurut Weickgenannt (2013:8), teknologi informasi (TI) adalah sebagai komputer, peralatan pendukung, perangkat lunak, layanan, dan sumber daya terkait yang diterapkan untuk mendukung proses bisnis. Dengan adanya teknologi informasi pada sebuah organisasi

dapat mendukung enam tujuan bisnis, yaitu: menaikan produktivitas, mengurangi biaya, mempercepat pembuatan keputusan, memfasilitasi kerjasama, meningkatkan customer relationship, mengembangkan strategi aplikasi baru. Sedangkan menurut Rainer (201:17), TI berhubungan dengan semua alat berbasis komputer yang digunakan orang untuk bekerja dengan informasi dan mendukung informasi dan kebutuhan pengolahan informasi organisasi. Jadi dapat ditarik kesimpulan bahwa teknologi informasi adalah jaringan dari semua sistem informasi yang digunakan oleh sebuah organisasi untuk bekerja dengan informasi dan mendukung informasi dan kebutuhan pengolahan informasi organisasi.

2.1.3 Pengertian Hardware

Menurut Cegielski (2013:13), hardware terdiri dari perangkat seperti prossesor, monitor, keyboard, dan printer yang secara bersama-sama perangkat ini menerima, mengolah, dan menampilkan data dan informasi. Sedangkan menurut O’Brien (2009:117), komponen hardware termasuk perangkat input dan output seperti sebuah CPU, dan perangkat penyimpanan primer dan sekunder. Jadi dapat ditarik kesimpulan bahwa Hardware (Perangkat Keras) perangkat yang terdiri dari prosessor, monitor, keyboard, dan printer yang termasuk perangkat input dan output.

2.1.4 Pengertian Software

Menurut Cegielski (2013:13), perangkat lunak/software adalah program atau kumpulan program yang memungkinkan perangkat keras untuk memproses data. Sedangkan menurut O’Brien (2009:126), software adalah istilah umum untuk berbagai jenis program yang digunakan untuk mengoperasikan dan memanipulasi komputer pada perangkat periferal mereka. Jadi dapat ditarik kesimpulan bahwa software adalah suatu program yang memungkinkan perangkat keras untuk memproses data dalam mengoperasikan dan memanipulasi komputer pada perangkat periferal mereka.

2.1.5 Pengertian Jaringan Komputer

Menurut Cegielski (2013:149), jaringan komputer adalah sistem yang menghubungkan komputer dan perangkat lain (misalnya, printer) melalui media komunikasi sehingga data dan informasi dapat ditransmisikan antara mereka. Sedangkan menurut Sofana (2013:3), jaringan komputer merupakan kumpulan beberapa komputer (dan perangkat lainnya seperti router,switch, dan sebagainya) yang saling terhubung satu sama lain melalui media perantara. Media perantara bisa berupa media kabel ataupu media tanpa kabel (nirkabel). Jadi dapat ditarik kesimpulan bahwa Jaringan Komputer adalah sistem yang menghubungkan komputer dengan perangkat lain melalui suatu media perantara yang dilakukan antara satu dengan yang lain.

2.1.6 Pengertian Internet

Menurut Turban (2010:121), Internet interkoneksi jaringan komputer skala besar yang dihubungkan menggunakan protokol khusus yang berfungsi sebagai mekanisme transportasi. Koneksi antar jaringan dapat dilakukan dengan dukungan protokol yang khas, yaitu TCP/IP (Transmission Control Protocol/ Internet Protocol). Sedangkan menurut O’Brien (2009:217), internet adalah fenomena revolusioner dalam komputasi dan telekomunikasi. Internet telah menjadi jaringan terbesar dan paling penting dari jaringan saat ini dan telah berkembang menjadi superhighway informasi global. Jadi dapat ditarik kesimpulan bahwa internet merupakan interkoneksi jaringan komputer skala besar yang dihubungkan menggunakan sebuah protokol yang disebut TCP/IP yang telah terevolusioner dalam komputer dan telekomunikasi informasi global.

2.1.7 Pengertian Intranet

Menurut O’Brien (2009:221), intranet adalah jaringan di dalam sebuah organisasi yang menggunakan teknologi Internet (seperti Web browser dan server, protokol jaringan TCP/IP, HTML hypermedia dokumen penerbitan dan database, dan sebagainya) untuk

menyediakan lingkungan Internet seperti dalam perusahaan untuk berbagi informasi, komunikasi, kolaborasi dan dukungan dari proses bisnis. Intranet dilindungi oleh langkah-langkah keamanan seperti password, enkripsi, dan firewall sehingga dapat diakses melalui oleh para pengguna melalui internet. Sedangkan menurut Turban (2010:122), intranet adalah jaringan yang dirancang untuk melayani kebutuhan informasi internal perusahaan, dengan menggunakan alat internet. Intranet menyediakan kemudahan dan browsing yang murah. Jadi dapat ditarik kesimpulan intranet adalah jaringan yang dirancang untuk melayani kebutuhan informasi internal perusahaan yang menggunakan teknologi Internet.

2.1.10 Pengertian Extranet

Menurut O’Brien (2009:223), extranet adalah link jaringan yang menggunakan teknologi internet untuk menghubungkan intranet dari bisnis dengan intranet dari pelanggan, pemasok, atau mitra bisnis lainnya. Sedangkan menurut Cegielski (2013:157), extranet menghubungkan bagian dari intranet organisasi yang berbeda. Memungkinkan mitra bisnis untuk berkomunikasi secara aman melalui internet dengan menggunakan jaringan virtual private. Jadi dapat disimpulkan extranet merupakan internet jaringan yang dikontrol dengan menggunakan password untuk private user daripada general public untuk dapat berkomunikasi secara aman dengan menggunakan jaringan virtual private.

2.1.11 Pengertian Virtual Private Network (VPN)

Menurut Cegielski (2011:108) Virtual Private Network adalah jaringan pribadi yang menggunakan jaringan publik (biasanya adalah Internet) untuk menghubungkan sesama pengguna. VPN mengintegrasikan konektivitas global internet dengan keamanan jaringan pribadi dan dengan demikian memperluas jangkauan jaringan organisasi. VPN memiliki beberapa kelebihan yaitu dengan VPN dapat mengizinkan remote user untuk mengakses ke jaringan perusahaan dan VPN juga memberikan kemudahan bagi organisasi

untuk dapat memberlakukan kebijakan keamanan bagi organisasi. Jadi dapat ditarik kesimpulan bahwa Virtual Private Network adalah jaringan pribadi yang menggunakan jaringan publik untuk menghubungkan dan memperluas jangkauan jaringan organisasi.

2.1.12 Teori Local Area Network

Menurut Cegielski (2013:149), Local Area Network (LAN) menghubungkan dua atau lebih perangkat di wilayah geografis yang terbatas, biasanya dalam gedung yang sama, sehingga setiap perangkat di dalam jaringan dapat berkomunikasi dengan setiap perangkat lain. Sedangkan menurut O’Brien (2009:223), LAN menghubungkan komputer dan perangkat pengolahan informasi lain dalam area fisik yang terbatas, seperti kantor, ruang kelas, bangunan, atau tempat kerja lainnya. LAN menyediakan kemampuan jaringan telekomunikasi yang menghubungkan pengguna akhir di kantor-kantor, departemen, dan kelompok kerja lainnya. Jadi dapat ditarik kesimpulan Local Area Network adalah jaringan lokal yang menghubungkan dua atau lebih komputer pada perangkat pengolahan informasi lain dalam area fisik yang terbatas yang digunakan untuk menyediakan kemampuan jaringan telekomunikasi yang menghubungkan pengguna akhir di kantor-kantor, departemen, dan kelompok kerja lainnya.

2.1.13 Teori Wide Area Networks

Menurut Cegielski (2013:151), Wide Area Network (WAN) adalah jaringan yang mencakup area geografis yang luas. Sedangkan menurut O’Brien (2009 : 223), WAN adalah jaringan telekomunikasi yang mencakup wilayah geografis yang luas. Jaringan ini telah menjadi kebutuhan untuk melaksanakan hari untuk kegiatan hari banyak bisnis dan organisasi pemerintah dan pengguna akhir mereka. Jadi Wide Area Network adalah jaringan telekomunikasi yang mencakup wilayah geografis yang luas.

2.1.14 Pengertian Website

Menurut Cegielski (2013:165), sebuah website adalah berbasis web, gerbang personal menuju informasi dan pengetahuan yang memberikan informasi yang relevan dari sistem TI yang berbeda dan internet dengan menggunakan teknik pencarian dan pengindeksan yang maju. Corporate website menawarkan satu poin akses personal melalui web browser untuk informasi bisnis penting yang terletak di dalam dan di luar organisasi. Jadi dapat ditarik kesimpulan bahwa website adalah gerbang personal menuju informasi dan pengetahuan yang memberikan informasi yang relevan dari sistem TI yang berbeda.

2.1.15 Pengertian UML

Menurut Lee (2012:157), Unified Modeling Language merupakan notasi standar dalam mengembangkan metodologi desain berorientasi obyek untuk aplikasi komputer. UML adalah alat untuk menentukan sistem perangkat lunak yang mencakup diagram standar untuk mendefinisikan, menggambarkan dan memetakan secara visual atau memodelkan desain perangkat lunak sistem dan struktur. Diagram UML termasuk menggunakan Usecase Diagram, Class Diagram , Sequence Diagram , Statechart Diagram, Activity Diagram, Component Diagram, dan Deployment Diagram. Sedangkan menurut Wixom (2013:511), UML adalah untuk menyediakan kosakata umum istilah berbasis obyek dan teknik diagram yang cukup kaya untuk model setiap proyek pengembangan sistem dari analisis untuk merancang. Jadi dapat disimpulkan bahwa UML adalah notasi standar yang digunakan dalam desain untuk pelaksanaan setiap sistem dan perangkat lunak arsitektur serta membantu mencapai persyaratan fungsional dan non-fungsional dari sistem.

2.1.16 Teori Rich Picture

Menurut penelitian dari Stenlund dalam Using Grounded Theory Methodology and Rich Picture Diagrams in Analyzing Value Creation in Houses of Culture Projects in Sweden (2010: 18), “That’s rich

picture diagrams are tools suitable for analyzing complex building process”, yang artinya rich picture adalah alat yang sesuai untuk menganalisa berbagai pembentukan proses bisnis yang kompleks.

2.1.17 Teori Event Table

Menurut Rama (2008:3), event adalah kejadian yang terjadi pada suatu waktu tertentu yang terdiri dari satu atau lebih objek. Sebuah event table dihasilkan dari aktivitas-aktivitas dari class. Bagian horizontal berisi class yang terpilih, bagian vertical berisi event-event. Jadi dapat disimpulkan bahwa event table adalah suatu proses mengidentifikasi aktivitas-aktivitas yang terjadi dalam suatu rangkaian sistem yang berjalan dalam perusahaan.

2.1.18 Teori Overview Activity Diagram

Menurut Rama (2008:79), Overview Activity Diagram menyajikan suatu pandangan tingkat tinggi dari proses bisnis dengan mendokumentasikan kejadian penting, urutan kejadian-kejadian ini, dan aliran informasi antar kejadian-kejadian. Overview Activity Diagram bermanfaat dalam memahami kejadian-kejadian penting pada suatu proses bisnis, tanggung jawab atas kejadian ini, dan perpindahan informasi antar kejadian. Menurut Rama (2008 : 85), dalam menyiapkan overview activity diagram terdapat langkah-langkah sebagai berikut :

a. Membaca narasi dan mengidentifikasi event-event yang penting.

b. Mencatat narasi secara jelas untuk mengidentifikasi event-event yang terlibat di dalamnya.

c. Menggambarkan agent (aktor) yang terlibat dalam proses bisnis yang terjadi.

d. Membuat diagram event-event dan menunjukkan urutan event yang terjadi.

e. Menggambarkan dokumen yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari dokumen tersebut.

f. Menggambarkan table files yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari files tersebut.

Jadi dapat ditarik kesimpulan bahwa overview activity diagram adalah sekumpulan aliran aktivitas yang digambarkan dalam suatu diagram yang dimulai dari proses bisnis yang penting menuju ke proses bisnis yang biasa secara berurutan.

2.1.19 Teori Detailed Activity Diagram

Menurut Rama (2008:110), detailed activity diagram adalah diagram aktivitas UML yang menyediakan penyajian terperinci dari aktivitas yang berhubungan dengan satu atau dua kejadian yang ditunjukkan di dalam overview diagram. Detailed activity diagram menunjukkan informasi mengenai aktivitas dalam suatu kejadian spesifik. Untuk membuat sebuah detailed activity diagram perlu untuk mengidentifikasi aktivitas individu dalam setiap kejadian. Jadi dapat disimpulkan bahwa detailed activity diagram merupakan diagram aktivitas UML yang menyediakan penyajian terperinci dari aktivitas dalam suatu kejadian spesifik.

2.1.20 Teori Workflow

Menurut Rainer (2011:169), workflow adalah pergerakan informasi yang mengalir melalui urutan langkah-langkah yang membentuk suatu prosedur kerja organisasi. Sedangkan menurut Rama (2008:111), workflow adalah tabel dengan dua kolom yang mengidentifikasikan para pelaku dan tindakan yang dilakukannya dari sebuah proses. Para pelaku yang melaksanakan aktivitas spesifik didaftarkan di dalam kolom pada sisi kiri. Aktivitas terkait didaftarkan pada sisi kanan. Aktivitas didaftarkan dengan menggunakan kata kerja aktif. Jadi dapat disimpulkan bahwa workflow adalah sebuah tabel sederhana dua kolom yang mengidentifikasikan pergerakan informasi yang mengalir melalui urutan langkah-langkah bagi para pelaku dan tindakan yang dilakukannya dari sebuah proses.

2.1.21 Teori Entity Relationship Diagram

Menurut Hall (2013:49), ERD (Entity Relationship Diagram) adalah teknik dokumentasi yang digunakan untuk mewakili hubungan antara entitas bisnis. Entitas berlaku untuk suatu hal dimana organisasi menangkap data. Suatu entitas mungkin sumber daya fisik, suatu peristiwa, atau agen. Sedangkan menurut Roth (2013:224), ERD (Entity Relationship Diagram) adalah gambar yang menunjukkan informasi yang dibuat, disimpan, dan digunakan oleh sistem bisnis. Pada ERD, jenis yang sama dari informasi yang tercantum bersama-sama dan ditempatkan di dalam kotak yang disebut entitas. Garis ditarik antara entitas untuk mewakili hubungan antar data, dan simbol khusus ditambahkan ke diagram untuk berkomunikasi aturan bisnis tingkat tinggi yang perlu didukung oleh sistem. Jadi dapat disimpulkan bahwa Entity Relationship Diagram yaitu teknik dokumentasi yang digunakan untuk menunjukkan informasi yang dibuat, disimpan, dan digunakan oleh entitas bisnis. 2.1.22 Pengertian Siklus Pendapatan

Menurut Rama (2008:23), siklus pendapatan mengacu pada proses menyediakan barang dan jasa untuk para pelanggan. Siklus pendapatan dari jenis organisasi yang berbeda dapat saja sama dan mencakup didalamnya sebagian atau semua kegiatan berikut ini :

1. Merespon permintaan informasi dari pelanggan.

2. Membuat perjanjian dengan para pelanggan untuk menyediakan barang dan jasa di masa mendatang. Contoh perjanjiannya adalah Purchased Order& Sales Order.

3. Menyediakan jasa atau mengirim barang ke pelanggan.

4. Melakukan penagihan ke pelanggan. Perusahaan akan mengakui klaimnya terhadap pelanggan dengan mencatat piutang dan menagih pelanggan.

5. Melakukan penagihan uang. 6. Menyetorkan uang ke bank.

7. Menyusun laporan Contohnya adalah laporan daftar pesanan, daftar pengiriman, dan daftar penerimaan kas.

Menurut Speer (2012:399), penjualan di dalam siklus pendapatan adalah dokumen formal yang disusun dengan menggunakan formulir pemesanan pelanggan yang berupa satu salinan dokumen tersebut juga siap untuk memulai pengiriman dan menerima pembayaran dari pelanggan. Pesanan penjualan disiapkan oleh penjual dalam penjualan unit. Jadi dapat ditarik kesimpulan bahwa siklus pendapatan mengacu pada proses menyediakan barang dan jasa untuk para pelanggan dengan menyertakan dokumen formal yang disusun dengan menggunakan formulir pemesanan pelanggan.

2.1.23 Pengertian Penjualan Kredit

Menurut Anggadini (2011:165), penjualan kredit adalah aktivitas penjualan yang menimbulkan tagihan/klaim/piutang kepada pembeli sehingga penjual tidak menerima uang tunai pada saat barang diserahkan kepada pembeli. Sedangkan menurut Vini Mariani (2011: 274), penjualan kredit dan piutang merupakan dua hal yang tidak dapat dipisahkan, karena penjualan kredit akan selalu menimbulkan piutang. Tidak ada atau lemahnya pengendalian internal dalam sistem akuntansi penerimaan kas akan berakibat semakin besarnya resiko kerugian yang akan ditanggung perusahaan akibat tak tertagihnya piutang maupun penyimpangan atau kecurangan akan yang mengakibatkan terancamnya kelangsungan hidup perusahaan. Untuk itu diperlukan adanya pengendalian internal yang baik untuk mendukung sistem akuntansi ketiganya. Prosedur penjualan kredit terdiri dari aktivitas :

a. Permintaan informasi persediaan barang/jasa b. Penerimaan pesanan penjualan

c. Pengecekan persediaan dan harga d. Persetujuan kredit

e. Pengambilan barang/persediaan f. Pembuatan faktur penjualan g. Pengiriman barang

h. Pencatatan transaksi i. Penagihan

Jadi dapat ditarik kesimpulan bahwa penjualan kredit menimbulkan piutang dan keduanya merupakan hal yang tidak bisa dipisahkan dan juga penjualan barang dagang yang dilakukan secara tidak tunai dan dicatat sebagai debit pada perkiraan piutang dagang dan kredit pada perkiraan penjualan.

2.2 Teori Khusus

2.2.1 Pengertian Risiko

Menurut Peltier (2005:16), risiko merupakan fungsi dari kemungkinan yang mengidentifikasikan ancaman yang akan terjadi, dan kemudian dampak bahwa ancaman akan terjadi pada proses atau misi dari aset dalam bisnis. Sedangkan Istiningrum (2011:2), risiko mengandung tiga unsur pembentuk risiko, yaitu (i) kemungkinan kejadian atau peristiwa, (ii) dampak atau konsekuensi jika terjadi, risiko akan membawa akibat atau konsekuensi, dan (iii) kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas). Jadi dapat ditarik kesimpulan bahwa risiko adalah kemungkinan yang mengidentifikasikan ancaman yang akan terjadi dalam bisnis yang dapat menimbulkan kerugian.

2.2.1.1 Komponen Risiko

Menurut Arens (2012:281), komponen risiko adalah sebagai berikut:

1. Risiko Deteksi yang Direncanakan (Planned Detection Risk) Risiko bahwa bukti audit untuk segmen akan gagal mendeteksi

salah saji yang melebihi toleransi.

2. Risiko Audit yang Dapat Diterima (Acceptable Audit Risk) Ukuran tentang kesediaan auditor untuk menerima bahwa

laporan keuangan mungkin disalahsajikan secara material setelah audit selesai dan pendapat wajar tanpa pengecualian telah dikeluarkan.

Ukuran penilaian auditor tentang kemungkinan bahwa ada salah saji yang material dalam suatu segmen sebelum mempertimbangkan keefektifan pengendalian internal.

4. Risiko Pengendalian (Control Risk)

Ukuran penilaian auditor mengenai kemungkinan bahwa salah saji melampaui jumlah yang dapat ditoleransi dalam suatu segmen tidak akan tecegah atau terdeteksi oleh pengendalian internal klien.

2.2.1.2 Upaya Penanggulangan Risiko

Menurut Yasa (2013:33), tindakan yang dilakukan untuk mengurangi risiko yang muncul disebut mitigasi/ penanganan risiko (risk mitigation). Tindakan yang dapat dilakukan dalam menangani risiko yaitu :

1. Menahan Risiko (Risk Retention)

Tindakan ini dilakukan karena dampak dari suatu kejadian yang merugikan masih dapat diterima (acceptable).

2. Mengurangi Risiko (Risk Reduction)

Mengurangi risiko dilakukan dengan mempelajari secara mendalam risiko tersebut, dan melakukan usaha-usaha pencegahan pada sumber risiko atau mengkombinasikan usaha agar risiko yang diterima tidak terjadi secara simultan.

3. Memindahkan Risiko (Risk Transfer)

Dilakukan dengan cara mengansuransikan risiko baik sebagian atau seluruhnya kepada pihak lain.

4. Menghindari Risiko (Risk Avoidance)

Dilakukan dengan menghindari aktivitas yang tingkat kerugiannya tinggi.

2.2.2 Risiko Teknologi Informasi

2.2.2.1 Kategori Risiko Teknologi Informasi

Menurut Hughes (2006:34), kategori risiko teknologi informasi antara kehilangan informasi potensial

dan pemulihannya, antara lain : 1. Security

Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berotoritas. Ini merupakan kejahatan komputer, kebocoran internal dan terorisme cyber.

2. Availability

Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem, karena kesalahan manusia, perubahan konfigurasi, kurangnya pengurangan arsitektur atau akibat lainnya.

3. Recoverability

Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup setelah sebuah kejadian keamanan atau ketersediaan seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau bencana alam.

4. Performance

Risiko dimana informasi tidak tersedia saat diperlukan yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam.

5. Scalability

Risiko perkembangan bisnis, peraturan bottleneck, dan bentuk arsitekturnya membuat tidak mungkin menangani banyak aplikasi baru dan biaya bisnis yang efektif.

6. Compliance

Risiko yang manajemen atau pengginaan informasinya melanggar keperluan regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah, panduan pengaturann korporat dan kebijakan internal.

2.2.3 Penilaian Risiko

2.2.3.1 Pengertian Penilaian Risiko

Menurut Peltier (2005:16), penilaian risiko adalah proses kedua dalam manajemen siklus hidup risiko. Organisasi menggunakan penilaian risiko untuk menentukan ancaman apa yang ada untuk suatu aset dan tingkat risiko terkait ancaman itu. Prioritas ancaman (penentuan tingkat resiko) memberikan organisasi berupa informasi yang diperlukan untuk memilih tindakan yang tepat kontrol, perlindungan, atau tindakan untuk menurunkan risiko ke tingkat yang dapat diterima. Organisasi harus menetapkan ambang batas dari risiko yang dapat diterima dan melaksanakan penanggulangan yang memadai untuk mengurangi risiko ke tingkat yang ditentukan manajemen.

Setiap kali penilaian risiko yang akan dilakukan, profesional manajemen risiko harus bertemu dengan klien untuk menentukan apa yang dikaji, apa jenis elemen risiko yang harus diperiksa, dan apa yang klien perlu sebagai penyampaian atau hasil dari proses. Tujuan dari proses penilaian risiko adalah untuk menentukan dampak ancaman terhadap aset informasi berdasarkan :

1. Integritas (Integrity)

Segala macam informasi tanpa adanya modifikasi yang tidak sah (asli). Beberapa contoh dari ancamannya yaitu menggunakan/ menghasilkan laporan yang salah, memodifikasi/mengganti bebrapa informasi, salah mengartikan informasi, dsb.

2. Kerahasiaan (Confidentiality)

Informasi yang ada diperusahaan bersifat rahasia dan hanya pihak yang berwenang yang dapat mengakses dari informasi tersebut. Beberapa contoh dari ancamannya yaitu penyalahgunaan hak akses oleh yang tidak berwenang, memberikan informasi tanpa

seizin pihak yang berwenang, mengawasi transaksi, dsb.

3. Ketersediaan sumber daya informasi (Availability) Aplikasi, sistem, atau sumber informasi yang diperlukan oleh perusahaan tersedia saat dibutuhkan. Beberapa contoh dari ancamannya yaitu perusakan informasi, menunda ketersediaan akses informasi, bencana besar ( kebakaran, banjir,dsb).

2.2.3.2 Proses Penilaian Risiko

Menurut Moteff (2004:2), penilaian risiko melibatkan integrasi ancaman, kerentanan, dan informasi konsekuensi. Manajemen risiko melibatkan memutuskan langkah-langkah protektif untuk mengambil berdasarkan disepakati strategi pengurangan risiko. Banyak model / metodologi yang telah dikembangkan dimana ancaman, kerentanan, dan risiko yang terintegrasi dan kemudian digunakan untuk menginformasikan alokasi sumber daya untuk mengurangi risiko tersebut. Sedangkan menurut Peltier (2005:16), organisasi menggunakan penilaian risiko untuk menentukan apa ancaman yang ada untuk suatu aset dan tingkat risiko yang terkait ancaman itu. Ancaman prioritas (penentuan tingkat risiko) memberikan organisasi dengan informasi yang dibutuhkan untuk memilih tindakan kontrol yang tepat, perlindungan, atau tindakan untuk menurunkan risiko ke tingkat yang dapat diterima. Terdapat 6 langkah dalam proses penilaian risiko, yaitu :

1. Mengidentifikasi aset

2. Mengidentifikasi, mengkarakterisasi, dan menilai ancaman

Sebuah sumber ancaman didefinisikan sebagai keadaan atau peristiwa dengan potensi untuk

menyebabkan kerusakan pada aset. Biasanya, ada tiga kategori utama dari sumber ancaman :

a. Natural Threats : Banjir, gempa bumi, tornado, tanah longsor, longsoran, badai listrik, dan acara lain .

b. Human Threats : Tindakan yang dimulai atau disebabkan oleh manusia, seperti tindakan yang tidak disengaja (kesalahan dan kelalaian) atau tindakan yang disengaja (fraud, perangkat lunak berbahaya, akses yang tidak sah ).

c. Environmental Threats : Listrik padam jangka panjang, polusi, tumpahan bahan kimia, kebocoran cairan.

3. Menentukan probabilitas kejadian

Terdapat 3 level dalam menentukan kemungkinan terjadinya ancaman, yaitu :

a. High : Sangat mungkin bahwa ancaman akan terjadi dalam tahun depan.

b. Medium : Kemungkinan bahwa ancaman mungkin terjadi selama tahun depan.

c. Low : Rendah probabilitas - Sangat tidak mungkin bahwa ancaman akan terjadi selama tahun depan.

4. Menentukan dampak dari ancaman

Terdapat 3 level dalam menentukan dampak ancaman, yaitu :

a. High Impact : Mematikan unit bisnis penting yang mengarah ke kerugian yang signifikan dari bisnis, citra perusahaan, atau keuntungan.

b. Medium Impact : Gangguan proses kritis atau sistem yang mengakibatkan kerugian

keuangan yang terbatas untuk unit bisnis tunggal.

c. Low Impact : Gangguan tanpa kehilangan keuangan.

5. Merekomendasikan pengendalian

Mengidentifikasi kontrol atau perlindungan yang mungkin bisa menghilangkan risiko, atau setidaknya mengurangi risiko ke tingkat yang dapat diterima. 6. Mendokumentasikan hasil

2.2.4 Penilaian Risiko Teknologi Informasi

Berdasarkan penelitian yang kami lakukan, maka ditemukan metode pengukuran risiko teknologi informasi, yaitu dengan pendekatan FRAAP.

2.2.4.1 Pengertian FRAAP (Facilitated Risk Analysis & Assessment Process)

Menurut Peltier (2005:132), FRAAP (Facilitated Risk Analysis& Assessment Process) merupakan metodologi formal yang dikembangkan melalui pemahaman dalam proses penilaian risiko kualitatif dan dimodifikasi untuk memenuhi kebutuhan bisnis. FRAAP telah dikembangkan sebagai proses yang efisien dan disiplin untuk memastikan bahwa informasi terkait risiko keamanan untuk operasi bisnis dipertimbangkan dan didokumentasikan. Proses ini melibatkan menganalisis satu sistem, platform aplikasi, proses bisnis, atau segmen operasi bisnis pada suatu waktu. Dengan menggunakan FRAAP diharapkan proses analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan dan juga diperlukan.

Selama sesi FRAAP, tim mengungkapkan pendapat tentang ancaman yang potensial, vulnerability, dan hasil dari dampak negatif pada integritas data, confidentiality, serta

availability. Kemudian tim akan menganalisis pengaruh dampak tersebut terhadap operasi bisnis dan secara luas mengkategorikan risiko menurut prioritas levelnya. Tim biasanya tidak mencoba untuk mendapatkan atau mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau perkiraan kerugian tahunan meskipun data untuk menentukan faktor-faktor tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan literatur, dan pengalaman mereka sendiri.

Setelah mengidentifikasi dan mengkategorikan risiko, tim mengidentifikasi pengendalian yang dapat diimplementasikan untuk mengurangi risiko, berfokus pada pengendalian yang paling efektif dari segi biaya. Tim akan menggunakan titik awal dari 34 kontrol umum yang dirancang untuk mengatasi berbagai jenis risiko. Pada akhirnya, keputusan seperti apa yang dibutuhkan terkait pengendalian terletak pada manajer bisnis yang mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi bisnis dan biaya pengendalian. Kesimpulan tim mengenai risiko-risiko apa yang ada, bagaimana prioritasnya, dan pengendalian apa yang yang dibutuhkan, didokumentasikan dan dikirim kepada pimpinan proyek dan manajer bisnis untuk menyelesaikan action plan.

2.2.4.2 Tahapan FRAAP

Menurut Peltier (2005:131), pendekatan FRAAP (Facilitated Risk Analysis & Assessment Process) adalah bentuk pendekatan analisis risiko kualitatif yang paling banyak digunakan saat ini. FRAAP terdiri dari 3 tahapan, yaitu :

1. Pre-FRAAP Meeting

Pre-FRAAP meeting ini merupakan kunci sukses dalam suatu proyek. Pada tahap ini

pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien. Ada 6 komponen utama yang muncul dari sesi ini :

a. Hasil Penyaringan (Prescreening Results)

Tidak setiap aplikasi, proses bisnis, atau sistem perlu memiliki proses penilaian risiko formal maupun analisis dampak bisnis yang dilakukan. Apa yang dibutuhkan adalah sebuah metodologi formal yang enterprisewide yang memungkinkan untuk penyaringan aplikasi dan sistem untuk menentukan kebutuhan. Ketika mengembangkan metodologi penyaringan, yang terbaik adalah mulai dengan pemahaman yang jelas tentang apa tujuan atau misi dari perusahaan bisnis. Dengan menggunakan informasi ini sebagai dasar, dapat mengembangkan sejumlah pertanyaan yang dapat diselesaikan oleh pemimpin proyek dan manajer bisnis dalam pre-FRAAP meeting. Pertanyaan-pertanyaan ini akan memungkinkan fasilitator dan pemilik untuk menentukan apakah penilaian risiko formal maupun analisis dampak bisnis harus diselesaikan. Hasil penyaringan dapat mengubah kebutuhan untuk melakukan penilaian risiko.

Tabel 2.1 Contoh Prescreening

Value Classification Level Tolerable Outage

1 Top Secret Informasi yang rahasia, yang jika

diungkapkan, bisa menimbulkan dampak parah pada perusahaan keunggulan kompetitif atau bisnis strategi

24 Jam

2 Confidential Informasi yang jika diungkapkan,

bisa melanggar privasi individu, mengurangi keunggulan

kompetitif, atau merusak perusahaan

25 – 72 Jam

3 Restricted Informasi yang tersedia untuk

bagian spesifik dari populasi karyawan ketika melakukan bisnis perusahaan

3 – 5 Hari

4 Internal Use Informasi yang dimaksudkan

untuk digunakan oleh seluruh karyawan ketika melakukan bisnis perusahaan

6 – 9 Hari

5 Public Informasi yang ada tersedia bagi

publik

10 hari -12 hari

b. Ruang Lingkup

Pemimpin proyek dan manajer bisnis membuat pernyataan mengenai peluang-peluang yang ada untuk kemudian ditinjau.

c. Model Visual

Pembuatan diagram proses (gambaran) mengenai pernyataan ruang lingkup untuk ditinjau kembali. Model visual digunakan selama sesi FRAAP untuk

memperkenalkan tim dengan dimana proses dimulai dan berakhir.

d. Pembentukan Tim FRAAP

Membangun tim FRAAP yang terdiri atas 15 - 30 orang anggota yang berhubungan dengan sistem yang terkait seperti : functional owners, system user,

system analyst, application

programming, database administration,

processing operation management,

system administrator, system

programming, dan information

security.

e. Pertemuan Teknis

Manager bisnis bertanggung jawab dalam menyediakan ruangan meeting, menyusun jadwal, dan juga menyiapkan bahan-bahan yang dibutuhkan.

f. Persetujuan Definisi (Agreement of Definition)

Dalam sesi pre-FRAAP dibutuhkan persetujuan terhadap definisi FRAAP. Persetujuan tersebut haruslah berdasarkan pada adanya threat , control,probability dan impact. Selain itu perlu juga menyepakati definisi dari elemen review (integritas, kerahasiaan,ketersediaan).

2. FRAAP Session

Pada tahap ini pertemuan biasanya berlangsung selama empat jam. Komponen-komponen yang muncul dari tahap ini diantaranya adalah:

a. Identifikasi Ancaman

Mengidenifikasi risiko yang mungkin terjadi pada sistem bisnis perusahaan. b. Prioritas Risiko

Menentukan risiko utama dari semua risiko yang mungkin terjadi (yang memilki ancaman terbesar). Berikut adalah tabel definisi yang digunakan untuk mengidentifikasi tingkat risiko .

Tabel 2.2 Definisi Kemungkinan (Probability) dalam FRAAP

Deskripsi

Kemungkinan Kemungkinan bahwa suatu peristiwa akan terjadi atau nilai kerugian yang spesifik

High Sangat mungkin bahwa ancaman akan terjadi dalam tahun depan

Medium Kemungkinan bahwa ancaman akan terjadi dalam tahun depan

Low Tidak mungkin bahwa ancaman akan terjadi dalam tahun depan

Tabel 2.3 Definisi Dampak (Impact) dalam FRAAP

Deskripsi

Dampak Sebuah ukuran besarnya kerugian atau kerusakan pada nilai suatu aset

High cenderung menempatkan perusahaan di luar dari bisnis atau sangat merusak prospek usaha dan pembangunan. Medium akan menyebabkan kerusakan yang signifikan dan

biaya, namun perusahaan akan bertahan.

Low operasional yang diharapkan mampu dikelola sebagai bagian dari business life cycle.

c. Memberikan saran pengendalian (Suggested Controls)

Memberikan solusi pengendalian untuk meminimalisir risiko dan juga ancaman yang mungkin terjadi.

Berikut merupakan Matriks Prioritas dalam menganalisa aksi dan pengendalian yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kemungkinan ancaman yang dapat terjadi pada sistem perusahaan.

IMPACT

Keterangan:

A – Tindakan perbaikan harus diimplementasikan B – Tindakan perbaikan yang diusulkan

C – Membutuhkan pemantauan

D – Tidak ada tindakan yang diperlukan

Gambar 2.1 FRAAP Risk Level Matrix

Setelah tingkat risiko telah ditetapkan, maka dilakukan dokumentasi pengendalian apa saja yang perlu diterapkan untuk menanggulangi ancaman-ancaman yang ditemukan. Proses selanjutnya yang dilakukan adalah menentukan pengendalian yang diusulkan (suggested control) atas risiko yang terjadi. Suggested control dilakukan untuk

High Medium Low

High A B C

Medium B B C

mengurangi tingkat kerentanan pada sistem yang digunakan pada perusahaan. Sehingga risiko yang terjadi di perusahaan dapat berkurang. Selain itu,

Suggested control juga dilakukan untuk

memberikan saran kepada perusahaan mengenai kontrol yang perlu ditambahkan. Berikut ini merupakan tabel daftar pengendalian berdasarkan kelas pengendalian yang ada menurut Peltier (2005:176) :

Tabel 2.4 Definisi Kontrol Menurut Organisasi IT dan Kelompok yang

Mendukung Proses Bisnis

Nomor Pengendalian Kelompok TI Descriptor Definisi 1 Pengendalian Operasi

Backup Persyaratan backup akan

ditentukan dan

dikomunikasikan dengan operasi , termasuk

pemberitahuan elektronik di mana backup telah selesai, dapat dikirim ke

administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup.

2 Pengendalian

Operasi

Rencana Pemulihan Pengembangan, dokumen ,dan pengetesan prosedur pemulihan yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan.

3 Pengendalian

Operasi

Analisa Risiko Melakukan analisa risiko untuk menentukan tingkat ancaman, dan

mengidentifikasi

kemungkinan perlindungan dan pengendalian.

4 Pengendalian Operasi

Antivirus (1) Memastikan bahwa

administrator LAN menerapkan antivirus sesuai standar perusahaan pada semua komputer. (2) Pelatihan dan kesadaran teknik pencegahan virus akan diterapkan ke dalam program perlindungan informasi organisasi.

5 Pengendalian

Operasi

Depensi Antarmuka Sistem yang membutuhkan informasi akan diidentifikasi dan dikomunikasikan dengan proses operasi dalam upaya penekanan dampak atas kesalahan aplikasi.

6 Pengendalian

Operasi

Pemeliharaan Persyaratan waktu untuk pemeliharaan teknis akan diteliti dan permintaan untuk penyesuaian akan dikomunikasikan kepada pihak manajemen. 7 Pengendalian Operasi Service level Agreement Menetapkan perjanjian tingkat layanan untuk menetapkan tingkat harapan dari pelanggan dan jaminan dari operasi pendukung yang ada.

8 Pengendalian

Operasi

Pemeliharaan Menetapkan perjanjian bagi pemasok & pemeliharaan, untuk memfasilitasi status operasional berkelanjutan dari aplikasi. 9 Pengendalian Operasi Manajemen Perubahan Pengendalian migrasi produksi seperti proses pencarian dan penghapusan data ,untuk memastikan penyimpanan data yang bersih.

10 Pengendalian

Operasi

Analisis Dampak Bisnis

Analisis dampak bisnis formal akan dilakukan untuk menentukan nilai kekritisan relatif dari suatu aset dengan aset lainnya.

11 Pengendalian

Operasi

Backup Pelatihan backup bagi

sistem administrator akan dilakukan beserta rotasi tugas, untuk memastikan efektifitas dari program

pelatihan yang telah dilakukan.

12 Pengendalian

Operasi

Backup Program kesadaran

keamanan bagi karyawan harus diterapkan, diperbarui dan dilaksanakan setiap tahun.

13 Pengendalian

Operasi

Rencana Pemulihan Menerapkan mekanisme untuk membatasi akses informasi kepada jaringan tertentu atau terhadap lokasi fisik yang ditetapkan. Contohnya backup yang dibuat, jika terjadinya kemungkinan kehilangan data.

14 Pengendalian

Operasi

Analisa Risiko Menerapkan mekanisme otentikasi pengguna (seperti firewall, control dial-in, secure ID) untuk membatasi hak akses bagi yang tidak memiliki kewenangan dalam mengakses suatu informasi didalam sistem.

15 Pengendalian

Aplikasi

Pengendalian Aplikasi

Merancang dan menerapkan pengendalian aplikasi (pemeriksaan data yang masuk, melakukan validasi , indikator alarm, menilai password yang invalid) untuk menjamin integritas, kerahasiaan, dan ketersediaan informasi aplikasi. 16 Pengendalian Aplikasi Pengujian Penerimaan Pengembangan prosedur pengetesan, yang harus dilakukan selama pengembangan aplikasi dijalankan, dan dalam proses modifikasi aplikasi yang diikuti dengan partisipasi dari pengguna.

17 Pengendalian

Aplikasi

Pelatihan Melaksanakan program user (evaluasi kinerja pengguna) yang dirancang untuk mendorong kepatuhan terhadap kebijakan dan prosedur yang ada untuk memastikan pemanfaatan yang tepat dari penggunaan

aplikasi.

18 Pengendalian

Aplikasi

Pelatihan Pengembang aplikasi akan memberikan dokumentasi, bimbingan, dan dukungan kepada staf operasi (operasi) dalam mekanisme

pelaksanakan untuk memastikan keamanan transfer informasi antara aplikasi.

19 Pengendalian

Aplikasi

Strategi Korektif Tim pengembang akan mengembangkan strategi korektif seperti

pemprosesan ulang, merevisi/ merubah logika aplikasi, dll.

20 Pengendalian

Keamanan

Kebijakan Mengembangkan kebijakan dan prosedur untuk

membatasi hak akses dan mengoperasikan hak istimewa sesuai dengan kebutuhan bisnis.

21 Pengendalian

Keamanan

Pelatihan Pelatihan pengguna akan mencakup instruksi dan dokumentasi tentang penggunaan aplikasi secara benar. Contohnya seperti pentingnya menjaga kerahasiaan atas akun pribadi, nilai password, dan penekanan atas pentingnya menjaga informasi.

22 Pengendalian

Keamanan

Review Menerapkan mekanisme

untuk memantau,

melaporkan, dan kebutuhan atas kegiatan audit

diidentifikasi , termasuk pengecekan berkala atas validitas ID pengguna untuk memverifikasi kebutuhan bisnis.

23 Pengendalian

Keamanan

Klasifikasi Aset Aset yang sedang ditinjau akan diklasifikasikan sesuai dengan kebijakan

perusahaan, standar, dan prosedur klasifikasi aset.

24 Pengendalian

Keamanan

Pengendalian Akses

Mekanisme untuk

melindungi database dari akses yang tidak sah, dan modifikasi yang dilakukan

dari luar aplikasi, akan ditentukan dan dilaksanakan. 25 Pengendalian Keamanan Dukungan Manajemen Meminta dukungan

manajemen untuk menjamin kerjasama dan koordinasi dari berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi.

26 Pengendalian

Keamanan

Hak Milik Proses untuk memastikan bahwa aset milik

perusahaan dilindungi dan bahwa perusahaan telah memenuhi semua perjanjian lisensi dari pihak ketiga.

27 Pengendalian

Keamanan

Kesadaran Keamanan

Menerapkan mekanisme pengendalian akses untuk mencegah akses tidak sah pada informasi. Mekanisme ini akan mencakup

kemampuan untuk mendeteksi, logging, dan pelaporan jika ada upaya untuk pelanggaran keamanan informasi ini.

28 Pengendalian

Keamanan

Pengendalian Akses

Melaksanakan mekanisme enkripsi data untuk

mencegah akses yang tidak sah untuk melindungi integritas sebuah kerahasiaan informasi. 29 Pengendalian Keamanan Pengendalian Akses Mematuhi proses

manajemen perubahan yang dirancang untuk

memfasilitasi pendekatan terstruktur untuk modifikasi aplikasi, guna memastikan langkah yang tepat dan tindakan pencegahan yang akan diterapkan. Modifikasi darurat harus disertakan dalam proses ini.

30 Pengendalian

Keamanan

Pengendalian Akses

Prosedur pengendalian yang diterapkan untuk melakukan review proses sistem log oleh pihak ketiga secara independen untuk

menganalisa kegiatan sistem update yang dilakukan.

Setelah penentuan suggested control, tim FRAAP mengidentifikasi pengendalian yang ada untuk ancaman tingkat tinggi. Pada tahapan ini, tim FRAAP berdiskusi mengenai beberapa hal, antara lain sebagai berikut :

• Identifikasi pengendalian yang sudah ada (Existing Control) pada ancaman

31 Pengendalian

Keamanan

Pengendalian Akses

Melakukan konsultasi dengan manajemen fasilitas, guna memfasilitasi kegiatan pelaksanaan pengendaliam keamanan fisik yang

dirancang untuk melindungi informasi, perangkat lunak, dan perangkat keras yang dibutuhkan sistem.

32 Pengendalian

Keamanan

Manajemen Perubahan

Persyaratan backup akan ditentukan dan

dikomunikasikan dengan operasi, termasuk permintaan mengenai notifikasi elektronik backup yang telah diselesaikan, harus dikirim ke

administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup. 33 Pengendalian Keamanan Monitor system logs Pengembangan, dokumen, dan pengetesan prosedur pemulihan, yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, dengan menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan.

34 Keamanan

Fisik

Keamanan Fisik Melakukan analisa risiko untuk menentukan tingkat ancaman, dan

mengidentifikasi

kemungkinan perlindungan atau pengendalian.

• Identifikasi pengendalian untuk setiap ancaman tingkat tinggi yang belum terdapat pengendalian

• Identifikasi bagian/orang yang bertanggung jawab untuk implementasi pengendalian yang baru

Dari diskusi tersebut akan dihasilkan 6 poin penting dalam FRAAP Session, yaitu :

1. Ancaman (threat) teridentifikasi

2. Tingkat risiko (level risk) telah ditetapkan 3. Mendokumentasikan pengendalian yang

diusulkan

4. Pengendalian yang ada diidentifikasi

5. Pengendalian terhadap risiko high-level ditetapkan

6. Memilih kelompok atau orang yang

bertanggung jawab untuk

mengimplementasikan rekomendasi pengendalian yang diusulkan sebelumnya.

3. Post FRAAP Meeting

Dalam fase ini, FRAAP menghasilkan laporan yang akan menetapkan penilaian risiko apa yang dicapai dan bagaimana manajemen melakukan pemeriksaan menyeluruh yang diperlukan. Selama fase ini fasilitator dan pemilik akan bekerja untuk mengumpulkan rencana aksi penilaian risiko. Rencana ini akan mencakup semua penyampaian dari tahap sesi FRAAP yaitu:

1. Ancaman (threat) teridentifikasi

2. Tingkat risiko (level risk) telah ditetapkan 3. Mendokumentasikan pengendalian yang

4. Pengendalian yang ada diidentifikasi 5. Pengendalian terhadap risiko high-level

ditetapkan

6. Orang/bagian yang bertanggung jawab dalam mengimplementasi pengedalian yang diusulkan

Informasi ini akan dikombinasikan dengan pemeriksaan kontrol biaya, dan laporan akhir yang akan muncul. Post FRAAP Meeting menghasilkan tiga penyampaian , yaitu :

a. Membuat Complete Action Plan

Untuk mendapatkan laporan lengkap, project leader dan fasilitator harus membuat action plan (rencana aksi), yaitu dengan menggabungkan risiko dari risk list dengan kontrol yang disarankan dari control list, dengan tujuan mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana aksi tersebut agar dapat membantu perusahaan dalam melaksanakan penetapan kontrol yang diusulkan.

b. Membuat ringkasan laporan manajemen (Management Summary Report)

Ringkasan laporan manajemen harus dihasilkan yang didalamnya akan merangkum temuan dari proses dalam dokumen yang ringkas. Laporan ringkasan manajemen akan memberikan gambaran temuan penilaian risiko dan digunakan untuk melengkapi dokumentasi hasil

temuan keseluruhan. Laporan ini terdiri dari 6 kunci utama, yaitu :

- Penilaian anggota tim. - Ringkasan manajemen

- Metodologi yang digunakan dalam penilaian

- Kajian temuan dan rencana - Dokumentasi temuan - Kesimpulan.

c. Membuat Cross-References Sheet

Membuat cross-reference sheet berdasarkan tabel risiko dan tabel pengendalian untuk mengidentifikasi pengendalian yang cocok dengan risiko yang teridentifikasi. Tujuan dari Cross –

Reference Sheet ini adalah untuk

menentukan dan mengetahui pengendalian mana saja yang dapat memitigasi risiko-risiko yang ada. Pada Cross - Reference

Sheet, kita dapat melihat satu

pengendalian memitigasi lebih dari satu risiko, sehingga hal tersebut bisa menjadi bantuan bagi tim FRAAP dan fasilitator dalam menentukan sumber daya terbaik guna menangani risiko-risiko yang telah ditemukan.

2.2.5 Sistem Aplikasi Microsoft Dynamics Navision versi 4.0

Menurut http://www.microsoft.com , Microsoft Dynamics Navision merupakan sebuah produk ERP (Enterprise Resources Planning) yang dikembangkan oleh Microsoft. Produk ini merupakan bagian dari paket Microsoft Dynamics dan bertujuan untuk membantu bagian keuangan, produksi, manajemen hubungan pelanggan, analisis dan perdagangan elektronik bagi perusahaan level kecil dan

menengah. Pada bulan Desember 2008, Microsoft merilis Dynamics Navision 2009, dengan peranan baru berbasis GUI. Microsoft awalnya merencanakan untuk mengembangkan sistem ERP yang sama sekali baru (proyek hijau), tetapi telah memutuskan untuk melanjutkan pengembangan semua sistem ERP (Dynamics AX, Dynamics NAV, Dynamics GP dan Dynamics SL). Keseluruhan empat sistem ERP akan diluncurkan dengan user interface berbasis aturan baru yang sama, pelaporan dan analisis berbasis SQL, portal berbasis SharePoint, mobile client berbasis Pocket PC dan integrasi dengan Microsoft Office.

Modul yang terdapat dalam Microsoft Dynamics Navision mencakup :

1. Penjualan (Sales)

Modul ini digunakan untuk menjamin pengiriman tepat waktu produksi yang dijadwalkan. Dijadwalkan jumlah produksi dihitung sesuai dengan kebutuhan produksi, penjualan dan pesanan dijadwalkan internal perusahaan itu.

2. Penjualan dan Pemasaran (Sales&Marketing)

Modul ini digunakan untuk mengatur dan mengelola kegiatan. Fungsi utama adalah: harga, cadangan dan jasa, manajemen order, manajemen harga promosi. Modul ini menyediakan informasi umum tentang parameter proses penjualan (volume penjualan, produk, profitabilitas klien, dan kampanye, status pesanan).

3. Distribusi (Distribution)

Modul ini bertanggung jawab untuk manajemen distribusi yang fleksibel dan efektif. Sementara menggunakan fungsi penyimpanan Navision, pengguna dapat mengoptimalkan produksi manajemen arus,

keseimbangan pasokan minim, pengiriman produksi sesuai dengan kebutuhan klien.

4. Inventori (Supply Chain Management)

Modul ini untuk mengelola permintaan klien sesuai dengan pasokan. Fungsi ini memungkinkan untuk mengelola pembelian, produksi dan proses distribusi. Komponen utama adalah: penjualan, produksi dan manajemen distribusi.

5. Manufaktur (Production)

Modul ini digunakan untuk menjamin manajemen produksi dijadwalkan secara efektif. Dapat memodifikasi metode produksi sesuai dengan berbagai kebutuhan nasabah, untuk mengatur biaya produk bersih perhitungan kembali sesuai dengan berbagai produksi dan harga saham.

6. Manajemen Keuangan (Financial Management) Modul ini bertanggung jawab untuk analisis operasi keuangan perusahaan dan penyimpanan, mengelola anggaran dan membandingkan perkiraan untuk data aktual.

7. Sumber Daya Manusia (Customer Relationship Management)

Modul ini untuk menyimpan dan mengelola informasi tentang hubungan perusahaan antara klien dan pelanggan. Modul ini berguna ketika merencanakan penjualan, pemasaran dan strategi penanganan. Strategi Perusahaan, yang meliputi hubungan antara klien dan pelanggan dengan cara yang berbeda: penjualan, pemasaran, layanan, penciptaan produk baru, harga ,dll

Layanan Kualitatif profitabilitas dan outbidding kebutuhan modul analisis klien bertanggung jawab untuk mengendalikan dan efektif menggunakan sumber daya yang mungkin, penanganan layanan penentuan indeks profitabilitas, menganalisis permintaan klien.