II-1

LANDASAN TEORI

2.1 Konsep dasar Sistem, Informasi, dan Sistem Informasi

2.1.1 Definisi Sistem

Sistem adalah suatu kesatuan yang terdiri dari komponen atau elemen yang dihubungkan untuk memudahkan aliran informasi, materi atau energi untuk mencapai suatu tujuan. [6]

Sistem merupakan sekumpulan elemen-elemen atau subsistem-subsistem yang saling berkaitan dan saling mempengaruhi dalam melakukan kegiatan bersama untuk mencapai suatu tujuan. Subsistem tersebut merupakan sistem di dalam suatu sistem. [7]

Sistem mempunyai karakteristik sebagai berikut: [3] 1. Komponen (Elemen)

Suatu sistem yang terdiri dari sejumlah komponen yang saling berinteraksi, yang artinya saling bakerja sama membentuk suatu kesatuan. 2. Batasan (Boundary)

Batasan sistem merupakan daerah yang membatasi antara suatu sistem dengan sistem yang lain.

3. Lingkungan Luar (Environment)

Lingkungan luar sistem adalah apapun diluar batas dari sistem yang mempengaruhi operasi sistem.

4. Penghubung Sistem (Interface)

Penghubung sistem merupakan media penghubung antara satu subsistem dengan subsistem lainnya.

5. Masukan (Input)

Input merupakan energi yang dimasukkan ke dalam sistem. Pada sistem informasi masukkan dapat berupa data transaksi, data non transaksi, dan instruksi.

6. Keluaran (Output)

Output merupakan hasil dari pemrosesan input. Output ini dapat berupa informasi, saran, dan laporan.

7. Sasaran Sistem (Objective)

Sasaran sistem yaitu suatu tujuan yang ingin dicapai sistem. 2.1.2 Definisi Informasi [1]

Informasi merupakan data yang sudah diolah menjadi bentuk yang lebih berguna dan lebih berarti (bermanfaat) bagi penerimanya, menggambarkan suatu kejadian dan kesatuan nyata yang dapat dipahami dan dapat digunakan untuk pengambilan keputusan, sekarang maupun untuk masa depan. Sumber dari informasi adalah data. Data merupakan bentuk jamak dari bentuk tunggal datum atau data-item. Data sebagai input perlu diolah oleh suatu sistem pengolahan data agar dapat menjadi output, yaitu informasi yang lebih berguna bagi pemakainya (user).

Agar suatu informasi dapat lebih berguna harus memiliki beberapa ciri - ciri atau karakteristik berikut:

1. Akurat, reliable (dapat dipercaya), berarti informasi harus terbebas dari adanya kesalahan - kesalahan dan tidak menyesatkan para user-nya (free from error).

2. Relevan (cocok atau sesuai). Informasi yang relevan harus memberikan arti kepada para pengguna, berarti informasi relevan mempunyai manfaat bagi user-nya (pemakai).

3. Timely (tepat waktu). Informasi yang disajikan tepat pada saat dibutuhkan dan bisa mempengaruhi proses pengambilan keputusan.

4. Complete (lengkap). Informasi yang disajikan lengkap, termasuk di dalamnya semua data - data yang relevan.

5. Understanable (dimengerti). Informasi yang disajikan hendaknya dalam bentuk yang mudah dimengerti oleh si pembuat keputusan.

6. Verifable, informasi yang dihasilkan tidak bias, menyebabkan perbedaan dalam memahaminya.

7. Accessible, informasi dikatakan accessible bila tersedia pada saat diperlukan dalam format yang sesuai dengan kepentingannya.

2.1.3 Definisi Sistem Informasi

Muhammad Fakhri Husein dan Amin Wibowo mendefinisikan sistem informasi sebagai seperangkat komponen yang saling berhubungan dan berfungsi mengumpulkan, memproses, menyimpan, dan mendistribusikan informasi untuk mendukung pembuatan keputusan dan pengawasan dalam organisasi. [1]

Sistem Informasi adalah sekumpulan hardware, software, brainware, prosedur dan atau aturan yang diorganisasikan secara integral untuk mengolah data menjadi informasi yang bermanfaat guna memecahkan masalah dan pengambilan keputusan. [9]

Sistem Informasi juga dapat diartikan sebagai kumpulan elemen atau sumber dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarki tertentu, bertujuan mengolah data menjadi informasi. [4]

Sistem informasi mempunya beberapa komponen fisik, yaitu: [17]

1. Perangkat keras komputer (hardware): CPU, storage, perangkat input/output, terminal untuk interaksi, media komunikasi data.

2. Perangkat lunak komputer (software): perangkat lunak sistem (sistem operasi dan utilitinya), perangkat lunak umum aplikasi (bahasa pemrograman), perangkat lunak aplikasi (aplikasi akuntansi dll).

3. Basis data: penyimpanan data pada media penyimpanan komputer. 4. Prosedur: langkah-langkah penggunaan sistem.

5. Personil untuk pengelolaan operasi (SDM). 2.2 Konsep Dasar Audit Sistem Informasi

2.2.1 Definisi Audit

Secara umum, audit adalah suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat

kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan. [10]

Menurut Arens and Loebbecke, audit adalah kegiatan mengumpulkan dan mengevaluasi dari bukti-bukti mengenai informasi untuk menentukan dan melaporkan tingkat kesesuaian antara informasi dengan kriteria yang telah ditetapkan. Proses audit harus dilakukan oleh orang yang kompeten dan independent. [11]

2.2.2 Audit Sistem Informasi [12]

Menurut Ron Weber, audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien.

Dengan kata lain, tujuan dari suatu audit sistem informasi adalah untuk mengetahui apakah pengendalian teknologi informasi telah dapat memberikan jaminan bahwa tujuan atau manfaat dari teknologi informasi telah dapat dicapai serta risiko yang terkait dengan pemanfaatan teknologi informasi telah dapat dikendalikan. Kepatuhan terhadap peraturan dan perundang-undangan merupakan salah satu tujuan dan risiko yang harus dikendalikan.

2.3 Model - model Standar Audit Tata Kelola Sistem Informasi

2.3.1 ITIL [13]

ITIL atau singkatan dari IT Infrastructure Library ini dikembangkan oleh The Office of Government Commerce (OGC) suatu badan dibawah pemerintah Inggris, yang bekerjasama dengan The IT Service Management Forum (ITSMF) - suatu organisasi independen mengenai manajemen pelayanan TI - dan British Standard Institute (BSI) - suatu badan penetapan standar pemerintah Inggris.

ITIL merupakan suatu framework pengelolaan layanan TI yang sudah diadopsi sebagai standar industri pengembangan perangkat lunak di dunia. Framework ITIL terdiri dari dua bagian utama, yaitu: Service Support

Management (Service Desk, Incident Management, Problem Management, Configuration Management, Change Management, dan Release Management) dan Service Delivery Management (Availability Management, Capacity Management, IT Service Continuity Management, Service Level Management, Financial Management for IT Services, dan Security Management).

Standar ITIL berfokus pada pelayanan customer, dan sama sekali tidak menyertakan proses penyelarasan strategi perusahaan terhadap strategi TI yang dikembangkan.

2.3.2 ISO/IEC 17799 [14]

ISO/IEC 17799 dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electrotechnical Commission (IEC) dengan titel "Information Technology - Code of Practice for Information Security Management". ISO/IEC 17799 dirilis pertama kali pada bulan desember 2000.

ISO/IEC 17799 bertujuan memperkuat 3 (tiga) element dasar keamanan informasi, yaitu:

1. Confidentiality: memastikan bahwa informasi hanya dapat diakses oleh yang berhak.

2. Integrity: menjaga akurasi dan selesainya informasi dan metode pemrosesan.

3. Availability: memastikan bahwa user yang terotorisasi mendapatkan akses kepada informasi dan aset yang terhubung dengannya ketika memerlukannya.

2.3.3 COSO [1]

Pada Oktober 1987, The National Commission on Fraudulent Financial Reporting (yang lebih dikenal dengan sebutan The Treadway Commission Report) menghasilkan kajian yang disebut COSO framework/model of internal control. COSO (Committee of Sponsoring Organization) adalah komite yang diorganisir oleh lima organisasi profesi, yaitu: IIA, AICPA, IMA FEI, dan AAA.

Model COSO adalah salah satu model pengendalian internal yang banyak digunakan oleh para auditor sebagai dasar untuk mengevaluasi, mengembangkan

internal control. Menurut COSO (The Committee of Sponsoring Organization) yang dikutip oleh Amin (2000, p.3) dalam bukunya yang berjudul COSO Based Auditing, sistem pengendalian intern didefinisikan dalam suatu batasan pengertian sebagai berikut:

“internal Control: a process, effected by an entity’s board of directors, manajement, and other personnel, designed toprovide reasonabel assurance regarding the achievement of objectives in following categories:

1. Effectiveness and effisiency of operations. 2. Realibility of financial reporting.

3. Compliance with applicable laws and regulations. Key point model COSO adalah:

1. Internal control is process.

2. Internal control is affected by people (board of director, other personnel). 3. Internal control can be expected to provide only reasonable assurance. 4. Internal control is geared to the achievement of objectives.

Salah satu diagram model COSO adalah sebagai berikut:

Model (framework) COSO terdiri dari lima komponen (unsur-unsur) yang saling berhubungan yang akan menunjang tujuan perusahaan yaitu:

1. Control Environment (lingkungan pengendalian). 2. Risk Assesment (penaksiran risiko).

3. Control Activities (aktivitas pengendalian).

4. Information & Communication (informasi dan komunikasi). 5. Monitoring (pemantauan).

2.3.4 COBIT [1]

COBIT (Control Objectives for Information & Related Technology) adalah merupakan a set of best practices (framework) bagi pengelolaan teknologi informasi (IT Management). COBIT disusun oleh the IT Governance Institute (ITGI) dan Information Systems Audit and Control Association (ISACA), tepatnya Information System Audit and Control Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003 dan saat ini adalah edisi keempat pada Desember 2005.

Secara komplitnya paket produk COBIT terdiri dari COBIT product family, yaitu: executive summary, framework, control objectives, audit guidelines, implementation tool set, serta management guidelines, yang sangat berguna atau dibutuhkan oleh auditor, para IT user, dan para manajer, pada gambar berikut:

Gambar 2.2 COBIT Family of Products 2.3.4.1 Kriteria Kerja COBIT [1]

Sumberdaya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan, dan keandalan informasi. Kriteria kerja COBIT meliputi:

Tabel 2.1 Kriteria Kerja COBIT

Efektifitas Untuk memperoleh informasi yang relevan dan berhubungan

dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.

Efisiensi Memfokuskan pada ketentuan informasi melalui penggunaan

sumber daya yang optimal.

Kerahasiaan Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.

Integritas Berhubungan dengan keakuratan dan kelengkapan informasi

sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.

Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisni sekarang dan yang akan datang.

Kepatuhan Sesuai menurut hukum, peraturan dan rencana perjanjian

untuk proses bisnis. Keakuratan

Informasi

Berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggung jawaban.

2.3.4.2 Kerangka Kerja COBIT [1]

COBIT merupakan IT governance best practices yang membantu auditor, manajemen, pengguna (user) untuk menjembatani aspek bisnis, kebutuhan kontrol dan aspek teknis TI. COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guidelines ini dengan baik. Kerangka kerja COBIT ini terdiri atas beberapa arahan (guidelines), yakni:

1. Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang tercermin dalam 4 domain, yaitu planning & organization, acquisition & implementation, delivery & support, dan monitoring.

2. Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendalian rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan atau saran perbaikan.

3. Management Guidelines

Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:

a. Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.

c. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors)?

d. Apa saja risiko yang timbul bila sasaran yang ditentukan tak tercapai? e. Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan? f. Bagaimana anda mengukur keberhasilan dan menilainya?

The COBIT Framework memasukkan juga hal-hal berikut ini: 1. Maturity Models

Untuk memetakan status maturity proses-proses TI (dalam skala 0 - 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices.

2. Critical Success Factors (CSFs)

Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.

3. Key Goal Indicators (KGIs)

Kinerja proses-proses TI sehubungan dengan business requirements. 4. Key Performance Indicators (KPIs)

Kinerja proses-proses TI sehubungan dengan process goal. 2.3.4.3 Domain COBIT [1]

COBIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk manajemen teknologi informasi yang mencakup empat domain, yaitu: Planning and Organization, Acquisition and Implementation, Delivery and Support, dan Monitoring. Empat domains pada framework COBIT tersebut selanjutnya dirinci menjadi 34 high-level control objectives (dan selanjutnya dirinci ke dalam 215 detail control objectives), sebagai berikut :

Tabel 2.2 Domain & High Level Controls COBIT

COBIT Domain High Level Objectives

1. Plan and

Organize

PO1- Menentukan rencana strategis PO2- Menentukan arsitektur informasi PO3- Menentukan arah teknologi

PO5- Mengatur investasi IT

PO6- Mengkomunikasikan tujuan dan arahan management PO7- Mengelola sumberdaya manusia

PO8- Memastikan Kesesuaian dengan kebutuhan-kebutuhan eksternal

PO9- Menilai dan mengelola resiko IT PO10- Mengatur proyek

PO11- Mengatur Kualitas

2. Acquire

and Implement

AI1- Mengidentifikasi solusi yang dapat diotomatisasi AI2- Mendapatkan dan memelihara software aplikasi AI3- Memperoleh dan memelihara infrastruktur teknologi AI4- Mengembangkan dan memelihara prosedur

AI5- Instalasi dan pengakuan sistem AI6- Mengatur perubahan

3. Deliver and

Support

DS1- Menentukan dan mengelola tingkat layanan DS2- Mengelola layanan dari pihak ketiga DS3- Mengelola performa dan kapasitas DS4- Menjamin layanan yang berkelanjutan DS5- Menjamin keamanan sistem

DS6- Mengidentifikasi dan mengalokasikan biaya DS7- Mendidik dan melatih pengguna

DS8- Membantu dan memberikan masukan pada pelanggan DS9- Mengelola konfigurasi

DS10- Mengelola kegiatan dan permasalahan DS11- Mengelola data DS12- Mengelola fasilitas DS13- Mengelola operasi 4. Monitor and Evaluate

ME1- Mengawasi proses

ME2- Menilai kecukupan pengendalian internal ME3- Memperoleh jaminan independen

ME4- Menyediakan audit independen

Dalam bentuk gambar, hubungan seluruh kerangka kerja COBIT dapat dilihat sebagai berikut :

Gambar 2.3 COBIT Business Control Objectives-IT Governance 2.3.4.4 Orientasi Pada Domain Planning & Organization [1]

Domain ini mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Dititikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi.

Planning & organization membahas tentang identifikasi dan strategi investasi TI yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategis perlu direncanakan, dikomunikasikan, dan diatur pelaksanaannya (dari berbagai perspektif).

Berikut adalah high level objectives pada domain planning and organization: PO1- Menentukan rencana strategis

PO3- Menentukan arah teknologi

PO4- Menentukan proses IT, organisasi dan hubungannya PO5- Mengatur investasi IT

PO6- Mengkomunikasikan tujuan dan arahan management PO7- Mengelola sumberdaya manusia

PO8- Memastikan Kesesuaian dengan kebutuhan-kebutuhan eksternal PO9- Menilai dan mengelola resiko IT

PO10- Mengatur proyek PO11- Mengatur Kualitas 2.4 Maturity Models [16]

Maturity Model adalah suatu metode untuk mengukur level pengembangan manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT.

Penerapan yang tepat pada tata kelola teknologi informasi di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan, dan kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya teknologi informasi.

2.4.1 Skala Pengukuran Maturity Levels [2]

Skala pengukuran maturity levels dirancang untuk mengukur posisi kematangan dalam pengembangan teknologi informasi serta menentukan prioritas perbaikan dan peningkatan sampai pada tingkat tertinggi agar aspek IT Governance dapat berjalan secara efektif dan sejalan dengan strategi bisnis yang telah ditetapkan.

Penggunaan nilai maturity level yang dikembangkan untuk setiap 34 proses teknologi informasi, sehingga memungkinkan manajemen untuk mengidentifikasi:

1. Kinerja sesungguhnya perusahaan dan posisi kondisi perusahaan sekarang. 2. Kondisi sekarang dari industri sebagai perbandingan.

3. Target peningkatan perusahaan terhadap kondisi yang diinginkan. 4. Strategi pengelolaan teknologi informasi perusahaan.

Tujuan pengukuran maturity level ialah: [5] 1. Menumbuhkan kepedulian (awarness).

2. Melakukan identifikasi kelemahan (weakness).

3. Melakukan identifikasi kebutuhan perbaikan (improvement).

Untuk membuat hasil dapat mudah digunakan dan dimengerti dibuatlah representasi grafis model kedewasaan (maturity model) seperti pada gambar:

Gambar 2.4 Graphic Representation of Maturity Models

Tabel skala pengukuran dan deskripsi dari representasi grafis model kedewasaan (maturity model) sebagai berikut: [15]

Tabel 2.3 Skala Pengukuran Maturity Level

Level Kriteria Maturity Level

0 Non-existent

Kurang lengkapnya terhadap proses apapun yang dapat dikenali. Perusahaan bahkan tidak mengetahui bahwa ada masalah yang harus ditangani.

Initial/Ad Hoc

masalah yang harus ditangani. Namun demikian, tidak ada proses standar, namun menggunakan pendekatan Ad Hoc yang cenderung diterapkan secara individu atau kasus per kasus. Pendekatan kepada pengelolaan proses tidak terorganisasi. 2

Repeatable but Intuitive

Proses telah dikembangkan ke tahap di mana prosedur yang sama diikuti oleh pihak berbeda yang melakukan tugas serupa. Tidak ada pelatihan formal atau komunikasi prosedur standar dan tanggung jawab diserahkan kepada masing-masing individu. Adanya tingkat kepercayaan yang tinggi terhadap pengetahuan individu sehingga kemungkinan kesalahan bisa terjadi.

3 Defined Process

Prosedur telah distandarisasi dan dikomunikasikan melalui pelatihan. Hal tersebut mengharuskan proses ini untuk diikuti, namun penyimpangan bisa saja tidak terdeteksi. Prosedur tersebut tidak lengkap namun sudah memformalkan praktek yang berjalan.

4 Managed and

Measurable

Manajemen mengawasi dan mengukur kepatuhan sesuai dengan prosedur dan mengambil tindakan di mana proses yang tampaknya tidak akan bekerja secara efektif. Proses berada di bawah peningkatan yang konstan dan penyediaan praktek yang baik. Otomasi dan perangkat digunakan dalam batasan tertetentu atau terfragmentasi.

5 Optimised

Proses telah disempurnakan ke tingkat yang lebih baik, berdasarkan hasil dari perbaikan yang dilakukan secara terus-menerus dengan pemodelan perusahaan lainnya. Teknologi informasi digunakan secara terintegrasi untuk mengotomatisasi alur kerja, menyediakan alat-alat untuk meningkatkan kualitas dan efektivitas, serta membuat perusahaan cepat beradaptasi.

Tabel 2.4 Skala Penilaian Maturity

0 - 0.50 Non-existent

0.51 - 1.50 Initial/Ad Hoc

2.51 - 3.50 Defined Process

3.51 - 4.50 Managed and Measurable

4.51 - 5.00 Optimised

Maturity level pada tiap-tiap organisasi biasanya ditampilkan dalam grafik laba-laba atau spider chart seperti gambar berikut : [15]