BAB 2 LANDASAN TEORI 2.1 Evaluasi 2.1.1 Pengertian Evaluasi Menurut Arikunto dan Cepi (2008: 2) dalam bukunya yang berjudul “Evaluasi Program Pendidikan” menyatakan bahwa: Evaluasi adalah kegiatan untuk mengumpulkan informasi tentang bekerjanya sesuatu, yang selanjutnya informasi tersebut digunakan untuk menentukan alternatif yang tepat dalam mengambil sebuah keputusan. Fungsi utama evaluasi dalam hal ini adalah menyediakan informasi-informasi yang berguna bagi pihak decision maker untuk menentukan kebijakan yang akan diambil berdasarkan evaluasi yang telah dilakukan. 2.2 Sistem Informasi 2.2.1 Pengertian Sistem Menurut Widjajanto (2008: 2) dalam bukunya yang berjudul “Sistem Informasi Akuntansi”, sistem adalah sesuatu yang memiliki bagian-bagian yang saling berinteraksi untuk mencapai tujuan tertentu melalui tiga tahapan yaitu input, proses dan output. Menurut Bagad (2008: 3) dalam bukunya yang berjudul “Management Information System” menyatakan bahwa: “a system is defined as a group of interrelated components organized with a purpose”, yang berarti sistem merupakan sekumpulan komponen yang saling berhubungan dan dikelola dengan suatu maksud atau tujuan. Dari definisi diatas dapat disimpulkan bahwa sistem adalah sekumpulan elemen yang saling berhubungan dan berkaitan satu sama lain dengan membentuk satu kesatuan yang mempunyai berbagai maksud ataupun tujuan dimasa yang akan datang. 2.2.2 Informasi Berdasarkan pendapat O’Brien dan Marakas (2008: 24) dalam bukunya yang berjudul “Management Information System”mengatakan bahwa 6 7 informasi adalah data yang ditempatkan dalam konteks yang berarti dan berguna untuk pengguna terakhir. Sedangkan pengertian informasi menurut Susanto (2009:40) dalam bukunya yang berjudul “Sistem Informasi Manajemen”, adalah sebagai berikut: Informasi merupakan hasil dari pengolahan data, akan tetapi tidak semua hasil dari pengolahan tersebut bisa menjadi informasi, hasil pengolahan data yang tidak memberikan makna atau arti serta tidak bermanfaat bagi seseorang bukanlah merupakan informasi bagi orang tersebut. Menurut Krismiaji (2010: 15) dalam bukunya yang berjudul “Sistem Informasi Akuntansi” menyatakan bahwa “Informasi adalah data yang telah diorganisasi dan telah memiliki kegunaan dan manfaat” Berdasarkan definisi diatas dapat disimpulkan bahwa informasi adalah data yang telah dikelola dan sudah terorganisir menjadi suatu bentuk yang lebih bermanfaat 2.2.3Sistem Informasi Menurut Bagad (2008: 1) dalam bukunya yang berjudul “Management Information System” menyatakan bahwa: “Information system is defined as group of elements organized with the purpose of supporting” yang berarti sistem informasi didefinisikan sebagai sekumpulan elemen yang dikelola dengan tujuan sebagai pendukung. Menurut Kurbel (2008: 4) dalam bukunya yang berjudul “The Making Information System” menyatakan bahwa : “An information system (IS) is a computer-based system that processes inputted information or data, stores information, retrieves information, and produces new information to solve some task automatically or to support human beings in the operation, control and decision making of an organization” yang berarti bahwa suatu sistem informasi adalah sistem yang terkomputerisasi untuk mengolah data yang dimasukan menjadi informasi atau data, menyimpan, mendistribusikan serta menghasilkan informasi yang baru untuk menyelesaikan suatu tugas secara otomatis atau sebagai pendukung sumber daya manusia dalam menjalankan fungsi operasi perusahaan, pengendalian dan pengambilan keputusan didalam sebuah organisasi. 8 Adapun O’Brien dan Marakas (2009: 4) dalam bukunya yang berjudul “Management Information System” mengemukakan bahwa sistem informasi dapat berarti kombinasi dari orang, perangkat keras, perangkat lunak, jaringan komunikasi, sumber data serta prosedur dan aturan untuk memperoleh, menyimpan, merubah dan menyebarluaskan informasi didalam organisasi. Menurut Kenneth C. Laudon dan Jane P. Laudon (2012: 7) dalam bukunya yang berjudul “Management Information System”, sistem informasi merupakan kumpulan komponen yang saling berhubungan, yang mengumpulkan, memproses, menyimpan, dan mendistribusikan informasi untuk membantu pengambilan keputusan, pengkoordinasian, pengendalian analisis, dan menampilkannya dalam suatu organisasi. Menurut Satzinger, Jackson, dan Burd (2010: 6) dalam bukunya yang berjudul “Systems Analysis & Design in a changing world”, sistem informasi adalah sekumpulan dari komponen yang saling berhubungan dan berfungsi untuk mengumpulkan, memproses, menyimpan, dan menyediakan output berupa informasi yang dibutuhkan untuk menyelesaikan tugas-tugas bisnis. Berdasarkan pendapat dari Gelinas, Ulric, dan Dull (2010: 12) dalam bukunya yang berjudul “Accounting Information Systems”, “An information system is a man made system generally consists of an integrated set of computer-based components and manual components establish to collect, store, and manage data and to provide output information to users”.Yang berarti suatu sistem informasi adalah sistem buatan manusia yang secara umum meliputi sekumpulan komponen berbasis komputer yang terintegrasi dan penciptaan komponen manual untuk menggabungkan, menyimpan dan mengelola data serta menyajikan informasi keluaran untuk para pengguna. Berdasarkan beberapa definisi diatas dapat disimpulkan bahwa sistem informasi adalah sekumpulan elemen yang terintegrasi untuk mengumpulkan, mengolah, menyebarkan, menyimpan dan menampilkan informasi untuk organisasi 2.2.4 Sumber Daya Manusia Sumber daya manusia menurut Hasibuan (2007: 244) dalam bukunya 9 yang berjudul “Manajemen Sumber Daya Manusia” adalah kemampuan terpadu dari daya pikir dan daya fisik yang dimiliki individu. Perilaku dan sifatnya ditentukan oleh keturunan dan lingkungannya, sedangkan prestasi kerjanya dimotivasi oleh keinginan untuk memenuhi kepuasannya. 2.2.5 Tujuan Sistem Informasi Menurut Hall (2007: 21) dalam bukunya yang berjudul “Sistem Informasi Akuntansi” mengatakan bahwa tujuan-tujuan sistem informasi adalah sebagai berikut: 1. Mendukung fungsi penyediaan pihak manajemen Administrasi mengacu pada tanggung jawab pihak manajemen untuk mengelola dengan baik sumber daya perusahaan. Sistem informasi menyediakan informasi mengenai penggunaan sumber daya kepada para pengguna eksternal melalui laporan keuangan tradisional serta dari berbagai laporan lain yang diwajibkan. Secara internal, pihak manajemen menerima informasi pelayanan dari berbagai laporan pertanggung jawaban. 2. Mendukung pengambilan keputusan pihak manajemen Sistem informasi memberikan informasi kepada pihak manajemen informasi yang dibutuhkan untuk melaksanakan tanggung jawab pengambilan keputusan tersebut. 3. Mendukung operasional harian perusahaan Sistem informasi menyediakan informasi bagi para personel operasional untuk membantu mereka melaksanakan pekerjaan hariannya dengan cara yang efisien dan efektif. 2.2.6 Jenis-jenis Sistem Informasi Menurut O’Brien dan Marakas (2013: 47) dalam bukunya berjudul “Management Information Systems”, Sistem Informasi dapat dikelompokkan ke dalam beberapa kategori untuk memenuhi kebutuhan operasional dan manajemen, yaitu: 1. Sistem Pendukung Operasi (Operations Support System) 10 Sistem Pendukung Operasi menghasilkan beragam informasi untuk pengguna internal dan eksternal.Sistem pendukung operasi terdiri dari: a. Transaction Processing Systems Pengolahan data yang merupakan hasil dari transaksi bisnis, pembaharuan basis data operasional dan membuat dokumen bisnis. Contoh: proses penjualan dan persediaan, sistem akuntansi b. Process Control Systems Pengawasan dan pengendalian proses industri secara fisik. Contoh: Sistem produksi bahan tambang. c. Enterprise Collaboration Systems Mendukung tim, kelompok kerja, dan komunikasi perusahaan termasuk didalamnya aplikasi - aplikasi sistem otomatisasi. Contoh: Email, chat, dan Video conferencing 2. Management Support Systems Sistem pendukung manajemen menyediakan informasi untuk para manajer dalam pengambilan keputusan. Sistem pendukung manajemen terdiri dari: a. Management Information Systems (MIS) MIS menyediakan informasi dalam bentuk lampiran atau laporan dan ditampilkan kepada manager dan beberapa profesional bisnis untuk mendukung pengambilan keputusan. Contoh: analisis penjualan, kinerja produksi, dan sistem pelaporan biaya. b. Decision Support Systems (DSS) Menyediakan beberapa alternatif untuk mendukung proses pengambilan keputusan oleh manajer dan profesional bisnis lainnya. Contoh: Sistem analisis resiko, perkiraan profit. c. Executive Information Systems (EIS) Menyediakan informasi yang penting dari MIS, DSS, dan beragam sumber internal dan eksternal untuk para 11 eksekutif dan manajer. Contoh: sistem yang mudah diakses untuk mendukung perencanaan strategis. 3. Kategori lain sistem informasi Kategori lain sistem informasi untuk mendukung aplikasi operasional dan manajemen lainnya terdiri dari: a. Expert Systems Sistem berbasis pengetahuan yang menyediakan saran untuk para ahli atau bertindak sebagai konsultan ahli bagi pengguna dalam bidang tertentu untuk pengambilan keputusan. Contoh: proses pengawasan dan diagnosis sistem pemeliharaan b. Knowledge Management Systems Sistem berbasis pengetahuan yang mendukung hasil karya organisasi, penyebaran pengetahuan bisnis dalam perusahaan. Contoh: akses intranet. c. Strategic Information Systems Mendukung proses operasi dan manajemen yang menyediakan produk strategis, pelayanan, kemampuan untuk bersaing secara kompetitif. Contoh: perdagangan saham secara online, sistem e-commerce. d. Functional Business Systems Mendukung beragam aplikasi operasional dan manajerial atas fungsi dasar bisnis dalam perusahaan. Contoh: sistem informasi aplikasi akuntansi, keuangan, pemasaran, manajemen operasional dan manajemen sumber daya manusia. 2.2.7Komponen Sistem Informasi Menurut Satzinger, Jackson, dan Burd (2008: 8) dalam buku yang berjudul “Systems Analysis and Design in Changing World” menjelaskan bahwa komponen-komponen yang dimiliki oleh sistem informasi terdiri dari: 12 1. Proses input yaitu bagian yang mencakup pengambilan elemen yang masuk ke dalam sistem untuk di proses. Proses output yaitu bagian yang mencakup elemen yang dihasilkan dari proses untuk mencapai tujuan yang diinginkan 2. Hardware perangkat keras ini dibutuhkan untuk menjalankan aplikasi, DBMS, hardware dari komputer tunggal ke mainframe tunggal dari komputer-komputer. 3. People merupakan orang yang terlibat didalam sistem 4. Software atau perangkat lunak merupakan sebuah program aplikasi, sistem operasi, jaringan atau DBMS (Database Management System) 5. Data komponen mendasar yang paling penting, yang akan diolah di DBMS. Data merupakan jembatan penghubung antara komponen mesin (hardware dan software) dan manusia (user). Database terdiri atas data operasional dan metadata. 6. Prosedur merupakan petunjuk dan aturan yang digunakan untuk merancang database, userdari sistem dan staff yang mengatur database membutuhkan prosedur yang terdokumentasi untuk tahu bagaimana cara menggunakan atau menjalankan sistem. 2.2.8 Sistem Informasi Sumber Daya Manusia Menurut Raymond McLeod, Jr. dan George P. Schell (2007: 244) dalam bukunya berjudul “Management Information System” memberikan informasi kepada seluruh manajer perusahaan yang berkaitan dengan sumber daya manusia perusahaan. Masing-masing subsistem output dari HRIS akan menangani aspek-aspek tertentu dari manajemen SDM: perencanaan, rekrutmen, pengelolaan tenaga kerja, dan membuat banyak laporan SDM yang diminta oleh lingkungan, terutama badan-badan pemerintahan Menurut Wayne Mondy (2010: 116) dalam bukunya yang berjudul “Human Resource Management” menyatakan bahwa “Human resource information system is an organize approach for obtaining relevan and timely information on which to base human resource decisions” yang berarti suatu pendekatan yang terkelola untuk mendapatkan informasi yang relevan dan tepat waktu pada pengambilan keputusan sumber daya manusia. Selain itu, sistem informasi sumber daya manusia harus dirancang agar dapat 13 menyajikan informasi yang: (1) Tepat waktu (timely), manajer harus mempunyai akses untuk memperbaharui (up-to-date) informasi. (2) Akurat (accurate), manajer harus dapat mengandalkan tingkat akurasi informasi yang disajikan. (3) Ringkas (concise), manajer dapat menyerap informasi sebanyak mungkin dalam satu waktu. (4) Relevan (relevant), manajer hanya dapat menerima informasi yang diperlukan dalam kondisi tertentu. (5) Lengkap (complete), manajer harus menerima informasi dengan lengkap dan menyeluruh. 2.2.9 Komponen Sistem Informasi Sumber Daya Manusia Menurut Veithzal Rivai (2009: 1025) dalam bukunya yang berjudul “Manajemen SDM untuk perusahaan dari teori ke praktik” menyebutkan bahwa ada tiga komponen fungsional utama dalam setiap Sistem Informasi SDM. Komponen-komponen tersebut adalah: 1. Fungsi masukan, yaitu memasukan informasi pegawai ke dalam Sistem Informasi SDM. Masukan- masukan dari Sistem Informasi SDM serupa dengan sistem manual. Informasi pegawai, kebijakankebijakan dan prosedur-prosedur SDM, dan informasi yang berkaitan dengan kepegawaian lainnya harus dimasukkan ke dalam sistem agar dapat digunakan. Informasi ini biasanya dimasukkan dari dokumendokumen, ke dalam komputer pribadi yang dapat dihubungkan dengan komputer besar (mainframe computer). Informasi dapat diketik, dibaca secara digital, atau dipindah (scanned) dari dokumen-dokumen, dimasukan kedalam sistem dari komputer-komputer lainnya, atau diambil dari mesin-mesin lainnya. 2. Fungsi pemeliharaan data. Setelah data dimasukkan ke dalam sistem informasi, fungsi pemeliharaan data (data maintenance function) akan memperbaharui dan menambahkan data baru ke dalam basis data yang ada. 3. Fungsi keluaran. Fungsi yang paling terlihat jelas dari sebuah Sistem Informasi SDM adalah keluaran yang dihasilkan. Untuk menghasilkan keluaran yang bernilai bagi pemakai-pemakai komputer, Sistem Informasi SDM harus memproses keluaran tersebut, membuat kalkulasi-kalkulasi yang diperlukan, setelah itu memformat 14 presentasinya dalam dalam cara yang dapat dimengerti oleh para pemakai. Enam macam kelompok output yang dapat dihasilkan dari Sistem Informasi SDMyaitu: a. Informasi perencanaan tenaga kerja merupakan informasi yang dibutuhkan oleh manajer atas untuk merencanakan kebutuhan tenaga kerja dalam jangka pendek dan jangka panjang. Informasi ini meliputi informasi untuk analisis perputaran tenaga kerja (turnover), anggaran biaya tenaga kerja dan perencanaan tenaga kerja itu sendiri b. Informasi pengelolaan tenaga kerja merupakan informasi-informasi yang dibutuhkan untuk mengelola sumber daya manusia di dalam organisasi. Informasi-informasi ini meliputi informasi pelatihan, penilaian atau evaluasi kinerja, evaluasi keahlian, karir, relokasi jabatan, sukses, kedisiplinan. c. Informasi rekruitmen atau tentang pengadaan tenaga kerja merupakan informasi yang dibutuhkan untuk pengadaan tenaga kerjasecara eksternal maupun internal. Informasi ini diantaranya adalah informasi pasar tenaga kerja, penjadwalan wawancara, perekrutan dan analisis rekrutmen. d. Informasi kompensasi meliputi informasi tentang penggajian dan kompensasinya yang meliputi kehadiran dan jam kerja, perhitungan gajidan bonus, analisis kompensasi dan perencanaan kompensasi. e. Informasi benefit meliputi benefit yang diterima oleh pegawai. Benefit berbeda dengan kompensasi. Kompensasi lebih ke intensif yang dihubungkan dengan kinerja pegawai, sedangkan benefit lebih kemanfaat tambahan yang diterima karyawan seperti dana pensiun. f. Informasi lingkungan kerja, berhubungan dengan keluhan- keluhan,kecelakaan selama kerja, kesehatan karyawan dan lingkungan kerjanya. Menurut Wayne Mondy (2010: 116) dalam bukunya yang berjudul “Human Resource Management” mengatakan bahwa sistem informasi sumber daya manusia (SISDM) dapat menyajikan berbagai keuntungan untuk organisasi.Dengan berbagai tipe data masukan, SISDM dapat menyajikan data keluaran yang efektif diluar dari perencanaan sumber daya.Data dari 15 berbagai sumber masukan terintegrasi untuk menyajikan informasi yang dibutuhkan untuk pengambilan keputusan.SISDM dapat digambarkan pada figur dibawah ini. Gambar 2.0 Sistem Informasi Sumber Daya Manusia Sumber : Wayne Mondy (2010: 117) Human Resource Information System HRIS menyajikan suatu bentuk kontribusi untuk organisasi berupa rencana strategis organisasi dan rencana manajemen sumber daya manusia.Perencanaan Strategis adalah perencanaan yang paling penting, dimana manajer mengarahkan detil operasi dari organisasi setelah menentukan tujuan dasar dan bagaimana cara mencapainya. Perencanaan Strategis telah menjadi kebutuhan yang tak dapat dipisahkan dalam pengelolaan manajemen. Mengetahui cara dalam pembuatan perencanaan strategis memberikan wawasan yang baik bagi semua lini manajer. Perencanaan manajemen sumber daya manusia adalah proses analisis dan identifikasi yang dilakukan organisasi terhadap kebutuhan akan sumber daya manusia, sehingga organisasi tersebut dapat menentukan langkah yang harus diambil guna mencapai tujuannya. 16 2.2.10 Tujuan dan Kegunaan Sistem Informasi Sumber Daya Manusia Veithzal Rivai (2009:1021) dalam bukunya yang berjudul “Manajemen SDM untuk perusahaan dari teori ke praktik” mengemukakan sembilan manfaat khusus dari sistem informasi kepegawaian yang meliputi: 1. Memeriksa kapabilitas-kapabilitas karyawan saat ini guna mengisi kekosongan-kekosongan yang diproyeksikan di dalam perusahaan. 2. Menyoroti posisi-posisi diperkirakanakan yang dipromosikan, para pemegang akan pensiun jabatannya atau akan diberhentikan. 3. Menggambarkan pekerjaan-pekerjaan yang spesifik atau kelas-kelas pekerjaan yang mempunyai tingkat perputaran, pemecataan, ketidakhadiran, kinerja, dan masalah yang tinggi melebihi kadar normal. 4. Komposisi usia, suku jenis kelamin dari berbagai pekerjaan dan kelas pekerjaan guna memastikan apakah semua itu sesuai dengan ketentuan yang berlaku. 5. Mengantisipasi kebutuhan-kebutuhan rekruitmen, seleksi, pelatihan dan pengembangan dalam rangka memastikan penempatan yang tepat waktu dan karyawan-karyawan bermutu kedalam lowongan- lowongan pekerjaan. 6. Perencanaan SDM untuk mengantisipasi pergantian-pergantian dan promosi. 7. Laporan-laporan kompensasi untuk memperoleh informasi menyangkut seberapa besar setiap karyawan dibayar, biaya-biaya kompensasi keseluruhan, dan biaya-biaya finansial dari setiap kenaikan-kenaikan gaji dan perubahan-perubahan kompensasi. 8. SDM untuk melaksanakan penelitian dalam permasalahan, seperti perputaran karyawan dan ketidakhadiran atau menemukakan tempat yang paling produktif guna mencapai calon-calon baru. 9. Penilaian kebutuhan pelatihan untuk menganalisis kinerja individu dan menentukan karyawan-karyawan mana yang memerlukan pelatihan lebih lanjut. 17 2.2.11 Manajemen Sumber Daya Manusia Menurut Marimin, Hendri Tanjung dan Prabowo (2006:22) Manajemen Sumber Daya Manusia adalah “Suatu kegiatan pengelolaan yang meliputi pendayagunaan, pengembangan, penilaian, pemberian balas jasa bagi manusia sebagai individu anggota organisasi atau perusahaan bisnis” Manajemen sumber daya manusia menurut Hasibuan (2007: 10) dalam bukunya yang berjudul “Manajemen Sumber Daya Manusia”, merupakan ilmu dan seni mengatur hubungan dan perencanaan tenaga kerja agar efektif dan efisien membantu terwujudnya tujuan perusahaan, dan masyarakat. Manajemen sumber daya manusia meliputi perencanaan, pengorganisasian, pengawasan, pengembangan dan pemanfaatan sumber daya manusia yang efektif untuk tercapainya berbagai tujuan individu, organisasi, masyarakat, nasional dan internasional. Menurut Dessler (2011: 2) dalam bukunya yang berjudul “Human Resource Management”Manajemen sumber daya manusia adalah kebijakankebijakan dan praktik yang dibutuhkan seseorang untuk melaksanakan aspek personil atau orang-orang dari pekerjaan manajemennya, termasuk perekrutan, penyaringan, pelatihan, pengimbalan, dan penilaian. Hanggraeni (2012: 5) dalam bukunya yang berjudul “Manajemen Sumber Daya Manusia” mengemukakan bahwa secara garis besar aktivitas manajemen sumber daya manusia terbagi menjadi empat, yaitu : 1. Preparation and Selection, terdiri dari : a. Job Analysis and Design b. Human Resource Planning c. Recruitment d. Selection 2. Development and Evaluation, terdiri dari : a. Orientation, Placement, and Separation b. Training and Development c. Career Planning d. Performance Appraisal 3. Compensation and Protection, terdiri dari : a. Wages and Salaries 18 b. Incentives and Gainsharing c. Benefits and Services d. Security, Safety, and Health 4. Employee Relation. Hubungan ketenagakerjaan atau biasa disebut dengan hubungan industrial adalah hubungan yang melibatkan tiga pihak yang berkepentingan dalam proses kerja yaitu pekerja itu sendiri, organisasi atau perusahaan, dan pemerintah. 2.3 Rekrutmen 2.3.1 Pengertian Rekrutmen Menurut Veithzal Rivai (2009:1) dalam bukunya berjudul “Manajemen Sumber Daya Manusia: Dari teori ke praktik” menyatakan bahwa rekrutmen pada hakikatnya merupakan proses menentukan dan menarik pelamar, yang mampu bekerja dalam suatu perusahaan. Proses ini dimulai ketika para pelamar dicari dan berakhir ketika lamaran-lamaran mereka di serahkan atau dikumpulkan. Hasilnya merupakan sekumpulan pelamar calon karyawan baru untuk diseleksi dan dipilih. Menurut Noe, Hollenbeck, Gerhart dan Wright (2008: 7) dalam bukunya yang berjudul “Fundamentals of Human Resource Management”, “Recruitment is the process through which the organization seeks applicants for potential employment”.Yang berarti rekrutmen adalah suatu proses dimana organisasi mencari pelamar sebagai karyawan yang berpotensi. 2.3.2 Proses Rekrutmen Menurut Mondy (2008 : 89) dalam bukunya berjudul “Human Resource Management”, proses rekrutmen digambarkan seperti berikut : 19 Gambar 2.1 Proses Rekrutmen Sumber :Wayne Mondy (2008: 89) Human Resource Information System 2.3.3 Sumber – sumber Rekrutmen Menurut Randall S.Schuler dan Susan E.Jackson (2007:295) dalam bukunya yang berjudul “Strategic Human Resource Management” menyatakan bahwa sumber rekrutmen terbagi menjadi dua, yaitu: 1. Sumber rekrutmen internal Sumber-sumber internal dalam rekrutmen meliputi karyawan yang ada sekarang yang dapat dicalonkan untuk dipromosikan, dirotasi tugasnya, serta mantan karyawan yang bisa dikaryakan atau dipanggil kembali. 2. Sumber rekrutmen eksternal Sumber eksternal merupakan sumber untuk mendapatkan karyawan dari luar perusahaan yang memiliki bobot atau kualifikasi tertentu. 2.3.4 Seleksi Menurut Mathis dan Jackson dalam bukunya berjudul Manajemen Sumber Daya Manusia yang diterjemahkan oleh Dwi Kartini Yahya (2009: 261), seleksi (selection) adalah proses pemilihan orang-orang yang memiliki 20 kualifikasi yang dibutuhkan untuk mengisi lowongan pekerjaan disebuah perusahaan atau organisasi Menurut Noe, Hollenbeck, Gerhart dan Wright (2008: 175) dalam bukunya yang berjudul “Fundamentals of Human Resource Management”. Seleksi personal merupakan proses dimana organisasi memutuskan siapa yang akan dan tidak akan bergabung dengan perusahaan. Tahapan dalam proses seleksi yaitu: 2.4 1. Screening lamaran dan resume 2. Tes dan penjelasan job description 3. Interview kandidat 4. Memeriksa kompetensi dan latar belakang 5. Membuat keputusan Audit Sistem Informasi 2.4.1 Pengertian Audit Menurut Hall dan Singleton (2007: 3) dalam bukunya berjudul “Information Technology Auditing and Assurance” menyatakan bahwa audit adalah proses sistematis mengenai mendapatkan dan mengevaluasi secara objektif bukti yang berkaitan dengan penilaian mengenai berbagai kegiatan dan peristiwa ekonomi untuk memastikan tingkat kesesuaian antara penilaian-penilaian tersebut dan membentuk kriteria serta menyampaikan hasilnya ke para pengguna yang berkepentingan. 2.4.2 Audit Sistem informasi Menurut Gondodiyoto (2007: 443) dalam bukunya yang berjudul “PengelolaanFungsiAuditSistem Informasi + Contoh Audit Charter”. Audit Sistem Informasi dimaksudkan untuk mengevaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis (business process) perusahaan atau kebutuhan pengguna (userneeds), untuk mengevaluasi apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif, efisien dan ekonomis, memiliki mekanisme pengamanan asset, serta menjamin integritas data yang memadai. 21 2.4.3 Jenis-jenis Audit Sedangkan menurut Randal J. Elder, Mark S. Beasley, Alvin A. Arens Amin Abadi Jusuf (2011: 16) dalam bukunya yang berjudul “Jasa Audit dan Assurance” yang diterjemahkan oleh Desti Fitriani, mengemukakan tiga jenis audit, yaitu : 1. Audit operasional Audit operasional mengevaluasi efisiensi dan efektivitas setiap bagian dari prosedur dan metode operasi organisasi. Pada akhir audit operasional, manajemen biasanya mengharapkan saran-saran untuk memperbaiki operasi. Dalam audit operasional, review atau penelaahan yang dilakukan tidak terbatas pada akuntansi, tetapi dapat mencakup evaluasi atas struktur organisasi, operasi komputer, metode produksi, pemasaran, dan semua bidang lain dimana auditor menguasainya. 2. Audit ketaatan (compliance audit) Audit ketaatan dilaksanakan untuk menentukan apakah pihak audit telah mengikuti prosedur, aturan atau ketentuan tertentu yang ditetapkan oleh otoritas yang lebih tinggi 3. Audit laporan keuangan (financial statement audit) Audit laporan keuangan dilakukan untuk menentukan apakah laporan keuangan (informasi yang diverifikasi) telah dinyatakan sesuai dengan kriteria tertentu. Biasanya kriteria yang berlaku adalah prinsip-prinsip akuntansi yang berlaku umum (GAAP), walaupun auditor mungkin saja melakukan audit atas laporan keuangan yang disusun dengan menggunakan akuntansi sadar kas atau beberapa dasar lainnya yang cocok untuk organisasi tersebut. Dalam menentukan apakah laporan keuangan telah dinyatakan secara wajar sesuai standar akuntansi yang berlaku umum, auditor mengumpulkan bukti untuk menetapkan apakah laporan keuangan itu mengandung kesalahan yang vital atau salah saji lainnya. 22 2.5 Resiko 2.5.1 Pengertian Resiko Menurut Djohanputro (2008:31-32) dalam bukunya yang berjudul “Manajemen Risiko Korporat”pengertian dasar resiko terkait dengan keadaan adanya ketidakpastian dan tingkat ketidakpastiannya terukur secara kuantitatif. Resiko juga dapat diartikan sebagai ketidakpastian yang telah diketahui tingkat probabilitas kejadiannya. Menurut Kounds dan Minoli (2011: 5) dalam bukunya yang berjudul “Information Technology Risk Management” pengertian resiko adalah kerugian yang diperkirakan yaitu agregasi (penjumlahan) dari kemungkinan, probabilitas, dan kerugian yang berhubungan pada setiap probabilitas tersebut. Menurut Gondodiyoto (2007: 63) dalam bukunya yang berjudul “Audit Sistem Informasi Lanjutan + standar, Panduan, Prosedur Audit SI dari ISACA”, risiko adalah suatu chances, perusahaan dapat memperkecil risiko dengan melakukan antisipasi berupa kontrol, namun tidak mungkin dapat sepenuhnya menghindari adanya exposure, bahkan dengan struktur pengendalian maksimal sekalipun. 2.5.2 Jenis-jenis resiko Menurut Djohanputro (2008: 33-35) dalam bukunya yang berjudul“Manajemen Risiko Korporat” untuk memudahkan pengenalan resiko, perlu dilakukan klasifikasi sehingga mengenal karakter dari resiko. Resiko dapat dikategorikan kedalam resiko murni dan resiko spekulatif. Cara lain mengklasifikasi resiko adalah mengategorikan kedalam resiko sistematik dan resiko spesifik. 1. Resiko Murni dan Spekulatif Resiko murni merupakan resiko yang dapat mengakibatkan kerugian pada perusahaan, tetapi tidak ada kemungkinan menguntungkan. Perusahaan menghadapi berbagai hal dalam resiko ini. Sementara itu yang disebut dengan resiko spekulatif adalah resiko yang dapat mengakibatkan dua kemungkinan, merugikan atau menguntungkan perusahaan. 2. Resiko Sistematik dan Spesifik 23 Resiko sistematik (systematicrisk) juga disebut resiko yang tidak dapat didiversifikasi (nondiversiviablerisk). Ciri dari resiko sistematik adalah tidak dapat dihilangkan atau dikurangi dengan cara penggabungan berbagai resiko. Resiko spesifik (specificrisk), atau resiko yang dapat didiversifikasi (diversiviablerisk) dapat dihilangkan melalui proses penggabungan (pooling). Konsep resiko sistematik dan spesifik sangat berguna dalam menangani resiko keuangan. Banyak resiko yang berkaitan dengan keuangan perusahaan dapat ditekan dengan menerapkan diversifikasi. Menurut Rittenberg, Schwieger, & Johnstone (2008: 93) dalam bukunya yang berjudul “Auditing a Business Risk Approach” terdapat 4 jenis risiko, yaitu: 1. Enterprise risk adalah risiko yang berpotensi mempengaruhi kegiatan operasional. 2. Engagement risk adalah risiko yang dihadapi auditor ketika berhubungan dengan pihak lainnya, misalnya: kehilangan reputasi, ketidakmampuan klien untuk membayar auditor, ataupun kerugian finansial. 3. Financial reporting risk adalah risiko yang terkait dengan transaksi dan data finansial yang terdapat pada laporan keuangan organisasi. 4. Audit risk adalah risiko auditor dalam memberikan informasi yang tidak sesuai misalnya pernyataan finansial yang tidak tepat. 2.5.3 Manajemen Resiko Menurut Djohanpotro (2008: 43) dalam bukunya yang berjudul “Manajemen Risiko Korporat” Manajemen resiko merupakan proses terstrukutur dan sistematis dalam mengidentifikasi, mengukur, memetakan, mengembangkan alternatif penanganan mengendalikan penanganan resiko. resiko, dan memonitor dan 24 2.5.4 Fungsi Manajemen Resiko Menurut Djohanputro (2008: 272) dalam bukunya yang berjudul “Manajemen Risiko Korporat” fungsi manajemen resiko berkembang sesuai dengan perkembangan jaman. Dibawah ini menunjukkan tiga perkembangan fungsi manajemen resiko : 1. Pandangan tradisional / konvensional a. Membutuhkan keahlian lintas disiplin b. Mengelola resiko murni c. Mengalami evolusi dari pembelian asuransi d. Keputusan berdasarkan faktor diluar maksimalisasi nilai 2. Safety engineering / manajemen resiko total a. Proses sistematis, holistis dan statistik mengembangkan penilaian dan manajemen resiko b. Empat sumber kegagalan : - Hardware - Software - Organisasi - Manusia 3. Manajemen resiko terintegrasi (enterprise risk management) a. Merupakan keputusan keuangan sehingga dasar keputusannya adalah nilai perusahaan 2.5.5 Resiko Sumber Daya Manusia Menurut Djohanputro (2008: 143) dalam bukunya yang berjudul “Manajemen Risiko Korporat” menyatakan kemungkinan atau probabilitas kejadian resiko SDM terdiri dari beberapa jenis : 1. Kondisi SDM yang bersangkutan terdiri dari : a. Kemungkinan rendahnya tingkat kesehatan b. Kemungkinan tingkat kematian c. Pengaruh usia 2. Kondisi sistem dan sarana 3. Kondisi pasar tenaga kerja Dampak terhadap eksposur SDM bisa diukur berdasarkan dimensi: 1. Potensi kerugian 25 2. Tambahan biaya 3. Pemenuhan kebutuhan 2.6 Standar ISO (International Organization for Standardization) 2.6.1 Pengertian Standar Menurut International Organization for Standardization, standar adalah dokumen yang memberikan persyaratan, spesifikasi, pedoman atau karakteristik yang dapat digunakan secara konsisten untuk memastikan materi-materi, produk, proses dan pelayanan telah sesuai dengan tujuannya. Menurut Wright (2008: 123) dalam bukunya yang berjudul “The IT Regulatory and Standards Compliance Handbook:: How to Survive Information Systems Audit and Assessments”, “A standard is a procedure or a set of specific requirements that must be meet by everyone.”, yang diterjemahkan menjadi “Standar merupakan prosedur atau sekumpulan persyaratan spesifik yang harus dipenuhi oleh semua anggota organisasi”. 2.6.2 ISO (International Organization for Standardization) Berdasarkan situs www.iso.org, ISO (International Organization for Standardization) adalah badan penetapan standar internasional yang didirikan pada 23 Februari 1947. ISO menetapkan standar-standar industrial dan komersial dunia. ISO merupakan lembaga nirlaba internasional yang pada awalnya dibentuk untuk membuat dan memperkenalkan standardisasi internasional untuk bidang apa saja. ISO sudah mengeluarkan lebih dari 19500 standar internasional terhadap hampir dari seluruh aspek teknologi dan bisnis. ISO merupakan pelopor terbesar terhadap standar internasional global yang membantu industri menjadi lebih efektif dan efisien. ISO bekerja sama dengan IEC (International Electrotechnical Commision) yang bertanggung jawab terhadap standardisasi peralatan elektronik. Penerapan ISO di suatu perusahaan berguna untuk : 1. Meningkatkan citra perusahaan 2. Meningkatkan kinerja lingkungan perusahaan 3. Meningkatkan efisiensi kegiatan 26 4. Memperbaiki manajemen organisasi dalam menerapkan perencanaan, pelaksanaan, pengukuran dan tindakan perbaikan (plan, do, check, act) 5. Meningkatkan penataan terhadap ketentuan peraturan perundang undangan dalam hal pengelolaan lingkungan 6. Mengurangi risiko usaha 7. Meningkatkan daya saing 8. Meningkatkan komunikasi internal dan hubungan baik dengan berbagai pihak yang berkepentingan 9. Mendapat kepercayaan dari konsumen atau mitra kerja, pemodal(investor) 2.6.3 ISO 31000 : 2009 Risk Management Menurut International Organization for Standardization, ISO 31000: 2009 merupakan standar mengenai manajemen resiko yang diterbitkan pada tahun 2009 untuk memberikan prinsip dan pedoman generik manajemen resiko. Penggunaan ISO 31000: 2009 dapat membantu organisasi dalam meningkatkan kemungkinan pencapaian tujuan, identifikasi peluang dan ancaman, alokasi dan penggunaan sumber daya risk treatment secara efektif. 2.6.4 Pengguna ISO 31000:2009 Risk Management ISO 31000: 2009 diperuntukkan oleh berbagai pemangku kepentingan (stakeholder)termasuk : 1. Orang-orang yang bertanggung jawab untuk menerapkan manajemen resiko dalam organisasi mereka 2. Mereka yang membutuhkan untuk memastikan pengelolaan resiko organisasi 3. Mereka yang membutuhkan untuk mengelola resiko organisasi secara keseluruhan atau dalam kegiatan tertentu 4. Mereka yang membutuhkan untuk mengevaluasi praktekpraktek organisasi dalam mengelola resiko 5. Pengembang dari standar, panduan, prosedur dan kode praktek yang secara keseluruhan atau sebagain menetapkan bagaimana 27 resiko harus dikelola dalam konteks khusus dokumen-dokumen tersebut 2.6.5 Prinsip, Kerangka kerja dan Proses ISO 31000: 2009 Risk Management Gambar 2.2 Proses Manajemen Risiko berdasarkan ISO 31000: 2009 Sumber: www.iso.org Proses manajemen resiko harus menjadi bagian integral dari manajemen, akan tertanam dalam budaya dan praktik dan disesuaikan dengan proses bisnis organisasi. Proses manajemen resiko terdiri dari lima kegiatan utama yaitu: komunikasi dan konsultasi, penetapan konteks, penilaian resiko, penanganan resiko serta pengawasan dan pengkajian. Dan terdapat tiga kegiatan pendukung yaitu: identifikasi resiko, analisis resiko dan evaluasi resiko. 1. Dengan penetapan konteks, suatu organisasi dapat mengartikulasikan objektifitas dengan menentukan parameter eksternal dan internal saat mengelola resiko dan menentukan ruang lingkup serta kriteria resiko terhadap proses selanjutnya. Penetapan konteks (Establising the context) yang terdiri dari : 28 Konteks eksternal: a. Hukum, peraturan, keuangan b. Internasional, nasional, regional atau local c. Hubungan dengan persepsi, nilai dari pemegang saham eksternal Konteks internal: a. Tujuan organisasi b. Proyek, proses atau tujuan aktivitas c. Kebijakan, standar, pedoman dan model yang digunakan organisasi d. Hubungan kontrak Konteks manajemen resiko: a. Tujuan, ruang lingkup, kewajiban, metode b. Menentukan kriteria resiko, pengukuran dan batas toleransi, pendapat pemegang saham 2. Identifikasi resiko (Risk Identification) meliputi identifikasi area dari suatu dampak, kejadian dan penyebab yang menimbulkan potensi munculnya konsekuensi resiko. Suatu organisasi harus menentukan alat atau teknik dalam mengidentifikasi resiko yang dianggap paling tepat sesuai dengan tingkat kapabilitas dan relevansi. Identifikasi resiko terdiri dari : a. Proses penemuan, pengenalan dan penggambaran resiko b. Daftar resiko kompherensif berdasarkan kegiatan yang dapat menimbulkan, memicu, mencegah, menurunkan, mempercepat, atau menunda pencapaian tujuan c. Mengidentifikasi resiko yang terkait tanpa mengurangi kesempatan d. Resiko yang tidak diidentifikasi dalam tahap ini tidak akan termasuk dalam analisis lebih lanjut e. Identifikasi harus mencakup resiko yang berada di bawah kontrol organisasi 29 3. Analisis Resiko (Risk Analysis) menyediakan suatu input untuk mengevaluasi resiko dan memutuskan penangan resiko dengan pendekatan atau metode yang paling sesuai. a. Proses untuk memahami sifat resiko dan menentukan tingkat resiko b. Analisis resiko melibatkan pertimbangan penyebab dan sumber resiko, konsekuensi positif dan negatif dari resiko serta kemungkinan munculnya konsekuensi tersebut c. Memberikan dasar untuk evaluasi resiko dan pengambilan keputusan untuk penanganan resiko (risk treatment) d. Perkiraan resiko termasuk di dalam analisis resiko e. Klasifikasi resiko terdiri dari resiko essensial, resiko yang harus diawasi, resiko yang harus dikaji f. Skala kemungkinan (likelihood scale) terdiri dari : 1. Lebih dari 10 tahun 2. 5 – 10 tahun 3. 3 – 5 tahun g. Skala dampak (impact scale) terdiri dari : 1. Sangat rendah (kurang dari $ 1 000) 2. Rendah (kurang dari $ 5 000) 3. Menengah (kurang dari $ 25 000) 4. Tinggi (kurang dari $ 100 000) 5. Sangat tinggi (lebih dari $ 100 000) 4. Evaluasi Resiko (Risk Evaluation) bertujuan untuk membantu pengambilan keputusan berdasarkan hasil analisis resiko tentang penanganan resiko, prioritas dan implementasi penanganan. Evaluasi resiko melibatkan perbandingan tingkat resiko yang ditemukan pada proses analisis dengan konteks yang telah ditetapkan. a. Tujuan evaluasi resiko adalah untuk membantu pengambilan keputusan berdasarkan hasil analisis resiko, tentang resiko mana yang memerlukan penangganan dan prioritas untuk ditangani terlebih dahulu 30 b. Keputusan yang diambil harus mempertimbangkan konteks resiko secara luas termasuk pertimbangan toleransi risiko yang harus ditanggung pihak lain selain organisasi c. Keputusan harus dibuat sesuai hukum, persyaratan dan peraturan lainnya d. Dalam situasi tertentu, evaluasi resiko dapat menimbulkan keputusan untuk melakukan analisis lebih lanjut atau tidak e. Evaluasi resiko juga dapat menyebabkan keputusan untuk tidak menangani resiko dengan cara apapun selain mempertahankan kontrol yang telah ada 5. Penilaian Resiko (Risk Assessment) a. Penilaian resiko akan menjawab pertanyaan pertanyaan mendasar seperti berikut : 1. Apa yang akan terjadi dan mengapa (didukung dengan identifikasi resiko)? 2. Apa kemungkinan yang dapat terjadi bila resiko muncul di masa yang akan datang? 3. Konsekuensi apa yang harus diterima? 4. Apakah ada kemungkinan faktor-faktor resiko atau yang mengurangi yang mengurangi konsekuensi dari resiko? b. Seseorang yang melakukan penilaian resiko harus mengetahui jelas tentang : 1. Konteks dan tujuan organisasi 2. Tingkat dan jenis resiko yang dapat ditoleransi dan bagaimana menangani resiko yang tidak dapat diterima (unacceptable risk) 3. Bagaimana penilaian resiko terintegrasi ke dalam proses organisasi 4. Metode dan teknik yang akan digunakan untuk penilaian resiko dan kontribusi mereka terhadap proses manajemen resiko 31 5. Akuntabilitas, tanggung jawab dan kewenangan untuk melakukan penilaian resiko 6. Sumber daya yang tersedia untuk melaksanakan penilaian resiko 7. Bagaimana penilaian resiko akan dilaporkan dan dikaji 6. Penanganan resiko (Risk Treatment) a. Penanganan resiko terdiri dari pemilihan salah satu atau lebih pilihan untuk menangani resiko dan menerapkan pilihan – pilihan. Pilihan tersebut terdiri dari : 1. Memindahkan (Transfer) Resiko akan dipindahkan atau dibagikan dengan pihak lain (termasuk kontrak dan resiko pembiayaan) 2. Menghindari (Avoid) Menghindari resiko dengan tidak memulai atau melanjutkan aktivitas yang menimbulkan resiko 3. Mengurangi (Mitigate) Mengubah kemungkinan, mengubah dampak dan konsekuensi 4. Menerima (Accept) Mempertahankan resiko yang sudah ada dengan pembuatan keputusan dan mengambil serta meningkatkan resiko untuk mengejar kesempatan b. Pemilihan penanganan resiko harus tepat, pilihan harus melibatkan keseimbangan biaya dan upaya implementasi terhadap manfaat yang diperoleh, termasuk pertimbangan persyaratan hukum, peraturan dan lainnya seperti tanggung jawab sosial dan perlindungan pada lingkungan sekitar c. Penanganan resiko dapat diterapkan baik secara individual maupun dalam kombinasi d. Penanganan resiko sendiri dapat menimbulkan resiko. Resiko signifikan dapat menjadi kegagalan atau ketidakefektifan resiko. Pengawasan menjadi bagian yang integral dari rencana penanganan resiko untuk memberikan jaminan bahwa setiap langkah dapat berjalan secara efektif 32 7. Pengawasan dan pengkajian (Monitoring and Review) harus direncanakan sebagai salah satu bagian dari proses manajemen resiko dan melibatkan pengawasan dan pemeriksaan secara periodic. a. Pengawasan dan pengkajian menjadi bagian yang integral dalam manajemen resiko yang melibatkan pengawasan biasa atau khusus b. Memastikan adanya kontrol yang efektif dan efisien c. Mendeteksi perubahan dalam konteks eksternal maupun Internal d. Analisis, pelajaran dan perbaikan terus menerus e. Mengidentifikasi resiko yang muncul 2.7 NIST(National Institute Standards Technology) 2.7.1 Pengertian NIST Menurut kamus Wikipedia, NIST (National Institute Standards Technology) adalah sebuah badan non-regulator dari bagian Administrasi Teknologi dari Departemen Perdagangan Amerika Serikat.Misi dari badan ini adalah untuk membuat dan mendorong pengukuran, standar, dan teknologi untuk meningkatkan produktivitas, mendukung perdagangan, dan memperbaiki kualitas hidup semua orang.NIST mengatur beberapa fasilitas pengukuran paling spesifik di dunia, termasuk National Center for Neutron Research (Pusat Riset Neutron Nasional) yang tidak terkalahkan dan yang paling murah, dimana dilakukannya riset paling mutakhir untuk materimateri baru, fuel cell terbaru, dan bioteknologi. 2.7.2 Kerangka Manajemen Resiko Sebuah proses manajemen resiko yang efektif merupakan komponen yang penting dalam mencapai sistem keamanan pada teknologi informasi. Tujuan terpenting dalam pengelolaan resiko organisasi harus dapat melindungi proses selama perwujudan misi organisasi dan menjadikan pengelolaan resiko sebagai fungsi esensial bagi manajemen organisasi. Berikut merupakan langkah-langkah dalam manajemen resiko berdasarkan NIST : 33 1. Langkah 1: Karakterisasi Sistem Dalam menilai resiko sistem, langkah pertama merupakan penentuan lingkup sistem yang akan dikaji. 2. Langkah 2: Indentifikasi Ancaman Ancaman merupakan potensi yang berasal dari berbagai sumber ancaman yang menimbulkan kerentanan.Kerentanan adalah kelemahan yang dapat secara tidak sengaja muncul. Dalam mengidentifikasi ancaman, diperlukan pertimbangan pada sumber ancaman yang dapat menggaggu dan merusak suatu sistem. Sumber ancaman umumnya terdiri dari: a. Natural Threats: banjir, gempa bumi, tornado, tanah longsor, badai dan peristiwa alam lainnya b. Human Threats: peristiwa yang ditimbulkan atau disebabkan oleh manusia, seperti kejadian tidak disengaja atau kejadian disengaja (hack, akses terlarang pada informasi rahasia, virus). c. Environmental Threats: terjadinya pemadaman listrik, polusi, kebocoran cairan atau bahan kimia 3. Langkah 3: Identifikasi Kerentanan Analisis ancaman pada suatu sistem harus meliputi analisis pada kerentanan yang terkait pada lingkungan sistem 4. Langkah 4: Analisis Kontrol Tujuan dalam tahapan ini adalah analisis pengendalian yang telah diterapkan atau direncakan untuk diimplementasi oleh organisasi untuk mengurangi atau mengahapus kemungkinan munculnya ancaman. 5. Langkah 5: Penentuan Kemungkinan (Likelihood) Untuk mendapatkan tingkat kemungkinan yang mengindikasikan potensial kerentanan pada suatu objek, maka perlu mempertimbangkan: a. Sumber ancaman b. Sifat kerentanan c. Keberadaan dan efektivitas pengendalian control 34 6. Langkah 6: Analisis Dampak Tahapan penting selanjutnya adalah mengukur tingkat resiko untuk mementukan besarnya dampak yang didapatkan dari hasil identifikasi ancaman dan kerentanan. Dalam menganalisis dampak berdasarkan informasi perlu memperhatikan tujuan keamanan pada aspek berikut: a. Loss of Integrity: Mengacu pada persyaratan yang informasinya dilindungi dari modifikasi yang tidak benar dan tidak sah, perubahan data atau sistem TI yang disengaja atau tidak disengaja. Sistem atau data yang rusak dapat mengakibatkan ketidakakuratan, penipuan, atau keputusan yang salah. Seluruh hal yang berkaitan dengan kehilangan integritas akan mengurangi jaminan sistem. b. Loss of Availability: Jika suatu tujuan sistem tidak tersedia bagi pengguna akhir, maka misi organisasi akan terpengaruh. Seperti hal hilangnya fungsi sistem dan efektivitas operasional dapat mengakibatkan hilangnya waktu produktif dan menghambat kinerja pengguna akhir dan seluruh fungsi sistem yang mendukung misi organisasi c. Loss of Confidentiality: Kehilangan yang mengacu pada kerahasiaan data dan informasi. Dampak yang ditimbulkan adalah hilangnya kepercayaan masyarakat dikarenakan pengungkapan yang tidak sah, tidak terduga dan tidak disengaja 7. Langkah 7: Penentuan Resiko Tujuan dari tahapan ini yaitu menilai tingkat resiko. Penentuan resiko berdasarkan ancaman dan kerentanan dapat digambarkan pada matriks tingkat resiko berikut ini: 35 Gambar 2.3 Risk-Level Matrix Sumber: NIST Special Publication 800-30. Risk Management Guide for Information Technology System Berikut merupakan deskripsi mengenai tingkat resiko: Gambar 2.4 Deskripsi Tingkat Resiko Sumber: NIST Special Publication 800-30. Risk Management Guide for Information Technology System 8. Langkah 8: Rekomendasi Pengendalian Rekomendasi pengendalian dilakukan untuk mengurangi dan menghilangkan tingkat resiko yang teridentifikasi. Beberapa faktor yang harus dipertimbangkan dalam memberikan rekomendasi dan solusi alternatif yaitu: a. Efektifitas opsi yang direkomendasikan b. Legislasi dan regulasi c. Kebijakan organisasi d. Dampak operasional e. Keamanan dan kehandalan 36 9. Langkah 9: Dokumentasi Hasil Setelah penilaian resiko telah selesai, hasilnya harus didokumentasikan dalam bentuk laporan. Laporan tersebut dapat digunakan untuk membantu manajemen senior dan pemangku kepentingan untuk membuat keputusan tentang kebijakan, prosedur, anggaran dan perubahan pada sistem operasional dan manajemen 2.8 RPN (Risk Priority Number) 2.8.1 PengertianRPN (Risk Priority Number) RPN merupakan hasil kalkulasi dari dampak dan probabilitas yang dirinci dengan formula : RPN = Severity (S) X Probability (P) RPN membantu menentukan pemeringkatan resiko dimana angka yang semakin besar menentukan tingkat keseriusan resiko: Gambar 2.5 Grafik Pemeringkatan Resiko Sumber :Risk Management Tutorial – Bio Pharmaceutical and Device Industry