1 BAB 2 LANDASAN TEORI 2.1 Evaluasi 2.1.1 Pengertian Evaluasi

advertisement
BAB 2
LANDASAN TEORI
2.1
Evaluasi
2.1.1 Pengertian Evaluasi
Menurut Arikunto dan Cepi (2008: 2) dalam bukunya yang berjudul
“Evaluasi Program Pendidikan” menyatakan bahwa: Evaluasi adalah
kegiatan untuk mengumpulkan informasi tentang bekerjanya sesuatu, yang
selanjutnya informasi tersebut digunakan untuk menentukan alternatif yang
tepat dalam mengambil sebuah keputusan. Fungsi utama evaluasi dalam hal
ini adalah menyediakan informasi-informasi yang berguna bagi pihak
decision maker untuk menentukan kebijakan yang akan diambil berdasarkan
evaluasi yang telah dilakukan.
2.2
Sistem Informasi
2.2.1 Pengertian Sistem
Menurut Widjajanto (2008: 2) dalam bukunya yang berjudul “Sistem
Informasi Akuntansi”, sistem adalah sesuatu yang memiliki bagian-bagian
yang saling berinteraksi untuk mencapai tujuan tertentu melalui tiga tahapan
yaitu input, proses dan output.
Menurut Bagad (2008: 3) dalam bukunya yang berjudul “Management
Information System” menyatakan bahwa: “a system is defined as a group of
interrelated components organized with a purpose”, yang berarti sistem
merupakan sekumpulan komponen yang saling berhubungan dan dikelola
dengan suatu maksud atau tujuan.
Dari definisi diatas dapat disimpulkan bahwa sistem adalah sekumpulan
elemen yang saling berhubungan dan berkaitan satu sama lain dengan
membentuk satu kesatuan yang mempunyai berbagai maksud ataupun tujuan
dimasa yang akan datang.
2.2.2 Informasi
Berdasarkan pendapat O’Brien dan Marakas (2008: 24) dalam bukunya
yang berjudul “Management Information System”mengatakan bahwa
6
7
informasi adalah data yang ditempatkan dalam konteks yang berarti dan
berguna untuk pengguna terakhir.
Sedangkan pengertian informasi menurut Susanto (2009:40) dalam
bukunya yang berjudul “Sistem Informasi Manajemen”, adalah sebagai
berikut: Informasi merupakan hasil dari pengolahan data, akan tetapi tidak
semua hasil dari pengolahan tersebut bisa menjadi informasi, hasil
pengolahan data yang tidak memberikan makna atau arti serta tidak
bermanfaat bagi seseorang bukanlah merupakan informasi bagi orang
tersebut.
Menurut Krismiaji (2010: 15) dalam bukunya yang berjudul “Sistem
Informasi Akuntansi” menyatakan bahwa “Informasi adalah data yang telah
diorganisasi dan telah memiliki kegunaan dan manfaat”
Berdasarkan definisi diatas dapat disimpulkan bahwa informasi adalah
data yang telah dikelola dan sudah terorganisir menjadi suatu bentuk yang
lebih bermanfaat
2.2.3Sistem Informasi
Menurut Bagad (2008: 1) dalam bukunya yang berjudul “Management
Information System” menyatakan bahwa: “Information system is defined as
group of elements organized with the purpose of supporting” yang berarti
sistem informasi didefinisikan sebagai sekumpulan elemen yang dikelola
dengan tujuan sebagai pendukung.
Menurut Kurbel (2008: 4) dalam bukunya yang berjudul “The Making
Information System” menyatakan bahwa : “An information system (IS) is a
computer-based system that processes inputted information or data, stores
information, retrieves information, and produces new information to solve
some task automatically or to support human beings in the operation, control
and decision making of an organization” yang berarti bahwa suatu sistem
informasi adalah sistem yang terkomputerisasi untuk mengolah data yang
dimasukan menjadi informasi atau data, menyimpan, mendistribusikan serta
menghasilkan informasi yang baru untuk menyelesaikan suatu tugas secara
otomatis atau sebagai pendukung sumber daya manusia dalam menjalankan
fungsi operasi perusahaan, pengendalian dan pengambilan keputusan didalam
sebuah organisasi.
8
Adapun O’Brien dan Marakas (2009: 4) dalam bukunya yang berjudul
“Management Information System” mengemukakan bahwa sistem informasi
dapat berarti kombinasi dari orang, perangkat keras, perangkat lunak,
jaringan komunikasi, sumber data serta prosedur dan aturan untuk
memperoleh, menyimpan, merubah dan menyebarluaskan informasi didalam
organisasi.
Menurut Kenneth C. Laudon dan Jane P. Laudon (2012: 7) dalam
bukunya yang berjudul “Management Information System”, sistem informasi
merupakan
kumpulan
komponen
yang
saling
berhubungan,
yang
mengumpulkan, memproses, menyimpan, dan mendistribusikan informasi
untuk membantu pengambilan keputusan, pengkoordinasian, pengendalian
analisis, dan menampilkannya dalam suatu organisasi.
Menurut Satzinger, Jackson, dan Burd (2010: 6) dalam bukunya yang
berjudul “Systems Analysis & Design in a changing world”, sistem informasi
adalah sekumpulan dari komponen yang saling berhubungan dan berfungsi
untuk mengumpulkan, memproses, menyimpan, dan menyediakan output
berupa informasi yang dibutuhkan untuk menyelesaikan tugas-tugas bisnis.
Berdasarkan pendapat dari Gelinas, Ulric, dan Dull (2010: 12) dalam
bukunya yang berjudul “Accounting Information Systems”, “An information
system is a man made system generally consists of an integrated set of
computer-based components and manual components establish to collect,
store, and manage data and to provide output information to users”.Yang
berarti suatu sistem informasi adalah sistem buatan manusia yang secara
umum meliputi sekumpulan komponen berbasis komputer yang terintegrasi
dan penciptaan komponen manual untuk menggabungkan, menyimpan dan
mengelola data serta menyajikan informasi keluaran untuk para pengguna.
Berdasarkan beberapa definisi diatas dapat disimpulkan bahwa sistem
informasi adalah sekumpulan elemen yang terintegrasi untuk mengumpulkan,
mengolah, menyebarkan, menyimpan dan menampilkan informasi untuk
organisasi
2.2.4 Sumber Daya Manusia
Sumber daya manusia menurut Hasibuan (2007: 244) dalam bukunya
9
yang berjudul “Manajemen Sumber Daya Manusia” adalah kemampuan
terpadu dari daya pikir dan daya fisik yang dimiliki individu. Perilaku dan
sifatnya ditentukan oleh keturunan dan lingkungannya, sedangkan prestasi
kerjanya dimotivasi oleh keinginan untuk memenuhi kepuasannya.
2.2.5 Tujuan Sistem Informasi
Menurut Hall (2007: 21) dalam bukunya yang berjudul “Sistem
Informasi Akuntansi” mengatakan bahwa tujuan-tujuan sistem informasi
adalah sebagai berikut:
1. Mendukung fungsi penyediaan pihak manajemen
Administrasi mengacu pada tanggung jawab pihak manajemen untuk
mengelola dengan baik sumber daya perusahaan. Sistem informasi
menyediakan informasi mengenai penggunaan sumber daya kepada para
pengguna eksternal melalui laporan keuangan tradisional serta dari
berbagai laporan lain yang diwajibkan. Secara internal, pihak
manajemen menerima informasi pelayanan dari berbagai laporan
pertanggung jawaban.
2. Mendukung pengambilan keputusan pihak manajemen
Sistem informasi memberikan informasi kepada pihak manajemen
informasi yang dibutuhkan untuk melaksanakan tanggung jawab
pengambilan keputusan tersebut.
3. Mendukung operasional harian perusahaan
Sistem informasi menyediakan informasi bagi para personel operasional
untuk membantu mereka melaksanakan pekerjaan hariannya dengan cara
yang efisien dan efektif.
2.2.6 Jenis-jenis Sistem Informasi
Menurut O’Brien dan Marakas (2013: 47) dalam bukunya berjudul
“Management Information Systems”, Sistem Informasi dapat dikelompokkan
ke dalam beberapa kategori untuk memenuhi kebutuhan operasional dan
manajemen, yaitu:
1. Sistem Pendukung Operasi (Operations Support System)
10
Sistem Pendukung Operasi menghasilkan beragam informasi
untuk pengguna internal dan eksternal.Sistem pendukung operasi
terdiri dari:
a. Transaction Processing Systems
Pengolahan data yang merupakan hasil dari transaksi
bisnis, pembaharuan basis data operasional dan membuat
dokumen bisnis. Contoh: proses penjualan dan persediaan,
sistem akuntansi
b. Process Control Systems
Pengawasan dan pengendalian proses industri secara fisik.
Contoh: Sistem produksi bahan tambang.
c. Enterprise Collaboration Systems
Mendukung tim,
kelompok kerja, dan komunikasi
perusahaan termasuk didalamnya aplikasi - aplikasi sistem
otomatisasi. Contoh: Email, chat, dan Video conferencing
2. Management Support Systems
Sistem pendukung manajemen menyediakan informasi untuk para
manajer dalam pengambilan keputusan. Sistem pendukung
manajemen terdiri dari:
a. Management Information Systems (MIS)
MIS menyediakan informasi dalam bentuk lampiran atau
laporan dan ditampilkan kepada manager dan beberapa
profesional
bisnis
untuk
mendukung
pengambilan
keputusan. Contoh: analisis penjualan, kinerja produksi,
dan sistem pelaporan biaya.
b. Decision Support Systems (DSS)
Menyediakan beberapa alternatif untuk mendukung proses
pengambilan keputusan oleh manajer dan profesional
bisnis lainnya. Contoh: Sistem analisis resiko, perkiraan
profit.
c. Executive Information Systems (EIS)
Menyediakan informasi yang penting dari MIS, DSS, dan
beragam sumber internal dan eksternal untuk para
11
eksekutif dan manajer. Contoh: sistem yang mudah diakses
untuk mendukung perencanaan strategis.
3. Kategori lain sistem informasi
Kategori lain sistem informasi untuk mendukung aplikasi
operasional dan manajemen lainnya terdiri dari:
a. Expert Systems
Sistem berbasis pengetahuan yang menyediakan saran
untuk para ahli atau bertindak sebagai konsultan ahli bagi
pengguna dalam bidang tertentu untuk pengambilan
keputusan. Contoh: proses pengawasan dan diagnosis
sistem pemeliharaan
b. Knowledge Management Systems
Sistem berbasis pengetahuan yang mendukung hasil karya
organisasi,
penyebaran
pengetahuan
bisnis
dalam
perusahaan. Contoh: akses intranet.
c. Strategic Information Systems
Mendukung
proses
operasi
dan
manajemen
yang
menyediakan produk strategis, pelayanan, kemampuan
untuk bersaing secara kompetitif. Contoh: perdagangan
saham secara online, sistem e-commerce.
d. Functional Business Systems
Mendukung beragam aplikasi operasional dan manajerial
atas fungsi dasar bisnis dalam perusahaan. Contoh: sistem
informasi
aplikasi
akuntansi,
keuangan,
pemasaran,
manajemen operasional dan manajemen sumber daya
manusia.
2.2.7Komponen Sistem Informasi
Menurut Satzinger, Jackson, dan Burd (2008: 8) dalam buku yang
berjudul “Systems Analysis and Design in Changing World” menjelaskan
bahwa komponen-komponen yang dimiliki oleh sistem informasi terdiri dari:
12
1. Proses input yaitu bagian yang mencakup pengambilan elemen yang
masuk ke dalam sistem untuk di proses. Proses output yaitu bagian
yang mencakup elemen yang dihasilkan dari proses untuk mencapai
tujuan yang diinginkan
2. Hardware perangkat keras ini dibutuhkan untuk menjalankan aplikasi,
DBMS, hardware dari komputer tunggal ke mainframe tunggal dari
komputer-komputer.
3. People merupakan orang yang terlibat didalam sistem
4. Software atau perangkat lunak merupakan sebuah program aplikasi,
sistem operasi, jaringan atau DBMS (Database Management System)
5. Data komponen mendasar yang paling penting, yang akan diolah di
DBMS. Data merupakan jembatan penghubung antara komponen
mesin (hardware dan software) dan manusia (user). Database terdiri
atas data operasional dan metadata.
6. Prosedur merupakan petunjuk dan aturan yang digunakan untuk
merancang database, userdari sistem dan staff yang mengatur
database membutuhkan prosedur yang terdokumentasi untuk tahu
bagaimana cara menggunakan atau menjalankan sistem.
2.2.8 Sistem Informasi Sumber Daya Manusia
Menurut Raymond McLeod, Jr. dan George P. Schell (2007: 244)
dalam bukunya berjudul “Management Information System” memberikan
informasi kepada seluruh manajer perusahaan yang berkaitan dengan sumber
daya manusia perusahaan. Masing-masing subsistem output dari HRIS akan
menangani aspek-aspek tertentu dari manajemen SDM: perencanaan,
rekrutmen, pengelolaan tenaga kerja, dan membuat banyak laporan SDM
yang diminta oleh lingkungan, terutama badan-badan pemerintahan
Menurut Wayne Mondy (2010: 116) dalam bukunya yang berjudul
“Human Resource Management” menyatakan bahwa “Human resource
information system is an organize approach for obtaining relevan and timely
information on which to base human resource decisions” yang berarti suatu
pendekatan yang terkelola untuk mendapatkan informasi yang relevan dan
tepat waktu pada pengambilan keputusan sumber daya manusia. Selain itu,
sistem informasi sumber daya manusia harus dirancang agar dapat
13
menyajikan informasi yang: (1) Tepat waktu (timely), manajer harus
mempunyai akses untuk memperbaharui (up-to-date) informasi. (2) Akurat
(accurate), manajer harus dapat mengandalkan tingkat akurasi informasi yang
disajikan. (3) Ringkas (concise), manajer dapat menyerap informasi sebanyak
mungkin dalam satu waktu. (4) Relevan (relevant), manajer hanya dapat
menerima informasi yang diperlukan dalam kondisi tertentu. (5) Lengkap
(complete), manajer harus menerima informasi dengan lengkap dan
menyeluruh.
2.2.9 Komponen Sistem Informasi Sumber Daya Manusia
Menurut Veithzal Rivai (2009: 1025) dalam bukunya yang berjudul
“Manajemen SDM untuk perusahaan dari teori ke praktik” menyebutkan
bahwa ada tiga komponen fungsional utama dalam setiap Sistem Informasi
SDM. Komponen-komponen tersebut adalah:
1. Fungsi masukan, yaitu memasukan informasi pegawai ke dalam
Sistem Informasi SDM. Masukan- masukan dari Sistem Informasi
SDM serupa dengan sistem manual. Informasi pegawai, kebijakankebijakan dan prosedur-prosedur SDM, dan informasi yang berkaitan
dengan kepegawaian lainnya harus dimasukkan ke dalam sistem agar
dapat digunakan. Informasi ini biasanya dimasukkan dari dokumendokumen, ke dalam komputer pribadi yang dapat dihubungkan dengan
komputer besar (mainframe computer). Informasi dapat diketik,
dibaca secara digital, atau dipindah (scanned) dari dokumen-dokumen,
dimasukan kedalam sistem dari komputer-komputer lainnya, atau
diambil dari mesin-mesin lainnya.
2. Fungsi pemeliharaan data. Setelah data dimasukkan ke dalam sistem
informasi, fungsi pemeliharaan data (data maintenance function) akan
memperbaharui dan menambahkan data baru ke dalam basis data yang
ada.
3. Fungsi keluaran. Fungsi yang paling terlihat jelas dari sebuah Sistem
Informasi SDM adalah keluaran yang dihasilkan. Untuk menghasilkan
keluaran yang bernilai bagi pemakai-pemakai komputer, Sistem
Informasi SDM harus memproses keluaran tersebut, membuat
kalkulasi-kalkulasi
yang
diperlukan,
setelah
itu
memformat
14
presentasinya dalam dalam cara yang dapat dimengerti oleh para
pemakai.
Enam macam kelompok output yang dapat dihasilkan dari Sistem Informasi
SDMyaitu:
a. Informasi perencanaan tenaga kerja merupakan informasi yang
dibutuhkan oleh manajer atas untuk merencanakan kebutuhan tenaga
kerja dalam jangka pendek dan jangka panjang. Informasi ini meliputi
informasi untuk analisis perputaran tenaga kerja (turnover), anggaran
biaya tenaga kerja dan perencanaan tenaga kerja itu sendiri
b. Informasi pengelolaan tenaga kerja merupakan informasi-informasi
yang dibutuhkan untuk mengelola sumber daya manusia di dalam
organisasi. Informasi-informasi ini meliputi informasi pelatihan,
penilaian atau evaluasi kinerja, evaluasi keahlian, karir, relokasi
jabatan, sukses, kedisiplinan.
c. Informasi rekruitmen atau tentang pengadaan tenaga kerja merupakan
informasi yang dibutuhkan untuk pengadaan tenaga kerjasecara
eksternal maupun internal. Informasi ini diantaranya adalah informasi
pasar tenaga kerja, penjadwalan wawancara, perekrutan dan analisis
rekrutmen.
d. Informasi kompensasi meliputi informasi tentang penggajian dan
kompensasinya yang meliputi kehadiran dan jam kerja, perhitungan
gajidan bonus, analisis kompensasi dan perencanaan kompensasi.
e. Informasi benefit meliputi benefit yang diterima oleh pegawai. Benefit
berbeda dengan kompensasi. Kompensasi lebih ke intensif yang
dihubungkan dengan kinerja pegawai, sedangkan benefit lebih
kemanfaat tambahan yang diterima karyawan seperti dana pensiun.
f. Informasi
lingkungan
kerja,
berhubungan
dengan
keluhan-
keluhan,kecelakaan selama kerja, kesehatan karyawan dan lingkungan
kerjanya.
Menurut Wayne Mondy (2010: 116) dalam bukunya yang berjudul
“Human Resource Management” mengatakan bahwa sistem informasi
sumber daya manusia (SISDM) dapat menyajikan berbagai keuntungan untuk
organisasi.Dengan berbagai tipe data masukan, SISDM dapat menyajikan
data keluaran yang efektif diluar dari perencanaan sumber daya.Data dari
15
berbagai sumber masukan terintegrasi untuk menyajikan informasi yang
dibutuhkan untuk pengambilan keputusan.SISDM dapat digambarkan pada
figur dibawah ini.
Gambar 2.0 Sistem Informasi Sumber Daya Manusia
Sumber : Wayne Mondy (2010: 117) Human Resource Information
System
HRIS menyajikan suatu bentuk kontribusi untuk organisasi berupa rencana
strategis
organisasi
dan
rencana
manajemen
sumber
daya
manusia.Perencanaan Strategis adalah perencanaan yang paling penting,
dimana manajer mengarahkan detil operasi dari organisasi setelah
menentukan tujuan dasar dan bagaimana cara mencapainya. Perencanaan
Strategis telah menjadi kebutuhan yang tak dapat dipisahkan dalam
pengelolaan manajemen. Mengetahui cara dalam pembuatan perencanaan
strategis memberikan wawasan yang baik bagi semua lini manajer.
Perencanaan
manajemen
sumber
daya
manusia
adalah
proses analisis dan identifikasi yang dilakukan organisasi terhadap kebutuhan
akan sumber daya manusia, sehingga organisasi tersebut dapat menentukan
langkah yang harus diambil guna mencapai tujuannya.
16
2.2.10 Tujuan dan Kegunaan Sistem Informasi Sumber Daya Manusia
Veithzal Rivai (2009:1021) dalam bukunya yang berjudul
“Manajemen SDM untuk perusahaan dari teori ke praktik” mengemukakan
sembilan manfaat khusus dari sistem informasi kepegawaian yang meliputi:
1. Memeriksa kapabilitas-kapabilitas karyawan saat ini guna mengisi
kekosongan-kekosongan yang diproyeksikan di dalam perusahaan.
2. Menyoroti
posisi-posisi
diperkirakanakan
yang
dipromosikan,
para
pemegang
akan
pensiun
jabatannya
atau
akan
diberhentikan.
3. Menggambarkan pekerjaan-pekerjaan yang spesifik atau kelas-kelas
pekerjaan
yang
mempunyai
tingkat
perputaran,
pemecataan,
ketidakhadiran, kinerja, dan masalah yang tinggi melebihi kadar
normal.
4. Komposisi usia, suku jenis kelamin dari berbagai pekerjaan dan kelas
pekerjaan guna memastikan apakah semua itu sesuai dengan
ketentuan yang berlaku.
5. Mengantisipasi kebutuhan-kebutuhan rekruitmen, seleksi, pelatihan
dan pengembangan dalam rangka memastikan penempatan yang tepat
waktu
dan
karyawan-karyawan
bermutu
kedalam
lowongan-
lowongan pekerjaan.
6. Perencanaan SDM untuk mengantisipasi pergantian-pergantian dan
promosi.
7. Laporan-laporan
kompensasi
untuk
memperoleh
informasi
menyangkut seberapa besar setiap karyawan dibayar, biaya-biaya
kompensasi keseluruhan, dan biaya-biaya finansial dari setiap
kenaikan-kenaikan gaji dan perubahan-perubahan kompensasi.
8. SDM untuk melaksanakan penelitian dalam permasalahan, seperti
perputaran karyawan dan ketidakhadiran atau menemukakan tempat
yang paling produktif guna mencapai calon-calon baru.
9. Penilaian kebutuhan pelatihan untuk menganalisis kinerja individu
dan menentukan karyawan-karyawan mana yang memerlukan
pelatihan lebih lanjut.
17
2.2.11 Manajemen Sumber Daya Manusia
Menurut
Marimin,
Hendri
Tanjung
dan
Prabowo
(2006:22)
Manajemen Sumber Daya Manusia adalah “Suatu kegiatan pengelolaan yang
meliputi pendayagunaan, pengembangan, penilaian, pemberian balas jasa
bagi manusia sebagai individu anggota organisasi atau perusahaan bisnis”
Manajemen sumber daya manusia menurut Hasibuan (2007: 10)
dalam bukunya yang berjudul “Manajemen Sumber Daya Manusia”,
merupakan ilmu dan seni mengatur hubungan dan perencanaan tenaga kerja
agar efektif dan efisien membantu terwujudnya tujuan perusahaan, dan
masyarakat. Manajemen sumber daya manusia meliputi perencanaan,
pengorganisasian, pengawasan, pengembangan dan pemanfaatan sumber
daya manusia yang efektif untuk tercapainya berbagai tujuan individu,
organisasi, masyarakat, nasional dan internasional.
Menurut Dessler (2011: 2) dalam bukunya yang berjudul “Human
Resource Management”Manajemen sumber daya manusia adalah kebijakankebijakan dan praktik yang dibutuhkan seseorang untuk melaksanakan aspek
personil
atau
orang-orang dari
pekerjaan
manajemennya,
termasuk
perekrutan, penyaringan, pelatihan, pengimbalan, dan penilaian.
Hanggraeni (2012: 5) dalam bukunya yang berjudul “Manajemen
Sumber Daya Manusia” mengemukakan bahwa secara garis besar aktivitas
manajemen sumber daya manusia terbagi menjadi empat, yaitu :
1. Preparation and Selection, terdiri dari :
a. Job Analysis and Design
b. Human Resource Planning
c. Recruitment
d. Selection
2.
Development and Evaluation, terdiri dari :
a. Orientation, Placement, and Separation
b. Training and Development
c. Career Planning
d. Performance Appraisal
3.
Compensation and Protection, terdiri dari :
a. Wages and Salaries
18
b. Incentives and Gainsharing
c. Benefits and Services
d. Security, Safety, and Health
4. Employee Relation.
Hubungan ketenagakerjaan atau biasa disebut dengan hubungan
industrial adalah hubungan yang melibatkan tiga pihak yang
berkepentingan dalam proses kerja yaitu pekerja itu sendiri, organisasi
atau perusahaan, dan pemerintah.
2.3
Rekrutmen
2.3.1
Pengertian Rekrutmen
Menurut
Veithzal
Rivai
(2009:1)
dalam
bukunya
berjudul
“Manajemen Sumber Daya Manusia: Dari teori ke praktik” menyatakan
bahwa rekrutmen pada hakikatnya merupakan proses menentukan dan
menarik pelamar, yang mampu bekerja dalam suatu perusahaan. Proses ini
dimulai ketika para pelamar dicari dan berakhir ketika lamaran-lamaran
mereka di serahkan atau dikumpulkan. Hasilnya merupakan sekumpulan
pelamar calon karyawan baru untuk diseleksi dan dipilih.
Menurut Noe, Hollenbeck, Gerhart dan Wright (2008: 7) dalam
bukunya yang berjudul “Fundamentals of Human Resource Management”,
“Recruitment is the process through which the organization seeks applicants
for potential employment”.Yang berarti rekrutmen adalah suatu proses
dimana organisasi mencari pelamar sebagai karyawan yang berpotensi.
2.3.2 Proses Rekrutmen
Menurut Mondy (2008 : 89) dalam bukunya berjudul “Human
Resource Management”, proses rekrutmen digambarkan seperti berikut :
19
Gambar 2.1 Proses Rekrutmen
Sumber :Wayne Mondy (2008: 89) Human Resource Information System
2.3.3 Sumber – sumber Rekrutmen
Menurut Randall S.Schuler dan Susan E.Jackson (2007:295) dalam
bukunya
yang berjudul
“Strategic Human Resource Management”
menyatakan bahwa sumber rekrutmen terbagi menjadi dua, yaitu:
1. Sumber rekrutmen internal
Sumber-sumber internal dalam rekrutmen meliputi karyawan yang
ada sekarang yang dapat dicalonkan untuk dipromosikan, dirotasi
tugasnya, serta mantan karyawan yang bisa dikaryakan atau dipanggil
kembali.
2. Sumber rekrutmen eksternal
Sumber eksternal merupakan sumber untuk mendapatkan karyawan
dari luar perusahaan yang memiliki bobot atau kualifikasi tertentu.
2.3.4 Seleksi
Menurut Mathis dan Jackson dalam bukunya berjudul Manajemen
Sumber Daya Manusia yang diterjemahkan oleh Dwi Kartini Yahya (2009:
261), seleksi (selection) adalah proses pemilihan orang-orang yang memiliki
20
kualifikasi yang dibutuhkan untuk mengisi lowongan pekerjaan disebuah
perusahaan atau organisasi
Menurut Noe, Hollenbeck, Gerhart dan Wright (2008: 175) dalam
bukunya yang berjudul “Fundamentals of Human Resource Management”.
Seleksi personal merupakan proses dimana organisasi memutuskan siapa
yang akan dan tidak akan bergabung dengan perusahaan. Tahapan dalam
proses seleksi yaitu:
2.4
1.
Screening lamaran dan resume
2.
Tes dan penjelasan job description
3.
Interview kandidat
4.
Memeriksa kompetensi dan latar belakang
5.
Membuat keputusan
Audit Sistem Informasi
2.4.1 Pengertian Audit
Menurut Hall dan Singleton (2007: 3) dalam bukunya berjudul
“Information Technology Auditing and Assurance” menyatakan bahwa audit
adalah proses sistematis mengenai mendapatkan dan mengevaluasi secara
objektif bukti yang berkaitan dengan penilaian mengenai berbagai kegiatan
dan peristiwa ekonomi untuk memastikan tingkat kesesuaian antara
penilaian-penilaian tersebut dan membentuk kriteria serta menyampaikan
hasilnya ke para pengguna yang berkepentingan.
2.4.2 Audit Sistem informasi
Menurut Gondodiyoto (2007: 443) dalam bukunya yang berjudul
“PengelolaanFungsiAuditSistem Informasi + Contoh Audit Charter”. Audit
Sistem Informasi dimaksudkan untuk mengevaluasi tingkat kesesuaian antara
sistem informasi dengan prosedur bisnis (business process) perusahaan atau
kebutuhan pengguna (userneeds), untuk mengevaluasi apakah suatu sistem
informasi telah didesain dan diimplementasikan secara efektif, efisien dan
ekonomis, memiliki mekanisme pengamanan asset, serta menjamin integritas
data yang memadai.
21
2.4.3 Jenis-jenis Audit
Sedangkan menurut Randal J. Elder, Mark S. Beasley, Alvin A. Arens
Amin Abadi Jusuf (2011: 16) dalam bukunya yang berjudul “Jasa Audit dan
Assurance” yang diterjemahkan oleh Desti Fitriani, mengemukakan tiga jenis
audit, yaitu :
1. Audit operasional
Audit operasional mengevaluasi efisiensi dan efektivitas setiap bagian
dari prosedur dan metode operasi organisasi. Pada akhir audit
operasional, manajemen biasanya mengharapkan saran-saran untuk
memperbaiki
operasi.
Dalam audit
operasional,
review
atau
penelaahan yang dilakukan tidak terbatas pada akuntansi, tetapi dapat
mencakup evaluasi atas struktur organisasi, operasi komputer, metode
produksi, pemasaran, dan semua bidang lain dimana auditor
menguasainya.
2. Audit ketaatan (compliance audit)
Audit ketaatan dilaksanakan untuk menentukan apakah pihak audit
telah mengikuti prosedur, aturan atau ketentuan tertentu yang
ditetapkan oleh otoritas yang lebih tinggi
3. Audit laporan keuangan (financial statement audit)
Audit laporan keuangan dilakukan untuk menentukan apakah laporan
keuangan (informasi yang diverifikasi) telah dinyatakan sesuai dengan
kriteria tertentu. Biasanya kriteria yang berlaku adalah prinsip-prinsip
akuntansi yang berlaku umum (GAAP), walaupun auditor mungkin
saja melakukan audit atas laporan keuangan yang disusun dengan
menggunakan akuntansi sadar kas atau beberapa dasar lainnya yang
cocok untuk organisasi tersebut. Dalam menentukan apakah laporan
keuangan telah dinyatakan secara wajar sesuai standar akuntansi yang
berlaku umum, auditor mengumpulkan bukti untuk menetapkan
apakah laporan keuangan itu mengandung kesalahan yang vital atau
salah saji lainnya.
22
2.5
Resiko
2.5.1 Pengertian Resiko
Menurut Djohanputro (2008:31-32) dalam bukunya yang berjudul
“Manajemen Risiko Korporat”pengertian dasar resiko terkait dengan
keadaan adanya ketidakpastian dan tingkat ketidakpastiannya terukur secara
kuantitatif. Resiko juga dapat diartikan sebagai ketidakpastian yang telah
diketahui tingkat probabilitas kejadiannya.
Menurut Kounds dan Minoli (2011: 5) dalam bukunya yang berjudul
“Information Technology Risk Management” pengertian resiko adalah
kerugian yang diperkirakan yaitu agregasi (penjumlahan) dari kemungkinan,
probabilitas, dan kerugian yang berhubungan pada setiap probabilitas
tersebut.
Menurut Gondodiyoto (2007: 63) dalam bukunya yang berjudul “Audit
Sistem Informasi Lanjutan + standar, Panduan, Prosedur Audit SI dari
ISACA”, risiko adalah suatu chances, perusahaan dapat memperkecil risiko
dengan melakukan antisipasi berupa kontrol, namun tidak mungkin dapat
sepenuhnya menghindari adanya exposure, bahkan dengan struktur
pengendalian maksimal sekalipun.
2.5.2 Jenis-jenis resiko
Menurut
Djohanputro
(2008:
33-35)
dalam
bukunya
yang
berjudul“Manajemen Risiko Korporat” untuk memudahkan pengenalan
resiko, perlu dilakukan klasifikasi sehingga mengenal karakter dari resiko.
Resiko dapat dikategorikan kedalam resiko murni dan resiko spekulatif. Cara
lain mengklasifikasi resiko adalah mengategorikan kedalam resiko sistematik
dan resiko spesifik.
1. Resiko Murni dan Spekulatif
Resiko murni merupakan resiko yang dapat mengakibatkan kerugian
pada perusahaan, tetapi tidak ada kemungkinan menguntungkan.
Perusahaan menghadapi berbagai hal dalam resiko ini. Sementara itu
yang disebut dengan resiko spekulatif adalah resiko yang dapat
mengakibatkan dua kemungkinan, merugikan atau menguntungkan
perusahaan.
2. Resiko Sistematik dan Spesifik
23
Resiko sistematik (systematicrisk) juga disebut resiko yang tidak
dapat
didiversifikasi
(nondiversiviablerisk).
Ciri
dari
resiko
sistematik adalah tidak dapat dihilangkan atau dikurangi dengan cara
penggabungan berbagai resiko. Resiko spesifik (specificrisk), atau
resiko yang dapat didiversifikasi (diversiviablerisk) dapat dihilangkan
melalui proses penggabungan (pooling). Konsep resiko sistematik
dan spesifik sangat berguna dalam menangani resiko keuangan.
Banyak resiko yang berkaitan dengan keuangan perusahaan dapat
ditekan dengan menerapkan diversifikasi.
Menurut Rittenberg, Schwieger, & Johnstone (2008: 93) dalam bukunya
yang berjudul “Auditing a Business Risk Approach” terdapat 4 jenis risiko,
yaitu:
1. Enterprise risk adalah risiko yang berpotensi mempengaruhi
kegiatan operasional.
2. Engagement risk adalah risiko yang dihadapi auditor ketika
berhubungan dengan pihak lainnya, misalnya: kehilangan reputasi,
ketidakmampuan klien untuk membayar auditor, ataupun kerugian
finansial.
3. Financial reporting risk adalah risiko yang terkait dengan
transaksi dan data finansial yang terdapat pada laporan keuangan
organisasi.
4. Audit risk adalah risiko auditor dalam memberikan informasi yang
tidak sesuai misalnya pernyataan finansial yang tidak tepat.
2.5.3 Manajemen Resiko
Menurut Djohanpotro (2008: 43) dalam bukunya yang berjudul
“Manajemen Risiko Korporat” Manajemen resiko merupakan proses
terstrukutur dan sistematis dalam mengidentifikasi, mengukur, memetakan,
mengembangkan
alternatif
penanganan
mengendalikan penanganan resiko.
resiko,
dan
memonitor
dan
24
2.5.4
Fungsi Manajemen Resiko
Menurut Djohanputro (2008: 272) dalam bukunya yang berjudul
“Manajemen Risiko Korporat” fungsi manajemen resiko berkembang sesuai
dengan perkembangan jaman. Dibawah ini menunjukkan tiga perkembangan
fungsi manajemen resiko :
1. Pandangan tradisional / konvensional
a. Membutuhkan keahlian lintas disiplin
b. Mengelola resiko murni
c. Mengalami evolusi dari pembelian asuransi
d. Keputusan berdasarkan faktor diluar maksimalisasi nilai
2. Safety engineering / manajemen resiko total
a. Proses sistematis, holistis dan statistik mengembangkan
penilaian dan manajemen resiko
b. Empat sumber kegagalan :
-
Hardware
-
Software
-
Organisasi
-
Manusia
3. Manajemen resiko terintegrasi (enterprise risk management)
a. Merupakan keputusan keuangan sehingga dasar keputusannya
adalah nilai perusahaan
2.5.5 Resiko Sumber Daya Manusia
Menurut Djohanputro (2008: 143) dalam bukunya yang berjudul
“Manajemen Risiko Korporat” menyatakan kemungkinan atau probabilitas
kejadian resiko SDM terdiri dari beberapa jenis :
1. Kondisi SDM yang bersangkutan terdiri dari :
a. Kemungkinan rendahnya tingkat kesehatan
b. Kemungkinan tingkat kematian
c. Pengaruh usia
2. Kondisi sistem dan sarana
3. Kondisi pasar tenaga kerja
Dampak terhadap eksposur SDM bisa diukur berdasarkan dimensi:
1. Potensi kerugian
25
2. Tambahan biaya
3. Pemenuhan kebutuhan
2.6 Standar ISO (International Organization for Standardization)
2.6.1 Pengertian Standar
Menurut International Organization for Standardization, standar
adalah dokumen yang memberikan persyaratan, spesifikasi, pedoman atau
karakteristik yang dapat digunakan secara konsisten untuk memastikan
materi-materi, produk, proses dan pelayanan telah sesuai dengan tujuannya.
Menurut Wright (2008: 123) dalam bukunya yang berjudul “The IT
Regulatory and Standards Compliance Handbook:: How to Survive
Information Systems Audit and Assessments”, “A standard is a procedure or
a set of specific requirements that must be meet by everyone.”, yang
diterjemahkan menjadi “Standar merupakan prosedur atau sekumpulan
persyaratan spesifik yang harus dipenuhi oleh semua anggota organisasi”.
2.6.2 ISO (International Organization for Standardization)
Berdasarkan situs www.iso.org, ISO (International Organization for
Standardization) adalah badan penetapan standar internasional yang didirikan
pada 23 Februari 1947. ISO menetapkan standar-standar industrial dan
komersial dunia. ISO merupakan lembaga nirlaba internasional yang pada
awalnya dibentuk untuk membuat dan memperkenalkan standardisasi
internasional untuk bidang apa saja. ISO sudah mengeluarkan lebih dari
19500 standar internasional terhadap hampir dari seluruh aspek teknologi dan
bisnis. ISO merupakan pelopor terbesar terhadap standar internasional global
yang membantu industri menjadi lebih efektif dan efisien. ISO bekerja sama
dengan IEC (International Electrotechnical Commision) yang bertanggung
jawab terhadap standardisasi peralatan elektronik. Penerapan ISO di suatu
perusahaan berguna untuk :
1. Meningkatkan citra perusahaan
2. Meningkatkan kinerja lingkungan perusahaan
3. Meningkatkan efisiensi kegiatan
26
4. Memperbaiki
manajemen
organisasi
dalam
menerapkan
perencanaan, pelaksanaan, pengukuran dan tindakan perbaikan
(plan, do, check, act)
5. Meningkatkan penataan terhadap ketentuan peraturan perundang
undangan dalam hal pengelolaan lingkungan
6. Mengurangi risiko usaha
7. Meningkatkan daya saing
8. Meningkatkan komunikasi internal dan hubungan baik dengan
berbagai pihak yang berkepentingan
9. Mendapat kepercayaan dari konsumen atau mitra kerja,
pemodal(investor)
2.6.3 ISO 31000 : 2009 Risk Management
Menurut International Organization for Standardization, ISO 31000:
2009 merupakan standar mengenai manajemen resiko yang diterbitkan pada
tahun 2009 untuk memberikan prinsip dan pedoman generik manajemen
resiko. Penggunaan ISO 31000: 2009 dapat membantu organisasi dalam
meningkatkan kemungkinan pencapaian tujuan, identifikasi peluang dan
ancaman, alokasi dan penggunaan sumber daya risk treatment secara efektif.
2.6.4 Pengguna ISO 31000:2009 Risk Management
ISO 31000: 2009 diperuntukkan oleh berbagai pemangku kepentingan
(stakeholder)termasuk :
1. Orang-orang yang bertanggung jawab untuk menerapkan
manajemen resiko dalam organisasi mereka
2. Mereka yang membutuhkan untuk memastikan pengelolaan
resiko organisasi
3. Mereka yang membutuhkan untuk mengelola resiko organisasi
secara keseluruhan atau dalam kegiatan tertentu
4. Mereka yang membutuhkan untuk mengevaluasi praktekpraktek organisasi dalam mengelola resiko
5. Pengembang dari standar, panduan, prosedur dan kode praktek
yang secara keseluruhan atau sebagain menetapkan bagaimana
27
resiko harus dikelola dalam konteks khusus dokumen-dokumen
tersebut
2.6.5 Prinsip, Kerangka kerja dan Proses ISO 31000: 2009 Risk
Management
Gambar 2.2 Proses Manajemen Risiko berdasarkan ISO 31000: 2009
Sumber: www.iso.org
Proses manajemen resiko harus menjadi bagian integral dari
manajemen, akan tertanam dalam budaya dan praktik dan disesuaikan dengan
proses bisnis organisasi. Proses manajemen resiko terdiri dari lima kegiatan
utama yaitu: komunikasi dan konsultasi, penetapan konteks, penilaian resiko,
penanganan resiko serta pengawasan dan pengkajian. Dan terdapat tiga
kegiatan pendukung yaitu: identifikasi resiko, analisis resiko dan evaluasi
resiko.
1. Dengan
penetapan
konteks,
suatu
organisasi
dapat
mengartikulasikan objektifitas dengan menentukan parameter
eksternal dan internal saat mengelola resiko dan menentukan ruang
lingkup serta kriteria resiko terhadap proses selanjutnya. Penetapan
konteks (Establising the context) yang terdiri dari :
28
Konteks eksternal:
a. Hukum, peraturan, keuangan
b. Internasional, nasional, regional atau local
c. Hubungan dengan persepsi, nilai dari pemegang saham
eksternal
Konteks internal:
a. Tujuan organisasi
b. Proyek, proses atau tujuan aktivitas
c. Kebijakan, standar, pedoman dan model yang digunakan
organisasi
d. Hubungan kontrak
Konteks manajemen resiko:
a. Tujuan, ruang lingkup, kewajiban, metode
b. Menentukan kriteria resiko, pengukuran dan batas toleransi,
pendapat pemegang saham
2. Identifikasi resiko (Risk Identification) meliputi identifikasi area
dari suatu dampak, kejadian dan penyebab yang menimbulkan
potensi munculnya konsekuensi resiko. Suatu organisasi harus
menentukan alat atau teknik dalam mengidentifikasi resiko yang
dianggap paling tepat sesuai dengan tingkat kapabilitas dan
relevansi. Identifikasi resiko terdiri dari :
a. Proses penemuan, pengenalan dan penggambaran resiko
b. Daftar resiko kompherensif berdasarkan kegiatan yang dapat
menimbulkan, memicu, mencegah, menurunkan, mempercepat,
atau menunda pencapaian tujuan
c. Mengidentifikasi resiko yang terkait tanpa mengurangi
kesempatan
d. Resiko yang tidak diidentifikasi dalam tahap ini tidak akan
termasuk dalam analisis lebih lanjut
e. Identifikasi harus mencakup resiko yang berada di bawah
kontrol organisasi
29
3. Analisis Resiko (Risk Analysis) menyediakan suatu input untuk
mengevaluasi resiko dan memutuskan penangan resiko dengan
pendekatan atau metode yang paling sesuai.
a. Proses untuk memahami sifat resiko dan menentukan tingkat
resiko
b. Analisis resiko melibatkan pertimbangan penyebab dan
sumber resiko, konsekuensi positif dan negatif dari resiko serta
kemungkinan munculnya konsekuensi tersebut
c. Memberikan dasar untuk evaluasi resiko dan pengambilan
keputusan untuk penanganan resiko (risk treatment)
d. Perkiraan resiko termasuk di dalam analisis resiko
e. Klasifikasi resiko terdiri dari resiko essensial, resiko yang
harus diawasi, resiko yang harus dikaji
f. Skala kemungkinan (likelihood scale) terdiri dari :
1. Lebih dari 10 tahun
2. 5 – 10 tahun
3. 3 – 5 tahun
g. Skala dampak (impact scale) terdiri dari :
1. Sangat rendah (kurang dari $ 1 000)
2. Rendah (kurang dari $ 5 000)
3. Menengah (kurang dari $ 25 000)
4. Tinggi (kurang dari $ 100 000)
5. Sangat tinggi (lebih dari $ 100 000)
4. Evaluasi Resiko (Risk Evaluation) bertujuan untuk membantu
pengambilan keputusan berdasarkan hasil analisis resiko tentang
penanganan resiko, prioritas dan implementasi penanganan.
Evaluasi resiko melibatkan perbandingan tingkat resiko yang
ditemukan pada proses analisis dengan konteks yang telah
ditetapkan.
a. Tujuan evaluasi resiko adalah untuk membantu pengambilan
keputusan berdasarkan hasil analisis resiko, tentang resiko
mana yang memerlukan penangganan dan prioritas untuk
ditangani terlebih dahulu
30
b. Keputusan yang diambil harus mempertimbangkan konteks
resiko secara luas termasuk pertimbangan toleransi risiko yang
harus ditanggung pihak lain selain organisasi
c. Keputusan harus dibuat sesuai hukum, persyaratan dan
peraturan lainnya
d. Dalam situasi tertentu, evaluasi resiko dapat menimbulkan
keputusan untuk melakukan analisis lebih lanjut atau tidak
e. Evaluasi resiko juga dapat menyebabkan keputusan untuk
tidak
menangani
resiko
dengan
cara
apapun
selain
mempertahankan kontrol yang telah ada
5. Penilaian Resiko (Risk Assessment)
a.
Penilaian resiko akan menjawab pertanyaan pertanyaan
mendasar seperti berikut :
1. Apa yang akan terjadi dan mengapa (didukung dengan
identifikasi resiko)?
2. Apa kemungkinan yang dapat terjadi bila resiko
muncul di masa yang akan datang?
3. Konsekuensi apa yang harus diterima?
4. Apakah
ada
kemungkinan
faktor-faktor
resiko
atau
yang
mengurangi
yang
mengurangi
konsekuensi dari resiko?
b. Seseorang yang melakukan penilaian resiko harus mengetahui
jelas tentang :
1. Konteks dan tujuan organisasi
2. Tingkat dan jenis resiko yang dapat ditoleransi dan
bagaimana menangani resiko yang tidak dapat diterima
(unacceptable risk)
3. Bagaimana penilaian resiko terintegrasi ke dalam
proses organisasi
4. Metode dan teknik yang akan digunakan untuk
penilaian resiko dan kontribusi mereka terhadap proses
manajemen resiko
31
5. Akuntabilitas, tanggung jawab dan kewenangan untuk
melakukan penilaian resiko
6. Sumber daya yang tersedia untuk melaksanakan
penilaian resiko
7. Bagaimana penilaian resiko akan dilaporkan dan dikaji
6. Penanganan resiko (Risk Treatment)
a. Penanganan resiko terdiri dari pemilihan salah satu atau
lebih pilihan untuk menangani resiko dan menerapkan
pilihan – pilihan. Pilihan tersebut terdiri dari :
1. Memindahkan (Transfer)
Resiko akan dipindahkan atau dibagikan dengan
pihak lain (termasuk kontrak dan resiko pembiayaan)
2. Menghindari (Avoid)
Menghindari resiko dengan tidak memulai atau
melanjutkan aktivitas yang menimbulkan resiko
3. Mengurangi (Mitigate)
Mengubah kemungkinan, mengubah dampak dan
konsekuensi
4. Menerima (Accept)
Mempertahankan resiko yang sudah ada dengan
pembuatan
keputusan
dan
mengambil
serta
meningkatkan resiko untuk mengejar kesempatan
b. Pemilihan penanganan resiko harus tepat, pilihan harus
melibatkan keseimbangan biaya dan upaya implementasi
terhadap manfaat yang diperoleh, termasuk pertimbangan
persyaratan hukum, peraturan dan lainnya seperti tanggung
jawab sosial dan perlindungan pada lingkungan sekitar
c. Penanganan resiko dapat diterapkan baik secara individual
maupun dalam kombinasi
d. Penanganan resiko sendiri dapat menimbulkan resiko. Resiko
signifikan dapat menjadi kegagalan atau ketidakefektifan
resiko. Pengawasan menjadi bagian yang integral dari rencana
penanganan resiko untuk memberikan jaminan bahwa setiap
langkah dapat berjalan secara efektif
32
7. Pengawasan dan pengkajian (Monitoring and Review) harus
direncanakan sebagai salah satu bagian dari proses manajemen
resiko dan melibatkan pengawasan dan pemeriksaan secara
periodic.
a. Pengawasan dan pengkajian menjadi bagian yang integral
dalam manajemen resiko yang melibatkan pengawasan biasa
atau khusus
b. Memastikan adanya kontrol yang efektif dan efisien
c. Mendeteksi perubahan dalam konteks eksternal maupun
Internal
d. Analisis, pelajaran dan perbaikan terus menerus
e. Mengidentifikasi resiko yang muncul
2.7
NIST(National Institute Standards Technology)
2.7.1 Pengertian NIST
Menurut kamus Wikipedia, NIST (National Institute Standards
Technology) adalah sebuah badan non-regulator dari bagian Administrasi
Teknologi dari Departemen Perdagangan Amerika Serikat.Misi dari badan ini
adalah
untuk
membuat
dan
mendorong pengukuran, standar,
dan teknologi untuk meningkatkan produktivitas, mendukung perdagangan,
dan memperbaiki kualitas hidup semua orang.NIST mengatur beberapa
fasilitas pengukuran paling spesifik di dunia, termasuk National Center for
Neutron Research (Pusat Riset Neutron Nasional) yang tidak terkalahkan dan
yang paling murah, dimana dilakukannya riset paling mutakhir untuk materimateri baru, fuel cell terbaru, dan bioteknologi.
2.7.2 Kerangka Manajemen Resiko
Sebuah proses manajemen resiko yang efektif merupakan komponen
yang penting dalam mencapai sistem keamanan pada teknologi informasi.
Tujuan terpenting dalam pengelolaan resiko organisasi harus dapat
melindungi proses selama perwujudan misi organisasi dan menjadikan
pengelolaan resiko sebagai fungsi esensial bagi manajemen organisasi.
Berikut merupakan langkah-langkah dalam manajemen resiko berdasarkan
NIST :
33
1. Langkah 1: Karakterisasi Sistem
Dalam menilai resiko sistem, langkah pertama merupakan
penentuan lingkup sistem yang akan dikaji.
2. Langkah 2: Indentifikasi Ancaman
Ancaman merupakan potensi yang berasal dari berbagai sumber
ancaman yang menimbulkan kerentanan.Kerentanan adalah
kelemahan yang dapat secara tidak sengaja muncul. Dalam
mengidentifikasi ancaman, diperlukan pertimbangan pada
sumber ancaman yang dapat menggaggu dan merusak suatu
sistem. Sumber ancaman umumnya terdiri dari:
a. Natural Threats: banjir, gempa bumi, tornado, tanah
longsor, badai dan peristiwa alam lainnya
b. Human Threats: peristiwa yang ditimbulkan atau
disebabkan
oleh
manusia,
seperti
kejadian
tidak
disengaja atau kejadian disengaja (hack, akses terlarang
pada informasi rahasia, virus).
c. Environmental Threats: terjadinya pemadaman listrik,
polusi, kebocoran cairan atau bahan kimia
3. Langkah 3: Identifikasi Kerentanan
Analisis ancaman pada suatu sistem harus meliputi analisis pada
kerentanan yang terkait pada lingkungan sistem
4. Langkah 4: Analisis Kontrol
Tujuan dalam tahapan ini adalah analisis pengendalian yang
telah diterapkan atau direncakan untuk diimplementasi oleh
organisasi untuk mengurangi atau mengahapus kemungkinan
munculnya ancaman.
5. Langkah 5: Penentuan Kemungkinan (Likelihood)
Untuk
mendapatkan
tingkat
kemungkinan
yang
mengindikasikan potensial kerentanan pada suatu objek, maka
perlu mempertimbangkan:
a. Sumber ancaman
b. Sifat kerentanan
c. Keberadaan dan efektivitas pengendalian control
34
6. Langkah 6: Analisis Dampak
Tahapan penting selanjutnya adalah mengukur tingkat resiko
untuk mementukan besarnya dampak yang didapatkan dari hasil
identifikasi ancaman dan kerentanan. Dalam menganalisis
dampak berdasarkan informasi perlu memperhatikan tujuan
keamanan pada aspek berikut:
a. Loss of Integrity: Mengacu pada persyaratan yang
informasinya dilindungi dari modifikasi yang tidak benar
dan tidak sah, perubahan data atau sistem TI yang
disengaja atau tidak disengaja. Sistem atau data yang
rusak dapat mengakibatkan ketidakakuratan, penipuan,
atau keputusan yang salah. Seluruh hal yang berkaitan
dengan kehilangan integritas akan mengurangi jaminan
sistem.
b. Loss of Availability: Jika suatu tujuan sistem tidak
tersedia bagi pengguna akhir, maka misi organisasi akan
terpengaruh. Seperti hal hilangnya fungsi sistem dan
efektivitas operasional dapat mengakibatkan hilangnya
waktu produktif dan menghambat kinerja pengguna akhir
dan seluruh fungsi sistem yang mendukung misi
organisasi
c. Loss of Confidentiality: Kehilangan yang mengacu pada
kerahasiaan
data
dan
informasi.
Dampak
yang
ditimbulkan adalah hilangnya kepercayaan masyarakat
dikarenakan pengungkapan yang tidak sah, tidak terduga
dan tidak disengaja
7. Langkah 7: Penentuan Resiko
Tujuan dari tahapan ini yaitu menilai tingkat resiko. Penentuan
resiko berdasarkan ancaman dan kerentanan dapat digambarkan
pada matriks tingkat resiko berikut ini:
35
Gambar 2.3 Risk-Level Matrix
Sumber: NIST Special Publication 800-30. Risk Management
Guide for Information Technology System
Berikut merupakan deskripsi mengenai tingkat resiko:
Gambar 2.4 Deskripsi Tingkat Resiko
Sumber: NIST Special Publication 800-30. Risk Management
Guide for Information Technology System
8. Langkah 8: Rekomendasi Pengendalian
Rekomendasi pengendalian dilakukan untuk mengurangi dan
menghilangkan tingkat resiko yang teridentifikasi.
Beberapa faktor yang harus dipertimbangkan dalam memberikan
rekomendasi dan solusi alternatif yaitu:
a. Efektifitas opsi yang direkomendasikan
b. Legislasi dan regulasi
c. Kebijakan organisasi
d. Dampak operasional
e. Keamanan dan kehandalan
36
9. Langkah 9: Dokumentasi Hasil
Setelah
penilaian
resiko
telah
selesai,
hasilnya
harus
didokumentasikan dalam bentuk laporan. Laporan tersebut dapat
digunakan untuk membantu manajemen senior dan pemangku
kepentingan untuk membuat keputusan tentang kebijakan,
prosedur, anggaran dan perubahan pada sistem operasional dan
manajemen
2.8
RPN (Risk Priority Number)
2.8.1 PengertianRPN (Risk Priority Number)
RPN merupakan hasil kalkulasi dari dampak dan probabilitas yang
dirinci dengan formula :
RPN = Severity (S) X Probability (P)
RPN membantu menentukan pemeringkatan resiko dimana angka yang
semakin besar menentukan tingkat keseriusan resiko:
Gambar 2.5 Grafik Pemeringkatan Resiko
Sumber :Risk Management Tutorial – Bio Pharmaceutical and Device
Industry
Download