bab 2 landasan teori
advertisement
BAB 2 LANDASAN TEORI 2.1 Sistem Informasi 2.1.1 Pengertian Sistem Sistem menurut O'Brien & Marakas (2011:60) merupakan “System is a set of interrelated components, with a clearly defined boundary, working together to achieve a common set of objectives by accepting inputs and producing outputs in an organized transformation process.” Dapat diartikan bahwa sistem adalah sebuah perangkat komponen yang saling terkait satu sama lain,yang memiliki batasan jelas dimana yang bekerja sama untuk mencapai tujuan dengan memproses data input dan menghasilkan output dalam proses transformasi yang terorganisir. Sistem menurut Considine, Parkes, Olesen, Blount, & Speer (2012:10)adalah “System is something that takes inputs, applies a set of rules or processes to the inputs and generates outputs.” Dapat diartikanbahwa sistem adalah sesuatu yang menggunakan atau menjalakan sebuah masukan (input),menerapkan sebuah perangkat aturan atau proses ke dalam masukan (input) dan menghasilkan sebuah output. Berdasarkan pendapat para ahli di atas dapat di simpulkan bahwa pengertian sistem adalah sebuah komponen yang bekerja satu dengan lainnya yang terhubung dengan beberapa cara tertentu sehingga membentuk satu kesatuan untuk melaksanakan suatu fungsi dengan beberapa masukan(input) yang diprosesdan menghasilkan suatu keluaran (output) yang digunakan untuk mencapai tujuan. 2.1.2 Pengertian Informasi Menurut Rainer & Cegielski (2015:12) mengatakan bahwa data adalah “Information is refers to data that have been organized so that they have meaning and value to the recipient.” Dapat diartikan bahwa informasi merujuk pada data yang telah di kelola sebelumnya sehingga mempunyai arti atau makna dan nilai yang dapat tersampaikan bagi penerima. Menurut O'Brien & Marakas (2011:68) mendeskripsikan informasi sebagai “Information as data that have been converted into a meaningful 7 8 and useful context for specific end user.” Dapat diartikan bahwa informasi adalah data yang diubah menjadi suatu konteks yang memiliki arti atau makna dan berguna untuk penguna ahkir yang spesifik. Sedangkan menurut Gelinas, Dull, & Wheeler (2012:264) informasi merupakan“Information is data in all their forms,that are input, processed,and output by information systems.” Dapat diartikan bahwa informasi adalah data didalam segala bentuk yang memiliki masukan (input), proses dan hasil keluaran (output) dari informasi sistem. Berdasarkan beberapa pendapat para ahli di atas dapat disimpulkan bahwa pengertian informasi adalah sebuah data yang telah di proses dan susunannya terorganisir yang memiliki konteks yang sangat berguna dan memiliki arti atau makna kepada orang yang menerimanya. 2.1.3 Pengertian Sistem Information Menurut Considine, Parkes, Olesen, Blount, & Speer (2012:12) “System information is a man-made system that generally consist of an integrated set of computer-based components and manual components established to collect,store,and manage data and to provide output information to users.” Dapat diartikan bahwa sistem informasi adalah sebuah sistem buatan manusia yang secara umum terdiri dari sebuah kumpulan terintegrasi dari komponen berbasis komputer dan susunan komponen manual untuk mengumpulkan, menyimpan, dan mengelola data dan untuk menyediakan hasil informasi kepada pengguna. Menurut Satzinger, Jackson, & Burd (2012:4) mengatakan bahwa, “System Information is a set of interrelated computer components that collects,processes,store and provides as output the information needed to complete business tasks”. Dapat diartikan bahwa sistem informasi adalah seperangkat komponen komputer yang saling berhubungan dimana mengumpulkan, memproses, menyimpan dan menyediakan sebagai output informasi yang dibutuhkan untuk menyelesaikan tugas-tugas bisnis. Dengan demikian, berdasarkan pendapat para ahli di atas dapat disimpulkan bahwa sistem informasi adalah kumpulan komponenkomponen yang saling berkaitan untuk mengolah informasi yang nantinya dijadikan sebagai dasar dalam pengambilan keputusan dalam suatu organisasi. 9 Menurut Hall (2013:5), “The information system is the set of formal procedures by which data are collected, stored, processed into information, and distributed to users.” Sehingga dapat diartikan, sistem informasi adalah serangkaian prosedur formal, dimana data dikumpulkan, disimpan dan diolah menjadi informasi, dan didistribusikan kepada pengguna. Dari beberapa pengertian sistem informasi diatas, dapat disimpulkan bahwa sistem informasi merupakan sebuah kombinasi teratur yang bertugas mengumpulkan, memproses, menyimpan, menganalisis, dan menyebarkan informasi yang menghasilkan output yang digunakan untuk keperluan tertentu perusahaan dan disebarkan kepada pengguna. Menurut Hall (2013:6), terdapat kerangka sistem informasi yang menggambarkan bagian-bagian didalam sistem informasi seperti berikut : Gambar 2.1 A Framework for Information System Sumber: Hall (2013:5) 10 2.2 Risiko 2.2.1 Definisi Risiko Menurut Peltier (2014:53), “Risk is the combination of threat, probability, and impact expressed as a value in a predefined range.” Sehingga dapat diartikan, kombinasi dari ancaman, probabilitas, dan dampak yang dinyatakan sebagai nilai dalam kisaran yang telah ditentukan. Menurut Rainer, Prince, & Cegielski (2015:86), “A risk is the probability that a threat will impact information resources.” Sehingga dapat diartikan, risiko adalah probabilitas bahwa ancaman akan berdampak pada sumber informasi. Menurut Gelinas & Dull (2012:218), “Risks are those events that would have a negative impact on organizational objectives and opportunities are events that would have a positive impact on objectives.” Sehingga dapat diartikan, risiko adalah peristiwa-peristiwa yang akan memiliki dampak negatif pada tujuan organisasi dan berpeluang memiliki dampak positif pada tujuannya. Menurut Turner & Weickgenannt (2013:262), “Risk refers to the likelihood that errors or fraud may occur.” Sehingga dapat diartikan, risiko mengacu pada kemungkinan bahwa kesalahan atau kecurangan dapat terjadi. Dari pengertian di atas, maka dapat ditarik benang merah bahwa risiko adalah kombinasi dari ancaman, kemungkinan, dan dampak yang merupakan konsekuensi atau efek dari pencapaian tujuan organisasi. 2.2.2 Jenis Risiko Menurut Hall (2011:8), “The components of the risk model are inherent risk, control risk, and detection risk.” Sehingga dapat diartikan, komponen dari model risiko adalah risiko yang melekat, risiko pengendalian, dan deteksi risiko. 1. Inherent risk Menurut Hall (2011:8), “Inherent risk is associated with the unique characteristics of the business or industry of the client. Likewise, industries that have a heavy volume of cash transactions have a higher level of inherent risk than those that do not. Even in a system protected by excellent controls, financial data and, consequently, financial statements, can be 11 materially misstated.” Sehingga dapat diartikan bahwa inherent risk merupakan risiko yang pasti ada dan tidak bisa dihilangkan atau dapat dikatakan juga risiko bawaan. 2. Control risk Menurut Hall (2011:8), “Control risk is the likelihood that the control structure is flawed because controls are either absent or inadequate to prevent or detect errors. Auditors assess the level of control risk by performing tests of internal controls.” Sehingga dapat diartikan, control risk merupakan risiko yang muncul karena kontrol yang sedang atau belum digunakan dapat diketahui dengan melihat internal control yang diterapkan. Contohnya adalah sebagai berikut: Tabel 2.1 Contoh Pengendalian Internal Quantity Unit Price Total 10 Units $20 $2,000 Sumber: Hall (2011:9) Dengan asumsi kuantitas dan harga satuan dalam catatan disajikan benar, akan tetapi total nilai $2.000 adalah salah. Sistem informasi akuntansi dengan kontrol yang memadai harus mencegah atau mendeteksi kesalahan seperti itu. Namun, jika kontrolnya kurang dan nilai total dalam setiap record tidak divalidasi sebelum pengolahan, maka risiko kesalahan terdeteksi. 3. Detection risk Menurut Hall (2011:8), “Detection risk is the risk that auditors are willing to take that errors not detected or prevented by the control structure will also not be detected by the auditor. Auditors set an acceptable level of detection risk (planned detection risk) that influences the level of substantive tests that they perform.” Sehingga dapat diartikan, detection risk adalah risiko yang tidak dapat dideteksi oleh auditor, ada kemungkinan bahwa auditor membuat kesalahan dengan menyatakan tidak terdapat masalah padahal sebenarnya ada masalah yang tidak terdeteksi oleh auditor. 2.2.3 Penilaian Risiko Menurut Peltier (2014:3) dijelaskan bahwa, “A formal risk assessment provides the documentation to prove that due diligence is 12 performed, the output will identify what countermeasures should be implemented or that management has determined that the best decision is to accept the risk.” Sehingga dapat diartikan, sebuah penilaian risiko formal menyediakan dokumentasi untuk membuktikan bahwa due diligence dilakukan, output akan mengidentifikasi tindakan pencegahan apa yang harus dilakukan atau apa yang telah ditetapkan manajemen dimana keputusan terbaik adalah untuk menerima risiko. Menurut Peltier (2014: 53), CIA adalah salah satu bentuk penilaian risiko yang tradisional. Berikut adalah tabel definisi ketersediaan, kerahasiaan, integritas menurut Peltier (2014:55) : Tabel 2.2 Definisi Ketersediaan, Kerahasiaan, Integritas Istilah Definisi Kerahasiaan Jaminan bahwa informasi tidak diungkapkan (confidentiality) kepada entitas atau proses yang tidak patut. Integritas Menjamin informasi tidak akan diubah atau (integrity) dihancurkan secara tidak sengaja ataupun dengan maksud jahat. Ketersediaan Menjamin informasi dan komunikasi akan tersedia (availability) untuk digunakan bila diharapkan. Sumber: Peltier (2014:55) 2.2.4 Metrik Penilaian Risiko Menurut Kizan (2011:2), “Risk management framework set of components that provide the foundations and organizational arrangements for designing, implementing, monitoring, reviewing and continually improving risk management throughout the organization.” Sehingga dapat diartikan, manajemen risiko adalah kumpulan kerangka komponen yang menyediakan fondasi dan pengaturan perusahaan untuk merancang, melaksanakan, memantau, mengkaji dan terus meningkatkan manajemen risiko di seluruh perusahaan. 13 Berikut adalah elemen-elemen yang ada pada metrik risiko menurut ISO 31000 (2009): 1. Level of risk “Magnitude of a risk or combination of risks, expressed in terms of the combination of consequences and their likelihood.” Dapat diterjemahkan menjadi, besarnya risiko atau kombinasi risiko, yang dinyatakan dalam kombinasi dari konsekuensi dan kemungkinan terjadinya risiko. 2. Likelihood “Chance of something happening.” Di dalam istilah manajemen risiko, kata “likelihood” digunakan untuk menunjukan kemungkinan sesuatu dapat terjadi, bisa saja didefinisikan, diukur atau ditentukan secara objektif dan subjektif, maupun secara kuantitatif dan kualitatif (seperti probabilitas dan frekuensi). 3. Probability “Measure of the chance of occurrence expressed as a number between 0 and 1, where 0 is impossibility and 1 is absolute certainty”. Dapat diterjemahkan menjadi, mengukur kemungkinan terjadi yang dinyatakan dengan angka antara 0 sampai dengan 1, dimana 0 adalah tidak mungkin terjadi dan 1 adalah mutlak pasti terjadi. 4. Frequency “Number of events or outcomes per defined unit of time.” Dapat diterjemahkan menjadi, angka terjadinya suatu kejadian atau output yang muncul yang dinyatakan dengan periode waktu tertentu. 5. Consequence “Outcome of an event affecting objective.” Dapat diterjemahkan menjadi, sesuatu yang muncul didalam aktivitas atau kegiatan dan mempengaruhi tujuan dari kegiatan tersebut. Konsekuensi bisa ada atau mungkin ada, dapat memiliki dampak yang positif ataupun negatif. Konsekuensi dapat dinyatakan secara kuantitatif ataupun kualitatif. 14 Berikut adalah gambar metriks tingkatan risiko menurut (Peltier, 2014:54): IMPACT P R O B High Medium Low High High High High Moderate Moderate High Low Moderate Moderate Low High Low High A B I Medium L I T Low Y High - Corrective action must be implemented Moderate High - Corrective action should be implemented Moderate Low - Requires monitor Low - No action required at this time Gambar 2.2 Metrik Tingkatan Risiko Sumber: Peltier (2014:54) Berikut tabel di bawah ini menjelaskan pengertian frekuensi menurut Peltier (2014:51): Tabel 2.3 Pengertian Frekuensi Istilah Definisi Frekuensi Kemungkinan bahwa suatu peristiwa akan terjadi atau bahwa nilai kerugian tertentu dapat dicapai. High Sumber ancaman sangat besar, memiliki kemampuan yang cukup besar, dan kontrol kurang memadai untuk menjaga ancaman dapat dieksekusi. Sangat mungkin bahwa ancaman akan terjadi dalam tahun depan. Medium Sumber ancaman besar, tapi kontrol berada di tempat yang dapat menghambat penanganan ancaman sukses. Kemungkinan bahwa ancaman dapat terjadi dalam tahun 15 depan. Low Sumber ancaman tidak besar dan kurang mampu (capable), kontrol berada di tempat yang berguna untuk mencegah, atau setidaknya secara signifikan menghambat ancaman terjadi. Sangat tidak mungkin bahwa ancaman akan terjadi dalam tahun depan. Sumber: Peltier (2014:51) Berikut tabel di bawah ini menjelaskan pengertian dampak menurut Peltier (2014:51): Tabel 2.4 Pengertian Dampak Istilah Dampak Definisi Ukuran besarnya kerugian atau kerusakan yang terjadi pada nilai aset perusahaan High Berpengaruh terhadap misi dan bisnis perusahaan Medium Kerugian terbatas pada satu unit bisnis atau satu tujuan perusahaan Low Berdampak kecil pada nilai aset atau tidak berpengaruh terhadap tujuan perusahaan Sumber: Peltier (2014:51) 2.3 Ancaman Menurut Peltier (2014:53), “Threat is the potential for an event, malicious or otherwise, that would damage or compromise an asset.” Sehingga dapat diartikan, ancaman adalah potensi untuk sebuah kejadian, berbahaya atau sebaliknya, yang akan merusak atau membahayakan aset. Menurut Peltier (2014:18), sumber ancaman didefinisikan sebagai setiap keadaan atau peristiwa dengan potensi yang menyebabkan kerusakan pada aset yang dilaporkan. Terdapat tiga kategori utama dari sumber ancaman: 1. Natural threats: Banjir, gempa bumi, tornado, tanah longsor, longsoran. 2. Human threats: Kejadian yang terjadi disebabkan oleh manusia, seperti tindakan yang tidak disengaja (kesalahan dan kelalaian) atau 16 tindakan yang disengaja (fraud, akses yang tidak sah). Secara statistik, ancaman yang menyebabkan kerugian terbesar dalam sumber daya informasi adalah terjadinya kesalahan dan kelalaian. 3. Environmental threats: Listrik padam yang berkepanjangan, polusi, tumpahan bahan kimia, kebocoran cairan. 2.4 Kerentanan Menurut Peltier (2014:53), kerentanan adalah “Any flaw or weakness in the asset’s defenses that could be exploited by a threat to create an impact on the asset.” Sehingga dapat diartikan, kerentanan adalah setiap cacat atau kelemahan yang ada di pertahanan aset yang bisa dimanfaatkan oleh ancaman untuk membuat dampak pada aset. 2.5 Manajemen Risiko Menurut Rainer, Prince, & Cegielski (2015:86), “The goal of risk management is to identify, control, and minimize the impact of threats.” Sehingga dapat diartikan, manajemen risiko adalah menanggapi ancaman dapat dilakukan dengan menerima, mengidentifikasi, mengontrol, meminimalkan dan menghindari risiko ketingkat yang dapat diterima. 2.5.1 Proses Analisis dan Penilaian Risiko Menurut Rainer, Prince, & Cegielski (2015: 86), “Organisasi melakukan analisis risiko untuk memastikan bahwa program keamanan IS hemat biaya.” Analisis risiko melibatkan tiga langkah: 1. Menilai nilai setiap aset yang dilindungi. 2. Memperkirakan probabilitas bahwa setiap aset akan dikompromikan. 3. Membandingkan biaya kemungkinan aset yang dikompromikan dengan biaya untuk melindungi aset tersebut. Sehingga dapat diartikan, analisa risiko menurut pengertian diatas adalah proses dimana organisasi menilai masing-masing aset yang dilindungi, memperkirakan probabilitas bahwa setiap aset akan terganggu dan membandingkan biaya kemungkinan aset yang dikompromikan dengan biaya yang melindungi aset tersebut. Menurut Kizan (2011:18), “Risk analysis provides an input to risk evaluation and to decisions on whether risks need to be treated, and on the most appropriate risk treatmentstrategies and methods.” Sehingga dapat 17 diartikan, analisis risiko memberikan masukan untuk evaluasi risiko dan keputusan tentang apakah risiko perlu dipulihkan pada strategi dan metode pengobatan risiko yang paling tepat. Menurut Kizan (2011:17), “Risk assessment is the overall process of risk identification, risk analysis and risk evaluation.” Sehingga dapat diartikan, penilaian risiko adalah proses keseluruhan identifikasi risiko, analisis risiko dan evaluasi risiko. Menurut Peltier (2014:17), “Risk assessment is second process in the risk management life cycle. Organizations use risk assessment to determine what threats exist to a specific asset and the associated risk level of that threat.” Sehingga dapat diartikan, penilaian risiko adalah proses kedua dalam siklus manajemen risiko. Perusahaan menggunakan penilaian risiko untuk menentukan apa saja risiko yang terdapat dalam aset dan tingkat risiko dari ancaman tersebut. Terdapat beberapa proses di dalam penilaian risiko menurut Peltier (2014:18), yaitu : 1. Identifikasi risiko Perusahaan harus mengidentifikasi sumber risiko, area yang terkena dampak, peristiwa (termasuk perubahan keadaan), penyebab dan konsekuensi dari potensi. Tujuan dari langkah ini adalah untuk menghasilkan daftar lengkap risiko berdasarkan peristiwa-peristiwa yang mungkin membuat, meningkatkan, mencegah, menurunkan, mempercepat atau menunda pencapaian tujuan perusahaan. Sehingga penting untuk mengidentifikasi risiko yang terkait. Identifikasi komprehensif sangat penting, karena risiko yang tidak diidentifikasi pada tahap ini tidak akan dimasukkan dalam analisis lebih lanjut. Identifikasi harus mencakup apakah sumber terjadi risiko berada di bawah kendali perusahaan, meskipun sumber risiko atau penyebab mungkin tidak jelas. 2. Analisis risiko Analisis risiko mengembangkan pemahaman tentang risiko. Analisis risiko memberikan masukan untuk evaluasi risiko dan keputusan tentang apakah risiko perlu diselesaikan, strategi dan metode pengobatan risiko yang paling tepat. Analisis risiko juga dapat 18 memberikan masukan dalam pembuatan keputusan dimana pilihan harus dibuat dan pilihan melibatkan jenis dan tingkat risiko yang berbeda. Analisis risiko melibatkan pertimbangan dari penyebab dan sumber risiko, konsekuensi positif dan negatif, dan kemungkinan dari konsekuensi yang dapat terjadi. Faktor-faktor yang mempengaruhi konsekuensi dan kemungkinan harus diidentifikasi. Risiko dianalisis dengan menentukan konsekuensi dan kemungkinan terjadinya risiko, dan atribut lainnya dari risiko. Sebuah kejadian dapat memiliki beberapa konsekuensi dan dapat mempengaruhi berbagai tujuan. Kontrol yang ada dan efektivitas serta efisiensi juga harus diperhitungkan. Analisis risiko dapat dilakukan dengan berbagai tingkat detail, tergantung pada risiko, tujuan analisis, dan informasi, data dan sumber daya yang tersedia. Dapat analisis kualitatif, semikuantitatif atau kuantitatif, atau kombinasi dari ini, tergantung pada keadaan. 3. Evaluasi risiko Tujuan dari evaluasi risiko adalah untuk membantu dalam membuat keputusan, berdasarkan hasil analisis risiko, tentang yang risiko membutuhkan perawatan dan prioritas untuk pelaksanaan pengobatan. Evaluasi risiko harus membandingkan tingkat risiko yang ditemukan selama proses analisis dengan kriteria risiko yang ditetapkan ketika konteksnya dianggap. Berdasarkan perbandingan ini, kebutuhan untuk perawatan terhadap risiko dapat dipertimbangkan. Keputusan harus mempertimbangkan konteks yang lebih luas dari risiko dan mencakup pertimbangan toleransi risiko yang ditanggung oleh pihak lain selain organisasi. Keputusan harus dibuat sesuai dengan hukum, peraturan dan persyaratan lainnya. 4. Penanganan risiko Penanganan risiko melibatkan proses memilih satu atau lebih pilihan untuk memodifikasi risiko dan menerapkan orang-orang pilihan. Setelah diimplementasikan, akan dilakukan modifikasi terhadap kontrol yang ada. Penanganan risiko melibatkan proses siklus: a. Menilai perlakuan terhadap risiko. b. Memutuskan apakah tingkat toleransi risiko residual. 19 5. c. Jika tidak ditoleransi, menghasilkan perlakuan risiko baru. d. Menilai efektivitas perlakuan terhadap risiko. Memantau dan meninjau Pemantauan dan peninjauan harus menjadi bagian dari rencana proses manajemen risiko dan melibatkan pengawasan. Hal ini dapat dilakukan secara periodik atau ad hoc. Tanggung jawab untuk memantau dan meninjau harus didefinisikan secara jelas. Proses pemantauan dan peninjauan organisasi harus mencakup semua aspek dari proses manajemen risiko untuk keperluan: a. Memastikan bahwa kontrol yang efektif dan efisien yang baik dalam desain dan operasi. b. Memperoleh informasi lebih lanjut untuk meningkatkan penilaian risiko. c. Menganalisis dan belajar dari peristiwa, perubahan, tren, keberhasilan dan kegagalan. d. Mendeteksi perubahan dalam konteks eksternal dan internal, termasuk perubahan kriteria risiko dan risiko itu sendiri yang dapat memerlukan revisi perawatan atau perlakuan dan prioritas risiko. e. Mengidentifikasi risiko yang muncul. Gambar 2.3 Analisis Risiko dalam Proses Manajemen Risiko Sumber: Kizan (2011:14) 20 Setelah risiko sudah berhasil diidentifikasi dengan akurat, maka dilakukanlah penilaian kuantitatif dan kualitatif terhadap dampak yang ditimbulkan oleh risiko tersebut. Kedua jenis penilaian tersebut dibutuhkan dalam menghasilkan analisis yang tepat dan akurat. Penilaian kualitatif lebih mudah untuk dilakukan. Penilaian kualitatif adalah penilaian yang dilakukan dengan mengkategorikan risiko sesuai dengan banyak tingkat pengukuran yang ditentukan. 2.5.2 Risk Treatment “Process to modify risk” (ISO, 2009). Proses memodifikasi risiko termasuk menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan aktivitas yang menimbulkan risiko, mengambil atau menambah risiko dengan tujuan mengejar peluang, menghilangkan sumber risiko, mengubah kemungkinan terjadi, mengubah konsekuensinya, membagi risiko dengan pihak lain, tetap mengelola risiko dengan keputusan yang sudah diambil. Dalam melakukan treatment risiko dapat memunculkan risiko baru atau mengubah risiko yang sudah ada. 1. Control – “Measure that is modifying risk” Pengendalian mencakup proses, kebijakan, penggunaan alat, praktek, atau tindakan lain yang memodifikasi risiko. 2. Risk Avoidance – “Informed decision not to be involved in, or to withdraw from, an activity in order not to be exposed to a particular risk”. Menginformasikan keputusan untuk tidak terlibat dalam risiko, atau untuk menarik diri dari risiko termasuk kegiatan tertentu agar tidak terkena risiko. 3. Risk Sharing – “Form of risk treatment involving the agreed distribution of risk with other parties”. Pembagian risiko ke pihak lain dapat berupa persetujuan. Sejauh mana risiko didistribusikan bergantung kepada keandalan dan kejelasan di dalam persetujuan atau kontrak perjanjian. Pemindahan risiko merupakan salah satu bentuk pembagian risiko. 4. Risk Financing – “Form of risk treatment involving contingent arrangements for the provision of funds to meet or modify the financial consequences should they occur”. Bentuk perlakuan risiko yang melibatkan pengaturan untuk penyediaan dana untuk memenuhi atau memodifikasi konsekuensi keuangan yang mungkin terjadi. 21 5. Risk Retention – “Acceptance of the potential benefit of gain, or burden of loss, from a particular risk”. Penerimaan manfaat potensi keuntungan atau beban kerugian dari risiko tertentu. Tingkat menerima risiko bergantung pada kriteria yang ditentukan. 2.6 Mitigasi Risiko Menurut Peltier (2014:38), “Risk mitigation is a systematic methodology used by senior management to reduce organizational risk.” Sehingga dapat diartikan, mitigasi risiko adalah sebuah upaya yang dilakukan perusahaan untuk mengurangi kemungkinan terjadinya risiko beserta dengan dampak yang akan ditimbulkan. Menurut Kizan (2011:6), dijelaskan sebagai berikut “Risk treatments that deal with negative consequences are sometimes referred to as risk mitigation, risk elimination, risk prevention and risk reduction.” Sehingga dapat diartikan bahwa perawatan atau pemulihan risiko berhubungan dengan konsekuensi negatif yang kadang-kadang disebut sebagai mitigasi risiko, penghapusan risiko, pencegahan risiko dan pengurangan risiko. Menurut Rainer, Prince, & Cegielski (2015:86), “In risk mitigation, the organization takes concrete actions against risks.” Sehingga dapat diartikan bahwa dalam mitigasi risiko, organisasi mengambil tindakan nyata terhadap risiko. Rainer, Prince, & Cegielski (2015:86), menjelaskan bahwa mitigasi risiko memiliki dua fungsi yaitu: 1. Menerapkan kontrol untuk mencegah ancaman yang teridentifikasi terjadi. 2. Mengembangkan sarana pemulihan jika ancaman menjadi kenyataan. Ada beberapa strategi mitigasi risiko yang dapat organisasi lakukan. Terdapat tiga mitigasi risiko yang paling umum, yaitu: 1. Risk acceptance/penerimaan risiko Menerima potensi risiko, terus beroperasi tanpa adanya kontrol, dan menyerap segala kerusakan dan kerugian yang terjadi. 2. Risk limitation/batasan risiko Membatasi risiko dengan menerapkan kontrol yang meminimalkan dampak dari ancaman. 22 3. Risk transference/pemindahan risiko Memindahkan risiko dengan menggunakan cara lain untuk mengkompensasi kerugian, seperti asuransi pembelian. Dari beberapa pengertian mitigasi risiko diatas, maka dapat disimpulkan bahwa mitigasi risiko merupakan suatu tindakan atau upaya yang di lakukan oleh perusahaan agar bisa mengurangi dampak dari suatu kejadian yang berpotensi untuk merugikan atau membahayakan perusahaan. 2.7 Penerapan ISO 31000:2009 ISO 31000:2009 merupakan salah satu prinsip dan panduan untuk membantu melakukan manajemen risiko yang dikeluarkan oleh International Standard Organization. Menurut Kizan (2011:8), menjelaskan bahwa “This framework ensures that information about risk derived from the risk management process is adequately reported and used as a basis for decision making and accountability at all relevant organizational levels.” Sehingga dapat diartikan menjadi, ISO 31000:2009 memastikan bahwa informasi tentang risiko yang berasal dari proses manajemen risiko secara memadai dilaporkan dan digunakan sebagai dasar pengambilan keputusan dan akuntabilitas disemua tingkat organisasi yang relevan. Menurut Kizan (2011:9), menjelaskan juga bahwa “This framework is not intended to prescribe a management system, but rather to assist the organization to integrate risk management into its overall management.” Sehingga dapat diartikan, kerangka ini tidak dimaksudkan untuk merumuskan sistem manajemen, melainkan untuk membantu organisasi mengintegrasikan manajemen risiko ke dalam manajemen secara keseluruhan. Menurut Kizan (2011:14) dijelaskan bahwa ISO 31000:2009 terdiri dari tiga bagian utama yaitu establishing the context, risk assessment (risk identification, risk analysis, risk evaluation), dan risk treatment. Kemudian memiliki dua bagian pendukung yaitu communication and consultation dan monitoring and review. 23 2.8 Sistem Informasi Akuntansi 2.8.1 Pengertian Accounting of Information System (AIS) Menurut Gelinas dan Dull (2012: 667), “Accounting information system is a specialized subsystem of the IS that collects, processes, and reports information related to the financial aspects of business events”. Dapat diartikan, sistem informasi akuntasi adalah sebuah subsistem khusus dari sistem informasi yang mampu mengoleksi, memproses, dan melaporkan informasi yang berhubungan dengan aspek keuangan dalam suatu peristiwa bisnis. Menurut Turner & Weickgenannt (2013:4), “Accounting information system comprises the processes, procedures, and systems that capture accounting data from business processes; record the accounting data in the appropriate records; process the detailed accounting data by classifying, summarizing, and consolidating; and report the summarize accounting data to internal and external users.” Sehingga dapat diartikan, sistem informasi akuntansi terdiri dari proses, prosedur, dan sistem yang menangkap data akuntansi dari proses bisnis yang merekam data akuntansi dalam rekaman yang sesuai, memproses data akuntansi yang rinci dengan mengelompokkan, meringkas, dan konsolidasi serta melaporkan data akuntansi untuk pengguna internal dan pengguna eksternal. 2.8.2 Pengertian Pembelian (Purchasing Order) Menurut Hall (2013:13), “Purchasing is responsible for ordering inventory from vendors when inventory levels fall to their reorder points.”Dapat diartikan bahwa pembelian merupakan tanggung jawab untuk memenuhi persediaan dimana batas level persediaan menujukkan untuk melakukan pemesanan dari pemasok. 2.8.3 Pengertian Penerimaan Barang (Receiving Item) Menurut Hall (2013:13), “Receiving is the task of accepting the inventory previously ordered by purchasing. Receiving activities include counting and checking the physical condition of these items.”Dapat diartikan penerimaan barang (receiving) dan pengecekan (checking) barang dilakukan untuk memastikan barang diterima sesuai dengan daftar pesanan, serta memastikan kuantitas dan kondisi fisik barang. 24 2.8.4 Pengertian Persediaan (Inventory) Menurut Pontoh (2013:312), dalam pengukurannya sebuah persediaan harus diukur berdasarkan biaya maupun nilai realisasi neto, mana yang lebih rendah. Dimana, biaya perolehan sebuah persediaan (Cost of Inventory), akan meliputi semua biaya pembelian, biaya konversi, dan biaya lain yang timbul sampai persediaan berada dalam kondisi dan lokasi saat ini. Persediaan adalah barang yang dibeli dan disimpan untuk dijual kembali dan diukur berdasarkan biaya maupun nilai realisasi neto, mana yang lebih rendah. Persediaan meliputi barang yang di beli dan di simpan untuk di jual kembali misalnya barang dagang di beli oleh pengecer untuk dijual kembali, atau pengadaan barang lainnya untuk dijual kembali. 2.8.5 Jenis–Jenis Persediaan Menurut Santoso (2010:240) menyatakan bahwa pengelompokkan persediaan juga didasarkan pada jenis persediaannya yaitu: 1. Bagi perusahaan dagang (merchandise enterprise) dimana persediaan merupakan barang yang langsung diperdagangkan tanpa mengalami proses lanjutan. 2. Sedangkan pada perusahaan industri dimana persediaan bahan baku memerlukan proses lebih lanjut agar siap dijual dalam bentuk barang jadi (finished goods), maka persediaan dikelompokkan sebagai berikut : 1) Bahan baku (raw materials) yaitu bahan baku yang akan diproses lebih lanjut dalam proses produksi. 2) Barang dalam proses (work in process/goods in process) yaitu bahan baku yang sedang diproses dimana nilainya merupakan akumulasi biaya overhead (factory overhead cost). 3) Barang jadi (finished goods) yaitu barang jadi yang berasal dari barang yang telah selesai diproses dan telah siap untuk dijual sesuai dengan tujuannya. 4) Bahan pembantu (factory/manufacturing supplies) yaitu bahan pembantu yang dibutuhkan dalam proses produksi namun tidak secara langsung dapat dilihat secara fisik pada produk yang dihasilkan. 25 2.8.6 Sistem Pencatatan Persediaan Sistem pencatatan pengelolaan persediaan yang dimaksud dapat dilakukan dengan dua cara yaitu sebagai berikut: 1. Sistem persediaan periodik/fisik (periodical physical inventory system) 2. Sistem persediaan terus – menerus (perpetual inventory system). Santoso (2010:241) Menurut Santoso (2010:248) ada beberapa macam metode penilaian persediaan yang umum digunakan: 1. Last – in, First – out (LIFO) 2. First – in, First – out (FIFO) 3. Average cost (Biaya Rata – Rata) 4. Identifikasi Khusus (Specific identifications) 2.8.7 Distribusi (Distribution) Menurut Hall (2013:15), “Distribution is activity of getting the product to the customer after the sale. This is a critical step since much can go wrong before the customer takes possession of the product.”Dapat diartikan bahwa distribusi adalah kegiatan mendapatkan produk untuk pelanggan setelah penjualan. Hal ini merupakan langkah penting karena banyak yang bisa salah sebelum pelanggan mengambil kepemilikan produk. 2.9 Metode Pengumpulan Data 2.9.1 Wawancara (Interview) Menurut Sugiyono (2015:188) wawancara dalam penelitian survei dilakukan oleh peneliti dengan cara merekam jawaban pertanyaan kepada responden dengan pedoman wawancara, mendengarkan jawaban, mengamati perilaku dan merekam semua respon dari yang di survei. Wawancara digunakan sebagai teknik pengumpulan data apabila peneliti ingin melakukan studi pendahuluan untuk menemukan permasalahan yang harus diteliti,dan juga apabila peneliti ingin mengetahui hal-hal dari responden yang lebih mendalam dan jumlah respondennya sedikit/kecil. 26 Wawancara dapat dilakukan secara terstruktur maupun tidak terstruktur dan dapat dilakukan melalui tatap muka (face to face) maupun dengan menggunakan telepon. 1. Wawancara terstruktur Wawancara terstruktur digunakan sebagai teknik pengumpulan data,bila peneliti atau pengumpul data telah mengetahui dengan pasti tentang informasi apa yang akan di peroleh. Oleh karena itu dalam melakukan wawancara pengumpul data telah menyiapkan instrumen penelitian berupa pertanyaan-pertanyaan tertulis yang alternatif jawabannya pun telah disiapkan. (Sugiyono, 2015:189) 2. Wawancara tidak terstruktur Wawancara tidak terstruktur adalah wawancara yang bebas dimana peniliti tidak menggunakan pedoman wawancara yang telah tersusun secara sistematis dan lengkap untuk pengumpulan datanya. Pedoman wawancara yang digunakan hanya berupa garis-garis besar permasalahan yang akan ditanyakan. (Sugiyono, 2015:191) 2.9.2 Observasi Menurut Sugiyono (2015:197)“Observasi is the process of gathering firsthand information by observing people and places at reseacrh site”. Dapat diartikan bahwa observasi merupakan proses untuk memperoleh data informasi langsung dengan mengamati orang dan tempat pada saat dilakukan penelitian. Observasi sebagai teknik pengumpulan data mempunyai ciri yang spesifik bila dibandingkan dengan teknik yang lain yaitu wawancara dan kuisioner. Apabila wawancara dan kuisioner selalu berkomunikasi dengan orang, maka observasi tidak terbatas pada berkomunikasi dengan orang namun juga objek-objek yang terdapat di sekitar. Dari segi proses pelaksanaan pengumpulan data,observasi dapat dibedakan menjadi participant observation (observasi berperan serta) dan non participant observation. Dari segi instrumentasi observasi dibedakan menjadi observasi terstruktur dan observasi tidak terstruktur. 27 a. Observasi Terstruktur Observasi terstruktur adalah observasi yang telah dirancang secara sistematis, tentang apa yang akan diamati, dimana tempatnya. Jadi Observasi terstruktur dilakukan apabila peneliti telah tahu dengan pasti tentang variable apa yang akan diamati. (Sugiyono, 2015:198) b. Observasi Tidak Terstruktur Observasi tidak terstruktur adalah observasi yang tidak dipersiapkan secara sistematis tentang apa yang akan diobservasi. Hal ini dilakukan karena peneliti tidak tahu secara pasti tentang apa yang akan diamati. (Sugiyono, 2015:198) 2.10 Pengertian Flowchart Menurut Turner & Weickgenannt (2013:62)“ a system flowchart is intended to depict the entire system,including inputs,manual and computerized processes, and ouputs”.Dapat diartikan bahwa sistem flowchart bertujuan untuk menggambarkan seluruh sistem, termasuk masukan (input),manual dan proses komputerisasi, dan hasil keluaran (ouputs)”. Flowchart merupakan penyajian yang sistematis tentang proses dan logika dari kegiatan penanganan informasi atau penggambaran secara grafik dari langkah-langkahdan urutan-urutan prosedur dari suatu program. Bagan alir (flowchart) adalah bagan (chart) yang menunjukkan alir (flow) di dalam program atau prosedur sistemsecara logika. Bagan alir digunakan terutama untuk alat bantu komunikasi danuntuk dokumentasi. 2.11 User interface Menurut Satzinger, Jackson, & Burd (2012:189)“ User Interface are inputs and outputs that more directly involve a system user.”Dapat diartikan bahwa user interfaceadalah bagian input dan output yang berhubungan langsung dengan pengguna sistem. User interface adalah perangkat lunak yang menyediakan media komunikasi antara user dengan sistem. User interface memberikan berbagai fasilitas informasi dan berbagai keterangan yang bertujuan untuk membantu mengarahkan alur penelusuran masalah sampai ditemukan sebuah solusi. 28 2.12 Pengertian Change Management Change management menurut O'Brien & Marakas (2011:504) memperhatikan beberapa sumber daya manusia, proses , dan faktor teknologi yang terlibat dalam impelementasi bisnis atau IT strategi dan aplikasi atau perubahan lainnya yang menyebabkan masuknya informasi teknologi baru pada perusahaan.