BAB 2 LANDASAN TEORI
advertisement
BAB 2 LANDASAN TEORI 2.1 Definisi Sistem Informasi Menurut J. Hall (2001, p7), sistem informasi adalah sebuah rangkaian prosedur formal dimana data dikumpulkan, diproses menjadi informasi dan didistribusikan kepada pemakai. Menurut Muchtar (1999, p3), sistem informasi adalah suata pengorganisasian peralatan untuk mengumpulkan, meng-input, memproses, menyimpan, mengatur, mengontrol, dan melaporkan informasi untuk mencapai tujuan perusahaan. Menurut O’brien (2003, p7), sistem informasi adalah perpaduan terorganisasi dari manusia, hardware, software, jaringan komunikasi dan sumber daya data dimana dia mengumpulkan, mengubah, dan juga menyebarkan informasi itu ke organisasi. Jadi dapat disimpulkan bahwa sistem informasi adalah suatu kegiatan mengumpulkan data kemudian diproses menjadi informasi yang bermanfaat bagi pemakai dalam pengambilan keputusan. 2.2 Audit Sistem Informasi 2.2.1 Definisi Audit Sistem Informasi Menurut Weber (1999, p10), audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem 9 10 komputer dapat mengamankan aset, menjaga integritas data, membantu organisasi mencapai tujuan secara efektif, dan menggunakan sumber daya secara efisien. Menurut Gondodiyoto (2003, p150), pengertian audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aktiva dilindungi dengan baik atau tidak disalahgunakan, serta terjaminnya integritas data keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer. Jadi dapat disimpulkan audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk dapat menentukan apakah sistem komputerisasi perusahaan telah menggunakan sistem informasi secara tepat dalam pencapaian tujuan perusahaan. 2.2.2 Tujuan Audit Sistem Informasi Tujuan audit sistem informasi menurut Weber (1999, pp 11-13), adalah: 1. Meningkatkan keamanan aset-aset perusahaan Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file (data) harus dijaga oleh suatu sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian, sistem 11 pengamanan aset perusahaan merupakan suatu hal yang sangat penting dan harus dipenuhi oleh perusahaan. 2. Meningkatkan integritas data Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan tidak lagi memiliki hasil atau laporan yang benar dan akurat sehingga dapat merugikan perusahaan. 3. Meningkatkan efektifitas sistem Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan pengguna (user). 4. Meningkatkan efisiensi sistem Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya manusia. Karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya manusia yang minimal. Ekonomis mencerminkan kalkulasi untung rugi ekonomi (cost/benefit) yang lebih bersifat kuantitatif nilai moneter (uang). Efisiensi berarti sumber 12 daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi. Menurut Weber (1999, p6), disimpulkan audit dilakukan untuk: 1. Biaya yang dikeluarkan perusahaan akibat kehilangan data (Organizational cost of data loss) Data merupakan sumber yang sangat diperlukan oleh sebuah organisasi untuk kelanjutan operasionalnya. Kehilangan data akan menimbulkan ketidakmampuan kontrol terhadap pemakaian komputer, manajemen yang tidak menyediakan cadangan (backup) yang memadai terhadap file komputer, sehingga dapat terjadi kehilangan file karena adanya program yang rusak, sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga akhirnya membuat kelanjutan operasional organisasi itu menjadi terganggu. 2. Pengambilan keputusan yang salah (Incorrect decision making) Membuat keputusan yang berkualitas tergantung pada kualitas data dan kualitas aturan pengambilan keputusan yang ada pada sistem informasi berbasis komputer. Data yang akurat pada sistem komputer tergantung pada tipe keputusan yang diambil oleh orang-orang yang berkepentingan di perusahaan. 13 3. Penyalahgunaan komputer (Computer abuse) Penyalahgunaan komputer didefinisikan sebagai setiap kecelakaan yang berhubungan dengan teknologi komputer dimana korbannya menderita kehilangan dan pelakunya memperoleh keuntungan dari kecelakaan tersebut. Beberapa tipe dari penyalahgunaan komputer antara lain: a. Perusakkan aset Hardware, software, data, fasilitas, dokumentasi, atau pemasok dapat dirusak. b. Pencurian aset Hardware, software, data, fasilitas, dokumentasi, atau pemasok dapat dipindahkan secara ilegal. c. Memodifikasi aset Hardware, software, data, fasilitas, dokumentasi dapat dimodifikasi pada cara yang tidak seharusnya. d. Pelanggaran privasi Data pribadi personil atau perusahaan dapat diakses bebas. e. Gangguan operasi Operasi dari sistem informasi tiap harinya dapat terhapus atau hilang secara perlahan-lahan. f. Penggunaan aset diluar wewenang Hardware, software, data, fasilitas, dokumentasi, atau pemasok dapat digunakan untuk tujuan yang tidak seharusnya. 14 g. Membahayakan secara fisik bagi personil Personil dapat menderita secara fisik. 4. Nilai dari perangkat keras, perangkat lunak, dan personil komputer (Value of computer hardware, software, and personnel) Di samping data, hardware, dan sofware, serta personil komputer juga merupakan sumber daya yang kritis bagi perusahaan. Kehilangan hardware baik karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak, maka akan mengganggu jalannya operasional dan bila dicuri maka informasi yang sangat rahasia bisa dijual pada kompetitor. Personil adalah sumber daya yang paling berharga. Mereka harus dididik dengan baik agar menjadi tenaga dibidang komputer yang profesional. 5. Biaya yang tinggi dari kesalahan komputer (High cost of computer error) Biaya yang dikeluarkan perusahaan jika terjadi kesalahan komputer dapat menjadi tinggi. Perusahaan harus segera memperbaiki kerusakan akibat kesalahan desain, implementasi, atau operasi dari sistem komputer mereka untuk mencegah kerugian yang lebih besar. 6. Privasi (Privacy) Banyak data tentang kita yang saat ini dapat diperoleh dengan cepat, misalnya pajak, kredit, kesehatan, pendidikan, pekerjaan, dan lainnya. Privasi merupakan hak dasar setiap individu. Oleh karenanya, merupakan tanggung jawab orang-orang yang 15 berkepentingan dengan proses data komputer untuk memastikan bahwa penggunaan komputer tidak dapat mengumpulkan, mengintegrasikan, dan mengambil data personal tiap orang. 7. Mengendalikan evolusi dari penggunaan komputer (Controlled evolution of computer use) Teknologi adalah hal yang alami, tidak ada teknologi yang baik atau buruk. Pengguna teknologi tersebut yang dapat menentukan apakah teknologi itu akan menjadi baik atau menimbulkan gangguan. Banyak keputusan yang harus diambil untuk mengetahui apakah komputer digunakan untuk suatu hal, misalnya apakah pemakaian komputer dapat dilakukan untuk menggantikan suatu satuan kerja yang akan menimbulkan dampak pengangguran besar walaupun akan memberikan efisiensi bagi pengguna. 2.2.3 Jenis Audit Sistem Informasi Menurut Weber (1999, p106), jenis audit sistem informasi meliputi: 1. Concurrent audit Auditor sebagai bagian dari tim pengembangan sistem, terlibat untuk meningkatkan kualitas sistem yang sedang dikembangkan. 2. Postimplementation audit Auditor membantu organisasi untuk mempelajari aplikasi sistem yang sedang dijalankan. Auditor dapat melakukan evaluasi 16 apakah sistem yang ada perlu dibuang, dilanjutkan, atau dimodifikasi. 3. General audit Auditor melakukan evaluasi terhadap pengembangan sistem secara keseluruhan. Auditor menentukan apakah mereka dapat mengurangi pengecekan terhadap data untuk memberikan opini audit tentang hubungan pernyataan manajemen dengan laporan keuangan atau sistem yang efektif dan efisien. 2.2.4 Metode Audit Sistem Informasi Menurut Gondodiyoto (2003, pp155-159), metode audit sistem informasi meliputi: 1. Audit di sekitar komputer (Audit around the computer) Dalam metode audit disekitar komputer (audit around the computer), auditor dapat melangkah pada perumusan pendapat hanya dengan menelaah struktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem manual (bukan sistem informasi berbasis komputer). Auditor tidak perlu menguji pengendalian sistem informasi berbasis komputer klien (yaitu terhadap file program/data di dalam komputer), malainkan cukup terhadap input dan output sistem aplikasi saja. Dari penilaian terhadap kualitas dan kesesuaian antara input dan output sistem aplikasi ini, auditor dapat mengambil 17 kesimpulan tentang kualitas pemrosesan data yang dilakukan klien (meskipun proses/program komputer tidak diperiksa). Metode audit di sekitar komputer cocok untuk dilaksanakan pada situasi: a. Dokumen sumber tersedia dalam bentuk kertas (bahasa nonmesin), artinya masih kasat mata dan terlihat secara visual. b. Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan. c. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran. d. Sistem komputer yang diterapkan masih sederhana. e. Sistem komputer yang diterapkan masih menggunakan software yang umum digunakan, dan telah diakui, serta digunakan secara massal. Keunggulan metode audit di sekitar komputer adalah: a. Pelaksanaan audit lebih sederhana. b. Auditor yang memiliki pengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit. Kelemahan metode audit di sekitar komputer ini adalah jika lingkungan berubah, kemungkinan sistem itu akan berubah dan perlu penyesuaian sistem atau program-programnya, bahkan struktur data/file, sehingga auditor tidak dapat menilai dan menelaah apakah sistem masih berjalan dengan baik. 18 2. Audit melalui komputer (Audit through the computer) Dalam metode audit melalui komputer (audit through the computer), auditor melakukan pemeriksaan langsung terhadap program-program dan file komputer pada audit sistem informasi berbasis komputer. Auditor menggunakan komputer (software bantu) atau dengan cek logika atau listing program (desk test on logic or program source code) untuk menguji logika program dalam rangka pengujian pengendalian yang ada dalam komputer. Metode audit melalui komputer cocok digunakan dalam kondisi: a. Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya. b. Bagian penting dari sistem pengendalian internal terdapat di dalam komputerisasi yang digunakan. c. Sistem logika komputer sangat kompleks dan memiliki banyak fasilitas pendukung. d. Adanya jurang yang besar dalam melaksanakan audit secara visual, sehingga memerlukan pertimbangan antara biaya dan manfaatnya. Keunggulan metode audit melalui komputer ini adalah: a. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem komputer. b. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya. 19 c. Auditor dapat menilai kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan. Kelemahan metode ini yaitu memerlukan biaya yang besar dan tenaga ahli yang terampil. Pada Standar Profesional Akuntan Publik (2001, p335.1335.4) ditetapkan standar auditing seksi 335 tentang auditing dalam lingkungan Sistem informasi Komputer (SIK). Dan pada Standar Profesional Akuntan Publik (2001, p335.2) tertera bahwa auditor harus pula memiliki pengetahuan sistem informasi komputer yang memadai untuk menerapkan prosedur audit, tergantung atas pendekatan audit yang digunakan. Sedangkan pada Standar Profesional Akuntan Publik (2001, p335.2) menjelaskan bahwa keahlian minimum yang harus dimiliki oleh auditor atau stafnya dalam melaksanakan audit di lingkungan SIK adalah: a. Pengetahuan dasar-dasar komputer dan fungsi komputer secara umum. b. Pengetahuan dasar tentang sistem operasi (operating system) dan perangkat lunak. c. Pemahaman tentang tekhnik pengolahan file dan struktur data. d. Kemampuan bekerja dengan perangkat lunak audit. e. Kemampuan me-review sistem dokumentasi. 20 f. Pengetahuan dasar tentang pengendalian SIK untuk mengidentifikasi dan mengevaluasi dampak penggunaan SIK terhadap operasi entitas. g. Pengetahuan yang memadai dalam pengembangan perancangan audit dan supervisi pelaksanaan audit dalam lingkungan SIK. h. Pemahaman dinamika perkembangan dan perubahan sistem dan program dalam suatu entitas. 3. Audit dengan komputer (Audit with the computer) Pada metode audit dengan komputer (audit with the computer), dilakukan dengan menggunakan komputer dan piranti lunak (software) untuk mengotomatisasi prosedur pelaksanaan audit. Metode audit dengan komputer merupakan cara audit yang sangat bermanfaat, khususnya dalam pengujian subtantif atas file dan record perusahaan. Software audit yang digunakan merupakan program komputer auditor untuk membantu pengujian dan evaluasi kehandalan data, file, atau record perusahaan. Keunggulan metode audit dengan komputer ini adalah: a. Dapat melaksanakan tugas audit yang terpisah dari catatan klien, yaitu dengan mengambil copy data atau file untuk diuji dengan komputer lain. b. Merupakan program komputer yang diproses untuk membantu pengujian pengendalian sistem komputer klien itu sendiri. Kelemahan utama metode audit dengan komputer adalah upaya dan biaya pengembangan yang relatif besar. 21 2.2.5 Tahapan Audit Sistem Informasi Menurut Weber (1999, pp47-55), tahapan-tahapan audit sistem informasi terdiri dari: 1. Planning the audit (Perencanaan Audit) Perencanaan audit merupakan fase pertama dalam audit bagi auditor eksternal yang berarti menyelidiki dari awal atau melanjutkan yang ada untuk menentukan apakan pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai, melakukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien dan mengidentifikasikan resiko. Auditor harus mengerti tentang penggunaan pengendalian internal (internal controls) pada perusahaan. 2. Test of Controls (Pengujian atas Kontrol) Biasanya dalam fase ini diawali dengan pemfokusan pada pengendalian manajemen. Apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian manajemen tidak berjalan sebagaimana mestinya. Bila auditor menemukan kesalahan serius pada pengendalian manajemen, mereka akan mengemukakan opini atau mengambil keputusan dalam pengujian transaksi dan saldo untuk mengetahui hasilnya. 3. Test of Transaction (Pengujian atas Transaksi) Pengujian transaksi termasuk, pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan perhitungan. Auditor menggunakan pengujian atas transaksi untuk 22 mengevaluasi apakah transaksi atau kejadian (event) telah ditangani dengan efektif dan efisien. Pengujian atas transaksi dapat dilaksanakan dengan pengujian subtantif. Pengujian subtantif dimaksudkan untuk memvalidasi bahwa suatu transaksi tertentu telah diotorisasikan secara memadai, disertai bukti-bukti pendukung yang akurat. Ada lima jenis pengujian subtantif, yaitu: a. Pengujian untuk mengidentifikasikan pemrosesan yang salah b. Pengujian mengakses kualitas data c. Pengujian mengidentifikasikan data yang tidak konsisten d. Pengujian membandingkan data dengan perhitungan fisik e. Mengkonfirmasikan data dengan yang berasal dari sumbersumber ekstrem 4. Test of Ballance or Overall Results (Pengujian Keseimbangan atau Hasil Keseluruhan) Auditor melakukan pengujian keseimbangan atau hasil keseluruhan untuk memelihara bukti penting untuk membuat penilaian akhir dari kehilangan atau kesalahan pencatatan yang menyebabkan kegagalan fungsi sistem informasi untuk mengamankan aset, memelihara integritas data, dan mencapai sistem yang efektif dan efisien. 23 5. Completion of The Audit (Penyelesaian Audit) Pada fase terakhir dalam penyelesaian audit, auditor eksternal melakukan beberapa pengujian tambahan untuk mengumpulkan bukti akhir. Kemudian, mereka akan memberikan pernyataan pendapat. Empat tipe pernyataan pendapat auditor: a. Disclaimer of Opinion Dari hasil audit yang dilakukan, auditor tidak memberikan pendapat. b. Adverse Opinion Auditor menyimpulkan telah terjadi kehilangan material atau dalam laporan keuangan terdapat salah saji material. c. Qualified Opinion Auditor menyimpulkan terjadi kesalahan atau salah saji pada laporan keuangan tapi nilainya tidak material. d. Unqualified Opinion Auditor menyimpulkan bahwa tak ada kehilangan material atau salah saji. 24 Mulai Tugas utama audit Mengerti struktur pengendalian Menilai resiko pengendalian Tidak Memiliki pengendalian Ya Pengujian pengendalian Menaksir resiko pengendalian Tidak Masih memiliki pengendalilan Melakukan pengujian subtantif Ya Ya Tidak Meningkatkan pengendalian? Pengujian subtantif terbatas Pemberian pendapat audit dan laporan permasalahan Selesai Gambar 2.1 Tahapan Audit Sistem Informasi Sumber: Information Systems Control And Audit 25 2.3 Pengendalian Internal 2.3.1 Definisi Pengendalian Internal Menurut Weber (1999, p 35), pengendalian internal merupakan suatu sistem untuk mencegah, mendeteksi, dan mengoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung redundan, tidak efektif, dan tidak efisien. Menurut COSO yang dikutip oleh Romney (2003, p196), pengendalian internal merupakan suatu proses: a. Mempengaruhi seluruh direksi, manajemen, dan para karyawan lainnya. b. Didesain untuk memberikan jaminan yang meyakinkan dalam pencapaian tujuan yang dibagi menjadi beberapa kategori: 1) Efisiensi dan efektifitas operasi, yang merupakan dasar dari suatu tujuan bisnis, yang meliputi kinerja dan pencapaian tujuan, dan pengamanan aset. 2) Dipercayanya laporan keuangan, yang berhubungan dengan keercayaan publik, terhadap laporan keuangan tersebut. 3) Kepatuhan terhadap hukum dan peraturan yang ada. Dengan demikian, tujuan dari pengendalian adalah untuk mengurangi resiko atau mengurangi pengaruh yang sifatnya merugikan akibat suatu kejadian (penyebab). Berdasarkan pengertian diatas maka pengendalian dikelompokkan menjadi tiga bagian, yaitu: 26 1. Preventive Control Pengendalian ini digunakan untuk mencegah masalah sebelum masalah tersebut muncul. 2. Detective Control Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian segera setelah masalah tersebut muncul. 3. Corrective Control Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada pengendalian detektif. Pengendalian ini mencakup prosedur untuk menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau kesulitan yang timbul, serta memodifikasi sistem proses. Dengan demikian bisa mencegah kejadian yang sama dimasa mendatang. 2.3.2 Komponen Pengendalian Internal Menurut Weber (1999, p 49), pengendalian internal terdiri dari lima komponen yang saling terintegrasi, yaitu: 1. Lingkungan Pengendalian (Control Environment) Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian wewenang dan tanggung jawab yang harus dilakukan, cara komite audit berfungsi, dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja. 27 2. Penilaian Resiko (Risk Assesment) Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi oleh perusahaan dan cara untuk menghadapi resiko tersebut. 3. Aktivitas Pengendalian (Control Activities) Komponen yang beroperasi untuk memastikan transaksi telah terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan aset dan record, pengecekan kinerja, dan penilaian dari jumlah record yang terjadi. 4. Informasi dan Komunikasi (Information and Communication) Komponen dimana informasi digunakan untuk mengidentifikasi, mendapatkan, dan menukarkan data yang dibutuhkan untuk mengendalikan dan mengatur operasi perusahaan. 5. Pengawasan (Monitoring) Komponen yang memastikan pengendalian internal beroperasi secara dinamis. 2.3.3 Jenis Pengendalian Sistem Informasi Menurut Weber (1999, p39), secara garis besar sistem pengendalian internal yang perlu dilakukan pada sistem berbasis komputer adalah sebagai berikut: a. Pengendalian manajemen (Management controls) b. Pengendalian aplikasi (Application controls) 28 2.3.4 Pengendalian Manajemen (Management Controls) Pengendalian manajemen atau pengendalian umum adalah ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Apabila tidak dilakukan pengendalian ini ataupun pengendaliannya lemah, maka dapat berakibat negatif terhadap aplikasi. Pengendalian manajemen dilakukan untuk meyakinkan barwa pengembangan, pengimplementasian, pengoperasian, dan pemeliharaan sistem informasi telah diproses sesuai dengan rencana dan terkontrol. Pengendalian ini berguna untuk menyediakan infrastruktur yang stabil hingga sistem informasi dapat dibangun, dioperasikan, dan dipelihara secara berkesinambungan. Pengendalian manajemen terdiri dari: 1. Pengendalian Top Manajemen (Top Management Controls) Pengendalian top manajemen berfungsi untuk memantau peranan manajemen dalam perencanaan kepemimpinan dan pengawasan fungsi sistem. Top manajemen bertanggung jawab terutama pada keputusan jangka panjang. 2. Pengendalian Manajemen Pengembangan Sistem (System Development Management Controls) Pengendalian manajemen pengembangan sistem bertanggung jawab untuk menganalisa, mendesain, membangun, mengimplementasikan, dan memelihara sistem informasi. 29 3. Pengendalian Manajemen Pemrograman (Programing Management Controls) Pengendalian manajemen pemrograman berfungsi untuk memantau tahapan utama dari daur hidup program dan pelaksanaan dari setiap tahap. Manajemen pemrograman bertanggungjawab untuk pemrograman sistem baru, pemeliharaan sistem lama, dan menyediakan software yang mendukung sistem pada umumnya. 4. Pengendalian Manajemen Sumber Data (Data Resource Management Controls) Pengendalian manajemen sumber data berfungsi untuk memantau peranan dan fungsi dari data administrator dan database administrator. Manajemen sumber data bertanggung jawab untuk perancangan, perencanaan, dan persoalan kontrol dalam hubungannya dengan pengguna data organisasi. 5. Pengendalian Manajemen Keamanan (Security Management Controls) Pengendalian memantau fungsi manajemen utama dari keamanan security berfungsi untuk administrator dalam mengidentifikasi ancaman utama terhadap fungsi sistem informasi dan perancangan, perencanaan, pelaksanaan, pengoperasian, dan pemeliharaan terhadap pengontrolan yang dapat mengurangi kemungkinan kehilangan dari ancaman ini sampai tingkat yang dapat diterima. 30 Ada dua jenis aset, yaitu: a. Aset fisik, misalnya: personil, hardware, fasilitas, dokumentasi, dan perlengkapan. b. Aset logikal, misalnya: data atau informasi, serta software (sistem dan aplikasi). Program keamanan adalah serangkaian aktivitas yang terusmenerus, teratur, ditelaah secara berkala untuk memastikan bahwa harta yang berhubungan dengan fungsi sistem informasi cukup aman. Langkah-langkah yang harus dijalankan dalam penerapan program keamanan sistem informasi, yaitu: a. Menyiapkan rencana proyek Rencana proyek di bidang keamanan harus mencakup hal-hal sebagai berikut: 1) Tujuan review Menentukan tujuan dari pelaksanaan review, baik secara luas maupun sempit. Misalnya, review bisa bertujuan untuk meningkatkan keamanan fisik server atau untuk meningkatkan kontrol terhadap ancaman keamanan. 2) Bidang review Menentukan bidang apa yang akan di-review sangat penting. 3) Tugas yang harus dikerjakan Menentukan tugas yang harus dilakukan, baik umum maupun khusus. 31 4) Organisasi tim proyek Banyaknya orang dalam tim proyek tergantung dari besarnya dan kompleksitas yang akan di-review. 5) Budget kebutuhan sumber daya Budget yang diperlukan sangat tergantung pada besaran dan kompleksitas materi yang akan di-review. Dalam menentukan budget, harus diperinci mengenai jam kerja, bahan dan dana yang diperlukan untuk menentukan review. 6) Jadwal penyelesaian tugas Rencana harus memperhatikan tanggal penyelesaian tugas. b. Melakukan identifikasi harta Dalam melakukan identifikasi harta, administrator keamanan dapat membuat kategori harta sebagai berikut: 1) Personil, misalnya: user, sistem analis, programer, operator, clerk, dan penjaga. 2) Hardware, misalnya: komputer, mainframe, komputer mini, komputer PC, disket, printer, line komunikasi, konsentrator, terminal. 3) Fasilitas, misalnya: furniture, ruangan kantor, ruang komputer, rak penyimpanan tape/disk. 4) Dokumentasi, misalnya: dokumentasi sistem dan program, dokumentasi database, asuransi, dan kontrak. standar, rencana, kebijaksanaan 32 5) Perlengkapan, misalnya: instrumen negosiasi, formulir yang sudah dicetak, kertas, disk, kaset. 6) Data atau informasi, misalnya: master file, transaksi file, file arsip. 7) Software aplikasi, misalnya: pelanggan, kreditur, pembayaran gaji, bukti bahan baku, penjualan, dan persediaan. 8) Software sistem, misalnya: compiler, peralatan, sistem database manajemen, sistem operasi, software komunikasi, kertas kerja. c. Menilai harta Penilaian terhadap harta sulit dilakukan karena penilaian ini sangat tergantung pada orang yang melakukan penilaian, cara hilangnya harta, periode terjadinya kehilangan, dan umur harta tersebut. d. Melakukan identifikasi ancaman Salah satu cara yang dapat digunakan untuk mengidentifikasi ancaman adalah dengan mengetahui sumber dari ancaman tersebut dan tipe ancaman yang timbul. Ada dua macam sumber ancaman, yaitu: 1) Ancaman yang berasal dari luar perusahaan i Alam, misalnya: gempa bumi, banjir, kebakaran, bakteri, gas, radiasi elektomagnetik, temperatur yang ekstrem. ii Hardware supplier, misalnya: hardware yang tidak handal, tidak kompetibel, layanan purna jual yang buruk. 33 iii Software supplier, misalnya: software yang tidak tepat, tidak efektif, dokumentasinya jelek. iv Kontraktor, misalnya: software yang salah dan tidak efektif, perbaikan hardware dan software yang salah, pelayanan yang tidak tepat waktu, informasi yang konfidensial diungkapkan. v Supplier lainnya, misalnya: gangguan jaringan komunikasi, pelayanan yang tidak tepat waktu. vi Saingan, misalnya: sabotase, spionase, tuntutan hukum, masalah keuangan karena kompetisi yang fair maupun tidak fair. vii Pemilik utang dan modal, misalnya: kehilangan kemampuan keuangan karena adanya tuntutan hukum. viii Serikat pekerja, misalnya: pemogokan, sabotase, dan gangguan. ix Pemerintah, misalnya: kehilangan kemampuan keuangan karena adanya regulasi pemerintah. x LSM lingkungan, misalnya: pemberitaan yang memojokkan, gangguan. xi Kriminal/hackers, misalnya: kehilangan data, sabotase, spionase, pemerasan. 2) Ancaman yang berasal dari dalam perusahaan i Manajemen, misalnya: gagal mendapatkan sumber daya, perencanaan dan kontrol yang tidak memadai. 34 ii Karyawan, misalnya: kerusakan, pencurian, kecurangan, sabotase, pemerasan, penggunaan yang tidak tepat. iii Sistem yang tidak handal, misalnya: kerusakan hardware, software, dan fasilitas lainnya. e. Penilaian terhadap ancaman Tahap selanjutnya adalah melakukan taksiran kemungkinan terjadinya setiap ancaman selama satu periode waktu tertentu. Misalnya dengan menganalisis kemungkinan terjadinya ancaman dari perusahaan lain yang sejenis. f. Menganalisis ancaman Analisis ancaman terdiri dari empat fase tugas, yaitu: 1) Mengidentifikasi pengendalian 2) Menilai keadaan pengendalian 3) Evaluasi terhadap kemungkinan terjadinya ancaman, dapat diatasi dengan cara memberikan peralatan pengendalian 4) Menilai kerugian yang akan timbul bila tidak dapat mencegah terjadinya ancaman g. Penyesuaian pengendalian Setelah menganalisis, administrator keamanan harus melakukan evaluasi apakah setiap level analisis dapat diterima. Evaluasi ini dimaksudkan untuk melakukan penilaian apakah setelah pengendalian didesain, diimplementasikan, dan dijalankan sudah sesuai dengan biaya yang dikeluarkan untuk mengurangi kehilangan yang terjadi sesuai dengan yang diharapkan. 35 h. Menyiapkan laporan keamanan Tahap terakhir yaitu membuat laporan kepada manajemen. Laporan ini berisi hal-hal yang diperoleh dari review dan beberapa rekomendasi yang diusulkan untuk diimplementasikan, serta beberapa pengamanan yang harus diganti atau dimodifikasi. Beberapa jenis ancaman utama terhadap keamanan adalah sebagai berikut: a. Kerusakan karena kebakaran Beberapa cara untuk mengatasi ancaman kebakaran antara lain: 1) Alarm kebakaran, baik manual maupun otomatis, yang diletakkan pada tempat yang strategis. 2) Tabung pemadam kebakaran yang diletakkan pada tempat yang strategis. 3) Bangunan tempat diletakkannya aset sistem informasi dibangun dengan konstruksi khusus yang tahan panas. 4) Tempat diletakkannya tabung pemadam kebakaran dan arah keluar diberi tanda yang jelas, sehingga memudahkan untuk melihat tanda tersebut. 5) Prosedur kebersihan yang baik dapat memastikan bahwa barang-barang yang mudah menyebabkan kebakaran minimal sekali keberadaannya di ruang sistem informasi. b. Kerusakan karena air Beberapa cara penanganan terhadap kerusakan karena air antara lain: 36 1) Jika memungkinkan, plafon, dinding, dan lantai tahan air (waterproof) 2) Pastikan bahwa tersedia sistem drainase yang memadai 3) Tempatkan alarm pada tempat yang strategis dimana aset sistem informasi disimpan 4) Pada lokasi yang sering banjir, tempatkan aset sistem informasi pada tempat yang tinggi 5) Memiliki master switch untuk semua kran air 6) Gunakan sistem dry-pipe automatic sprinkler yang dijalankan oleh alarm dan api 7) Tutup hardware dengan kain pengaman ketika tidak digunakan c. Naik turunnya tegangan listrik Naik turunnya tegangan listrik juga merupakan ancaman di bidang sistem informasi. Hal ini dapat dicegah dengan menggunakan peralatan yang dapat menstabilkan tegangan listrik seperti penggunaan UPS untuk setiap komputer dan peralatan sistem informasi lainnya. d. Kerusakan struktual Kerusakan struktural pada aset sistem informasi dapat terjadi karena gempa, angin ribut, salju, tanah longsor, kecelakaan, dll. e. Polusi Polusi dapat merusak disk drive, hard disk, dll. Polusi juga dapat mengakibatkan kebakaran. 37 f. Gangguan dari orang-orang yang tidak bertanggungjawab Gangguan dari orang-orang yang tidak bertanggungjawab terdiri dari dua jenis, yaitu: 1) Secara fisik masuk ke perusahaan dan mengambil aset sistem informasi atau melakukan perusakan. 2) Tidak masuk secara fisik ke perusahaan tetapi menggunakan cara lain seperti menggunakan reciever, melakukan penyadapan. g. Virus dan worms Untuk mengurangi kemungkinan terjangkitnya virus dan worms, administrator keamanan dapat melakukan pengendalian antara lain: 1) Tindakan preventive Misalnya: hanya dengan menggunakan software yang bersih dan asli, lakukan akses read-only terhadap software, lakukan pengecekan dengan antivirus sebelum file digunakan. 2) Tindakan detective Misalnya: secara berkala menjalankan program anti virus untuk mendeteksi ada tidaknya virus. 3) Tindakan corrective Misalnya: memastikan adanya backup yang bersih, menjalankan program antivirus untuk memindahkan file yang sudah terkena virus. 38 h. Kesalahan penggunaan software, data, dan jasa Beberapa tipe penyalahgunaan yang dapat terjadi: 1) Software yang dikembangkan oleh perusahaan dicuri oleh karyawan atau saingan sehingga perusahaan kehilangan pendapatan dari penjualan software tersebut. 2) Perusahaan tidak berhasil menjaga privacy data yang disimpan pada database yang dapat mengakibatkan pemberitaan yang memojokkan. 3) Karyawan menggunakan jasa pelayanan sistem informasi untuk kegiatan pribadinya. Walaupun seluruh cara telah digunakan, tetapi bencana masih saja dapat terjadi. Untuk mengurangi kerugian dan memulihkan operasional, dapat dilakukan dengan: a. Disaster recovery plan 1) Emergency plan Emergency plan merupakan tindakan khusus yang akan dilakukan segera setelah terjadinya bencana. 2) Backup plan Backup plan meliputi jangka waktu backup dilaksanakan, prosedur untuk melakukan backup, letak perlengkapan backup, serta karyawan yang bertanggungjawab untuk melakukan backup. 39 3) Recovery plan Recovery plan merupakan kelanjutan dari backup plan karena recovery adalah tindakan yang dilakukan agar sistem informasi dapat berjalan seperti biasa. 4) Test plan Test plan berfungsi untuk memastikan bahwa ketiga rencana di atas berjalan dengan baik. b. Asuransi Memiliki asuransi untuk peralatan fasilitas, media penyimpanan, biaya tambahan, gangguan bisnis, dokumen dan kertas yang berharga, serta media transportasi. 6. Pengendalian Manajemen Operasi (Operation Management Controls) Menurut Weber (1999, p288), pengendalian manajemen operasi bertanggung jawab terhadap jalannya hardware maupun software setiap hari sehingga sistem aplikasi produksi dapat menjalankan tugasnya, dan staf pengembangan dapat mendesain, mengimplementasi, dan memelihara aplikasi sistem. Delapan fungsi utama yang menjadi tanggung jawab manajemen operasi adalah: a. Operasi komputer (Computer operations) Tiga tipe pengendalian pada operasi komputer adalah: 1) Pengendalian operasional Banyak jenis kegiatan yang harus dilakukan untuk mendukung jalannya program komputer, misalnya program yang harus 40 dijalankan dan dimatikan, media penyimpanan harus tersedia, formulir harus disediakan di printer, dan informasi yang dihasilkan harus dikirim ke user. 2) Pengendalian penjadwalan Pengendalian penjadwalan dilakukan untuk memastikan bahwa komputer digunakan untuk kegiatan yang seharusnya dan menggunakan sumber daya dengan efisien. 3) Pengendalian pemeliharaan Kegiatan pemeliharaan terhadap hardware komputer merupakan tindakan pencegahan yang harus dilakukan agar kerusakan hardware dapat dicegah. b. Jaringan operasional (Network operation) Pengendalian terhadap jaringan operasional dilakukan dengan memonitor dan memelihara jaringan dan pencegahan terhadap akses oleh pihak yang tidak berwenang, baik pada area yang luas (WAN) maupun pada lokal area (LAN) perusahaan. c. Persiapan data dan entry (Data preparation and entry) Secara umum, semua sumber data untuk aplikasi sistem dikirim ke bagian persiapan data untuk diketik dan diverifikasi sebelum dimasukkan ke dalam sistem komputer. Kegiatan ini biasanya dilakukan oleh operator komputer. Hal-hal yang harus diperhatikan agar pekerjaan operator komputer dapat berjalan efektif dan efisien adalah tinggi meja komputer, 41 angle monitor, kursi duduk yang dapat disesuaikan baik tinggi maupun punggungnya. d. Pengendalian produksi (Production control) Pengendalian produksi mencakup lima tugas, yaitu: 1) Menerima dan mengirim input dan output 2) Menjadwal pekerjaan 3) Melakukan perjanjian jasa layanan dengan pemakai 4) Menetapkan harga 5) Pembelian kebutuhan e. Perpustakaan file (File library) Fungsi file library adalah bertanggungjawab untuk mengelola manajemen penyimpanan data dengan: 1) Penyimpanan media penyimpanan 2) Penggunaan media penyimpanan 3) Pemeliharaan pemakaian media penyimpanan 4) Lokasi media penyimpanan f. Dokumentasi dan program kepustakaan (Documentation and program library) Fungsi kepustakaan dokumentasi adalah: 1) Memastikan bahwa dokumen disimpan dengan aman 2) Memastikan bahwa hanya orang berwenang yang mendapat akses ke dokumen tersebut 3) Memastikan bahwa dokumen selalu up-to-date 42 4) Memastikan bahwa telah ada backup yang memadai terhadap dokumen tersebut g. Dukungan teknis (Help desk/technical support) Fungsi dari dukungan teknis, yaitu: 1) Menyediakan hardware dan software bagi end user 2) Membantu menyelesaikan masalah hardware dan software end user 3) Memberikan pelatihan pemakaian hardware, software dan database kepada end user 4) Menjawab pertanyaan end user 5) Memonitor perkembangan teknologi dan memberikan informasi kepada end user tentang perkembangan tersebut 6) Menentukan sumber masalah dan cara penyelesaiannya 7) Memberikan informasi kepada end user tentang masalah hardware dan software atau database yang akan berdampak pada pekerjaan mereka 8) Mengawasi upgrade hardware dan software 9) Melakukan perubahan terus-menerus untuk mencapai efisiensi yang lebih baik h. Perencanaan kapasitas dan pengawasan kerja (Capacity planning and performance monitoring) Dengan menggunakan perhitungan statistik pengawasan kinerja, manager operasional harus membuat tiga keputusan, yaitu: 43 1) Mengevaluasi apakah profil kinerja memperlihatkan adanya kegiatan oleh bagian yang tidak berwenang 2) Memastikan bahwa kinerja sistem dapat diterima oleh user 3) Tersedianya hardware dan software yang diperlukan 7. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance Management Controls) Pengendalian manajemen jaminan kualitas (Quality assurance manajement controls) bertanggung jawab untuk memastikan bahwa sistem informasi yang dihasilkan oleh fungsi sistem informasi telah mencapai tujuan dan berkualitas, serta pengembangan, implementasi, operasi, dan pemeliharaan sistem informasi telah sesuai dengan standar kualitas yang sudah ditetapkan. 2.3.5 Pengendalian Aplikasi (Application Controls) Pengendalian khusus atau pengendalian aplikasi adalah sistem pengendalian internal komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan. Pengendalian khusus dilakukan dengan tujuan untuk menentukan apakah pengendalian internal dalam sistem yang terkomputerisasi pada aplikasi komputer tertentu sudah memadai untuk memberikan jaminan bahwa data telah dicatat, diolah, dan dilaporkan secara akurat, tepat waktu dan sesuai dengan kebutuhan manajemen untuk proses jalannya pengambilan keputusan untuk perusahaan. Pengendalian aplikasi terdiri dari: 44 1. Pengendalian Batasan (Boundary Controls) Subsistem batasan membangun tampilan (interface) antara pengguna sistem komputer dan sistem komputer. Tujuan dari pengendalian batasan (boundary controls) adalah: a. Untuk menetapkan identitas dan keaslian para pemakai sistem komputer. b. Untuk menetapkan identitas dan keaslian sumber daya yang ingin dikerjakan pengguna. c. Untuk membatasi tindakan yang dilakukan pengguna yang mencoba mendapatkan sumber daya dengan cara yang tidak sah. Pengendalian cryptographic didesain untuk melindungi privasi dari data dan untuk mencegah penyalahgunaan modifikasi data. Pengendalian cryptographic menjadi sangat penting dalam sistem komputer untuk mencegah penyalahgunaan akses terhadap data. Cryptographic adalah ilmu tentang kode rahasia. Cryptology menyertakan studi ilmu membaca sandi dan pemecahan tulisan rahasia. Tiga tehnik cryptographic: a. Perubahan kode (Transposition chiper) Perubahan kode (Transposition chiper) menggunakan beberapa aturan untuk mengubah urutan karakter dalam string data. 45 b. Penggantian kode (Substitution chiper) Penggantian kode (Substitution chiper) mempertahankan posisi dari karakter di dalam pesan dan menyembunyikan identitas dari karakter dengan mengganti mereka dengan karakter lain berdasarkan beberapa peraturan. c. Produk kode (Product chiper) Produk kode (Product chiper) menggabungkan kombinasi metode perubahan kode (Transposition chiper) dan penggantian kode (Substitution chiper). Untuk mengawasi pengendalian batasan, digunakan pengendalian akses (access controls). Pengendalian akses membatasi penggunaan sumber daya sistem komputer bagi pengguna yang sah, membatasi tindakan yang dapat dilakukan pengguna ke sumber daya tersebut, dan memastikan bahwa pengguna mendapatkan sumber daya komputer yang sah. Auditor harus memiliki dua pemahaman mengenai pengendalian akses. Pertama, auditor harus menentukan sebaik apa mekanisme pengendalian akses digunakan untuk menjaga aset dan integritas data. Kedua, memberikan kapabilitas mekanisme pengendalian akses yang tersedia untuk sistem aplikasi tertentu. PIN (Personal Identification Number) adalah tipe password yang merupakan nomor persetujuan rahasia yang dimiliki seseorang yang digunakan untuk pengidentifikasian seseorang. 46 Tiga metode dalam pembuatan PIN adalah: a. Derived PIN Derived PIN adalah PIN yang dibuat berdasaran nomor account konsumen. b. Random PIN Random PIN adalah PIN yang dibuat secara acak dengan panjang PIN yang tetap. c. Customer-selected PIN Customer-selected PIN adalah PIN yang nomornya ditentukan sendiri oleh konsumen. Dua cara untuk memvalidasi PIN, yaitu: a. Local PIN Validation Local PIN Validation terjadi pada saat PIN dimasukkan di terminal pengendalian oleh pembuat PIN. b. Interchange PIN Validation Interchange PIN Validation terjadi pada saat PIN dimasukkan ke sebuah terminal pengendalian selain dari institusi yang membuat PIN. 2. Pengendalian Masukan (Input Controls) Komponen-komponen dalam subsistem input bertugas membawa data dan instruksi ke dalam sistem informasi. Tipe data dan input tersebut harus divalidasi, kemudian segala kesalahan (error) yang terdeteksi harus dikendalikan sehingga perubahan masukan menjadi akurat, lengkap, unik, dan tepat waktu. 47 Tiga alasan mengapa pengendalian input perlu diperhatikan: a. Dalam sistem informasi jumlah terbanyak pengendalian berada dalam subsistem masukan. b. Aktifitas subsistem masukan terkadang mengandung banyak rutinitas dan kegiatan monoton hasil campur tangan manusia. c. Subsistem masukan sering menjadi target kecurangan. Banyak penyimpangan yang ditemukan termasuk penambahan, penghapusan, atau penggantian dalam transaksi masukan. Delapan komponen pengendalian masukan, yaitu: a. Metode data input 1) Keyboarding, misalnya: Personal Computer (PC) 2) Direct reading, misalnya: Optical Character Recognition (OCR), Automated Teller Machine (ATM) 3) Direct entry, misalnya: touch screen, joystick, mouse Tipe dari metode input data yang digunakan dalam sistem informasi mempengaruhi keamanan, integritas data, keefektifan data dan keobjektifitas efisiensi sistem. b. Perancangan dokumen sumber Dokumen sumber (source document) digunakan untuk menampung input data. Desain dokumen sumber yang baik penting untuk mencapai keamanan aset, integritas data, efektifitas sistem, dan efisiensi sistem. 48 Tujuan dari perancangan dokumen sumber adalah: 1) Mengurangi kemungkinan dari kesalahan penyimpanan data 2) Meningkatkan kecepatan dalam merekam data 3) Mengendalikan arus kerja (work flow) 4) Memfasilitasi pemasukan data ke dalam sistem komputer 5) Meningkatkan kecepatan data dan keakuratan dimana data dapat dibaca 6) Memberi fasilitas pengecekan referensi c. Perancangan layar data entry Jika data dimasukan melalui monitor, maka diperlukan desain yang berkualitas tinggi terhadap layar tampilan data entry agar mengurangi kemungkinan terjadinya kesalahan dan agar tercapai efisiensi dan efektivitas data pada subsistem input. 1) Screen Organization Layar harus dirancang agar rapi dan seimbang. Elemen data harus dikelompokkan sesuai dengan fungsinya. Semua informasi yang diperlukan untuk membuat tugas entry data di komputer menjadi mudah harus ditampilkan pada layar. Penataan data yang akan direkam harus dapat dilakukan dengan cepat dan terstruktur sehingga mengurangi kemungkinan kesalahan entry. 2) Caption Design Judul data yang harus di-entry, yang tampil di layar memberikan keterangan tentang data apa yang harus 49 dimasukkan pada field di layar. Desain yang dibuat harus memepertimbangkan struktur, ukuran, jenis huruf, intensity tampilan, format, jarak baris, dan spasi. 3) Data Entry Field Design Tempat yang harus diisi data berada di sebelah judul data yang harus di-entry dan dapat dibuat dengan berbagai cara, misalnya garis atau kotak. Contoh: Tanggal (dd/mm/yy) : ________________ atau Tanggal (dd/mm/yy) : 4) Tabbing and Skipping Alasan penggunaan otomatis skipping ke field baru dihindari pada saat melakukan entry data pada layar monitor adalah: i Dengan metode otomatis, maka operator dapat membuat ukuran field menjadi error dan hal ini tidak dapat dideteksi karena krusor sudah melompat ke field berikutnya. Tambahan karakter pada satu field akan membuat aplikasi error. ii Pada beberapa aplikasi yang ada, beberapa field tidak perlu diisi oleh operator karena akan terisi secara otomatis. Sehingga akan lebih baik apabila operator harus melakukan tabbing setiap kali meng-entry data daripada mereka harus memilih kapan melakukan tabbing. 50 5) Color Pemilihan warna yang baik akan membuat proses entry data dapat dilakukan dengan cepat, tepat, dan tidak membuat operator cepat lelah. Penggunaan warna yang sangat terang akan membuat mata operator cepat merasa lelah dan akan menimbulkan kemungkinan kesalahan entry menjadi lebih besar. Disarankan untuk menggunakan warna-warna yang lembut seperti biru dan hijau. 6) Response Time Selama proses entry data, waktu respon adalah interval antara satu data yang sudah selesai di-entry dan disimpan sampai dengan waktu layar siap untuk di-entry kembali. Agar proses entry data dapat dilakukan dengan baik, maka waktu respon harus cepat dan konstan. 7) Display Rate Display rate adalah kecepatan karakter atau image yang tampak pada layar yang berfungsi sebagai indikasi kecepatan komunikasi data antara terminal dengan komputer (boud rate). 8) Prompting and Help Facilities Fasilitas prompting (bantuan) memberikan bantuan secara cepat atau memberikan informasi kepada pemakai apa yang harus dilakukan ketika mereka melakukan entry data ke komputer. 51 d. Pengendalian kode data Pengkodean data digunakan untuk mengidentifikasi sebuah entiti secara unik. Desain kode data yang tidak bagus menyebabkan perekaman dan pengambilan data menjadi error. Kode data juga dipakai untuk tujuan identifikasi. Ada lima tipe dalam kesalahan pemasukan pengkodean data, yaitu: 1) Addition Adalah penambahan karakter dalam kode. 2) Truncation Adalah sebuah karakter dihilangkan dari kode. 3) Transcription Adalah kesalahan penulisan kode. 4) Transposition Adalah pembatasan karakter dari kode yang disediakan. 5) Double Transposition Adalah karakter dipisahkan oleh satu karakter atau lebih yang disediakan. Empat tipe dari pengkodean sistem yang dipakai adalah: 1) Serial Codes Serial codes menggunakan angka atau huruf yang berurutan untuk sebuah entiti. 52 2) Block Sequence Codes Block sequence codes menggunakan blok angka untuk menentukan kategori partikular dari entiti. Atribut utama dari masing-masing kategori entiti harus dipilih dan nomor blok harus diberikan untuk setiap nilai dari atribut. 3) Hierarchical Codes Hierarchical codes memerlukan satu set atribut pilihan dari entiti yang akan diberi kode dari pemilihan tersebut berdasarkan kepentingan. Nilai kode tersebut adalah kombinasi dari nilai kode setiap atribut entiti. Misalnya: C65 / Kode divisi 423 Kode departemen / 3956 Kode biaya 4) Association Codes Pada association codes atribut dari entiti yang akan diberi kode dipilih dan kode yang unik diberikan kepada setiap atribut. Kode tersebut dapat berupa angka, huruf, atau kombinasi angka dan huruf. Misalnya: SHM32DRCOT SH = shrit M = male 32 = nomor baju DR = dress shirt COT = bahan cotton 53 e. Cek digit Cek digit adalah penambahan digit pada kode yang dapat membuat keakuratan karakter lain pada kode tersebut dapat diperiksa. Cek digit dapat ditambahkan pada awal maupun akhir karakter atau dapat ditempatkan dimana saja di tengah kode. Ketika kode dimasukkan, sebuah program melakukan kalkulasi ulang terhadap cek digit untuk menentukan apakah cek digit yang dimasukkan dan cek digit yang dihitung sama. Cek digit hanya dilakukan pada field yang bersifat kritis. Pengecekan ini hanya dapat dilakukan dengan menggunakan mesin pada saat memasukkan atau dengan program input. Contohnya: airline ticketing, proses kartu kredit, dan proses rekening bank. f. Pengendalian batch (Batch control) Batching adalah proses pengelompokan transaksi secara bersama yang menunjukan tipe hubungan satu dengan yang lainnya. Dua tipe dari batch, yaitu: 1) Physical Batch Pengelompokan transaksi yang terdiri dari unit fisik. 2) Logical batch Pengelompokan dari transaksi yang dibentuk secara bersamasama pada sebuah dasar logical daripada fisik. 54 Penilaian dalam pengendalian batch, yaitu: 1) Batch cover sheet Memuat jenis informasi seperti: angka batch yang unik, total kontrol batch, tanggal saat batch disiapkan, kesalahan informasi yang terdeteksi pada batch, dan tanda tangan personil yang bertanggung jawab dalam menangani batch. 2) Batch register control Mencatat perpindahan physical batches antara berbagai lokasi dalam suatu organisasi. g. Validasi input data Empat tipe pengecekan validasi yang dapat dilakukan melalui input data yaitu dengan: 1) Field Check Dengan field check, validasi tes yang dilakukan terhadap field tidak bergantung pada field lain dalam record input atau dalam record input lainnya. 2) Record Check Dengan record check, validasi tes yang dilakukan pada field tergantung pada hubungan logika field tersebut dengan field yang lain pada record input. 3) Batch Check Dengan batch check, validasi tes melakukan pengujian apakah karakteristik dari batch record yang dimasukkan sama dengan karakteristik yang telah ditetapkan pada batch. 55 4) File Check Dengan file check, validasi tes melakukan pengujian apakah karakteristik pada file yang digunakan selama entry data sama dengan karakteristik data pada file. Terdapat enam pendekatan dalam validasi input: 1) Menu Driven Languages Menu driven languages membiarkan user untuk memilih sebuah instruksi dari sebuah daftar pilihan. 2) Question Answer Dialogue Question answer dialogue memungkinkan user untuk mengindikasikan instruksi yang mereka inginkan untuk digunakan dalam merespon pertanyaan yang ditanyakan oleh sistem aplikasi. 3) Command Languages Command languages memungkinkan user untuk memanggil dan memulai instruksi pada sistem aplikasi. 4) Form Based Languages Form based languages memungkinkan user untuk menspesifikasikan instruksi dari beberapa bentuk input atau output. 5) Natural Languages Interface Natural languages interface membuat user dapat memanggil instruksi dalam interaksi bentuk bebas dengan sistem aplikasi. 56 6) Direct Manipulation Interface Direct manipulation interface membuat user dapat memanggil instruksi melalui manipulasi dari sebuah obyek pada sebuah tampilan. h. Validasi instruksi input Tiga tipe pemeriksaan validasi dapat dilakukan melalui instruksi input: 1) Lexical Validation Mengecek validitas dari setiap kata yang dimasukan users. 2) Syntactic Validation Mengecek validitas dari sebuah string dari kata yang dimasukan users. 3) Semantic Validation Mengecek validitas dari arti string dari kata yang dimasukan olah users. 3. Pengendalian Komunikasi (Communication Controls) Menurut Weber (1999, p474) pengendalian komunikasi digunakan komunikasi, untuk mengendalikan komponen fisik, pendistribusian kesalahan jalur subsistem komunikasi, pengendalian arus, pengendalian topologi, pengendalian akses hubungan, pengendalian atas ancaman kerusakan, pengendalian internet working, dan pengendalian arsitektur komunikasi. 57 4. Pengendalian pemrosesan (Processing controls) Pengendalian pemrosesan bertanggung jawab untuk menghitung, menyorting, mengklasifikasi, dan mengikthisarkan data. Komponen utama dalam subsistem ini adalah prosesor sentral dimana program dieksekusikan, memori dimana program diinstruksikan dan menyimpan data, sistem operasi yang mengatur sumber daya sistem, serta program aplikasi yang mengeksekusi program untuk permintaan khusus user. Empat tipe pengendalian yang digunakan untuk mengurangi kerugian dari kesalahan dan ketidakwajaran yang berhubungan dengan proses, yaitu: a. Deteksi kesalahan dan koreksi (Error detection and corection) Kesalahan dalam prosesor dapat dideteksi dengan cek keseimbangan (parity check) atau cek benar tidaknya instruksi yang diberikan (instruction validity check). b. Multiple execution states Untuk mencegah ketidakwajaran (irreguleritas), instruksi dapat dieksekusi hanya jika prosesor berada dalam bagian pengawasan. c. Pengendalian waktu (Timing control) Pengendalian waktu dapat digunakan untuk mencegah prosesor berada dalam sebuah perulangan yang tak berujung. (endless loop) karena kesalahan program. 58 d. Replikasi komponen (Component replication) Komponen prosesor dapat ditiru untuk melanjutkan pemrosesan jika terjadi kegagalan komponen prosesor. Memori nyata (Real memory) dari sistem komputer sama dengan tempat penyimpanan utama dimana setiap program dan data harus melaluinya untuk dijalankan atau dipakai oleh prosesor utama. Pengendalian pada real memory adalah mendeteksi dan mengoreksi kesalahan yang muncul pada sel-sel memori serta melindungi area memori terhadap program yang berasal dari akses ilegal dari program lain. Memori virtual (Virtual memory) muncul ketika ruang alamat penyimpanan yang dibutuhkan lebih besar daripada ruang memori nyata yang tersedia. Dua pengendalian yang dapat dilakukan pada memori virtual adalah: a. Mekanisme yang berjalan harus mengecek apakah memori yang direferensikan berada dalam batasan dari blok yang dialokasikan untuk proses tersebut. b. Mekanisme pengendalian akses harus mengecek untuk melihat bahwa proses akan dijalankan dalam sebuah blok berada dalam jumlah yang tepat. Sistem operasi (operating system) adalah program-program yang telah diimplementasikan dalam software, firmware, atau 59 hardware yang mengijinkan pembagian (sharing) dan penggunaan terhadap sumber daya dalam sistem komputer. Sebuah sistem operasi yang dapat diandalkan harus mencapai lima tujuan berikut: a. Sistem operasi dapat melindungi dirinya dari proses yang dilakukan user. b. Sistem operasi dapat melindungi user dari user lain. c. Sistem operasi dapat melindungi user dari user itu sendiri. d. Sistem operasi dapat melindungi dirinya dari dirinya sendiri. e. Saat terjadi kegagalan akibat lingkungan sekitar, maka sistem operasi dapat berhenti secara teratur. Empat jenis kecurangan dalam sistem operasi yang sering terjadi adalah: a. Penyalahgunaan oleh personil yang berwenang b. Penetrator yang menipu orang yang berwenang untuk memberikan wewenang khusus c. Alat khusus digunakan untuk mendeteksi radiasi elektromagnetik, pancaran radiasi elektromagnetik, atau jalur komunikasi yang disadap d. Penetrator yang berinteraksi dengan sistem operasi untuk menentukan dan mengekspolitasi kesalahan dalam sistem. 60 Beberapa tipe kesalahan yang sering ditemukan dalam sistem operasi adalah: a. Validasi parameter yang tidak lengkap Sistem tidak mengecek validasi dari semua atribut yang diminta user. b. Validasi parameter yang tidak konsisten Sistem mengajukan kriteria validasi yang berbeda pada konstruksi yang sama dalam sistem. c. Pembagian data yang tidak terlihat Sistem operasi menggunakan area umum untuk melayani dua atau lebih proses yang dilakukan oleh user. d. Validasi yang tidak serempak Jika sistem melakukan proses validasi yang tidak serempak, user dapat mengambil keuntungan waktu untuk mengacaukan integritas. e. Pengendalian akses yang tidak memadai Sistem operasi menampilkan pengecekan yang tidak lengkap pada satu bagian sistem dengan asumsi bagian lain telah ditampilkan. f. Adanya keterbatasan Sistem dokumentasi memiliki keterbatasan. Monitor acuan (Reference monitor) adalah suatu mekanisme abstrak yang memeriksa setiap permintaan oleh subyek untuk menggunakan obyek serta memastikan bahwa permintaan tersebut mematuhi suatu kebijakan keamanan. Monitor acuan 61 diimplementasikan melalui keamanan kernel, yang merupakan mekanisme pendukung dari hardware, firmware, atau software. Karena sistem operasi merupakan hal yang kompleks, maka pembuatan desain dan implementasinya harus dilakukan dengan hatihati. Desain atas-bawah (top-down design) dan aturan struktur pemrograman dapat digunakan. Sistem seharusnya didesain dan dispesifikasikan sebagai lapisan-lapisan hirarki yang berhubungan dengan level berbeda dari fungsi-fungsi yang akan ditampilkan. Aplikasi software dapat ditugaskan pada tiga tingkat pengecekan dalam permosesan masing-masing sistem, yaitu: 62 Tingkat Tipe pengecekan pengecekan Penjelasan Overflow dapat terjadi jika suatu Overflow field yang digunakan untuk perhitungan pada awalnya tidak Field kosong, beberapa kesalahan di dalam perhitungan terjadi atau nilai-nilai yang tidak diduga muncul Nilai range mungkin dapat Range dimasukkan dalam suatu field Record Reasonableness Isi dari suatu field dapat ditentukan nilainya Sign Isi dari suatu field Memisahkan total pengendalian Crossfooting File dapat dikembangkan hubungan field dan crossfooted pada akhir pengendalian. 63 Control totals Pengendalian dapat total run-to-run dikembangkan dan dibandingkan dengan hasil dari pengendalian. Beberapa elemen dari gaya pemrograman yang membantu menghindari terjadinya kesalahan antara lain: a. Mengatasi ketepatan berurutan (Handle rounding correctly) Mengatasi ketepatan berurutan (Handle rounding correctly) digunakan ketika tingkat ketepatan memerlukan suatu kalkulasi perhitungan yang kurang dari tingkat ketepatan yang benar-benar telah dihitung. b. Pencetakan total pengendalian yang berjalan (Print run-to-run control totals) Pada waktu tertentu pada program online, atau pada masingmasing langkah utama sepanjang pengolahan data dalam batch, keseluruhan pengendalian yang berjalan harus dicetak. Pengendalian ini menyediakan bukti bahwa semua input data telah diproses dengan teliti dan akurat. c. Meminimalkan intervensi manusia (Minimize human intervention) Memenimalkan intervensi manusia untuk menghasilkan nilai parameter untuk menentukan tipe dari proses yang akan diambil. 64 d. Mengerti akan bahaya hardware / software / numerikal (Understand hardware / software / numerical hazzard) Mengerti akan bahaya hardware / software / numerikal pada saat penulisan program yang memerlukan kalkulasi numerikal yang kompleks. e. Menggunakan kalkulasi berulang (Use redundant calculation) Menggunakan kalkulasi berulang untuk mengecek keakuratan dari kalkulasi numerikal. f. Menghindari rutinitas tertutup (Avoid closed routines) Menghindari rutinitas tertutup yang melibatkan eksistensi nilai pada saat pengujian dimana semua nilai gagal. 5. Pengendalian database (Database controls) Pengendalian mendefinisikan, basis data menciptakan, bertanggung memodifikasi, jawab menghapus, untuk dan membaca data dalam sistem informasi. 6. Pengendalian Keluaran (Output Contrlos) Subsistem keluaran (output) menghasilkan fungsi untuk mengetahui isi data yang akan dihasilkan ke user, cara data akan diformat dan ditampilkan pada user, dan cara data akan disiapkan dan dikirimkan pada user. Auditor harus memperhatikan tiga hal sehubungan dengan eksekusi laporan program, yaitu: a. Data rahasia hanya diberikan pada orang-orang tertentu yang diberi wewenang. 65 b. Tedapat perlakuan khusus dalam penugasan untuk memberikan hak kepada para pemakai laporan program sesuai dengan kebutuhan mereka. c. Setiap laporan program harus memiliki fasilitas pengecekan nilai (checkpoint). Auditor harus mengevaluasi seberapa baik organisasi klien mereka mencapai sasaran sehubungan dengan queuing dalam pencetakan file, yaitu: a. Pencetakan file tidak dapat diubah b. Salinan cetakan file yang tidak sah tidak dapat dibuat c. Pencetakan file hanya bisa dilakukan sekali d. Salinan file yang digunakan sebagai cadangan tidak dapat digunakan untuk membuat salinan laporan Tiga tujuan dalam pengendalian pencetakan adalah: a. Untuk memastikan bahwa laporan dicetak pada pencetak yang benar. b. Untuk mencegah pihak yang tidak berwenang mengambil data penting dari laporan. c. Untuk memastikan bahwa pengendalian yang diperlukan selama pencetakan telah dilakukan. Saat output dihasilkan, output harus diamankan untuk mencegah kehilangan atau pemindahan yang tidak sah, terutama jika output merupakan istrumen penting. Pengendalian harus dilakukan 66 untuk mengidentifikasi saat output tidak diawasi secara berkala dan aman. Sebelum output didistribusikan pada user, wakil kelompok user/client harus mengecek kemungkinan terjadinya kesalahan. Beberapa tipe pengecekan yang dapat diambil adalah: a. Apakah halaman dalam suatu laporan yang dicetak tidak terbaca akibat habisnya tinta printer b. Apakah kualitas output memuaskan c. Apakah cartridges atau CR-ROMs telah diberi label d. Apakah ada halaman yang hilang dari laporan yang dicetak e. Apakah ada halaman yang dicetak tidak sesuai dalam laporan Distribusi output dapat dilakukan melalui berbagai cara, diantaranya: a. Output mungkin diletakkan pada tempat penyimpanan yang terkunci yang selalu dihilangkan secara periodik oleh user. b. Output mungkin dikirimkan secara langsung pada user. c. Output mungkin dikirimkan via pos. d. Output mungkin diberikan melewati kelompok wakil client/service yang bertugas untuk mengumpulkan output. e. Output mungkin diberikan pada user melalui kurir. f. Output mungkin diberikan pada user melalui distribusi pos organisasi. 67 Desain laporan yang baik akan memudahkan arus laporan melalui tahapan pengujian output sebelumnya. Pengendalian informasi yang seharusnya ada pada desain laporan yang baik adalah: a. Nama laporan (Report name) Memungkinkan identifikasi laporan dengan cepat. b. Waktu dan tanggal produksi (Time and date production) Untuk mengetahui kapan laporan dibuat. c. Daftar distribusi (Distribution list) Memfasilitasi distribusi penggandaan laporan pada orang yang tepat. d. Periode pemrosesan yang terjadi (Processing period covered) User dapat mengetahui tanggal dan waktu laporan dihasilkan. e. Program yang menghasilkan laporan (Program producing report) Memungkinkan identifikasi pengorganisasian sistem program dengan cepat. f. Orang yang dapat dihubungi (Contact person) Mengindikasikan siapa yang seharusnya dihubungi pada saat laporan dihasilkan dan siapa yang harus dihubungi pada saat terjadi kesalahan dan ketidakwajaran pada laporan. g. Klasifikasi keamanan (Security classification) Mengingatkan kewaspadaan operator pada data penting dalam laporan. h. Periode waktu (Retention date) Mengindikasikan tanggal kapan laporan dihancurkan. 68 i. Metode penghancuran (Method of destruction) Mengindikasikan prosedur khusus yang diperlukan untuk mengatur laporan. j. Judul halaman (Page heading) Menunjukkan isi dari halaman laporan. k. Nomor halaman (Page number) Mencegah pemindahan halaman laporan yang tidak terdeteksi. l. Penyelesai tugas (End-of-job marker) Mencegah pemindahan halaman terakhir laporan yang tidak terdeteksi. 2.4 Tehnik Audit Berbantuan Komputer Menurut Standar Profesional Akuntan Publik yang dikutip dari Anies Basalamah (2003, p267), berbagai macam penggunaan komputer dalam audit disebut dengan istilah Tehnik Audit Berbantuan Komputer (TABK) atau Computer Assisted Audit Techniques (CAATs). TABK dapat digunakan dalam pelaksanaan berbagai prosedur audit berikut ini: 1. Untuk mengakses data dalam bentuk yang hanya dapat dibaca oleh mesin 2. Untuk meringkas, mengelompokkan, dan memanipulasi (mengolah data) 3. Untuk menelaah data guna mencari pengecualian-pengecualian yang terjadi 4. Untuk menguji hasil perkalian dan penjumlahan 5. Untuk melaksanakan sampling statistik dari populasi yang ada 6. Untuk memilih dan mencetak konfirmasi 69 7. Untuk membandingkan data yang sama tetapi disimpan dalam file yang berbeda guna melihat kebenaran dan kekonsistensiannya 8. Untuk melaksanakan prosedur-prosedur review analitik, seperti mengidentifikasikan unsur atau fluktuasi yang tidak biasa 9. Untuk menguji perincian mengenai transaksi dan saldo, baik secara sensus (seluruh populasi) ataupun secara sampel 10. Untuk melakukan pengujian pengendalian (umum maupun aplikasi) 11. Untuk mengakses file,yaitu membaca file yang mempunyai record dan format yang berbeda 12. Untuk mengorganisasikan file, misalnya dengan melakukan pemilihan (sortir) dan penggabungan beberapa file 13. Untuk membuat laporan, melakukan pengeditan, dan membuat format keluaran 14. Untuk membuat persamaan dengan operasi logis seperti “AND, OR, =, <>, <, >, ≤, ≥, IF,” dan sebagainya Tehnik data uji (test data atau test decks) menurut Ikatan Akuntan Indonesia yang dikutip Anies Basalamah (2003, p279), dilakukan dengan cara memasukkan data ke dalam sistem komputer dan membandingkan hasil yang diperoleh dengan hasil yang ditentukan sebelumnya. Tujuan dari pengujian ini adalah untuk menilai bagaimana sistem yang ada melakukan pemrosesan atas data yang benar, dan bagaimana reaksinya terhadap data yang salah. Metode ini bermaksud untuk menguji bagaimana suatu program memvalidasi data input untuk memastikan keakuratan dan kelengkapan pemrosesannya. 70 Data yang digunakan meliputi data yang benar (real data) dan data yang salah (dummy data). Selanjutnya, keluaran yang dihasilkan dibandingkan dengan hasil yang diharapkan. 2.5 Bagan Alir Data (Data Flow Diagram) Menurut Mulyadi (2001, p57), bagan alir data adalah suatu model yang menggambarkan aliran data atas proses untuk mengolah data dalam suatu sistem. Menurut J. Hall (2001, p69), diagram alir data menggunakan simbolsimbol untuk mencerminkan proses, sumber-sumber data, arus data dan entitas dalam suatu sistem. Jadi dapat disimpulkan bahwa bagan alir data adalah suatu model yang menggunakan simbol-simbol untuk menggambarkan aliran data dan proses untuk mengolah data dalam suatu sistem. Dalam diagram alir data terdapat tingkatan-tingkatan dimana masingmasing tingkatan menggambarkan isi dari sistem, yaitu: a. Diagram hubungan atau diagram kontes Diagram konteks merupakan diagram tunggal. Diagram ini menggambarkan hubungan sistem aliran data (data flow) dan entiti eksternal (external entity). b. Diagram nol Diagram nol menggambarkan subsistem dari diagram hubungan yang diperoleh dengan memecahkan proses konteks. c. Diagram rinci Diagram rinci merupakan uraian diagram nol yang berisi proses-proses yang menggambarkan bab dari subsistem pada diagram nol. 71 Berikut adalah contoh-contoh simbol standar yang digunakan dalam bagan alir data, yaitu: Entitas, sumber input atau tujuan output data. Proses, menggambarkan hasil atau kegiatan yang dikerjakan oleh sistem. Data store, suatu alat penyimpanan bagi file transaksi, file induk, atau file referensi. 2.6 Aliran data, arah arus data dari suatu entiti ke entiti lainnya. Penilaian Karya 2.6.1 Definisi Penilaian Karya Penilaian karya menurut Kelompok Kompas Gramedia (2005, p1) adalah rangkaian proses kegiatan untuk mengukur, menganalisa dan menilai proses kerja dan hasil kerja karyawan yang telah dicapai, secara terbuka dan sistematis dalam kurun waktu tertentu, formal, secara terus menerus. 72 Hakekat penilaian karya ialah tercapainya pengertian bersama antara atasan dan bawahan dalam tingkat keberhasilan serta faktor yang mempengaruhi keberhasilan tersebut. 2.6.2 Tujuan Dan Manfaat Sistem Penilaian Karya Tujuan dan manfaat dari sistem penilaian karya menurut KKG (2005, p2) adalah: a. Meningkatkan kuantitas, kualitas kerja serta produktifitas kerja. b. Membina dan mengembangkan sumber daya manusia dalam bentuk antara lain: pendidikan dan pelatihan, rotasi, serta kaderisasi sesuai dengan kepentingan karyawan. c. Memberikan penghargaan secara adil dalam bentuk bonus berjenjang seseuai dengan kemampuan karyawan (reward system). d. Sebagai sarana komunikasi atasan dengan bawahan. 2.6.3 Aspek Penilaian Pada Sistem Penilaian Karya 1. Aspek Kinerja Aspek kinerja ditinjau dari tugas pokok atau tanggung jawab dari pemangku jabatan. Tugas pokok diambil atau diturunkan langsung dari uraian pekerjaan yang bersangkutan, kemudian ditetapkan sasaran atau target kerjanya. Penetapan target sedapat mungkin dilakukan secara diagonal antara atasan (penilai) dan bawahan (yang dinilai). 73 2. Aspek Perilaku Aspek perilaku terdiri dari lima faktor, yaitu: a. Kerjasama Unsur-unsur kerjasama adalah: 1) Membantu/menolong 2) Terbuka 3) Tanggap Menunjukkan usaha seseorang dalam membantu/menolong teman kerja secara efektif dan harmonis, disertai sikap terbuka dan tanggap terhadap rekan sekerjanya guna penyelesaian tugasnya. b. Disiplin Unsur-unsur disiplin adalah: 1) Taat peraturan 2) Taat tugas 3) Taat waktu 4) Taat asas Menunjukkan usaha seorang karyawan untuk mematuhi peraturan dan ketentuan yang berlaku di perusahaan dengan tertib, termasuk ketentuan-ketentuan yang berkaitan dengan tugas-tugasnya. c. Semangat kerja Unsur-unsur semangat kerja adalah: 1) Kesediaan memperbaiki diri terus-menerus 2) Bekerja sepenuh hati 3) Tidak kenal lelah 74 4) Ramah dan gembira Menunjukkan usaha seorang karyawan untuk memperbaiki diri secara terus-menerus, dapat bekerja sepenuh hati, ramah dan gembira, tak kenal lelah, sehingga hasil karyanya dapat memacu ke arah perbaikan. d. Inisiatif Unsur-unsur inisiatif adalah: 1) Usaha proaktif 2) Mempelopori Menunjukkan usaha proaktif serta mempelopori upaya menciptakan hal-hal baru yang bermanfaat bagi perusahaan. e. Tanggung jawab Unsur-unsur tanggung jawab adalah: 1) Tekad 2) Tuntas 3) Berani menanggung resiko Menunjukkan usaha yang penuh tekad untuk bekerja tuntas dalam rangka mencapai hasil sebaik-baiknya, serta berani menanggung resiko. 3. Aspek Managerial Aspek managerial khusus untuk karyawan yang membawahi suatu unit kerja dan atau mempunyai bawahan. 75 Aspek manajerial mencakup lima faktor, yaitu: a. Pengambilan keputusan Unsur-unsur pengambilan keputusan adalah: 1) Keterampilan merumuskan masalah. 2) Keterampilan mengumpulkan dan menganalisis data/informasi yang relevan 3) Kemampuan memutuskan alternatif pemecahan masalah yang tepat Mampu merumuskan masalah, mengumpulkan, dan menganalisis data/informasi yang relevan, sehingga dapat memutuskan alternatif pemecahan masalah yang tepat, cepat, dan tegas. b. Pembinaan dan pengembangan bawahan Unsur-unsur pembinaan dan pengembangan bawahan adalah: 1) Kepedulian terhadap kepentingan bawahan 2) Transfer pengetahuan 3) Menyiapkan kader 4) Menghargai kinerja 5) Bersedia menyampaikan umpan balik Kepedulian seorang karyawan terhadap kepentingan bawahan disertai kemampuan dan kesediaan mentransfer pengetahuan, menyiapkan kader, menghargai kinerja, dan kesediaannya menyampaikan umpan balik kepada bawahan. 76 c. Komunikasi Unsur-unsur komunikasi adalah: 1) Kemampuan mendengarakan 2) Kemampuan menyampaikan gagasan Mampu mendengarkan, menyampaikan gagasan, lisan maupun tulisan, dengan penalaran dan sistematis, sehingga dapat ditangkap secara benar, jelas, dan utuh. d. Perencanaan dan pengoranisasian Unsur-unsur perencanaan dan pengorganisasian adalah: 1) Kemampuan merumuskan sasaran dan strategi 2) Kemampuan menggerakkan bawahan Mampu merumuskan sasaran dan strategi, menggerakkan bawahan untuk mencapai sasaran secara efektif dan efisien. e. Pengendalian Unsur-unsur pengendalian: 1) Memantau 2) Mengarahkan Mampu memantau dan mengarahkan pelaksanaan rencana secara konsisten sehingga tidak menyimpang dari sasaran yang ditetapkan.