BAB 2

LANDASAN TEORI

2.1 Sistem Informasi

Menurut O'Brien dan Marakas (2013: 6), “information system (IS) can
be any organized combination of people, hardware, software,
communications networks, data resources, and policies and procedures that
stores, retrieves, transforms, and disseminates information in an
organization”.
Menurut Hall (2013: 5), “Information system is the set of formal
procedures by which data are collected, stored, processed into information,
and distributed to users”.
Maka penulis mendefinisikan sistem informasi menurut pengertian
diatas adalah serangkaian aktivitas kegiatan terintegrasi dari input, proses
sampai output untuk mengolah data hingga menjadi nilai untuk
perusahaan.Dan berikut adalah contoh-contoh dan gambar dari klasifikasi
sistem informasi(O'Brien dan Marakas, 2013: 13-16):

Information
Systems

Operations Managemen
Support t Support
Systems Systems

Specialized Transaction Process Enterprise Management Decision Executive Specialized

Processing Processing Control Collaboration Information Support Information Processing
Systems Systems
Systems Systems Systems Systems Systems Systems

Expert Knowledge Strategic Functional

System management Information Business
Systems Systems Systems

Gambar 2.1 Klasifikasi Sistem Informasi

Sumber: O'Brien dan Marakas (2013: 13)

2.1.1 Operation Support Systems

Operation Support Systems – membantu menjalankan kegiatan
bisnis sehari – hari.

9
10

2.1.1.1 Transaction Processing Systems (TPS)

Transaction Processing Systems (TPS) – mencatat
dan memproses transaksi sehari – hari.
2.1.1.2 Process Control Systems (PCS)
Process Control Systems (PCS) – memantau dan
memberikan pengendalian pada kegiatan atau proses.
2.1.1.3 Enterprise Collaboration Systems (Office Automation
Systems)
Enterprise Collaboration Systems (Office
Automation Systems) – meningkatkan tim, komunikasi
dalam bekerja sama dan produktifitas.

2.1.2 Management Support Systems

Management Support Systems – mendukung kegiatan –
kegiatan manajerial yang berhubungan dengan strategi dan
pengambilan keputusan.
2.1.2.1 Management Information Systems
Management Information Systems – menampilkan
dan melaporkan yang ditujukan untuk manajer sebagai
alat bantu mereka membuat keputusan bisnis yang
lebik baik.
2.1.2.2 Decision Support Systems
Decision Support Systems – bantuan langsung dari
otomatisasi komputer untuk pengambilan keputusan.
2.1.2.3 Executive Information Systems
Executive Information Systems – informasi yang
sangat penting khususnya untuk tingkat eksekutif agar
dapat mengambil keputusan strategi yang lebih baik,
(bukan MIS yang lebih bagus).

2.1.3 Other Information Systems / Specialized Processing Systems

Other Information Systems /Specialized Processing Systems -
mendukung baik operasional maupun manajerial dengan fungsi
khusus yang memang didesain untuk menunjang aktivitas tertentu.
 11

2.1.3.1 Expert Systems

Expert Systems – sistem berbasis ilmu
pengetahuan yang dapat memberikan saran atau
bertindak sebagai konsultan bagi penggunanya.
2.1.3.2 Knowledge Management Systems
Knowledge Management Systems - sistem
informasi berbasis-ilmu pengetahuan yang mendukung
pembuatan, penyimpanan dan pendistribusian business
knowledge kepada para karyawan dan pimpinan dalam
suatu organisasi.
2.1.3.3 Strategic Information Systems
Strategic Information Systems - sistem informasi
yang mendukung proses operasi dan manajemen yang
menyediakan produk, layanan, dan kemampuan
strategis dalam kaitannya dengan keunggulan
kompetitif.
2.1.3.4 Functional Business Systems
Functional Business Systems - sistem informasi
yang mendukung berbagai aplikasi operasioanal dan
manajerial dari fungsi-fungsi bisnis organisasi.

2.2 Sistem Informasi Akuntansi

Menurut Turner dan Weickgenannt (2013: 4), “Accounting
Information System comprises the process, procedures, and system that
capture accounting data from business processes; record the accounting data
in the appropriate records; and report the summarized accounting data to
internal and external users”.
Menurut Considine, Parkes, Olesen, Blount, & Speer (2012: 12),
sistem informasi akuntansi merupakan “an accounting information system
can be define as the application of technology to the capturing, verifying,
storing, sorting and reporting of data relating to an organisation’s
activities”.
Menurut Hall (2013: 7), Sistem Informasi Akuntansi merupakan
proses dari transaksi keuangan dan transaksi bukan keuangan yang memiliki
12

pengaruh langsung terhadap transaksi keuangan. Seperti contoh perubahan

nama dan alamat pelanggan merupakan transaksi bukan keuangan akan tetapi
perubahan tersebut menyediakan informasi penting untuk proses penjualan
pelanggan dimasa yang akan datang.

2.2.1 Tujuan Sistem Informasi Akuntansi

Tujuan dari Sistem Informasi Akuntansi untuk
mengintegrasikan sistem secara fisik untuk mencapai efisiensi
operasional (Hall, 2013: 5).

2.2.3 Jenis Sistem Informasi Akuntansi

Sistem Informasi Akuntansi terbagi menjadi tiga
bagian yaitu General Ledger / Financial Reporting System
(GL/FRS), Transaction Processing System (TPS) dan
Management Reporting System (MRS). Berikut adalah contoh-
contoh dan gambar dari jenis Sistem Informasi Akuntansi
(Hall, 2013: 6-9):

Gambar 2.2 Jenis Sistem Informasi Akuntansi

Sumber: (Hall, 2013: 6)
 13

2.2.3.1 General Ledger / Financial Reporting System (GL/FRS)

General Ledger / Financial Reporting System
(GL/FRS) merupakan dua subsistem AIS yang
berhubungan erat namun tetap berjalan masing -
masing. Sistem GL akan mencatat aktivitas transaksi
yang biasa dilakukan maupun yang jarang dilakukan
kemudian merangkum transaksi – transaki tersebut lalu
sistem FRS akan menghitung dan memberikan output
berupa laporan, status, atau perubahan asset dan
kemudian akan diinformasikan kepada users biasnya
untuk eksternal, contohnya pengembalian pajak,
laporan keuangan tradisional, dan dokumen lainnya.
2.2.3.2 Transaction Processing System (TPS)
TPS merupakan pusat dari fungsi keseluruhan
sistem informasi yang mendukung kegiatan
operasional bisnis setiap harinya seperti laporan,
dokumen dan pesan untuk pengguna dalam organisasi.
TPS memiliki tiga siklus transaksi yaitu expenditure
cycle, conversion cycle, dan revenue cycle.
2.2.3.2.1 Expenditure Cycle
Expenditure Cycle merupakan aktivitas
bisnis dimulai pada saat pengadaan bahan,
tenaga kerja sampai penukaran kas.
Expenditure Cycle terbagi menjadi empat
bagian yaitu sistem pembelian, sistem
pengeluaran kas, sistem proses penggajian, dan
sistem harta tetap(Hall, 2013: 33). Yang
termasuk dalam Expenditure Cycle adalah :
a. Purchase System
b. Cash Disbursement System
c. Payroll Processing System
d. Fixed Asset System
14

2.2.3.2.2 Conversion Cycle

Conversion Cycle terdiri dari dua bagian
yaitu sistem akuntansi biaya dan sistem
perencanaan produksi dan sistem pengendalian
(Hall, 2013: 33). Yang termasuk Conversion
Cycle adalah :
a. Cost Accounting System
b. Production Planning and
Control System
2.2.3.2.3 Revenue Cycle
Revenue Cycle meliputi proses
penjualan tunai, penjualan kredit dan
penerimaan kas dari penjualan kredit(Hall,
2013: 33).
2.2.3.2.3.1 Sales Processing System
Sales Processing System terdiri
dari menerima dan memproses pesanan
pelanggan, memenuhi pesanan dan
pengiriman produk ke pelanggan,
penagihan ke pelanggan dan memeriksa
transaksi akuntansi (Hall, 2013: 146).
2.2.3.2.3.2 Cash Receipt System
Pada prosedur penjualan hasil
dari transaksi kredit yaitu piutang, dan
prosedur sistem penerimaan kas untuk
kejadian yang akan datang yang
meliputi penerimaan kas, penyimpanan
kas di Bank, mencocokan pembayaran
pelanggan dengan menyesuaikan akun
yang benar, dan mencocokan rincian
transaksi keuangan (Hall, 2013: 155).
2.2.3.3 Management Reporting System
MRS menyediakan informasi keuangan internal yang
dibutuhkan dalam mengelola bisnis.Manajer harus
 15

menghadapi masalah bisnis sehari – hari, begitu juga membuat

perencanaan dan mengawasi operasional.Manajer
membutuhkan berbagai jenis informasi yang berbeda – beda
untuk mengambil keputusan. Jenis laporannya termasuk
pendanaan, laporan varian, analisa cost–volume–profit, dan
laporan biaya (lebih membutuhkan yang berjalan
dibandingkan yang sudah lama). Laporan ini biasa disebut
”discretionary reporting” karena organisasi dapat memilih
informasi apa dan bagaimana menyajikannya.

2.3 Siklus Pendapatan

Menurut Hall (2013: 33)“Revenue cycle which involves processing
cash sales, credit sales, and the receipt of cash following a credit sale”.
Menurut Considine, Parkes, Olesen, Blount dan Speer (2012 :
394),“The revenue cycle commences when a customer indicates they want to
purchase a product, and ends after the product has been delivered and
payment received”.
Maka penulis mendefinisikan siklus pendapatan menurut pengertian
diatas adalah proses bisnisdimulai dari permintaan, penjualan, memberikan
value sampai penerimaan kas. Menurut Considine, Parkes, Olesen, Blount
dan Speer (2012: 398), siklus pendapatan dibagi menjadi dua yaitu :
a. Front End:Front-end dari siklus pendapatan adalah proses
yang berhadapan langsung dengan pelanggan ketika transaksi
terjadi.
b. Back End: bagian dari siklus penjualan yang dilakukan oleh
karyawan yang tidak kontak langsung dengan pelanggan.

2.4 Risiko
Menurut Peltier (2014: 53), “The combination of threat, probability,
and impact expressed as a value in a predefined range”.
Menurut Peltier (2005:8),“Risk is a threat that exploits some
vulnerability that could cause harm to an asset, a risk within a system is
represented by the formula (asset * threat * vulnerability)”.
16

Menurut Kouns dan Minoli (2010: 4), “Risk is a quantitative measure

of the potential damage caused by a threat, by a vulnerability, or by an event
(malicious or nonmalicious) that affects the set of IT assets owned by the
organization”.
Menurut Ulric J. Gelinas, Dull dan Wheeler (2012: 222), “Risks are
those events that would have a negative impact on organization objectives,
and opportunities are events that would have a positive impact on
objectives”.
Dengan melihat definisi para ahli di atas maka penulis mengartikan
risiko sebagai sesuatu kemungkinan yang dapat terjadi disebabkan oleh
ancaman, kerentanan dan kelalaian yang memiliki dampak dan juga bisa
datang dari internal maupun eksternal.

2.4.1 Ancaman
Menurut Peltier (2014: 53),“Threat the potential for an
event, malicious or otherwise, that would damage or
compromise an asset”.
Dengan melihat definisi ahli di atas maka penulis
mengartikan ancaman sebagai sesuatu yang berpotensi
merugikan perusahaan atau organisasi.

2.4.2 Kerentanan
Menurut Peltier (2005: 53) kerentanan adalah, “Any
flaw or weakness in the asset’s defenses that could be
exploited by a threat to create an impact on the asset”.
Menurut ISO (2009) kerentanan adalah,“Intrinsic
properties of something resulting in susceptibility to a risk
source that can lead to an event with a consequence”.
Dengan melihat definisi para ahli di atas maka penulis
mengartikan kerentanan sebagai celah yang dapat ditembus
sehingga mungkin membahayakan atau merugikan bagi
perusahaan.
 17

2.5 Jenis Risiko

Menurut Cannon (2011: 153), “An audit risk assessment should take
into account the following types of risks.” Sebuah audit penilaian risiko harus
memperhitungkan jenis – jenis risiko berikut. Dibawah ini adalah jenis – jenis
risiko yang dimaksud di atas :
1. Inherent Risks – “These are natural or built-in risks that
always exist. Driving your automobile holds the inherent risk
of an automobile accident or a flat tire. Theft is an inherent
risk for items of high value.”Inherent Risks ini adalah risiko
alami atau bawaan yang akan selalu ada. Menyetir kendaraan
bermotor memiliki inherent risk yaitu kecelakaan atau ban
kempes. Pencurian adalah inherent risk dari barang berharga.
2. Detection Risks – “These are the risks that an auditor will not
be able to detect what is being sought. It would be terrible to
report no negative results when material conditions (faults)
actually exist. Detection risks include sampling and
nonsampling risks.”Detection Risks ini adalah risiko – risiko
yang tidak akan bisa diketahui auditor. Akan sangat gawat
sekali untuk melaporkan hasil yang tidak negatif ketika
sebenarnya terdapat kondisi material atau bukti kesalahan. Di
dalam inherent risk di dalamnya terdapat sampling risks dan
nonsampling risk :
a. Sampling Risks – “These are the risks that an auditor
will falsely accept or erroneously reject an audit
sample (evidence).” Sampling Risks adalah risiko
dimana auditor akan dengan salah menerima sampel
audit (bukti) atau keliru menolak sampel audit (bukti).
b. Nonsampling Risks – “These are the risks that an
auditor will fail to detect a condition because of not
applying the appropriate procedure or using
procedures inconsistent with the audit objective
(detection fault).”Nonsampling Risks adalah risiko
dimana auditor gagal mendeteksi suatu kondisi
dikarenakan tidak konsisten dalam menerapkan
18

prosedur atau tidak menerapkan prosedur yang sesuai

dengan tujuan audit
3. Control Risks – “These are the risks that an auditor could
lose control, errors could be introduced, or errors may not be
corrected in a timely manner (if ever).”Control Risks adalah
risiko dimana auditor kehilangan pengendalian, kesalahan bisa
saja dilakukan, atau kesalahan tidak dikoreksi sesuai jadwal.
4. Business Risks – “These are risks that are inherent in the
business or industry itself. They may be regulatory,
contractual, or financial.” Business Risks adalah risiko yang
dibawa dari bisnis atau industri organisasi itu sendiri. Bisa saja
seperti regulasi, yang memiliki kontrak, atau financial.
5. Technological Risks – “These are inherent risks of using
automated technology. Systems do fail.” Technological Risks
adalah risiko yang muncul akibat penggunaan teknologi yang
otomatis. Kegagalan sistem bisa saja terjadi.
6. Operational Risks – “These are the risks that a process or
procedure will not perform correctly.” Operational Risks
adalah risiko dimana sebuah proses atau prosedur tidak
berjalan secara benar atau sesuai.
7. Residual Risks – “These are the risks that remain after all
mitigation efforts are performed.” Residual Risks adalah risiko
yang masih tersisa atau ada setelah semua upaya mitigasi
dijalankan.
8. Audit Risks – “These are the combination of inherent,
detection, control, and residual risks.” Audit Risks adalah
gabungan dari risko inherent, detection, control, dan residual.

2.6 Penilaian Risiko Tradisional

Menurut Peltier (2014: 53), CIA adalah salah satu bentuk penilaian
risiko yang tradisional, sangat penting untuk diketahui bahwa masih ada
atribut lainnya yang bisa digunakan. Pada penilaian risiko yang akan
dilakukan, penulis menambahkan dua atribut yaitu reliability dan compliance.
 19

Berikut adalah tabel definisi Availability, Confidentiality, Integrity,

Reliability, Compliance:

Tabel 2.1 Definisi Availability, Confidentiality, Integrity, Reliability, Compliance

Term Definition
Availability Menjamin informasi dan komunikasi akan tersedia untuk digunakan
bila diharapkan
Confidentiality Jaminan bahwa informasi tidak diungkapkan kepada entitas atau
proses yang tidak patut
Integrity Menjamin informasi tidak akan diubah atau dihancurkan secara
tidak sengaja ataupun dengan maksud jahat
Reliability Menjaga hasil performa yang telah dicapai agar dapat digunakan
berulang kali atau terus menerus
Compliance Kepatuhan atau ketaatan dalam menjalankan prosedur atau regulasi,
mengikuti ketetapan yang sudah ada atau dibuat
Sumber : (Peltier, 2014: 55), (Cochran & McKinzie, 2011: 10)

2.7 Penilaian Risiko

Menurut Peltier (2014: 53),“ risk assessment is to determine threats to
assets based on examining confidentiality, integrity, and availability try to
remain open to other possibilities”.
Menurut Ulric J. Gelinas, Dull dan Wheeler (2012: 221), “risk
assessment is risk are analyzed, considering likelihood and impact, as a basis
for determining how they should be managed”.
Maka penulis mendefinisikan penilaian risiko menurut pengertian
diatas adalah aktivitas memindai dan menilai ancaman dengan melihat
kriteria kerahasiaan, keutuhan, dan ketersediaan nilai asset dari segala
kemungkinan.

2.7.1 Matriks Penilaian Risiko

Menurut ISO 31000 (2009),“risk management
framework set of components that provide the foundations and
20

organizational arrangements for designing,

implementing, monitoring, reviewing and continually
improving risk management throughout the organization”.
Menurut ISO 31000 (2009), “Risk Matrix is a tool for
ranking and displaying risks by defining ranges
for consequence and likelihood”. Adalah sebuah alat bantu
untuk membuat peringkat dan menampilkan risiko – risiko
dengan mendefinisikan kisaran koonsekuensi dan seberapa
sering terjadinya.
Berikut adalah elemen-elemen yang ada pada matriks
risiko menurut ISO 31000 (2009):
1. Level of Risk – “Magnitude of a risk or
combination of risks, expressed in terms of the
combination of consequences and their likelihood”.
Besarnya risiko atau kombinasi risiko, yang
dinyatakan dalam kombinasi dari konsekuensi dan
kemungkinan terjadinya.
2. Likelihood – “Chance of something happening”.
Didalam istilah manajemen risiko, kata
“likelihood” digunakan untuk menunjukan
kemungkinan sesuatu dapat terjadi, bisa saja
didefinisikan, diukur atau ditentukan secara
objektif dan subjektif, maupun secara kuantitatif
dan kualitatif (seperti probabilitas dan frekuensi).
3. Probability – “Measure of the chance of
occurrence expressed as a number between 0 and
1, where 0 is impossibility and 1 is absolute
certainty”.Mengukur kemungkinan terjadi yang
dinyatakan dengan angka antara 0 sampai dengan
1, dimana 0 adalah tidak mungkin terjadi dan 1
adalah mutlak pasti terjadi.
4. Frequency – “Number of events or outcomes per
defined unit of time”.Adalah angka terjadinya
 21

sesuatu atau output yang muncul yang dinyatakan

dengan periode waktu tertentu.
5. Consequence – “Outcome of an event affecting
objective”. Sesuatu yang muncul didalam aktivitas
atau kegiatan dan mempengaruhi tujuan dari
kegiatan tersebut. Konsekuensi bisa saja pasti ada
atau mungkin ada, juga dapat memiliki dampak
yang positif ataupun negatif. Konsekuensi dapat
dinyatakan secara kuantitatif ataupun kualitatif.
Penulis juga mengambil referensi dari Peltier (2005:
24, 26, 173). Berikut adalah gambar matriks penilaian risiko
contoh 1, sebagai berikut (Peltier, 2005: 24):

IMPACT

P
High Medium Low
R
O High
B
A A B C
B
I
L Medium B B C
I
T
Y Low C C D

A - Corrective action must be implemented

B - Corrective action should be implemented
C - Requires monitor
D - No action required at this time

Gambar 2.3 Probability – impact matrix example 1

Sumber: (Peltier, 2005: 24)
22

Berikut adalah tabel definisi penjelasan Probability –

impact matrix diatas, sebagai berikut(Peltier, 2005: 173):

Tabel 2.2 Probability Definitions

Term Definition
Probability Chance that an event will occur or that a specific loss
value may be attained should the event occur
High Very likely that the threat will occur within the next year
Medium Possible that the threat may occur within the next year
Low Highly unlikely that the threat will occur within the next
year
Sumber : (Peltier, 2005: 173)

Tabel 2.3 Impact Definitions

Term Definition
Impact A measure of the magnitude of loss or harm on the value
of an asset
High Entire mission or business impacted
Medium Loss is limited to single business unit or objective
Low Business as usual
Sumber : (Peltier, 2005: 173)

2.8 Manajemen Risiko

Menurut Peltier (2014: 21), “risk management is to identify risks,
assess the likelihood of their occurring, and then take steps to reduce all risks
to an acceptable level”.
MenurutPeltier (2005: 8), “Risk management is the total cost to
identify, control, and minimize theimpact of uncertain events. The objective of
risk management is to reduce risk to an acceptable level”.
Menurut ISO 31000 (2009), “risk management is a coordinated
activities to direct and control an organization with regard to risk. Risk
management framework set of components that provide the foundations and
organizational arrangements for designing, implementing, monitoring,
 23

reviewing and continually improving risk management throughout the

organization
Note 1 to entry: The foundations include the policy, objectives,
mandate and commitment to manage risk.
Note 2 to entry: The organizational arrangements include
plans, relationships, accountabilities, resources, processes
and activities.
Note 3 to entry: The risk management framework is embedded
within the organization's overall strategic and operational
policies and practices”.
Maka penulis mendefinisikan manajemen risiko menurut pengertian
diatas adalah proses menanggapi ancaman dapat dilakukan dengan menerima,
mengkontrol, meminimalisir, memindahkan dan menghindari risiko sampai
ketingkat yang dapat diterima.

2.9 Mitigasi Risiko

Menurut Peltier (2005: 38), “Risk mitigation is a systematic
methodology used by senior management to reduce organizational risk”.
Maka penulis mendefinisikan mitigasi risiko menurut pengertian
diatas adalah sebuah metodologi sistematis yang digunakan untuk
mengurangi risiko organisasi.

2.10 Penerapan ISO 31000:2009

ISO 31000:2009 merupakan salah satu prinsip dan panduan untuk
membantu melakukan manajemen risiko yang dikeluarkan oleh International
Standard Organization.Dengan menggunakan ISO 31000:2009 membantu
dalam melakukan indentifikasi risiko, penilaian risiko, dan mengevaluasi
risiko (ISO, 2009).
ISO 31000:2009 terdiri dari tiga bagian utama yaitu establishing the
context, risk assessment (risk identification, risk analysis, risk evaluation),
dan risk treatment. Kemudian memiliki dua bagian pendukung yaitu
communication and consultation dan monitoring and review.
24

Establishing the context

(2.10.2)

Risk Assessment (2.10.3)

Communication Risk identification Monitoring

and (2.10.3.1) and

Consultation review
Risk analysis (2.10.3.2)
(2.10.1)

Risk evaluation (2.10.3.3)

Risk treatment (2.10.4)

Gambar 2.4 Hubungan Antara Prinsip, Framework dan Proses

Manajemen Risiko
Sumber: (ISO 31000, 2009: 3)

2.10.1 Communication and Consultation

“Communication and consultation continual and iterative
processes that an organization conducts to provide, share or obtain
information, and to engage in dialogue with stakeholders regarding
the management of risk.
Note 1 to entry: The information can relate to the
existence, nature, form, likelihood, significance,
evaluation, acceptability and treatment of the
management of risk.” (ISO, 2009).
Proses komunikasi dan konsultasi yang berlanjut dan berulang
dengan tujuan untuk mendapatkan, membagi, menemukan informasi
 25

dan mengikutsertakan diskusi dengan stakeholders mengenai

pengelolaan risiko.

2.10.2 Establishing the Context

“Establishing the context defining the external and internal
parameters to be taken into account when managing risk, and setting
the scope and risk criteria for the risk management policy” (ISO,
2009). Establishing the context mendefinisikan parameter internal dan
eksternal yang akan dimasukan atau diperhatikan ketika mengelola
risiko dan menentukan lingkup dan kriteria risiko untuk kebijakan
manajemen risiko.

2.10.3 Risk Assessment

“Overall process of risk identification, risk analysis and risk
evaluation” (ISO, 2009). Keseluruhan dari proses indentifikasi risiko,
analisis risiko, dan evaluasi risiko.
2.10.3.1 Risk Identification
“Process of finding, recognizing and
describing risks” (ISO, 2009). Proses menemukan,
menyadari, dan mendeskripsikan risiko. Penyebab dan
potensi konsekuensi termasuk dalam mengidentifikasi
risiko.Identifikasi risiko dapat melibatkan data historis,
analisis teoritis, informasi dan opini para ahli, dan
kebutuhan stakeholder.
2.10.3.2 Risk Analysis
“Process to comprehend the nature of risk and
to determine the level of risk” (ISO, 2009). Proses
untuk memahami sifat risiko dan menentukan tingkat
risiko. Analisis risiko juga memberikan dasar untuk
evaluasi risiko dan keputusan tentang perlakuan risiko.
2.10.3.3 Risk Evaluation
“Process of comparing the results of risk
analysis with risk criteria to determine whether
the risk and/or its magnitude is acceptable or
26

tolerable” (ISO, 2009). Proses membandingkan hasil

analisis risiko dengan kriteria risiko untuk menentukan
apakah risiko atau juga besarnya risiko dapat diterima
atau ditoleransi. Evaluasi risiko juga membantu pada
saat menentukan keputusan tentang treatment risiko.

2.10.4 Risk Treatment

“Process to modify risk” (ISO, 2009). Proses memodifikasi
risiko termasuk menghindari risiko dengan memutuskan untuk tidak
memulai atau melanjutkan aktivitas yang menimbulkan risiko,
mengambil atau menambah risiko dengan tujuan mengejar peluang,
menghilangkan sumber risiko, mengubah kemungkinan terjadi,
mengubah konsekuensinya, membagi risiko dengan pihak lain, tetap
mengelola risiko dengan keputusan yang sudah diambil. Dalam
melakukan treatment risiko dapat memunculkan risiko baru atau
mengubah risiko yang sudah ada.
1. Control – “Measure that is
modifying risk” Pengendalian mencakup proses,
kebijakan, penggunaan alat, praktek, atau tindakan
lain yang memodifikasi risiko.
2. Risk Avoidance – “Informed decision not to be
involved in, or to withdraw from, an activity in
order not to be exposed to a particular risk”.
Memutuskan untuk tidak terlibat dalam risiko, atau
menarik diri dari risiko termasuk juga kegiatan
tertentu yang dilakukan agar tidak terkena risiko.
3. Risk Sharing – “Form of risk treatment involving
the agreed distribution of risk with other parties”.
Pembagian risiko ke pihak lain dapat berupa
pembelian asuransi atau dengan kontrak perjanjian.
Sejauh mana risiko didistribusikan bergantung pada
keandalan dan kejelasan di dalam perjanjian atau
persetujuan. Pemindahan risiko adalah salah satu
bentuk dari pembagian risiko.
 27

4. Risk Financing – “Form of risk

treatment involving contingent arrangements for
the provision of funds to meet or modify the
financial consequences should they occur”. Bentuk
perlakuan risiko yang melibatkan pengaturan
bagian sehubungan dengan penyediaan dana untuk
memenuhi atau memodifikasi konsekuensi
keuangan yang mungkin terjadi.
5. Risk Retention – “Acceptance of the potential
benefit of gain, or burden of loss, from a
particular risk”. Dengan menerima residual risk
termasuk dalam risk retention. Tingkat menerima
risiko bergantung pada kriteria yang ditentukan.

2.11 Unified Modeling Language (UML)

Menurut Satzinger, Jackson dan Burd (2012: 46), “UML is the
standard set of model constructs and notations defined by the Object
Management Group (OMG), a standards organization for system
development”.
Maka penulis mendefinisikan UML menurut pengertian diatas adalah
bahasa berupa gambar, tabel atau diagram yangakan digunakan untuk
pengembangan sistem agar lebih mudah dimengerti dan diterjemahkan.

2.10.1 Activity Diagram

Menurut Satzinger, Jackson dan Burd (2012: 57),“
activity diagram describes the various user (or system)
activities, the person who does each activity, and the
sequential flow of these activities”.
Maka penulis mendefinisikan menurut pengertian
diatas adalah diagram yang menggambarkan alur aktivitas dan
penggunanya atau sistem dalam melakukan aktivitas secara
berurutan.
28

2.10.2 Use Case

Menurut Satzinger, Jackson dan Burd (2012: 69),“ A
use case is an activity the system performs, usually in response
to a request by a user”.
Maka penulis mendefinisikan use case menurut
pengertian diatas adalah gambaran yang bertujuan untuk
mengetahui aktivitas pada sistem dan siapakah penggunanya.

2.10.3 Use Case Description

Menurut Satzinger, Jackson dan Burd (2010: 171),
“Use case description a textual model that lists and describes
the processing details for a use case”.
Maka penulis mendefinisikan Use case description
menurut pengertian diatas adalahmodel tekstual yang berisi
daftar dan menjelaskan rincian proses untuk use case.

2.10.4 Class diagram

Menurut Satzinger, Jackson dan Burd (2012: 101),
“class diagram is used to show classes of objects for a
system”.
Maka penulis mendefinisikan class diagram menurut
pengertian diatas adalah diagram yang digunakan untuk
menggambarkan objek-objek dari kelas-kelas untuk sistem
biasanya untuk penyimpanan data.

2.10.5 Event Table

Menurut Satzinger, Jackson dan Burd (2010: 168),
“event table includes rows and columns, representing events
and their details, respectively”.
Maka penulis mendefinisikan Event table menurut
pengertian diatas adalah tabel yang berisi baris dan kolom
yang menggambarkan kejadian, pemicunya dan juga
rinciannya.
 29

2.10.6 Storyboard
Menurut Satzinger, Jackson dan Burd (2012: 200),
“storyboarding—that is, showing a sequence of sketches of the
display screen during a dialog”.
Maka penulis mendefinisikan storyboard menurut
pengertian diatas adalah tampilan sketsa secara berurutan
selama percakapan.

2.11Previous Study
Berikut adalah penulisan karya ilmiah sebelumnya sudah pernah
dilakukan yang memiliki keterkaitan dengan penulisan tugas akhir penulis :

2.11.1 Previous Study 1 – Previous Study Terkait

Penggunaan Matriks Penilaian Risiko
Berdasarkan jurnal yang ditulis oleh Mikulecky
(2008), dengan judul “Operational Risks
Measurement” penulis dapat melihat kesimpulan dari
penulisan sebelumnya membahas pengukuran risiko
operasional dengan menggunakan matriks yang
compliance dengan ISO/IEC 27001.
Pengukuran risiko operasional terbagi menjadi
dua proses yaitu untuk mengukur nilai dari risiko
operasional dan mengukur tingkatan dari
penanggulangan risiko operasional. Adapun landasan
dari pengukuran risiko operasional untuk menerapkan
metodologi yang konsisten dan transparan antara
metodologi yang berbeda.
Hal ini dibutuhkan untuk mengembangkan
matriks yang dapat dipahami dengan mudah dan cepat
dalam melakukan penentuan tingkatan risiko baik itu
risiko yang tinggi maupun risiko rendah. Dengan
adanya matriks tersebut dapat membantu untuk
memberikan respon yang sesuai dari risiko yang ada.
30

Adapun respon yang diberikan oleh penulis

setelah melakukan analisis pada penulisan sebelumnya
terbagi menjadi tiga bagian yaitu accepted, treated atau
avoided.
Dan ada juga alasan penulis ingin
menggunakan matriks adalah berdasarkan salah satu
kesimpulan yang ditulis oleh Mikulecky matriks
membantu dalam melakukan penentuan tingkatan
risiko baik itu risiko yang tinggi maupun risiko rendah
serta dapat membantu dalam memberikan respon yang
sesuai dengan tingkatan risiko tersebut.

2.11.2 Previous Study 2 – Previous Study Terkait Penerapan

ISO 31000:2009 oleh Ayuningtyas Setia Budi
Dengan melihat jurnal yang telah dibuat oleh
Ayuningtyas Setia Budi maka penulis dapat melihat
kesimpulan yang telah didapat oleh Ayuningtyas Setia
Budi dari jurnalnya yang berjudul “Analisis Risk
Management Berbasis ISO 31000 Untuk Mengurangi
Wanprestasi Kontrak Pada CV. Putra Pertama di
Surabaya” maka dengan adanya manajemen risiko
membantu perusahaan untuk mengidentifikasi,
mencegah, dan menanggulangi risiko-risiko yang
mungkin terjadi di perusahaan khususnya pada siklus
pendapatan serta mengoptimalkan strategi manajemen,
mengamankan sumber daya dan asset yang dimiliki
perusahaan. Untuk melakukan manajemen risiko maka
dapat digunakan sebuah metodologi yaitu ISO
31000:2009 (Budi, 2014: 2).
Dan ada juga alasan penulis ingin
menggunakan ISO 31000:2009 adalah berdasarkan
salah satu kesimpulan dari jurnal yang ditulis oleh
Ayuningtyas Setia Budi yaitu menggunakan ISO
31000:2009 karena mudah diaplikasikan dan tidak
 31

dibuat spesifik untuk jenis perusahaan atau industri

tertentu saja, maka dari itu ISO 31000:2009 lebih
mudah disesuaikan dengan semua aktivitas atau
kegiatan operasional yang ada di perusahaan (Budi,
2014: 6)
32