6 BAB 2 LANDASAN TEORI
2.1 Sistem Informasi Akuntansi 2.1.1
Pengertian Sistem Informasi Akuntansi Sistem informasi akuntansi adalah sistem yang dirancang untuk mengubah data
akuntansi menjadi informasi akuntansi. Menurut Wilkinson, Cerullo, Raval, Wong-OnWing (2003, p.7), “An accounting information systems is a unified structured within an entity, such as a business firm, that employs phsyical resources and other components to transform economic data into accounting information, with the purpose of satisfying the information needs of variety of users.” Dari kutipan tersebut dapat diterjemahkan secara garis besar bahwa Sistem informasi akuntansi adalah sebuah struktur kesatuan yang terdiri dari entitas, misalnya perusahaan bisnis, yang memperkerjakan sumber daya fisik dan komponen lainnya untuk mentransformasikan data ekonomi menjadi informasi akuntansi, dengan tujuan untuk memuaskan kebutuhan informasi bagi user yang bervariasi. Berbagai definisi lain yang dapat dikutip misalnya sistem informasi akuntansi menurut Romney dan Steinbart (2006) adalah sistem yang mengumpulkan, mencatat, menyimpan, dan memproses data untuk menghasilkan informasi bagi pengambil keputusan. Sedangkan menurut Eddy Vaasssen (2002) sistem informasi akuntansi mempelajari struktur dan operasi dari perencanaan dan proses kontrol. Jadi, berdasarkan uraian di atas maka dapat disimpulkan bahwa pengertian sistem informasi akuntansi adalah sistem yang mengumpulkan, mencatat, menyimpan dan memproses data akuntansi menjadi informasi yang berguna bagi user.
7 2.1.2
Tujuan Sistem Informasi Akuntansi Tujuan sistem informasi akuntansi sebagai berikut (Eddy Vaasssen, 2002) :
a) Menyediakan informasi untuk pengambilan keputusan dan kemampuan menghitung bagi pemegang saham internal dan eksternal di mana yang sebanding dengan kriteria kualitas yang spesifik. b) Menyediakan kondisi untuk pengambilan keputusan yang benar. c) Meyakinkan bahwa tidak ada asset yang hilang dari organisasi. Sedangkan dari sudut pandang (Hall, 2001), Tujuan sistem informasi akuntansi adalah sebagai berikut: a) Untuk mendukung operasi rutin dalam perusahaan (day to day), di mana sistem informasi dapat memaksimalkan kinerja perusahaan sehingga dapat berjalan efektif dan efisien. b) Untuk mendukung pengambilan keputusan, di mana sistem informasi dapat menghasilkan informasi penting yang berguna bagi pengambil keputusan internal. c) Untuk memenuhi kewajiban yang berhubungan dengan kepengurusan/ tanggungjawab (stewardship), yang mana kewajiban yang harus dijalankan itu cenderung pada informasi yang bersifat mandatory.
2.1.3
Komponen Sistem Informasi Akuntansi Sistem informasi akuntansi terdiri dari komponen-komponen yang saling terkait
dan berinteraksi satu sama lain membentuk satu kesatuan yang utuh untuk mencapai tujuan tertentu. Sistem informasi akuntansi terdiri dari enam komponen, yaitu (Romney dan Steinbart, 2006) :
8 a) Manusia yang menjalankan sistem dan menampilkan fungsi yang bervariasi. b) Prosedur baik manual dan komputerisasi mencakup mengumpulkan, memproses, dan menyimpan data tentang aktivitas perusahaan. c) Data tentang proses bisnis perusahaan. d) Software yang digunakan untuk memproses data perusahaan. e) Infrastruktur teknologi informasi termasuk komputer, jaringan komunikasi, dan perangkat keras lainnya. f) Pengendalian internal dan pengukuran keamanan yang melindungi data dalam sistem informasi akuntansi.
2.1.4
Siklus Proses Transaksi Sistem Informasi Akuntansi Menurut George H. Bodnar dan William S. Hopwood yang diterjemahkan oleh
Jusuf, A.A (dalam Gondodiyoto dan Hendarti, 2006, h.123-124) “bahwa arus transaksi operasional dapat dikelompokan sesuai dengan empat siklus aktivitas bisnis, yaitu: a) Siklus pendapatan (revenue cycle), yaitu siklus proses data transaksi terkait dengan distribusi barang/ jasa ke pihak lain dan penagihan pembayarannya. b) Siklus pengeluaran (expenditure cycle), yang berkaitan dengan perolehan barang/ jasa dari pihak lain dan penetapan kewajiban yang berkaitan. c) Siklus produksi (conversion cycle), pemrosesan data yang berkaitan dengan pengubahan sumber daya menjadi barang atau jasa. d) Siklus keuangan (financial cycle), pemrosesan data yang berkaitan dengan perolehan dan manajemen dana modal, termasuk kas.”
9 2.1.5
Manajemen Data
Mengacu pada pendapat Gandodiyoto dan Hendarti (2006,p.115). Manajemen data terdiri dari : a) Storing, melakukan penempatan data dalam tempat penyimpanan yang dinamakan files atau databases. b) Maintaining, melakukan penyesuaian terhadap data yang disimpan untuk merefleksikan data terbaru berdasarkan events, operations dan decisions. c) Retrieving, terdiri dari mengakses dan membuka data, baik untuk melakukan suatu proses atau membuat laporan kepada users.
2.2
Sistem Informasi Persediaan
2.2.1
Pengertian Persediaan Niswonger, Warren, Reeve dan Fess (2002, p.350) mendefinisikan, “Inventory is
merchandise held for sell in the normal course of business and materials in the process of production or held for production.” Secara garis besar dapat diartikan bahwa persediaan digunakan untuk menjelaskan (1) Barang-barang yang disimpan untuk penjualan dalam proses bisnis. (2) Bahan baku dalam proses produksi yang disimpan serta digunakan untuk keperluan produksi. Berdasarkan Handoko (1999, h.393), “ Persediaan (Inventory) adalah suatu istilah umum yang menunjukkan segala sesuatu atau sumber daya- daya organisasi yang disimpan dalam antisipasinya terhadap pemenuhan permintaan. Jadi, dapat diartikan bahwa persediaan adalah suatu sumber daya yang disimpan untuk proses produksi ataupun untuk penjualan dalam proses bisnis.
10 2.2.2
Jenis Persediaan Menurut Handoko (1999, h.334-335) “ Persediaan dibedakan menurut jenis dan
posisi barang tersebut dalam urutan pengerjaan produk, yaitu: a) Persediaan bahan baku (Raw Material Stock) Yaitu persediaan barang-barang berwujud yang digunakan dalam proses produksi, barang tersebut diperoleh dari sumber-sumber alam ataupun dibeli dari pemasok atau perusahaan lain. Contohnya: Baja, kayu, dan lain-lain. b) Persediaan komponen-komponen rakitan (Purchased Parts/ Components) Yaitu persediaan yang terdiri dari komponen-komponen yang diperoleh dari perusahaan lain yang langsung dapat dirakit menjadi suatu produk. c) Persediaan bahan pembantu/ barang perlengkapan (Supplis Stock). Yaitu persediaan yang diperlukan dalam proses produksi untuk membantu proses produksi tetapi tidak merupakan bagian atau komponen barang jadi. d) Persediaan barang setengah jadi atau barang dalam proses (Work in Process/ Progress Stock) Yaitu persediaan yang merupakan keluaran dari bagian dalam proses produksi yang telah diolah menjadi suatu bentuk, tetapi masih perlu diproses lebih lanjut menjadi barang jadi. e) Persediaan barang jadi (Finish goods stock) Yaitu persediaan yang telah selesai diproses atau diolah dalam pabrik dan siap untuk dipasarkan.”
11 Sedangkan menurut Arens dan Loebbecke (2003, p.553). Dalam perusahaan manufaktur, persediaan terdiri dari : persediaan produk jadi, persediaan produk dalam proses, persediaan bahan baku, persediaan bahan penolong, persediaan bahan habis pakai pabrik, persediaan suku cadang. Dalam perusahaan dagang, persediaan hanya terdiri dari satu golongan yaitu persediaan barang dagangan, yang merupakan barang yang dibeli untuk dijual kembali.
2.2.3
Metode Pencatatan Persediaan Adapun metode pencatatan persediaan terdiri dari (Niswonger et al, 1999):
1.
Sistem Perpetual Dalam sistem persediaan perpetual, jumlah unit dan biaya setiap jenis barang dagang dicatat dalam buku besar pembantu persediaan, dengan akun terpisah untuk setiap jenis barang dagang.
2.
Sistem Periodik Dalam sistem persediaan periodik, hanya pencatatan yang dicatat setiap kali penjualan dilakukan. Tidak ada ayat jurnal yang dibuat pada saat penjualan untuk mencatat harga pokok penjualan. Pada akhir periode akuntansi, perhitungan fisik persediaan dilakukan untuk menentukan biaya persediaan atau harga pokok persediaan dan harga pokok penjualan.
12 2.2.4
Sistem dan Prosedur yang Bersangkutan dengan Persediaan
2.2.4.1 Narasi Pada saat stock-in (Wilkinson, 2000): Ketika bagian gudang menerima barang dari supplier, bagian gudang kemudian memeriksa dan menghitung jumlah barang yang dipesan apakah telah sesuai dengan nomor puchase order yang tertera pada packing slip. Setalah barang sesuai dengan pesanan, maka bagian penerima barang akan menginput data pembelian barang pada terminal, dimana deskripsi produk berasal dari merchandise inventory file yang berhubungan dengan purchase order file. Kemudian menyimpan data penerimaan barang, selanjutnya membuat laporan penerimaan barang (receiving report) yang akan disimpan pada receiving report file untuk dijadikan sebagai accounts payable. Kemudian bagian penerima juga akan mengupdate master file, yaitu: merchandise inventory master file yang akan menambah jumlah barang yang ada di gudang, supplier history file berupa ringkasan penerimaan barang dan receiving report file berupa data penerimaan barang. Sedangkan prosedur pada saat stock-out: Ketika terdapat pesanan barang dari pelanggan, bagian gudang menerima picking list dari bagian penjualan yang berisi daftar pesanan barang, kemudian bagian gudang akan menyiapkan barang untuk diambil oleh bagian pengiriman. Bagian gudang akan menghitung jumlah barang dan menginput data barang yang mempengaruhi item out of stock out, kemudian shipping program akan mencetak shipping documents (packing slip, bill of lading
dan shipping notice) dan selanjutnya data tersebut disimpan dalam
13 shipping file. Selanjutnya setelah barang tersedia akan dikirim oleh bagian pengiriman barang dengan membawa packing slip dan bill of lading. Sedangkan shipping notice akan dikumpulkan oleh billing clerk kemudian dihitung dan menginput secara batch total (terdiri dari jumlah barang yang dikirim, No. Pengiriman dan No. pelanggan). Kemudian merubah order menjadi invoice berdasarkan shipping notice. Data yang telah dimasukkan akan disimpan secara temporarily dalam billing file sampai waktu pemrosesan batch. Pada saat yang sama akan (1) dicetaknya invoice, (2) customer’s account akan didebit sesuai dengan total harga, (3) Catatan inventory akan berkurang oleh jumlah barang yang telah dijual, (4) sales order akan ditutup menjadi sales history file, (5) dibuatnya record baru dalam Sales invoice file, (6) total batch akan mempengaruhi penjualan dan account receivable yang akan diposting ke dalam buku besar.
14 2.2.4.2 Flowchart
Gambar 2.1 Flowchart pada saat stock-in Sumber: Accounting Information Systems (Wilkinson, cerullo, raval, wong-onwing, 2000, p. 479)
15 From shipping
Shipping notice
Batch total
Prepare batch total
Performed by billing clerk
Shipping notice
Error and exception display
Enter batch total and select prices
Customer billing data
Edit billing data
Pricing reference file
Billing file
Customer master file
Account receivable master file
Shipping notice
Open sales order file
Cust. Order _________ A
1
Merchandise inventory master file
Prepare invoices and update files
General ledger file
Sales history master file
Printed at end of day
Invoice register
1 Sales Invoice 2
Account receivable summary
Invoice Batch totals
Compare to batch totals of invoices
Performed by account receivable clerk
Open sales invoice file
To billing To customer
1
File _________ C
Gambar 2.2 Flowchart pada saat stock-out Sumber: Accounting Information Systems (Wilkinson, cerullo, raval, wong-onwing, 2000, p. 425-426)
16
2.2.5
Dokumen yang Digunakan dalam Sistem Informasi Persediaan Adapun dokumen yang digunakan pada sistem informasi persediaan (Wilkinson
et al, 2000) antara lain: Pada saat stock-in (p.472): •
Purchase requisition: formulir yang digunakan untuk mengotorisasi penempatan pesanan barang atau jasa.
•
Purchase Order: formulir formal yang mempunyai banyak rangkap yang dibuat berdasarkan pada Purchase requisition.
•
Receiving report: Dokumen yang mencatat penerimaan barang.
•
Debit Memorandum: Dokumen yang digunakan apabila terjadi retur pembelian.
•
Request for proposal (or quotation): Formulir yang digunakan untuk melihat perbandingan harga yang kompetitif, jangka waktu dan lain-lain dari jasa atau barang yang dibutuhkan oleh perusahaan.
Pada saat stock-out (p. 419): •
Sales Order: Formulir yang terdiri dari banyak rangkap yang disiapkan berdasarkan customer order.
•
Picking List: Salinan dari sales order yang dikirimkan ke gudang
yang
digunakan untuk menyiapkan barang sesuai pesanan pelanggan. •
Packing slip: salinan dari sales order atau picking list yang dilampirkan dengan barang saat barang akan disiapkan untuk dikirim ke pelanggan.
17 •
Credit Memo: Dokumen yang digunakan apabila terjadi retur penjualan dari pelanggan.
2.2.6
Fungsi yang Terkait dalam Sistem Informasi Persediaan Fungsi yang terkait dalam sistem informasi persediaan antara lain (Wilkinson et
al, 2000): 1. Bagian Gudang Bertugas untuk mengatur persediaan yang dimiliki perusahaan untuk dijual kembali, memastikan bahwa persediaan telah dipesan sesuai dengan kebutuhan perusahaan, menerima barang yang dipesan dan memeriksa barang yang diterima dalam keadaan baik, menjaga persediaan barang hingga dibutuhkan. 2. Bagian Pembelian Bertugas untuk memilih supplier yang kompetitif untuk mendapatkan barang atau jasa, memesan dan membeli barang sesuai dengan kebutuhan perusahaan. 3. Bagian Penjualan (billing clerk) Bertugas untuk membuat sales order dan invoice atas barang yang dijual sehingga mengubah jumlah database persediaan.
2.2.7
Laporan yang Dihasilkan dalam Sistem Informasi Persediaan
Laporan yang dihasilkan pada sistem informasi persediaan adalah: •
inventory status report
18 Laporan ini terdiri dari jumlah barang yang diterima (dibeli), jumlah barang yang dikirimkan (dijual), dan jumlah barang yang ada digudang (on-hand). Laporan ini digunakan untuk mengetahui kapan melakukan pemesanan barang kembali.
2.2.8
Resiko dan pengendalian pada Persediaan Menurut Niswonger, Warren, Reeve, Fess 1999, Pengendalian internal pada
persediaan dapat bersifat preventif (untuk mencegah kesalahan atau kekeliruan pencatatan) maupun detektif (untuk mendeteksi kesalahan atau kekeliruan yang telah terjadi). Pengendalian persediaan harus dimulai setelah persediaan diterima dengan prosedur sebagai berikut: 1.
Laporan penerimaan yang belum diberi nomor harus diisi oleh departemen penerimaan perusahaan dalam rangka menetapkan tanggung-gugat (AccountAbility) awal bagi persediaan.
2.
Untuk memastikan bahwa persediaan yang diterima sesuai dengan yang dipesan, setiap laporan penerimaan barang harus cocok dengan pesanan pembelian.
3.
Yang tertera dalam pesanan pembelian harus dibandingkan dengan harga yang tertera dalam faktur yang dikirimkan oleh pemasok.
4.
Laporan penerimaan, pesanan pembelian, dan faktur pemasok dicocokkan, perusahaan harus mencatat persediaan dan utang usaha yang terkait dalam catatan akuntansi
5.
Persediaan harus disimpan dalam gudang atau area lain yang aksesnya dibatasi pada karyawan tertentu saja.
19 6.
Pengeluaran barang dari gudang harus dikontrol dengan menggunakan formulir permintaan barang, dan harus disahkan oleh petugas yang berwenang.
7.
Area penyimpanan juga harus aman dari cuaca, jika tidak sedang beroperasi area penyimpanan harus dikunci.
8.
Melakukan perhitungan fisik persediaan (physical inventory) kemudian persediaan fisik dibandingkan dengan catatan persediaan dalam rangka menentukan besarnya penciutan atau kekurangannya.
Jenis sistem pengendalian persediaan (Zulfikarijah, 2005): 1.
Sistem tempat persediaan tunggal, dalam sistem ini catatan hanya dilakukan pada saat melakukan pemesanan saja, sedangkan pada saat penerimaan tidak dilakukan pencatatan.
2.
Sistem tempat persediaan ganda, tempat persediaan terdiri dari dua bagian yaitu persediaan yang akan dikeluarkan dan persediaan yang masih disegel. Pada saat tempat persediaan pertama habis, maka tempat persediaan kedua dikeluarkan kemudian melakukan pemesanan persediaan kembali.
3.
Sistem kartu file, file kartu biasanya berisi satu kartu untuk setiap item persediaan. Pada saat item terjual, kartu korespondensi diletakkan dan diperbaharui artinya kartu selalu baru pada saat persediaan tiba.
4.
Sistem komputer, catatan setiap item disimpan dalam komputer dan setiap transaksi penerimaan dan pengeluaran dicatat.
20 2.3
Sistem Pengendalian Internal
2.3.1
Pengertian Sistem Pengendalian Internal
Menurut James Hall (2004, p.143) “ The Internal control system comprises policies, practices, and procedures employed by the organization to achieve four broad objectives: 1. To saveguard assets of the firm. 2. To ensure the accuracy and realibility of accounting records and information. 3. To promote efficiency in the firm’s operations. 4. To measure compliance with management’s prescribed policies and procedures.” Sedangkan berdasarkan COSO (Committee On Sponsoring Organizations) yang dikutip dari buku Audit and Assurance Services (2002, p144) mendefinisikan pengendalian intern sebagai berikut : ”Internal Control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following three categories : • Reliability of financial reporting • Effectiveness and efficiency of operations • Compliance with applicable.”
Jadi dari uraian di atas dapat disimpulkan bahwa sistem pengendalian internal adalah suatu proses terkoordinasi yang dijalankan oleh semua personil perusahaan untuk mencapai tujuan perusahaan, yaitu menjaga aset kekayaan, mendorong efisiensi dan efektifitas operasi, keandalan laporan keuangan dan juga agar perusahaan mengikuti hukum dan peraturan yang berlaku.
2.3.2
Tujuan Sistem Pengendaliaan Internal Menurut Gondodiyoto (2006, h. 144 - 145), ”Tujuan Sistem Pengendalian Intern
adalah sebagai berikut: 1) Menyajikan data yang dapat dipercaya
21 Mengingat bahwa berbagai jenis informasi dipergunakan untuk bahan mengambil keputusan sangat penting artinya, karena itu suatu mekanisme atau sistem yang dapat mendukung penyajian informasi yang akurat sangat diperlukan oleh pimpinan perusahaan. 2) Mengamankan aktiva dan pembukuan Pengamanan atas berbagai harta benda dan catatan pembukuan menjadi semakin penting dengan adanya komputer. Data dan informasi dapat disimpan di dalam media komputer dalam jumlah yang besar. Penggunaan media komputer ini perlu diperhatikan pengamanannya agar tidak dapat dirusak seperti magnetic tape. 3) Meningkatkan efisiensi operasional Pengawasan dalam suatu organisasi merupakan alat untuk mencegah penghamburan usaha, yaitu dengan cara menghindarkan pemborosan dalam setiap segi dunia usaha dan mengurangi setiap jenis penggunaan sumber-sumber yang ada secara tidak efisien. 4) Mendorong pelaksanaan kebijaksanaan yang ada Pimpinan menyusun tata cara dan ketentuan yang dapat dipergunakan untuk mencapai tujuan perusahaan. Sistem pengendalian intern berarti memberikan jaminan yang layak bahwa kesemuanya itu telah dilaksanakan oleh karyawan perusahaan.”
2.3.3
Komponen Sistem Pengendalian Internal Sistem pengendalian internal terdiri atas komponen-komonen yang saling terkait
dan terintegrasi. Menurut COSO (Committee On Sponsoring Organizations) yang
22 dikutip oleh Cangemi (2003, p73), Sistem Pengendalian Intern terdiri dari 5 (lima) komponen yang saling terintegrasi, yaitu :
Gambar 2.3 COSO Model Sumber: Managing the Audit Function: A Corporate Audit Department Procedures Guide. (Cangemi, 2003, p73)
1) Lingkungan Pengendalian Lingkungan mempengaruhi
pengendalian
kesadaran
menetapkan
pengendalian
suatu
corak
personil-personilnya.
organisasi, Lingkungan
pengendalian merupakan dasar untuk semua komponen pengendalian internal, menyediakan disiplin dan struktur.
23 Lingkungan pengendalian mencakup: a) Integritas dan nilai etika b) Komitmen terhadap kompetensi c) Partisipasi dewan komisaris/ komite audit d) Filosofi dan gaya operasi manajemen e) Struktur organisasi f) Pemberian wewenang dan tanggung jawab g) Kebijakan dan praktik sumber daya manusia 2) Penaksiran resiko manajemen Penaksiran resiko adalah identifikasi entitas dan analisis terhadap resiko yang relevan untuk mencapai tujuan, membentuk suatu dasar untuk menentukan bagaimana resiko harus dikelola. Resiko dapat timbul atau berubah karena keadaan berikut ini: a) Perubahan dalam kelangsungan operasi b) Personil baru c) Sistem informasi yang baru atau yang diperbaiki d) Teknologi baru e) Lini produk, produk dan aktivitas baru f) Restrukturisasi korporasi g) Operasi luar negeri h) Standard akuntansi baru 3) Aktivitas pengendalian Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin bahwa arahan manajemen dilaksanakan. Aktivitas tersebut membantu
24 memastikan bahwa tindakan yang diperlukan untuk menanggulangi resiko dan pencapaian tujuan entitas. Aktivitas pengendalian mempunyai tujuan dan diterapkan dalam berbagai tingkat organisasi dan fungsi. Umumnya aktivitas pengendalian yang mungkin antara lain: a) Review terhadap kinerja b) Pengolahan informasi c) Pengendalian fisik d) Pemisahan fungsi 4) Informasi dan komunikasi Identifikasi penangkapan dan pertukaran informasi dalam bentuk dan waktu yang memungkinkan orang melaksanakan tanggung jawab mereka. Kualitas informasi yamh dihasikan untuk sistem berdampak terhadap kemampuan manajemen untuk membuat keputusan dalam mengendalikan aset, menyiapkan laporan keuangan yang handal. Komunikasi mencakup penyediaan suatu pemahaman tentang peran dan tanggung jawab individu berkaitan dengan pengendalian intern terhadap pelaporan keuangan. 5) Pemantauan Pemantauan adalah proses yang menentukan kualitas pengendalian intern sepanjang waktu. Tanggung jawab manajemen yang penting adalah membangun dan memelihara pengendalian intern. Manajemen memantau pengendalian untuk mempertimbangkan apakah pengendalian tersebut berjalan sebagaimana yang diharapkan dan bahwa pengendalian tersebut dimodifikasi sebagaimana mestinya jika terdapat perubahan kondisi.
25
2.3.4
Jenis Pengendalian Menurut Gondodiyoto dan Hernita (2006, h.126-127) secara garis besar yang
dikutip dari Webber (1999,p.38) sistem pengendalian intern yang perlu dilakukan pada sistem berbasis komputer sebagai berikut:
2.3.4.1 Pengendalian Umum Pengendalian yang berlaku umum, artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Apabila tidak dilakukan pengendalian ini ataupun pengendalian yang lemah maka berakibat negatif terhadap pengendalian aplikasi. Pengendalian umum terdiri dari:
2.3.4.1.1
Pengendalian Manajemen Keamanan
Menurut Webber (1999, pp.257-256) dapat disimpulkan bahwa pengendalian terhadap manajemen keamanan secara garis besar bertanggung jawab dalam menjamin aset sistem informasi tetap aman. Ancaman utama terhadap keamanan aset sistem informasi: ¾
Ancaman kebakaran. Beberapa pelaksanaan pengamanan untuk ancaman kebakaran: a) Memiliki alarm kebakaran otomatis yang diletakkan pada tempat dimana asetaset sistem informasi berada. b) Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah diambil. c) Memiliki tombol power utama (termasuk AC).
26 d) Gudang tempat penyimpanan aset sistem informasi dibangun dari bahan tahan api. e) Memiliki pintu atau tangga darurat yang diberi tanda dengan jelas sehingga karyawan dengan mudah menggunakannya. f) Ketika alarm berbunyi signal langsung dikirimkan ke stasiun pengendalian yang selalu dijaga oleh staff. g) Prosedur pemeliharaan gedung yang baik menjamin tingkat polusi rendah disekitar aset informasi yang bernilai tinggi contoh: ruang komputer dibersihkan secara teratur dan kertas untuk printer diletakkan di ruang yang terpisah. Untuk mengantisipasi ancaman kebakaran diperlukan pengawasan rutin dan pengujian terhadap sistem perlindungan kebakaran dan memastikannya dirawat dengan baik. ¾
Ancaman banjir Beberapa pelaksanaan pengamanan untuk ancaman banjir: a) jika memungkinkan memiliki atap, dinding, dan lantai yang tahan air. b) Menyediakan alarm pada titik strategis dimana material aset sistem informasi diletakkan. c) Semua material aset sistem informasi diletakkan di tempat yang tinggi. d) Menutup peralatan hardware dengan bahan yang tahan air sewaktu tidak digunakan.
¾
Perubahan tegangan sumber energi Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan sumber energi yaitu menggunakan stabilizer ataupun UPS yang memadai yang mampu mengcover tegangan listrik yang tiba-tiba turun.
27 ¾
Kerusakan Struktural Kerusakan Struktural terhadap aset sistem informasi dapat terjadi karena adanya gempa, angin, salju. Beberapa pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural yaitu dengan memilih lokasi perusahaan yang jarang terjadi gempa dan angin ribut.
¾
Polusi Beberapa pelaksanaan pengamanan untuk mengatasi polusi: a) Situasi kantor yang bebas debu dan tidak memperbolehkan membawa binatang peliharaan. b) Melarang karyawan membawa atau meletakkan minuman di dekat peralatan komputer. c) Tong sampah yang secara teratur dibersihkan.
¾
Penyusup Pelaksanaan
pengamanan
untuk
mengantisipasi
penyusup
dilakukan dengan penempatan penjaga dan penggunaan alarm. ¾
Virus Pelaksanaan pengamanan untuk mengantisipasi virus meliputi : Tipe kontrol Preventif
Contoh • Hanya menggunakan software yang bersih dan asli. • Menginstall antivirus. • Melakukan update antivirus secara berkala dan rutin. • Jangan menggunakan shareware software. • Melakukan scan file secara rutin ketika akan digunakan. • Download software atau file hanya dari website yang sudah terkenal bersih. • Lakukan akses read-only terhadap
dapat
28
Detective Corrective
software. • Berikan pengertian kepada user tentang bahaya virus dan perlunya tindakan pencegahan. • Secara berkala menjalankan program anti virus untuk mendeteksi virus. • Pastikan ada backup yang bersih. • Jalankan program antivirus untuk meremove/merecovery file yang terinfeksi.
Tabel 2.1 Tindakan Pengamanan Virus Sumber : Information System Control And Audit (Weber, 1999, p. 263) ¾
Hacking Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking: a) Penggunaan kontol logika seperti penggunaan puzzel yang sulit untuk ditebak. b) Petugas keamanan secara teratur memonitor sistem yang digunakan.
Control of Last Resort (Pengendalian Akhir) Walaupun segala cara telah diterapkan guna mengantisipasi ancaman, tetapi masih ada saja kemungkinan terjadi bencana ataupun undesriable event lainnya. Untuk itulah diperlukan pengendalian akhir (Controls of Last Resort) guna mengurangi kerugian dan merecovery operasional : a. Rencana pemulihan bencana. Terdiri dari 4 bagian yaitu: a) Rencana darurat (Emergency Plan) b) Rencana Back-up (Back-up Plan) c) Rencana Pemulihan (Recovery Plan) d) Rencana Pengujian (Test Plan)
29 b. Asuransi Memiliki asuransi untuk peralatan fasilitas, media penyimpanan, biaya tambahan, gangguan bisnis, dokumen dan kertas yang berharga, dan media transportasi.
2.3.4.1.2
Pengendalian Manajemen Operasional
Menurut Weber (1999, p288), manajemen operasi bertanggung jawab atas berjalannya fasilitas hardware dan software sehari-hari sehingga: (a) Sistem aplikasi dapat
menjalankan
tugasnya,
(b)
Staff
development
dapat
mendesain,
mengimplementasikan, dan memelihara aplikasi sistem. Manajemen operasi mengontrol fungsi-fungsi sebagai berikut: 1) Pengoperasian Komputer (Computer Operations) Kontrol operasi komputer mengatur aktivitas-aktivitas yang secara langsung mendukung keseharian pelaksanaan dari sistem aplikasi pada platform hardware/ software yang tersedia. 2) Pengoperasian Jaringan (Network Operations) Manajer operasi bertanggung jawab atas aktivitas operasi jaringan baik jaringan area lokal (Local Area Network) maupun jaringan area luas (Wide Area Network) yang digunakan perusahaan dalam mendukung operasional. Untuk melaksanakan tanggung jawabnya manajemen operasi harus memulai dan mengakhiri aktivitas jaringan serta mengawasi kinerja jaringan (Network). 3) Persiapan dan Pengentrian Data (Preparation and Data Entry)
30 Secara umum, semua sumber data untuk aplikasi sistem dikirim ke bagian persiapan data untuk diketik dan diverifikasi sebelum dimasukkan ke dalam sistem komputer. Faktor-faktor yang harus dipertimbangkan untuk persiapan dan pengentrian data antara lain sebagai berikut : − Penerangan pada tempat pengetikan harus memadai. − Lingkungan kerja haruslah tidak berisik dan juga tidak terlalu sepi. − Tata ruang dari tempat kerja harus rapi untuk memudahkan arus kerja. − Peralatan perkantoran seharusnya dirancang secara ergonomis agar dapat mengurangi kemungkinan cedera punggung atau cedera lainnya, Contohnya : Meja dan Kursi harus disesuaikan agar dapat memberikan kenyamanan bagi pemakai. 4) Pengendalian Produksi (Production Controls) Merupakan Fungsi yang mempunyai tanggung jawab untuk meyakinkan aktiitas sehari-hari yang berkaitan dengan fungsi Sistem Informasi berjalan lancar. Fungsi-fungsi tersebut terdiri dari : − Penerimaan dan pengiriman input dan output. − Penjadwalan kerja. − Manajemen pelayanan − Peningkatan pemanfaatan komputer 5) Perpustakaan File (File Library) Fungsi File Library pada bagian operasional adalah bertanggung jawab untuk mengelola manajemen penyimpanan data.
31 •
Storage of Storage Media (Penyimpanan Media Penyimpanan) Karena media penyimpanan file sangat penting maka media tersebut harus disimpan dengan sangat aman.
•
Use of Storage Media (Penggunaan Media Penyimpanan) Penggunaan media penyimpanan harus dikendalikan dengan baik, bagian kepustakaan harus mengeluarkan media penyimpanan hanya kepada orang yang memiliki wewenang dan sesuai dengan jadwal yang telah ditetapkan.
•
Maintenance and Disposal of Storage Media (Pemeliharaan dan Penghentian Pemakaian Dokumen) Media penyimpanan dapat digunakan untuk jangka waktu yang lama tetapi secara umum kemampuannya menurun seiring dengan meningkatnya umur media penyimpanan tersebut sehingga dapat menimbulkan resiko bagi perusahaan.
•
Location of Storage Media (Lokasi Media Penyimpanan) Lokasi media penyimpanan dapat berada diluar di lokasi ruang komputer, hal itu tergantung kepada tingkat pemakaian media penyimpanan tersebut, bila media penyimpanan sering digunakan maka harus berada di ruangan komputer sedangkan bila media penyimpan hanya merupakan backup maka dapat diletakkan diluar ruangan komputer.
6) Dokumentasi dan Perpustakaan Program (Documentation and Program Library) Dokumentasi kepustakaan bertanggung jawab untuk mendukung fungsi sistem informasi pada suatu organsasi, perencanaan strategis dan operasional, dokumentasi sistem aplikasi, dokumentasi aplikasi program, dokumentasi sistem
32 software dan utility, dokumentasi database, dokumentasi manual operasional dan standard. Fungsi itu meliputi : a.
Memastikan bahwa dokumen disimpan dengan aman.
b.
Memastikan bahwa hanya orang yang berwenang yang dapat mengakses ke dokumen tersebut.
c.
Memastikan bahwa dokumen selalu up to date.
d.
Memastikan bahwa telah dijalankan backup yang memadai terhadap dokumen tersebut.
Dokumentasi kepustakaan juga harus bertanggung jawab untuk mengatur persediaan software organisasi atau izin software untuk mencegah masalah berikut : –
Terlalu banyak copy software yang beredar.
–
Software hilang atau dicuri.
–
Beredarnya software ilegal.
–
Penggunaan software tidak sesuai dengan izin yang diajukan.
–
Software tidak mempunyai backup.
7) Help Desk/Technical Support Ada 2 (dua) fungsi utama help desk/ technical support yaitu : − Membantu end user dalam memperoleh hardware dan software − Menyediakan technical support untuk membantu dalam menyelesaikan masalah yang berhubungan dengan hardware, software, dan database. 8) Perencanaan Kapasitas dan Pengawasan Kinerja (Capacity Planning and Performance Monitoring)
33 Fungsi bagian ini adalah untuk merencanakan kapasitas kerja dan pengawasan kinerja agar dapat berjalan se-efisien mungkin. Tujuan utama dari fungsi sistem informasi adalah mencapai tujuan-tujuan dari user dengan memuaskan pada tingkat biaya terendah. 9) Management of Outsourced Operations Bagian yang memberikan pelaksanaan fungsi Sistem Informasinya kepada pihak luar organisasi (outsource), dengan alasan agar organisasi bisa lebih fokus pada bisnisnya.
2.3.4.2 Pengendalian Aplikasi Menurut Gondodiyoto dan Hendarti (2006,h327), pengendalian khusus atau pengendalian aplikasi ialah kontrol internal komputer yang berlaku khusus untuk aplikasi komputerisasi tertentu suatu organisasi.
Kategori Pengendalian Boundary Control Input Control
Process Control
Output Control
Database Control
• • • • • • • • • • • • •
Jenis-jenis Pengendalian Otoritas akses ke sistem aplikasi Identitas dan otentitas pengguna Otorisasi dan validasi masukan Transmisi dan konversi data Penanganan kesalahan Pemeliharaan ketepatan data Pengujian terprogram atas batasan dan memadainya pengolahan Rekonsiliasi keluaran Penelaahan dan pengujian hasil pengolahan Distribusi keluaran Record retention Akses Integritas data
34 Communication Control
• •
Pengendalian kegagalan unjuk kerja Gangguan komunikasi
Tabel 2.2 Kategori pengendalian aplikasi Sumber : Audit Sistem Informasi (Weber & Miklos A. Vasarhelyi dan Thomas W.Lin, dikutip oleh Gondodiyoto dan Hendarti, 2006, h. 328)
2.3.4.2.1
Pengendalian Batasan (Boundary Controls)
Subsistem boundary memiliki interface antara user komputer dan sistem komputer itu sendiri. Ketika user berada di sebuah terminal, menyalakan terminal, dan memulai prosedur inisialisasi dengan sistem operasi, maka subsistem fungsi boundary mulai bekerja (Ron Weber, 1999). Pengendalian dalam subsistem boundary memiliki 3 tujuan utama: 1. Untuk mengidentifikasi identitas dan autentikasi user yang menggunakan sistem komputer (sistem harus dapat meyakinkan bahwa user yang bersangkutan adalah user yang berwenang). 2. Untuk mengidentifikasi identitas dan autentikasi sumber daya yang ingin diperoleh (user harus dapat meyakinkan bahwa sumber daya mereka otentik). 3. Untuk membatasi tindakan user yang ingin memperoleh sumber daya menjadi sebuah tindakan yang terotorisasi (user diizinkan untuk mendapatkan sumber daya hanya melalui cara yang ditentukan).
Saat ini, pengendalian boundary menjadi pengendalian yang kompleks bagi auditor untuk mengatasi sistem komputer. Tipe-tipe pengendalian dalam subsistem boundary adalah: 1. Pengendalian Cryptographic
35 Dirancang untuk melindungi privasi data dan mencegah modifikasi data yang tidak terotorisasi.
Hal ini dicapai dengan menyusun data sehingga menjadi
berarti bagi siapapun. Pengedalian cryptographic menjadi penting dalam sistem komputer karena menjadi semakin sulit untuk mencegah akses ilegal data. Mereka menggunakannya dalam beberapa subsistem.
Karena mereka
memerlukan beberapa pengendalian boundary yang penting seperti password, PIN, dan tanda tangan digital. 2. Personal Identification Numbers PIN merupakan teknik untuk mengidentifikasi manusia. PIN juga merupakan tipe password sederhana.
Ini merupakan angka rahasia perorangan yang
mempunyai hubungan dengan beberapa pengertian dari identifikasi perorangan, untuk memverifikasi autentikasi perorangan. PIN telah diadopsi oleh institusi finansial sebagai bentuk verifikasi customer yang utama dalam sistem transfer dana (EFTS), di mana customer memasukkan kartu dan kemudian memasukkan PIN melalui keypad. 3. Digital Signature Ketika dua orang akan menukar surat atau menulis kontrak, pengirim dan pihak terkait kontrak memberi tanda tangan dengan nama mereka di dokumen. Penandaan tersebut mempunyai 2 tujuan penting: a. Identifikasi autentikasi orang-orang yang terlibat. b. Mencegah pengirim atau pihak terkait dengan kontrak tidak mengakui surat dalam kontrak.
36 4. Plastic Card Digunakan untuk tujuan utama identifikasi (dapat juga digunakan untuk menyimpan informasi yang dibutuhkan dalam proses autentikasi). Pengendalian melalui kartu plastik menjadi penting dalam sistem, contohnya EFTS.
2.3.4.2.2
Pengendalian Masukan (Input Control)
Menurut Gondodiyoto dan Idris (2003, h.140), “Input merupakan salah satu tahap dalam sistem terkomputerisasi yang paling krusial dan mengandung resiko. Resiko yang dihadapi misalnya: •
Data transaksi yang ditulis oleh pelaku transaksi salah atau error.
•
Kesalahan pengisian dengan kesengajaan
•
Penulisan tidak jelas sehingga dibaca salah oleh orang lain
Menurut Ron Weber (1999, pp.420-421) “Pengendalian input menjadi penting karena 3 alasan: 1. Pada sistem informasi pengendalian yang besar jumlahnya adalah pada subsistem input, sehingga auditor harus memberikan perhatian yang lebih kepada kehandalan pengendalian input yang ada. 2. Kegiatan subsistem input melibatkan jumlah kegiatan yang besar dan rutin dan merupakan kegiatan yang monoton sehingga dapat menyebabkan terjadinya kesalahan. 3. Subsistem input seringkali merupakan target dari kejahatan, banyak kegiatan yang tidak seharusnya dilakukan seperti penambahan dan penghapusan.”
37 Pengendalian masukkan secara batch sistem Batch menurut Gondodiyoto dan Idris (2003, h.140-141), “Cara pemrosesan data masukkan antara lain dengan system batch processing, data diolah dalam satuan kelompok (bundel) dokumen, di delayed processing system (pengolahan bersifat tertunda, yaitu updating data di komputer tidak sama dengan terjadinya transaksi). Pada sistem pengolahan data secara batch processing system, tiap transaksi dibundel dalam jumlah tertentu untuk direkam.” Secara garis besar pengendalian masukkan dalam sistem batch dilakukan pada tahap: •
Data Capturing Dilakukan pada tahap pengisian dokumen masukkan. Pengendalian dalam data capturing termasuk pengendalian yang bersifat preventif, misalnya dengan formulir atau dokumen yang baik, jelas, dan mudah pengisiannya.
•
Batch Data Preparation Pada tahapan persiapan sebelum pencatatan, yaitu antara lain dilaksanakannya editing code atau isian-isian nomor tertentu dan pembundelan. Pada waktu batching dibuat total control untuk jumlah lembar dokumen dan jumlah uang
•
Batch Data Entry Pada tahap pemasukan data, biasanya dicek terprogram oleh mesin data entry sistem (mesin perekam data yang jarang digunakan atau bahkan tidak ada lagi).
38 •
Validation Pengecekan terprogram terhadap data masukkan berdasarkan kriteria tertentu, misalnya jumlah lembar dokumen menurut jumlah record yang dihitung komputer sesuai dengan yang tertulis pada record batch.
2.3.4.2.3
Pengendalian Keluaran (Output Control)
Pengendalian keluaran (output controls) merupakan pengendalian yang dilakukan untuk menjamin agar output/ informasi sistem dapat disajikan secara akurat, lengkap, muktahir, dan didistribusikan kepada para pengguna secara cepat dan tepat waktu (Gondodiyoto dan Hendarti, 2006). Metode pengendalian untuk pengendalian keluaran berdasrkan sifatnya, antara lain: a) Preventive objective; misalnya dengan menyediakan table/ matriks pelaporan: jenis laporan, periode pelaporan, dan siapa penggunanya, serta check-list konfirmasi tanda terima oleh penggunanya, porsedur permintaan laporan rutin/ on-demand, atau permintaan laporan baru. b) Detection objective; misalnya dengan cek antar program pelaporan, dibuatnya nilai-nilai subtotal dan grand total yang dapat diperbandingkan untuk mengevaluasi keakurasian laporan, judul dan kolom-kolom yang perlu didesain dengan sungguh-sungguh. c) Corrective objective; misalnya prosedur klaim ketidakpuasan pelayanan, tersedianya help-desk dan contact person, persetujuan dengan users mengenai service level yang disepakati. Yang termasuk pengendalian keluaran yaitu:
39
2.3.4.2.4
•
Rekonsiliasi Keluaran dengan Masukan dan Pengolahan
•
Penelaahan dan Pengujian Hasil-Hasil Pengolahan
•
Pendistribusian Keluaran
Pengendalian Database (Database Control)
Subsistem database berfungsi untuk mendefinisi, menciptakan, mengubah, menghapus dan membaca data pada sistem informasi. Jenis data yang dikelola adalah bersifat “data declarative”, seperti file penggajian dan karyawan yang berisi tarif upah, posisi pada organisasi dan jabatan tertentu. Selain itu juga “data procedural” yaitu data yang menjelaskan tentang aspek dinamis dari objek nyata dan yang berhubungan dengan hal itu, seperti database tentang aturan bagi manager untuk mengambil keputusan yang berhubungan dengan investasi pada saham dan obligasi.
Data declarative dan
procedural tersimpan dalam database disebut knowledge base.
Subsistem database
secara bertahap juga untuk menyimpan: 1. Data desain objek 2. Image, grafik audio dan video yang mendukung aplikasi multimedia. (Ron Weber, 1999) Tiap-tiap aplikasi dapat menambahkan kebutuhan spesifiknya, antara lain menyangkut (Gondodiyoto dan Hendarti, 2006): a) Akses data ( access controls) yang spesifik pada file aplikasi. Bentuk ancaman akses ke database adalah membaca, merubah atau penggunaan data secara tidak tepat atau oleh pihak yang tidak berhak. Untuk menghindarinya perlu ada security policy untuk mengaturnya.
40 b) Concurrency controls Salah satu keunggulan sistem database adalah sharing resources/ data oleh para users, tetapi dengan adanya peluang itu maka dapat timbul ancaman terganggunya data integrity dan sharing deadlock. c) Cryptographic controls Diterapkan untuk menjaga data integrity pada system database. d) Integrity controls Mendorong sistem database menyimpan data secara akurat, lengkap, dan tiap satuan data dapat diidentifikasi secara unik. e) Application software controls Sebagian dari mekanisme control mungkin diterapkan dalam bentuk prosedur atau program pada aplikasi. f) File handling controls File handling control adalah mekanisme pengendalian terhadap data maupun media penyimpanan data itu sendiri, sehingga jika terjadi suatu kerusakan media akan dapat diperbaiki (di-recovery) dengan memback-up data. g) Audit-trail Bentuk audit-trail dalam sistem database adalah rekam jejak kegiatan secara kronologis berurutan, maupun data pada database itu sendiri. h) Existence controls Sebagian atau seluruh database dapat rusak atau hilang (loss atau corrupted), antara lain disebabkan oleh: •
Application program error
•
System software error
41 •
Hardware failure
•
Procuderal error
•
Environmental failure
Existence control digunakan untuk me-restore database jika terjadi problem, segera setelah masalah itu terjadi . Hal ini mencakup masalah yang berkaitan dengan back-up strategy dan recovery strategy.
2.4
Audit Sistem Informasi
2.4.1
Pengertian Audit Menurut Arens dan Loebbecke (2003, h.1) dalam bukunya Auditing yang
diterjemahkan oleh Amir Abadi Jusuf, ”Audit adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi yang dimaksud dengan kriteri-kriteria yang telah ditetapkan.” Menurut Gondodiyoto dan Idris (2003, h.53), audit adalah suatu pemeriksaan yang dilakukan terhadap suatu entitas organisasi: •
Oleh orang yang kompeten dan independent
•
Dengan memahami system (dan struktur pengendalian internalnya)
•
Dengan bahan bukti dan informasi/ keterangan yang cukup relevan, membandingkan informasi dari bahan bukti tersebut dengan criteria yang
42 ditetapkan dan melaporkan tingkat kesesuaian hal-hal tersebut kepada pihakpihak yang berkepentingan.
2.4.2
Jenis Audit Menurut Gondodiyoto dan Hendarti, (2006, h.79-84) ada beberapa jenis audit
yang hingga kini dikenal secara luas, yaitu sebagai berikut : 1) Audit keuangan (general financial Audit) Memiliki ciri-ciri sebagai berikut : Memeriksa ada/tidaknya salah-saji materialitas terhadap seluruh informasi keuangan perusahaan (financial statements), kesesuaian dengan standar akuntansi keuangan, Laporan audit bentuk baku dan dengan opini akuntan / auditor, pemakai laporan dari pihak ekstern & intern, periode audit segera setelah tahun buku berakhir, frekwensi 1x/tahun, untuk perusahaan PT.Tbk (go public) ditentukan oleh peraturan, Data actual lazimnya histories (ada juga yang prospetktif), Lazimnya dilakukan oleh akuntan /auditor eksternal independen. 2) Audit Ketaatan (Compliance Audit) Memiliki ciri-ciri sebagai berikut : Audit atas kepatuhan terhadap peraturan, penelitian upah untuk menentukan kesesuaiannya dengan peraturan upah minimum dimana dilakukan oleh orang yang berkompeten (independen), penilaian terhadap kesesuaian antara pelaksanaan
dengan
kriteria
yang
ditetapkan
kesimpulan/temuan, rekomendasi/usul/saran perbaikan. 3) Audit Operasional (Operational / Management Audit)
untuk
menghasilkan
43 Memiliki ciri-ciri sebagai berikut : Dilakukan oleh orang kompeten/ independen terhadap operasionalisasi entitas/segmen/divisi tertentu untuk menilai efektif/efisien/ekonomis tidaknya suatu operasionalisasi entitas. Audit operasional lebih berorientasi pemeriksaan kinerja dan menghasilkan laporan pemeriksaan tidak baku yang bersifat kesimpulan/temuan dan rekomendasi/usul/saran perbaikan karena laporan hanya dipakai pihak intern saja, khususnya atasan langsung. Pelaksanaan dan frekwensi melakukan audit operasional tergantung kebutuhan/kemauan pimpinan organisasi. 4) Audit Investigatif (Investigative Audit) Memiliki ciri-ciri sebagai berikut : Merupakan gabungan dari compliance
dan Operational Audit, dimana
dilakukan oleh orang kompeten (independen) dengan menetapkan kriteria terlebih dahulu dan memperoleh bukti dan informasi relevan yang cukup untuk mengevaluasi kesesuaian antara bukti / informasi dengan kriteria dan juga terhadap efisiensi dan efektivitas, sehingga menghasilkan kesimpulan/rekomendasi perbaikan terhadap kesesuaian (compliance) dan efisiensi dan efektivitas. 5) Audit Forensik (Forensic Audit) Memiliki ciri-ciri sebagai berikut : Dilakukan dalam rangka untuk memberikan dukungan dalam opini sebagai saksi ahli dalam proses legal. Jenis-jenis penugasannya antara lain adalah : Investigasi kriminal, bantuan dalam konteks perselisihan para pemegang saham, masalah gangguan usaha (Business Interuption)/jenis lain dari klaim asuransi , Business / employee fraud investigation 6) Audit terhadap kecurangan (Fraud Audit)
44 Memiliki ciri-ciri sebagai berikut : Merupakan proses audit yang memfokuskan pada keanehan/ keganjilan obyek yang perlu dilakukan audit untuk mencegah terjadinya kecurangan (preventing fraud), mendeteksi (detecting) maupun pemeriksaan kecurangan (investigating fraud). 7) Audit Keuangan Khusus (Special Audit) Memiliki ciri-ciri sebagai berikut : Audit dilakukan secara lebih mendalam, bukan hanya audit terhadap laporan keuangan (General Fincancial Audit) tetapi bersifat mendalam (Special Assignment), misalnya pemeriksaan tuntas (due dilligent), atau yang bersifat investigasi. 8) Webtrust (Audit E-Commerce) Audit terhadap E-Commerce
bersifat Audit TI ”Front-Office System”.
Bidang ini merupakan kegiatan jasa yang baru bagi auditor. Bidang ini muncul karena besarnya resiko yang ada pada E-Business/E-Commerce. Webtrust adalah program yang memberikan jaminan menyeluruh terhadap bisnis yang berbasis EBusiness/E-Commerce dengan membangun kepercayaan dan kehandalan website tersebut.
2.4.3
Standard Audit Menurut Information Systems Audit and Control Association (ISACA) standard
untuk audit sistem informasi adalah (Gondodiyoto dan Hendarti, 2006):
45 010
Audit Chapter
010.010
Responsibility, Authority, and Accountability Definisi dari tanggung jawab, otoritas, dan accountability dari fungsi audit sistem informasi lebih tepat bila didokumentasikan dalam surat perjanjian.
020
Independence
020.010
Proffesional Independence Auditor sistem informasi harus bersikap independen dalam tingkah laku dan tindakannya.
020.020
Organiational Relationship Fungsi audit sistem informasi harus berada independen dari area yang diaudit untuk mencapai tujuan objektivitas.
030
Proffesional Ethics and Standards
030.010
Code of Proffesional Ethics Auditor sistem informasi harus menghormati dan menaati etika profesional dari Information System Audit and Control Association.
030.020
Due Proffesional Care Standard auditing profesional harus diterapkan dalam segala aspek pekerjaan yang dilakukan oleh auditor sistem informasi.
040
Competence
040.010
Continuing Proffesional Education
040.020
Auditor sistem informasi harus menjaga kompetensi teknikal melalui pendidikan lanjut profesional.
050
Plannning
050.010
Audit Planning Auditor sistem informasi harus merencanakan perencanaan audit sistem untuk menempatkan tujuan audit dan untuk melengkapi standar profesional audit.
060
Performance of Audit Work
060.010
Supervision Staf dari audit sistem informasi harus tepat penempatannya untuk dapat menjamin tujuan dari audit dijalankan dan standar profesional auditing dapat terpenuhi.
060.020
Evidence Auditor sistem informasi harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan objektif dari
46 suatu audit. 070
Reporting
070.010
Report Content and Form Auditor sistem informasi harus menyediakan report dalam bentuk yang tepat pada saat penyelesaian tugas audit. Laporan audit berupa lingkup, tujuan, periode audit, lingkungan dimana audit dijalankan, identifikasi permasalahan yang terjadi, dan juga rekomendasi dari layanan atau kualifikasi yang diberikan auditor terhadap tugas audit yang dijalankan.
080
Follow Up Activities
080.010
Follow Up Auditor sistem informasi harus meminta dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu dan rekomendasi yang dihasilkan pada periode terdahulu untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan dalam satu periode waktu. Tabel 2.3 Standars ISACA
Sumber: Audit Sistem Informasi (Gondodiyoto dan Hendarti, 2006, hh. 69-70)
2.4.4
Instrumen Audit Menurut Gondodiyoto dan Hendarti (2006, h. 447) terdapat berbagai teknik
pemeriksaan yang bisa diterapkan dalam melaksanakan audit. Teknik-teknik pemeriksaan tersebut sering disebut dengan istilah instrumen audit. Berikut ini adalah contoh-contoh instrumen audit yang dapat digunakan pada saat pelaksanaan audit : 1. Observasi (Observation) Observasi adalah cara memeriksa dengan menggunakan panca indera terutama mata, yang dilakukan secara kontinyu selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah. 2. Wawancara (Interview)
47 Wawancara merupakan teknik pemeriksaan berupa tanya-jawab secara lisan antara auditor dengan auditee untuk memperoleh bahan bukti audit. Tanya jawab dapat dilakukan secara lisan (wawancara) atau tertulis. 3. Kuesioner (Questionaire) Teknik ini merupakan teknik pemeriksaan yang mudah dan praktis karena tertulis. Dengan metode ini, responden ditentukan , kemudian dikirim surat pengantar beserta daftar pertanyaan(Questionaire) tentang hal-hal yang ditanyakan dengan pedoman pengisian dan tanggal jawab yang ditentukan. Ada dua jenis kuesioner : a.
Kuesioner Terbuka adalah teknik pengumpulan fakta dengan format jawaban tertulis yang lebih bersifat umum. Kuesioner terbuka mempunyai tujuan sama dengan wawancara pendekatan. b. Kuesioner Tertutup adalah teknik yang bermanfaat untuk mengumpulkan jawaban pertanyaan dari sejumlah besar responden. Biasanya menggunakan format jawaban seperti ”ya” atau ”tidak”.
4. Konfirmasi (Confirmation) Konfirmasi merupakan upaya untuk memperoleh informasi/penegasan dari sumber lain yang independen, baik secara lisan maupun tertulis dalam rangka pembuktian pemeriksaan. Dalam pemeriksaan ini, selain melakukan kegiatan seperti meneliti catatan dan berkas-berkas, menganalisis dan melakukan verifikasi, termasuk pula di dalamnya kegiatan mengadakan konfirmasi dalam kaitannya dengan kecukupan bukti dan keseuaian dengan tujuan pemeriksaan.
48 Ada beberapa jenis konfirmasi, yaitu : a. Konfirmasi Lisan adalah jenis konfirmasi yang dilakukan secara langsung kepada pihak yang bersangkutan dengan mengajukan pertanyaan atau wawancara. b. Konfirmasi Tertulis Terdapat dua jenis konfirmasi terulis, yaitu : •
Konfirmasi Positif, adalah konfirmasi dimana pihak yang bersangkutan diminta untuk memberikan jawaban dalam batas waktu yang ditetapkan, baik jawaban menolak maupun jawaban menyetujui.
•
Konfirmasi Negatif, adalah konfirmasi dimana pihak yang bersangkutan hanya diminta memberikan jawaban dalam batas waktu yang ditetapkan apabila menolak isi surat permintaan konfirmasi. Jika lewat batas waktu yang ditetapkan tidak memberikan jawaban maka dianggap menyetujui.
5. Inspeksi Fisik (Physical Inspection) Inspeksi merupakan cara memeriksa dengan memakai panca indera terutama mata, untuk memperoleh bukti atas suatu keadaan atau suatu masalah pada saat tertentu. Inspeksi merupakan usaha pemeriksa untuk memperoleh bukti-bukti secara langsung di tempat dimana keadaan atau masalah ingin dibuktikan. 6. Prosedur Analisis Analisis artinya memecah atau menguraikan suatu keadaan atau masalah ke dalam beberapa bagian atau elemen dan memisahkan bagian tersebut untuk digabungkan dengan keseluruhan atau dibandingkan dengan yang lain. Dengan
49 analisis pemeriksa dapat melihat hubungan penting antara satu unsur dengan unsur lainnya. 7. Perbandingan Perbandingan adalah usaha untuk mencari kesamaan dan perbedaan antara dua atau lebih gejala atau keadaan. Hasil dari perbandingan ini biasanya dilanjutkan dengan melakukan analisis sebab-sebab terjadinya penyimpangan. 8. Penelaahan Dokumen Pada teknik ini dilakukan penelaahan pada dokumen yang tersedia pada suatu organisasi, seperti bagan arus, bagan organisasi, manual program, manual operasi, manual referensi, notulen rapat, surat perjanjian, dan catatan-catatan historis lainnya. Jika mungkin, dokumen-dokumen penting harus ditelaah sebelum wawancara. Dokumentasi yang bermanfaat adalah diagram (flowchart/diagram arus data logis) dan DFD(data flow diagram/diagram arus data). DFD menekankan pada hubungan arus data dan pemrosesan. DFD sangat sederhana dan mudah digunakan. Sebagai hasilnya, DFD menjadi teknik sistem yang populer.
2.4.5
Pengertian Audit Sistem Informasi Audit sistem informasi merupakan bagian dari audit operasional dimana
merupakan penelaahan sebagian atau seluruh operasi perusahaan untuk menilai efisiensi dan efektifitas perusahaan. Berdasarkan hal tersebut, adapun pengertian audit sistem informasi yang dikutip dari Michael P. Cangemi dan Tommie Singleton (2003, p 48),
50 ” IS Auditing is defined as any audit that encompasses the review and evaluation of all aspects (or any portion) of automated information processing systems, including related non-automated processes, and the interfaces between them. IS Auditor reviewed and evaluate the development, maintenance, and operation of components of automated systems (or such systems as a whole) and their interfaces with non-automated areas of the organization operations”. Secara garis besar audit sistem informasi adalah audit yang mereview dan mengevaluasi sebagian ataupun seluruh aspek dari proses sistem informasi yang terkomputerisasi, termasuk proses yang tidak terkomputerisasi (manual), dan interface antara keduanya. Sedangkan menurut Gondodiyoto (2006, h.419) “Audit sistem informasi adalah proses pengumpulan dan penilaian bukti untuk menentukan apakah sistem komputer perusahaan mampu mengamankan harta, memelihara kebenaran data, mampu mencapai tujuan perusahaan secara efektif, dan menggunakan aktiva perusahaan secara tepat.” Jadi, audit sistem informasi adalah pegumpulan dan pengevaluasian bukti audit untuk menentukan apakah sistem telah memenuhi tujuan perusahaan.
2.4.6
Tujuan Audit Sistem Informasi Tujuan audit sistem informasi yang dilaksanakan oleh perusahaan adalah sebagai
berikut (Gondodiyoto dan Hendarti, h.419): 1) Untuk mengidentifikasi sistem yang ada pada tiap divisi/ unit/ departemen. 2) Untuk dapat lebih memahami seberapa besar mendukukung kebutuhan strategis perusahaan, operasi perusahaan, kegiatan operasional perusahan dalam pencapaian tujuan perusahaan.
51 3) Untuk mengetahui pada bidang mana, fungsi, kegiatan bisnis yang didukung dengan sistem serta teknologi informasi yang ada. 4) Untuk menganalisis kegunaan informasi dan data yang dihasilkan oleh sistem dalam rangka mendukung kebutuhan para pemakainya. 5) Untuk mengetahui keterkaitan antara data, sistem pengolahan, dan transfer informasi. 6) Untuk mengidentifikasi apakah terdapat kesenjangan (gaps) antara sistem dengan kebutuhan 7) Untuk membuat pemetaan dari arus informasi atau arus bisnis yang ada.
2.4.7
Prosedur Audit Sistem Informasi Menurut Weber (1999, p.47) pada dasarnya prosedur audit dapat diuraikan
sebagai berikut: 1. Perencanaan audit (Planning the audit) Penyusunan rencana audit, mengidentifikasi sasaran yang akan diaudit, identifikasi resiko-resiko yang ada, serta pengumpulan infomasi awal. 2. Pengujian Pengendalian (Test of Controls) Melakukan pengamatan dan penyelidikan dari prosedur-prosedur audit control untuk mengevaluasi apakah system telah memiliki control yang baik. 3. Pengujian Substantif a.
Pengujian Transaksi (Tests of Transactions)
52 Melakukan pengujian untuk memeriksa apakah respon time sudah sesuai dengan yang diharapkan. b.
Pengujian Saldo/ keseluruhan hasil (Tests of Balances or Overall Results) Melakukan pengujian dengan memeriksa terhadap konteks efisiensi dan efektifitas dalam kegiatan komputerisasi.
4. Penyelesaian audit (Completion of the Audit) Membuat
kesimpulan
dan
rekomendasi
untuk
dikomunikasikan
pada
manajemen.
Langkah-langkah dalam melaksanakan audit sistem informasi pada dasarnya mencakup 5 tahap yaitu sebagai berikut (Gondodiyoto dan Hendarti, h.425) : a) Perencanaan Audit (Audit Planning) Penyusunan rencana audit dengan menetapkan ruang lingkup, untuk siapa pemeriksaan ini dilakukan, jenis pemeriksaan dan tujuan pemeriksaan b) Pemahaman Sistem dan Struktur pengendalian internnya. Menganlisis, mengevaluasi dan mendapat pemahaman tentang sistem dan struktur pengendalian intern yang digunakan. c) Pengumpulan Bukti Audit Mengumpukan bukti-bukti audit dapat dilakukan melalui prosedur, antara lain: ¾
Observasi atas kegiatan operasional perusahaan yang diperiksa beserta pegawainya
¾
Pemeriksaan fisik (Physical Examination) atas kuantitas dan aktiva berwujud seperti peralatan, persediaan barang dan uang kas.
53 ¾
Konfirmasi atas ketelitian informasi dengan jalan komunikasi secara lisan atau tertulis dengan pihak ketiga yanng independen.
¾
Pertanyaan yang ditujukan kepada para pegawai melalui kuesioner ataupun checklist wawancara.
¾
Perhitungan kembali informasi kuantitatif mengenai catatan dan laporan.
¾
Pemeriksaan bukti (vouching) dengan penelusuran jejak informasi melalui sistem pengolahan kepada sumbernya.
¾
Pemeriksaan analistis (Analytical Review) antara informasi keuangan dan informasi operasi agar dapat menemukan hal-hal yang dapat diselidiki lebih lanjut.
d) Evaluasi Bukti Pemeriksaan Setelah pengumpulan bukti, auditor perlu mengevaluasi kembali bukti-bukti yang telah diperoleh, kemudian melakukan : ¾
Test of controls yang bertujuan untuk mengetahui apakah terdapat kekeliruan atau kesalahan di dalam pemrosesan transaksi yanng menyebabkan ketidakakuratan informasi keuangan.
¾
Test of balances or overall result yang bertujuan untuk menjamin laporan yang dihasilkan adalah benar dan akurat.
e) Komunikasi hasil pemeriksaan Setelah pemeriksaan diselesaikan dan kesimpulan akhir telah dicapai, auditor menyiapka laporan mengenai temuan-temuan dan rekomendasi yang akan disampaikan kepada manajemen, para pemegang saham, dewan komisaris, atau pihak-pihak lainnya yang berkepentingan.
54
Gambar 2.4 Langkah Prosedur Audit Sumber: Information System Control and Audit (Weber, 1999, p. 48)
55 2.4.8
Tujuan Audit Sistem Informasi Persediaan Adapun tujuan dilakukannya Audit sistem informasi persediaan antara lain :
1.
Semua persediaan baik yang ada digudang maupun barang konsinyasi benarbenar ada secara fisik pada tanggal neraca dan merupakan milik perusahaan.
2.
Persediaan dinilai sesuai dengan prinsip-prinsip akuntansi Indonesia yang diterapkan secara konsisten.
3.
Persediaan barang yang bergerak lambat (slow moving), barang usang (Obsolete) dan barang rusak (defective) dinilai setelah dikurangi dengan persediaan yang rusak atau usang.
4.
Semua jaminan hutang dalam bentuk persediaan barang harus dinyatakan dalam catatan iktisar keuangan.
2.4.9
Penetapan Penilaian Resiko dan Pengendalian Penetapan Penilaian Resiko dan Pengendalian menggunakan:
•
Risk Factor Determination Dalam tahap ini, tim QRA (Qualitative Risk Analysis) menentukan kemungkinan
(Probalitiy) dari ancaman (Threat) khusus yang mungkin terjadi dan dampak (Impact) terhadap perusahaan. Menurut Thomas R. Peltier, “Probality is the chance or likelihood, in a finite sample, that an event will occur.
Threat defines an undesirable event that could
occur(e.g., a tornado, theft, or computer virus infection).” Menurut K H Spencer Pickett, “ The impact become the effect the risks have on the objectives in hand.”
56
Probability
Impact Low
Medium
High
High
3
6
9
Medium
2
5
8
Low
1
4
7
Gambar 2.5 Threat Vulnerability Work Table Sumber: Information Security Risk Analysis ( Thomas R. Peltier, 2001, p.39)
2.4.10 Rekomendasi Audit Rekomendasi audit terdiri dari bagian-bagian, antara lain (Michael P. Cangemi dan Tommie Singleton, 2003): 1. Statement of condition
: Menjelaskan kondisi yang melatarbelakangi
(kondisi resiko dari hasil temuan). 2. Criteria
: Menjelaskan standard dibandingkan dengan
pengukuran yang dilakukan auditor atas kondisi/ praktik yang dipertanyakan. 3. Effect
: Dampak aktual atau yang potensial yang dapat
timbul dari kondisi yang dipertanyakan tersebut. 4. Cause
: Merupakan alasan atau penyebab mengapa
kondisi yang dipertanyakan tersebut dapat timbul. 5. Statement of Action
: Aksi yang dapat dijalankan atau rekomendasi
untul memperbaiki kondisi yang dipertanyakan.