9
BAB 2 LANDASAN TEORI 2.1 Sistem Informasi 2.1.1
Pengertian Sistem Informasi Menurut Gondodiyoto (2003, p.8) ”Sistem Informasi adalah interaksi antara sumber daya (komponen-komponen) di dalam suatu kesatuan terpadu untuk mengolah data menjadi informasi sesuai kebutuhan penggunanya. Sistem informasi terdiri dari sub-sub sistem, sistem informasi akuntansi adalah salah satu subset sistem informasi tersebut” O’Brien (2008,p.7) mendefinisikan, “Information System can be any organized combination of people, hardware, software, communication networks, and data resource that collect, transform, disseminates information in an organization”. Artinya adalah “Sistem Informasi adalah suatu kesatuan yang terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan computer, dan sumber daya data yang mengumpulkan, mentransformasikan dan mendistribusikan informasi di dalam suatu organisasi.”. Hall dalam bukunya yang diterjemahkan oleh Amir Abadi Jusuf (2001, p.7) mendefinisikan, “Sistem informasi sebagai sebuah rangkaian prosedur formal dimana data dikelompokkan, diproses menjadi informasi, dan didistribusikan kepada pemakai.”
10
Berdasarkan pengertian sistem informasi dari para pakar diatas, maka penulis menyimpulkan bahwa sistem informasi adalah suatu rangkaian dari sekelompok komponen yang terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software) yang saling berintegrasi untuk mengolah data yang ada dan menghasilkan informasi ataupun laporan yang bermanfaat guna mencapai tujuan organisasi dan pengguna lainnya.
2.1.2
Tujuan dan Fungsi Sistem Informasi Fungsi sistem informasi bertanggungjawab untuk pengolahan data. Pengolahan data merupakan aplikasi sistem informasi akuntansi yang paling mendasar dalam setiap organsasi. Tujuan dari pada sistem informasi ada tiga macam, yaitu: 1. Fungsi kepengurusan manajemen 2. Dasar pengambilan keputusan manajemen 3. Pendukung kegiatan operasi perusahaan.
2.1.3
Karakteristik Informasi yang Berkualitas Menurut Mukhtar yang dikutip Gondodiyoto (2003, p.22 ), terdapat lima karakteristik informasi yang berkualitas, yakni: 1. Reliable (dapat dipercaya) Informasi haruslah akurat (benar), terbebas dari kesalahan dalam mempresentasikan suatu kejadian atau kegiatan dari organisasi.
11
2.Relevan (sesuai) Informasi yang relevan harus memberikan arti kepada pembuatan keputusan. Informasi ini bisa mengurangi ketidakpastian dan bisa meningkatkan nilai dari suatu kepastian. 3.Timely (tepat waktu) Informasi yang disajikan tepat pada saat dibutuhkan dan bisa mempengaruhi proses pengambilan keputusan. 4.Complete (lengkap) Informasi yang disajikan termasuk di dalamnya semua data-data yang
relevan dan tidak mengabaikan kepentingan yang
diharapkan oleh pembuat keputusan. 5.Understandable (dapat dimengerti) Informasi yang disajikan hendaknya dalam bentuk yang mudah dipahami oleh si pembuat keputusan. 2.2 Sistem Pengendalian Intern 2.2.1
Pengertian Pengendalian Intern (SPI) Menurut Gondodiyoto dan Hendarti (2007, p.69-70) ”Pengendalian Intern atau internal control digunakan dalam pengertian yang lebih luas, yaitu sebagai mekanisme untuk mendukung kebijakan perusahaan, pengamanan
12
aset perusahaan, pendukung mutu operasi dan sebagai persyaratan dicapainya tujuan perusahaan”. Menurut
Mulyadi
(2001,
p.165)
mendefinisikan
“Sistem
Pengendalian Intern meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan kehandalan data akuntansi, mendorong efesiensi dan dipatuhinya kebijakan menejemen”. Berdasarkan definisi-definisi di atas dapat disimpulkan bahwa sistem pengendalian intern merupakan kebijakan atau metode yang terorganisasi dalam suatu perusahaan untuk mengamankan aset perusahaan, menguji ketepatan dan kehandalan data akuntansi, mendorong efesiensi serta dipatuhinya kebijakan menejemen untuk mencapai tujuan perusahaan. 2.2.2
Tujuan Sistem Pengendalian Intern Tujuan
pengendalian
intern
adalah
untuk
menjaga
dan
mengendalikan harta perusahaan secara baik berdasarkan peraturan serta hukum yang berlaku.
Menurut Mulyadi (2001, p.163) tujuan sistem
pengendalian intern adalah: 1.
Menjaga kekayaan organisasi
2. Mengecek ketelitian dan kehandalan data akuntansi 3.
Meningkatkan efisiensi usaha
4. Mendorong dipatuhinya kebijakan manajemen.
13
2.2.3
Komponen Sistem Pengendalian Intern Menurut
Mulyadi
(2002,
p.183-195),
Komponen
Sistem
Pengendalian Intern terdiri dari : 1) Lingkungan Pengendalian Lingkungan pengendalian menciptakan suasana pengendalian dalam suatu organisasi dan mempengaruhi kesadaran personel organisasi tentang pengendalian. 2) Penaksiran Resiko Merupakan identifikasi atau analisa oleh manajemen atas resiko yang relevan terhadap penyiapan laporan keuangan agar sesuai dengan prinsip akuntansi yang berlaku umum. 3) Sistem Komunikasi dan Informasi dan Informasi Akuntansi Merupakan
metode
yang
digunakan
untuk
mengidentifikasi,
menggabungkan, menyusun klasifikasi, mencatat, dan melaporkan transaksi satu entitas untuk menjamin akuntabilitas aktiva yang terkait. 4) Aktivitas Pengendalian Merupakan kebijakan dan prosedur yang ditetapkan menajemen untuk memenuhi tujuannya di dalam pelaporan keuangan. 5) Pemantauan Adalah penilaian efektifitas rancangan operasi struktur pengendalian intern secara periodik dan terus menerus oleh manajemen untuk melihat
14
apakah manajemen telah dilaksanakan dengan semestinya dan telah diperbaiki sesuai dengan keadaan. Pengertian Risk Assessment yang disadur dari www.nist.gov adalah: Risk assessment is Organizations use risk assessment to determine the extent of the potential threat and the risk associated with an IT system throughout its SDLC. Penilaian resiko adalah resiko organisasi untuk menentukan tingkat ancaman yang berhubungan dengan IT selama proses SDLC.
2.2.4
Jenis- jenis Pengendalian Intern Menurut Weber (1999, p.35) menyatakan bahwa terdapat tiga dasar dari pengendalian, yaitu: 1) Preventive Control Instruksi ditempatkan pada sumber dokumen untuk mencegah petugas dari kesalahan pengisian. 2) Detective Control Program masukan yang dapat mengidentifikasi data yang tidak benar dimasukkan ke dalam sistem melalui terminal. 3) Corrective Control Suatu program yang menggunakan kode spesial yang memungkinkan untuk memperbaiki data yang rusak karena kesalahan pada arus komunikasi.
15
Jenis pengendalian intern terdiri dari pengendalian umum dan pengendalian aplikasi. Secara garis besar sistem pengendalian intern yang perlu dilakukan pada sistem berbasis komputer adalah sebagai berikut : 1. Pengendalian umum Pengendalian umum menurut Gondodiyoto (2003, p.126) adalah “Sistem pengendalian intern komputer yang berlaku secara umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara keseluruhan.
Artinya
ketentuan-ketentuan
yang
berlaku
dalam
pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Apabila tidak dilakukan pengendalian ini ataupun pengendaliannya lemah maka dapat berakibat negatif terhadap aplikasi (kegiatan komputerisasi tertentu)”. Tujuan pengendalian umum adalah untuk membuat kerangka pengendalian menyeluruh atas aktivitas sistem berbasis komputer, dan untuk memberikan tingkat keyakinan yang memadai bahwa tujuan pengendalian intern secara keseluruhan dapat tercapai. Menurut Weber (1999, p.244-266) dapat disimpulkan bahwa pengendalian terhadap manajemen keamanan secara garis besar bertanggung jawab dalam menjamin aset sistem informasi tetap aman. Yang dimaksud dengan aset sistem informasi adalah :
16
1. Aset fisik, yaitu personel, hardware, fasilitas, dokumentasi, dan perlengkapan. 2. Aset Logika, yaitu data atau informasi dan software. Ancaman utama terhadap keamanan aset sistem informasi menurut Weber antara lain : 1) Ancaman Kebakaran Beberapa pelaksanaan pengamanan untuk ancaman kebakaran: a) Memiliki alarm kebakaran otomatis yang diletakkan pada tempat dimana aset-aset sistem informasi berada. b) Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah diambil. c) Keberadaan alat-alat pemadam kebakaran dapat dilihat dan dipakai dengan mudah dan cepat oleh karyawan. d) Untuk mencegah kebakaran akibat tegangan listrik, maka kabel-kabel dan penghantar listrik dilapisi atau di tempatkan pada bahan yang tidak mudah terbakar. e) Memiliki tombol power utama ( termasuk AC). f) Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan tahan api . g) Memiliki pintu/tangga darurat yang diberi tanda dengan jelas sehingga karyawan dengan mudah menggunakannya.
17
h) Ketika alarm kebakaran berbunyi signal langsung dikirimkan ke stasiun pengendalian yang selalu dijaga oleh staf. i) Prosedur pemeliharan gedung yang baik menjamin tingkat polusi rendah disekitar aset sistem informasi yang bernilai tinggi. Contoh: ruang komputer yang selalu dibersihkan dengan teratur, pengawasan rutin dan pengujian terhadap semua sistem perlindungan kebakaran dan memastikannya dirawat dengan baik. 2) Ancaman Banjir Beberapa pelaksanaan pengamanan untuk ancaman banjir : a) Jika memungkinkan memiliki atap, dinding dan lantai yang tahan air. b) Menyediakan alarm pada titik strategis dimana material aset sistem informasi diletakkan. c) Semua material aset sistem informasi diletakkan di tempat yang tinggi. d) Menutup peralatan hardware dengan bahan yang tahan air dan udara sewaktu tidak digunakan. e) Memastikan saluran pembuangan saluran air yang lancar dan kapasitasnya cukup. f) Mempunyai tombol atau panel utama untuk semua saluran utama air.
18
g) Untuk mencegah ancaman banjir, tempatkan aset sistem informasi di lantai yang lebih tinggi dimana lokasi aset ditempatkan. h) Lokasi tempat aset sistem informasi di tempatkan sebaiknya memiliki suhu yang kering atau tidak ada genangan air. 3) Kerusakan Struktural Kerusakan struktural terhadap aset sistem informasi dapat terjadi karena adanya gempa, angin, salju.
Beberapa pelaksanaan
pengamanan untuk mengantisipasi kerusakan struktural yaitu: a) Memiliki lokasi perusahaan yang strategis dan aman dari ancaman b) Diperlukan perancangan yang baik terhadap semua resiko yang akan dihadapi. 4) Polusi Beberapa pelaksanaan pengamanan untuk mengantisipasi polusi : a)
Situasi kantor yang bebas debu dan tidak diperbolehkan membawa binatang peliharaan.
b)
Melarang karyawan membawa atau meletakkan minuman di dekat peralatan komputer.
c)
Tersedia tempat sampah yang memadai dan secara teratur dibersihkan.
19
5) Perubahan Tegangan Sumber Energi Perubahan tegangan sumber energi dapat berupa peningkatan energi dan penurunan energi, yang dapat mengganggu perangkat keras operasi tetapi juga sistem yang diperlukan untuk memelihara stabilitas suatu lingkungan operasional. Pelaksanaan pengaman untuk mengantisipasi perubahan tegangan sumber energi yaitu menggunakan stabilizer ataupun UPS yang memadai yang mampu mengcover tegangan listrik yang tiba-tiba turun. 6) Penyusup Penyusup biasanya masuk dengan tujuan untuk mencari aset sistem informasi
untuk
disabotase
atau
untuk
tujuan
pemerasan.
Pelaksanaan pengamanan untuk mengantisipasi penyusup dapat dilakukan dengan cara: a) penempatan penjaga yang dapat segera menjangkau tempat aset sistem informasi berada b) penggunaan alarm c) menggunakan card locking system, dan disk drive diletakkan di brankas, kabinet atau rak khusus yang dikunci. 7) Virus Pelaksanaan pengamanan untuk mengantisipasi virus :
20
a) Tindakan preventif seperti menginstal anti virus, dan mengupdate secara rutin, menscan file yang akan digunakan. b) Tindakan detektif, melakukan scan secara rutin. c) Tindakan korektif, memastikan back-up data bebas virus, penggunaan anti virus terhadap file yang terinfeksi. 8) Hacking Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking : a) Penggunaan kontrol logikal seperti penggunaan password yang sulit untuk ditebak. b) Petugas keamanan secara teratur mengamati sistem yang digunakan.
Menurut Weber ( 1999, p288 ), secara garis besar pengendalian manajemen operasi bertanggungjawab terhadap : 1. Pengoperasian Komputer a) Menentukan fungsi – fungsi yang harus dilakukan operator komputer maupun fasilitas operasi otomatis b) Menentukan penjadwalan kerja pada pemakaian komputer ( hardware dan software ) c) Menentukan perawatan terhadap hardware agar berjalan dengan baik d) Pengendalian perangkat kerja berupa hardware controls dari produsen untuk deteksi hardware malfunction seperti :
21
1) Redundant Character Check 2) Duplicate Process Check 3) Echo Check 4) Equipment Check 5) Validity Check 6) Operational Controls 7) Controls and Equipment Cross Reference 8) Software Control 9) Handling Errors 10) Program Protection 11) File Protection 12) Controls and System Complexity Cross Reference 2. Pengoperasian Jaringan 3. Persiapan Data dan Pengentrian Fasilitas – fasilitas yang ada harus dirancang untuk memiliki kecepatan dan keakuratan data serta telah dilakukan pelatihan terhadap pengentri data 4. Pengendalian Produksi Fungsi yang harus dilakukan untuk pengendalian produksi adalah : a. Penerimaan dan pengiriman Input dan Output b. Penjadwalan kerja c. Manajemen pelayanan d. Peningkatan pemanfaatan komputer
22
5. File Library 6. Dokumentasi dan Program Library 7. Help Desk 8. Capacity Planning
2. Pengendalian Aplikasi Pengendalian
khusus
atau
pengendalian
aplikasi
menurut
Gondodiyoto (2003, p139) adalah “Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan”. Sedangkan menurut Mulyadi (2002, p190) “Pengendalian aplikasi dirancang untuk memenuhi persyaratan pengendalian khusus setiap aplikasi”. Weber (1999, p.39-40) membagi pengendalian aplikasi menjadi tiga pengendalian, yaitu : A.
Pengendalian Batasan (Boundary Controls) Menurut Weber (1999, p.370) “The boundary subsystem establishes the interface between the would-be user of a computer system and the computer system itself“. Maksudnya sub-sistem batasan (boundary) dibangun sebagai suatu penghubung antara pengguna sistem komputer dengan sistem komputer itu sendiri.
Adapun 3 (tiga) tujuan
pengendalian subsistem boundary adalah sebagai berikut :
23
1. Untuk menetapkan identitas dan kewenangan pengguna dari sistem komputer (sistem harus memastikan orang tersebut adalah orang yang berhak). 2. Untuk menetapkan identitas dan kewenangan dari sumber daya yang digunakan (pengguna harus memastikan bahwa mereka memberikan kewenangan dari sumber daya). 3. Membatasi tindakan-tindakan yang dilakukan oleh pengguna yang menggunakan sumber daya komputer terhadap tindakantindakan
yang
terotorisasi
(pengguna
diperbolehkan
menggunakan sumber daya pada batasan-batasan tertentu). Berbagai kontrol yang dapat diimplementasikan dalam pengendalian terhadap batasan, yaitu : 1.
Cryptographic control Kriptografi
merupakan
sistem
untuk
mentransformasikan data menjadi kode (cryptograms) sehingga tidak memiliki arti bagi orang yang tidak memiliki sistem untuk mengubah kembali data-data tersebut. Tujuannya untuk menjaga kerahasiaan informasi dengan mengacak data. Cryptographic control adalah sistem pengendalian intern yang dirancang untuk menjaga privacy, serta menjaga agar orang/pihak yang tidak berwenang dapat melakukan kegiatan yang berkaitan dengan merubah atau menambah data dan
24
menghapus data. Cryptographic control menyangkut sistem pengubahan data dari bentuk aslinya menjadi kode tertentu yang tidak bermakna bagi orang yang tidak memiliki otoritas untuk membacanya. Terdapat 3 teknik yang digunakan untuk memindahkan data cleartext ke data ciphertext: a.
Transposition ciphers Menggunakan beberapa peraturan untuk mengubah urutan karakter dalam string data.
b.
Substitution ciphers Menahan
posisi
karakter
dalam
pesan
dan
menyembunyikan identitas karakter dengan menggantikan mereka dengan karakter lain melalui beberapa aturan. Keyword alphabetic caesar adalah contoh substitution chiper. Dengan menggunakan ciphers ini, key pertama harus dipilih, yang tidak memiliki duplikat huruf, misalnya IDEOGRAPHY. Berikan 26 huruf alphabet, ciphertext bagi setiap huruf yang diturunkan. 10 huruf pertama digantikan dengan keyletters. 16 huruf digantikan dengan huruf tidak terdapat didalam key, bekerja dari awal alphabet sampai terakhir.
25
c.
Product Ciphers Menggunakan
kombinasi
metode
transposition
dan
subsititution. Penelitian menunjukkan mereka dapat mendesain sehingga mereka dapat bertahan terhadap cryptanalysis. Hasil produk ciphers sekarang adalah metode encryption yang paling banyak digunakan. 1. Access control Tujuan dari access control antara lain : a. Agar sumber daya sistem digunakan hanya oleh orang– orang yang berhak b. Menjamin agar kegiatan pengguna dilakukan sesuai dengan ketentuan c. Menjamin bahwa peralatan yang digunakan, sesuai dengan semestinya. Langkah-langkah umum untuk menunjang tujuan tersebut yaitu: a. Mengesahkan user yang telah mengidentifikasikan dirinya ke sistem. b. Mengesahkan sumber daya yang diminta oleh user. c. Membatasi akttivitas yang dilakukan oleh user terhadap sistem.
26
Pemakai dapat menggunakan tiga kelas dari informasi keotentikan, yaitu: a. Informasi dapat diingat, contoh: nama, tanggal lahir, nomor account, password, PIN. b. Objek berwujud, contoh: badge, kartu plastik, kunci. c. Karakterr personal, contoh: sidik jari, suara, ukuran tangan, tanda tangan, pola retina mata. 2. Audit trail Audit trail (jejak rekam) adalah catatan – catatan atau data tertentu yang disimpan dalam sistem komputer dengan tujuan apabila dikemudian hari bermasalah, maka catatan / data itu dapat digunakan untuk pelacakkan. Catatan – catatan atau data tertentu yang tersimpan dalam sistem komputer tersebut tersimpan sebagai history yang disebut Log sistem. Log sistem berguna untuk: a. historis pencatatan kegiatan – kegiatan yang terjadi atas sistem komputer b. mencatat siapa saja yang pernah melakukan login pada sistem c. mencatat siapa saja yang pernah mengakses atau mengganti data, dan lain sebagainya.
27
4. Existence control Jika boundary subsystem gagal, pengguna tidak dapat masuk ke sistem. Kegagalan tersebut dapat terjadi dalam bentuk berbagai jenis/tingkat. Existence control dirancang dengan tujuan untuk menjaga agar jika aktivitas user (pengguna) terhenti karena suatu sebab kegagalan tertentu, akses tersebut tidak diproses lebih lanjut demi untuk menjaga data integrity maupun pengamanan aset. B. Pengendalian Masukan (Input Controls) Menurut Weber (1999, p.420) pengendalian masukan adalah “Components in the input subsystem are responsible for bringing both data and instrucitons into an application control“. Pengertiannya secara garis besar adalah pengendalian yang dilakukan ketika memasukkan data ke dalam sistem. Dokumen sumber digunakan sebagai dasar untuk menginput data. Dokumen sumber yang didesain dengan baik penting untuk mencapai tujuan audit.
Sedangkan
diterjemahkan
oleh
menurut Jusuf
Bodnar dan
dan
Tambunan
Hopwood
yang
(2000,
p189)
menyatatakan bahwa “Pengendalian masukan dirancang untuk mencegah atau mendeteksi kekeliruan dalam tahap masukan pengolahan data”. Menurut Gondodiyoto
(2003, p.140) menyatakan bahwa
input merupakan salah satu tahap dalam sistem komputerisasi yang
28
paling krusial dan mengandung resiko.
Resiko yang dihadapi
misalnya : 1. Data transaksi yang ditulis oleh pelaku transaksi salah (error). 2. Kesalahan pengisian dengan kesengajaan disalahkan. 3. Penulisan tidak jelas sehingga dibaca salah oleh orang lain. C. Pengendalian Keluaran (Output Controls) Menurut Gondodiyoto (2003,p.145) mengatakan bahwa “Pengendalian
keluaran
adalah
pengendalian
intern
untuk
mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang-orang yang tidak berhak”. Sedangkan menurut Bodnar dan Hopwood yang diterjemahkan oleh Jusuf dan Tambunan (2000, p194) “Pengendalian keluaran dirancang untuk memeriksa apakah masukan dan pemrosesan berpengaruh pada keluaran secara absah dan apakah keluaran telah didistribusikan secara memadai”. Berdasarkan keterangan diatas, maka dapat disimpulkan bahwa pengendalian keluaran adalah pengendalian yang dilakukan untuk menjamin bahwa: 1. Hasil print out komputer ataupun displaynya telah dilakukan dengan teliti dan benar
29
2. Menjamin bahwa hasilnya diberikan kepada pegawai yang berhak. Pengendalian ini didesain untuk memberikan keyakinan yang memadai bahwa: a. Hasil pengolahan atau proses komputer adalah akurat (cermat) b. Akses terhadap keluaran hasil print out komputer hanya dibenarkan bagi petugas tertentu yang berhak c. Hasil komputer keluaran diberikan kepada atau disediakan untuk orang yang tepat dan pada waktu yang tepat pula yang telah mendapatkan otorisasi sebagaimana mestinya. 2.3 Audit Sistem Informasi 2.3.1
Definisi Auditing Menurut Arens and Loebbecke (2003, p.1) mendefinisikan ”Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independent untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan criteria-kriteria yang telah ditetapkan”. Mulyadi (2002, p.9) mendefinisikan ”Auditing adalah suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif
30
mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataanpernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan” 2.3.2
Pengertian Audit Sistem Informasi Menurut Weber (1999, p.10) “Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and users resources efficiently”. Pengertiannya secara garis besar adalah merupakan proses untuk mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan apakah sistem komputer dapat melindungi aktiva organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien.
2.3.3
Tujuan Audit Sistem Informasi Menurut Weber (1999,p.11-13), tujuan Audit Sistem Informasi dapat disimpulkan secara garis besar terbagi menjadi empat tahap, yaitu : 1. Meningkatkan kemanan aset-aset perusahaan Asset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan asset perusahaan. Dengan demikian sistem
31
pengamanan asset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan. 2. Meningkatkan integritas data Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti : kelengkapan, kebenaran dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki hasil atau laporan yang benar bahkan perusahaan dapat menderita kerugian. 3. Meningkatkan efektifitas sistem Efektifitas sistem informasi perusahaan memiliki peranan penting dalam pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user. 4. Meningkatkan efisiensi sistem Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi
komputer
menurun
maka
pihak
manajemen
harus
mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
32
2.3.4
Tahapan Audit Sistem Informasi Menurut Weber (1999,p.48), tahapan audit sistem informasi digambarkan dalam bentuk flowchart pada gambar 2.1.
Mulai
Persiapan Kerja Audit
Memahami Struktur Pengendalian
Menafsir Resiko Pengendalian
Apakah Pengendalian Dapat Diandalkan?
Tidak
Ya Melakukan Test Kontrol
Penafsiran Kembali Resiko Pengendalian
Ya
Apakah Pengendalian Masih Dapat Diandalkan?
Tidak
Melakukan Pengujian Substantif
Ya
Tingkatkan Keandalan Pengendalian
Tidak
Pengujian Substantif Terbatas
Memberikan Opini dan Laporan Audit
Stop
Gambar 2.1 Tahapan Audit Sistem Informasi
33
2.3.5
Prosedur Audit Sistem Informasi Prosedur audit adalah pedoman yang akan dilakukan oleh auditor untuk mengumpulkan bahan bukti audit tertentu. Menurut Mulyadi (2002, p.86) ”Prosedur audit adalah instruksi rinci untuk mengumpulkan tipe bukti audit tertentu yang harus diperoleh pada saat tertentu dalam audit”. Sedangkan menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf mendefinisikan “Prosedur audit adalah petunjuk rinci untuk pengumpulan jenis bahan bukti audit tertentu yang diperoleh pada waktu tertentu selama audit”.
2.3.6
Metode Audit Menurut Weber (1999,p.55-57), Metode Audit meliputi : 1. Auditing Around the Computer Merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai black box, maksudnya metode ini tidak menguji langkah-langkah proses secara langsung, tetapi hanya berfokus pada masukan dan keluaran dari sistem komputer. Diasumsikan bahwa jika masukan benar akan diwujudkan pada keluaran, sehingga pemrosesan juga benar dan tidak melakukan pengecekan terhadap pemrosesan komputer secara langsung.
34
Pendekatan ini mengandung kelemahan antara lain : a. Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual. b. Tidak menciptakan sarana bagi auditor untuk menghayati dan mendalami lebih mantap liku-liku sistem komputer. c. Cara ini mengabaikan pengendalian sistem dalam pengolahan komputer itu sendiri, sehingga rawan terhadap adanya kelemahan dan kesalahan yang potensial di dalam sistem. d. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit menjadi sia-sia. e. Tidak dapat mencakup keseluruhan maksud dan tujuan penyelenggaraan audit. 2. Auditing Through the Computer Merupakan suatu pendekatan audit yang berorientasi pada komputer dengan membuka black box, dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer. Dengan asumsi bahwa apabila sistem pemrosesan mempunyai pengendalian yang memadai maka kesalahan dan penyalahgunaan tidak akan terlewat untuk dideteksi. Sebagai akibatnya keluaran dapat diterima.
35
Keuntungan
utama
dari
pendekatan
ini
adalah
dapat
meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan dari pengujian yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap keandalan dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan. Selain itu, dengan memeriksa secara logika pemrosesan dari sistem aplikasi dapat diperkirakan kemampuan sistem dalam menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang. Kelemahannya sebagai berikut : a. Biaya yang dibutuhkan relatif tinggi disebabkan jumlah jam kerja yang banyak untuk dapat lebih memahami struktur pengendalian intern dari pelaksanaan sistem. b. Butuh keahlian teknik yang lebih mendalam untuk memahami cara kerja sistem.
36
2.3.7
Standart Audit IASII Berikut ini adalah standart-standart audit sistim informasi yang dikeluarkan oleh IASII (Ikatan Audit Sistem Informasi Indonesia): 1. Tanggung jawab, wewenang dan akuntabilitas Tanggung jawab, wewenang dan akuntabilitas dari auditor system informasi harus dinyatakan dengan jelas secara formal dan tertulis dalam piagam atau surat tugas audit sistem informasi serta disetujui secara bersama oleh auditor sistem informasi dan pemberi tugas. 2.
Independensi dan obyektifitas a. Independensi Dalam berbagai hal yang berkaitan dengan audit sistem informasi, auditor sistem informasi harus menjaga independensinya, baik secara faktual maupun penampilan, dari organisasi atau hal yang diaudit. b. Obyektifitas Auditor sistem informasi harus menjaga obyektifitasnya dalam merencanakan,
melaksanakan
informasi. 3. Profesionalisme dan Kompetensi a. Profesionalisme
dan
melaporkan
audit
sistem
37
Auditor sistem informasi harus memenuhi berbagai standart audit yang berlaku serta menerapkan kecermatan dan keterampilan profesionalisnya
dalam
merencanakan,
melaksanakan
dan
melaporkan audit sistem informasi. b. Kompetensi Auditor sistem informasi secara kolektif harus memiliki atau memperoleh pengetahuan dan keahlian yang diperlukan untuk melaksankan audit sistem informasi. c. Pendidikan profesi berkelanjutan Auditor sistem informasi harus meningkatkan pengetahuan dan keahlian untuk melaksankan audit sistem informasi melalui pendidikan profesi berkelanjutan. 4. Perencanaan Auditor sistem informasi harus merencanakan audit sistem informasi dengan baik agar dapat mencapai tujuan audit serta memenuhi standart audit yang berlaku. 5. Pelaksanaan a. Pengawasan Staf audit sistem informasi harus disupervisi dengan baik untuk memberikan keyakinan yang memadai bahwa tujuan audit sistem
38
informasi dapat tercapai dan standart audit yang berlaku dapat dipenuhi. b. Bukti-bukti audit Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus memperoleh bukti-bukti audit yang cukup, dapat diandalkan dan bermanfaat untuk mencapai tujuan audit sistem informasi secara efektif. Temuan dan kesimmpulan audit sistem informasi harus didukung oleh analisis dan interprestasi yang memadai atas bukti-bukti audit tersebut. c. Kertas kerja audit Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus mendokumentasikan secara sistematis seluruh buktibukti audit yang diperoleh secara analisis yang diberlakukannya. 6. Pelaporan Setelah menyelesaikan pelaksanaan audit sistem informasi, auditor sistem informasi harus memberikan suatu laporan audit sistem informasi dalam bentuk yang memadai kepada pihak-pihak yang berhak menerima. Laporan audit sistem informasi harus menyatakan lingkup, tujuan, sifat penugasan, temuan, kesimpulan, rekomendasi, identitas organisasi, penerima dan batasan distribusi laporan, serta batasan atau
39
pengecualian yang berkaitan dengan pelaksanaan audit sistem informasi. 7. Tindak lanjut Auditor sistem informasi harus meminta dan mengevaluasi informasi yang dipandang perlu sehubungan dengan temuan, kesimpulan dan rekomendasi audit yang terkait dari audit sebelumnya untuk menentukan apakah tindak lanjut yang layak telah dilaksanakan dengan tepat waktu. 2.4 Teori Khusus Menurut Arief (2007, p.10-11) Hotel adalah suatu bentuk akomodasi yang dikelola secara komersial, disediakan bagi setiap orang untuk memperoleh pelayanan dan penginapan berikut makan dan minuman. (SK. Menteri perhubungan No.PM.10/Pw.301/Phb.77) Hotel adalah suatu jenis akomodasi yang mempergunakan sebagian atau seluruh bangunan untuk menyediakan jasa pelayanan penginapan, makan dan minum serta jasa lainnya bagi umum, yang dikelola secara komersial serta memenuhi
ketentuan
persyaratan
yang
ditetapkan
didalam
pemerintah.(SK Menparpostel No.KM.34/HK.103/MPPT-87). Hotel bebintang memiliki persyaratan sebagai berikut: •
Fisik meliputi lokasi, kondisi dsb.
keputusan
40
•
Bentuk pelayanan (service).
•
Klasifikasi tenaga kerja pendidikan dan kesejahteraan.
•
Fasilitas olah raga dan fasilitas lainnya.
•
Jumlah kamar yang tersedia.
2.4.1
Sistem Informasi Perhotelan
Sistem informasi perhotelan menyediakan laporan tentang banyaknya tamu yang menginap, lama menginap, tingkat hunian, dan banyaknya fasilitas yang digunakan oleh tamu tersebut. Sistem informasi perhotelan menjadi kompleks ketika pihak hotel berusaha membuka unitunit profit lainnya seperti bar, restoran, toko roti, toko souvenir, wartel, Internet Café dan acara-acara khusus.
Departemen TI hotel semakin tertantang untuk membangun SI yang terpadu yang dapat menghasilkan informasi akurat setiap saat. Titik kritis dari pembanguan sistem ini adalah menghubungkan antara pemesanan temapat dan saat reservasi. Meskipun pemodelan database sistem hotel ini tergolong cukup sederhana, tetapi tingkat kontrol yang dibutuhkan sangat tinggi, khususnya untuk menghindari terjadinya perbedaan pencatatan dari biaya yang ditawarkan dan yang di bayar oleh tamu.
41
2.4.2
Fungsi Hotel Menurut Arief (2007, p.76) fungsi Hotel adalah : 1. Sebagai tempat/sarana akomodasi untuk memenuhi kebutuhan tamu (wisatawan dan pelancong), sebagai tempat beristirahat/tinggal sementara waktu selama dalam perjalanan yang jauh dari tempat asalnya. 2. Oleh karena itu dalam bahasa Inggris, hotel sering disebut sebagai “Hotel is a home far away from home”. 3. Sebagai tempat pertemuan (rapat, seminar, komprensi, loka-karya, dan sebagainya). Bagi para pengusaha, pimpinan pemerintahan, para cendekiawan, dan sebagainya. 4. Sebagai tempat untuk mempromosikan berbagai produk, perusahaan, atau bisnis apa saja (asal mampu membayarnya). 5. Sebagai tempat untuk bersantai, rekreasi, rileks, atau menikmati kesenangan lainnya (bagi yang mampu). 6. Sebagai tempat bertemu, bergaul dan bersahabat bagi semua bangsa yang datang. 7. Sebagai tempat untuk menambah ilmupengetahuan dan pengalaman (khususnya untuk menambah ilmu pengetahuan dan pengalaman (khususnya bagi pelajar/mahasiswa, dan karyawan). 8. Sebagai tempat untuk mencari nafkah/uang (khususnya bagi karyawan dan managementnya).
42
2.4.3
Pengelompokan Hotel Menurut Arief (2007, p.79) pengelompokan hotel menurut besar kecilnya yaitu: 1. Small Size Hotel (Hotel Kecil) yang jumlah kamarnya kurang dari 26 kamar. 2. Small Average Size Hotel (rata-rata kecil sedang) yaitu jumlah kamar antara 26 sampai 99 kamar tamu. 3. Medium Average Size Hotel (rata-rata sedang menengah) yaitu jumlah kamar 100 sampai 299 kamar tamu. 4. Large Size Hotel (hotel ukuran besar) yaitu jumlah kamar 300 sampai 3000 kamar tamu.
2.4.4 Front Office Menurut Agusanwar (2002, p.3), pengertian dari front office adalah “Departemen yang mengambil bagian di depan atau di lobby hotel untuk mempermudah pelayanan kepada tamu yang memerlukan bantuan. Disini, tamu yang datang akan disambut dan dilayani untuk proses check-in dan juga proses check-out ketika mereka keluar dari hotel.” Bagian front office di hotel memiliki hubungan utama antara tamu dan hotel. Biasanya bagian front office hotel memiliki perangkapan tugas antara lain seperti petugas front desk, receptionist, guest service agent. Orang yang bekerja di front office adalah orang yang melakukan register dan mengecek tamu yang masuk ataupun keluar dengan mencatatnya
43
secara tertulis ataupun komputerisasi, berhubungan dengan housekeeping dan bagian lainnya di hotel tersebut, dan umumnya memproses informasi serta menjadi pusat penyimpanan data-data tamu. 2.4.5 Kegiatan Utama Front Office Menurut Cissco (2003, p.1), terdapat beberapa aktivitas utama front office yang berhubungan dengan tamu secara langsung seperti reservasi, registrasi, check-in, dan check-out. 1. Reservasi Definisi reservasi menurut Sihite (2000, p.52) adalah kegiatan pertama yang dilakukan tamu untuk melakukan pemesanan sebelum datang ke hotel. Pada saat tamu melakukan reservasi, maka bagian front office akan menanyakan apakah tamu tersebut telah membuat reservasi sebelumnya. Pada reservasi biasanya akan ditanyakan beberapa data tamu seperti nomor telepon, nama tamu, alamat, waktu kedatangan, serta sistem pembayaran yang akan dilakukan. 2. Check-in Pada proses check-in, ada beberapa aktivitas yang dilakukan oleh bagian front office dengan tamu seperti menyambut, registrasi, penempatan ruangan, hingga pada membawa barang bawaan tamu ke ruangan yang dibantu oleh bellboy. Pada saat registrasi, maka bagian
44
front office akan meminta kartu identitas tamu untuk dicatat sebagai data, serta menanyakan sistem pembayaran yang akan dilakukan. 3. Check-out Check-out dilakukan pada saat tamu akan meninggalkan hotel. Bagian front office akan mengecek pemakaian ruangan dari tanggal check-in hingga check-out dan juga mengecek pemakaian minibar atau pelayanan kamar lainnya. Berdasarkan data-data tersebut maka akan dibuat bill dan akan ditagihkan kepada tamu. 2.4.6 Hubungan Antara Departemen Front Office dengan Departemen Lainnya Housekeepin Food &
Security B
Engineering
F
Human Reso rcing
Sales & M k ti
Finance Kitchen
Gambar 2.2 Hubungan Antara Departemen Front Office dengan Departmen lainnya
45
a.
FO departement dengan Housekeeping a) Masalah status kamar Pihak Housekeeping bertugas untuk mengecek kamar apakah tedapat barang-barang yang hilang, rusak atau tertinggal. b) Masalah perpindahan kamar (tamu biasa dan tamu VIP) Pihak Housekeeping juga bertugas untuk membantu tamu yang akan pindah kamar, sehingga tamu akan lebih terbantu. c) Masalah kedatangan dan keberangkatan tamu Membantu
tamu
untuk
membawa
barang-barang,
serta
mengantarkan tamu ke kamar, baik tamu check-in maupun checkout. d) Masalah Housekeeping report Pihak Housekeeping wajib melaporkan kelengkapan barangbarang dikamar hotel kepada pihak FO. b. FO departemen dengan Food and Beverage departemen a) Penanganan daily buffet sehari-hari di coffee shop (untuk tamutamu rombongan yang menggunakan fasilitas meal kupon). b) Penyediaan makanan dan minuman sesuai dengan tingkat hunian kamar.
46
c) Penanganan meal coupon Pihak Food and Beverage membantu para tamu utnuk menukarkan meal coupon dengan sarapan yang merupakan bagian dari fasilitas hotel yang diberikan secara cuma-cuma. c. FO Departemen dengan personal & Training departemen a) Penerimaan karyawan baru Training departement bertugas untuk membantu dalam pelatihan penerimaan karyawan baru. b) Mutasi dan promosi karyawan Bagian Personal dan Training departement memiliki otorisasi untuk memutasi karyawan ke bagian lain, mempromosikan untuk penaikan jabatan. c) Program orientasi karyawan baru Mengadakan program pengenalan dan pelatihan bagi karyawan baru yang bergabung. d) Tour to the hotel Melakukan studi banding untuk pelatihan karyawan baru dan membandingkan setiap hotel.
47
d. FO departemen dengan Engineering & Maintenance departement a) Penanganan working memo/memo order sehubungan dengan kerusakan yang terjadi pada alat-alat di front office department. b) Pembuatan kunci duplikat (bila hotel masih menggunakan kunci manual). c) Penanggulangan bahaya kebakaran Pihak maintanance departement harus memeriksa dan merawat setiap alat-alat pencegah kebakaran. d) Penanggulangan kerusakan masalah AC (penyeduk udara) Pihak maintanance bertugas untuk memperbaiki dan merawat AC yang terdapat disetiap kamar ataupun ruangan yang memiliki AC. e) Masalah transportasi tamu dan karyawan Pihak maintanance juga harus meawat kendaraan tamu ataupun karyawan agar tetap terjaga dengan baik. f) Informasi mengenai kerusakan peralatan electronika Pihak Maintanance bertanggungjawab dalam perbaikan peralatan elektronik apabila terjadi kerusakan.
48
e. FO departement dengan Acounting departement a) Masalah penagihan kredit tamu yag belum terbayar Bagian accounting dapat menagih pembayaran hotel kepada tau yag belum terbayar. b) Masalah petty cash Bagian Accounting memiliki otorisasi untuk mengatur kas kecil atau petty cash. Petty cash ini digunakan untuk pengeluaran halhal kecil seperti foto copy, membeli alat tulis dll. c) Masalah remittance of funds Bagian accounting membantu front office untuk pengembalian uang customer bila terjadi selisih ataupun kelebihan pembayaran. d) Penggajian bulanan yang berhubungan dengan over time Bagian accounting menghitung penggajian karyawan menurut waktu lembur yang dilakukan. e) Penanganan night audit Bagian accounting juga menangani pengecekkan transaksi setiap malamnya. Pengecekkan ini silakukan saat closing sekitar pukul 12 malam.
49
f) Penanganan room revenue Bagian accounting juga mengangani pembayaran room yang akan menjadi pendapatan hotel. f. FO departement dengan security departement a) Menjaga dan mengawasi kamar tamu. b) Melindungi barang-barang milik tamu, karyawan dan pengunjung. c) Memberikan
perasaan
aman
pada
tamu,
pengunjung, baik secara fisik ataupun rohani.
karyawan
dan
