22 BAB 2 LANDASAN TEORI
2.1 Audit Sistem Informasi 2.1.1
Pengertian Audit Sistem Informasi Menurut Alberts dan Dorofee (2003, p.6), “Information systems audits are
independent appraisals of a company’s internal controls to assure management, regulatory authorities, and company shareholders that information is accurate and valid”. Audit sistem informasi adalah penilaian independen atas pengendalian internal suatu perusahaan yang dilakukan untuk meyakinkan pihak manajemen, pemerintah dan para pemegang saham bahwa informasi yang ada adalah akurat dan benar. Menurut Weber (1999, p.10),” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”. Audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem komputer yang ada memberikan jaminan keamanan terhadap aset, integritas data, pencapaian tujuan organisasi secara efektif, dan juga penggunaan sumber daya secara efisien. Berdasarkan uraian di atas, dapat disimpulkan bahwa audit sistem informasi adalah penilaian independen atas pengendalian internal suatu perusahaan yang dilakukan untuk menentukan apakah sistem komputer yang ada memberikan jaminan keamanan terhadap aset, integritas data, pencapaian tujuan organisasi secara efektif, dan juga penggunaan sumber daya secara efisien.
23 2.1.2
Tujuan Audit Sistem Informasi Menurut Romney dan Steinbart (2006, p.316), “ The purpose of an information
systems audit is to review and evaluate the internal controls that protect the system”. Tujuan dari audit sistem informasi adalah untuk mengkaji ulang dan mengevaluasi pengendalian-pengendalian intern yang diterapkan untuk melindungi sistem yang ada. Champlain (1998, p.27) mendefinisikan tujuan dari audit sistem informasi sebagai berikut, “To assess the adequacy of environmental, physical security, and operational controls designed to protect IS hardware, software, and data against unauthorized access and accidental or intentional destruction or alteration, and to ensure that information systems are functioning in an efficient and effective manner to help the organization achieve its strategic objectives”.
Tujuan dari audit sistem
informasi adalah untuk menilai tingkat keamanan fisik dan lingkungan serta pengendalian operasi yang ada dalam melindungi perangkat keras, perangkat lunak, dan data sistem informasi dari resiko pengrusakan dan pengaksesan oleh pihak yang tidak berwenang, serta untuk memastikan bahwa sistem informasi berfungsi secara efektif dan efisien dalam membantu perusahaan untuk mencapai tujuan strategisnya.
2.1.3 Prosedur Audit Sistem Informasi Mengacu pada Weber (1999) terdapat lima tipe prosedur dalam rangka mengevaluasi tingkat efektifitas dan efisiensi dari operasional suatu perusahaan, yaitu:
24 1. Procedures to obtain an understanding of controls. Teknik tanya jawab, inspeksi, dan observasi dapat digunakan untuk memperoleh pemahaman mengenai pengendalian-pengendalian administratif yang diterapkan untuk mencapai tujuan pengamanan aset dan integritas data. 2. Tests of controls Berfokus
pada
penilaian
mengenai
apakah
pengendalian-pengendalian
administratif telah dirancang dengan baik dan dilaksanakan secara efektif. 3. Substantive tests of details of transactions Tes ini dirancang untuk mengevaluasi apakah transaksi-transaksi atau eventevent yang terjadi telah ditangani secara efektif dan efisien. 4. Substantive tests of overall results Tes ini berfokus pada tingkat efisiensi dan efektifitas sistem secara keseluruhan. 5. Analytical review procedures Tes ini berfokus pada hubungan diantara item-item data yang ada, yang bertujuan untuk mengidentifikasi area-area yang berkaitan dengan efektifitas dan efisiensi sistem.
25
Start Preliminary audit work Obtain understanding of control structure Assess control risk
No
Rely on controls?
Yes Test of controls Reassess control risk
No
Still rely on controls?
Extended substantive testing
Yes Yes Increase reliance
on controls?
No
Limited substantive testing
Form audit opinion and issue report
Stop
Gambar 2.1 Flowchart of major steps in an IS Audit (Sumber: Weber, 1999, p.48)
26 2.1.4
Bukti Audit Klasifikasi bukti audit menurut Cascarino (2007, p.39-40), ”Such evidence is
typically classified as:
Physical evidence. Generally obtained by observation of people, property, or events.
Testimonial evidence. May take the form of letters, statements in response to inquiries, or interviews, and are not conclusive in themselves because they are only another person’s opinion.
Documentary evidence. The most common form of audit evidence and includes letters, agreements, contracts, directives, memoranda and other business documents.
Analytical evidence. Commonly derived from computations, comparisons to standards, past operations, and similar operations.”
2.1.5
Standar Audit Sistem Informasi Mengacu pada ISACA (2008), standar audit sistem informasi mendefinisikan
persyaratan-persyaratan yang wajib dipenuhi dalam pelaksanaan dan pelaporan atas audit sistem informasi. Information System Audit and Control Association (ISACA) menetapkan standar audit sistem informasi, sebagai berikut:
27 S1: Audit Charter bahwa audit charter harus disetujui oleh level organisasi yang tepat dan harus memuat mengenai tujuan, tanggung jawab, otoritas, dan pertanggungjawaban dari fungsi audit sistem informasi.
S2: Independence memuat mengenai pentingnya independensi profesional dan independensi organisasi.
S3: Professional Ethics and Standards bahwa auditor sistem informasi harus setia pada kode etika profesional ISACA dan bersikap profesional dalam menjalankan tugasnya.
S4: Professional Competence bahwa auditor sistem informasi harus kompeten secara profesional dan selalu memelihara kompetensi profesional yang dimilikinya tersebut dengan cara mengikuti pendidikan dan pelatihan profesional secara berkelanjutan.
S5: Planning berkaitan dengan perencanaan atas cakupan audit sistem informasi, pengembangan dan pendokumentasian pendekatan audit berbasis resiko, rencana audit, program audit beserta prosedur-prosedurnya.
28 S6: Performance of Audit Work berkaitan dengan pengawasan terhadap staf audit sistem informasi, pengumpulan bukti audit, dan pendokumentasian atas proses audit dalam rangka mendukung temuan dan kesimpulan auditor sistem informasi.
S7: Reporting berkaitan dengan rincian keterangan dalam laporan audit yang diperlukan, penyediaan laporan audit yang dibuat pada akhir penyelesaian audit harus berdasarkan bukti yang memadai, dan bahwa laporan ketika diterbitkan harus ditandatangani, diberi tanggal, dan didistribusikan sesuai dengan persyaratan yang tertuang pada surat perjanjian.
S8: Follow-Up Activities berkaitan dengan pengevaluasian atas informasi yang relevan untuk mengetahui apakah tindakan yang semestinya telah diambil oleh pihak manajemen dalam rangka menyikapi temuan dan rekomendasi dari auditor.
S9: Irregularities and Illegal Acts berkaitan dengan pertimbangan dan prosedur-prosedur audit yang diperlukan dalam melakukan penilaian atas adanya resiko tindakan yang tidak biasa dan melanggar hukum; pentingnya surat representasi dari manajemen; pengkomunikasian mengenai temuan yang diperoleh, dan juga dokumentasi mengenai tindakan-tindakan tidak biasa dan melanggar hukum yang materil.
29 S10: IT Governance berkaitan dengan penilaian fungsi sistem informasi yang harus sejalan dengan misi, visi, tujuan, strategi perusahaan; penilaian terhadap hasil yang dicapai dan keefektifan penggunaan sumber daya sistem informasi serta kepatuhan terhadap hukum, kualitas informasi, dan persyaratan keamanan yang ada.
S11: Use of Risk Assessment in Audit Planning berkaitan dengan penggunaan teknik penilaian resiko yang tepat atas rencana audit dan dalam penentuan prioritas untuk alokasi sumber daya audit sistem informasi yang efektif.
S12: Audit Materiality berkaitan dengan pertimbangan mengenai materialitas audit dan hubungannya terhadap resiko audit; pertimbangan mengenai kelemahan pengendalian yang berpengaruh secara materil dalam sistem informasi; dan pengungkapan mengenai hal tersebut pada laporan auditor.
S13: Using the Work of Other Experts berkaitan dengan penggunaan pekerjaan dari pakar lainnya untuk keperluan audit dan penilaian terhadap kompetensi, independensi, dan pengalaman dari pakar tersebut.
30 S14: Audit Evidence berkaitan dengan pengumpulan bukti audit yang memadai dan layak untuk menarik kesimpulan yang wajar dan pengevaluasian atas kecukupan bukti audit.
S15: IT Controls berkaitan dengan pengevaluasian dan pemantauan atas pengendalian teknologi informasi; dan pemberian masukan kepada pihak manajemen mengenai perancangan, implementasi, operasi, dan peningkatan atas pengendalian teknologi informasi yang ada.
S16: E-commerce berkaitan dengan pengevaluasian atas pengendalian-pengendalian yang berlaku dan penilaian terhadap resiko yang ada dalam rangka menjamin terkendalinya transaksitransaksi e-commerce.
2.2 Sistem Informasi Akuntansi 2.2.1
Pengertian Sistem Informasi Akuntansi Sistem informasi akuntansi menurut Romney dan Steinbart (2006, p.6), ”An
accounting information system (AIS) is a system that collects, records, stores, and processes data to produce information for decision makers”.
Sistem informasi
akuntansi adalah sistem yang mengumpulkan, mencatat, menyimpan, dan memproses data untuk menghasilkan informasi bagi para pengambil keputusan.
31 Sedangkan menurut Rama dan Jones (2006, p.5), “The accounting information system is a subsystem of an MIS that provides accounting and financial information, as well as other information obtained in the routine processing of accounting transactions”. Sistem informasi akuntansi adalah sebuah subsistem dari sistem informasi manajemen yang menyediakan informasi keuangan dan akuntansi, yang diperoleh dari proses rutin atas transaksi-transaksi akuntansi. Jadi, berdasarkan uraian diatas maka dapat disimpulkan bahwa sistem informasi akuntansi adalah sistem yang mengumpulkan, mencatat, menyimpan, dan memproses data yang diperoleh dari proses rutin atas transaksi-transaksi akuntansi menjadi informasi keuangan yang berguna bagi para pengambil keputusan.
2.2.2
Tujuan Sistem Informasi Akuntansi Menurut Vaassen (2002), ”AIS studies the structuring and operation of planning
and control processes which are aimed at:
Providing information for decision making and accountability to internal and external stakeholders that complies with specified quality criteria.
Providing the right conditions for sound decision making.
Ensuring that no assets illegitimately exit the organization.” (p.3). Menurut Gelinas dan Dull (2008, p.14), ”So historically, an IS incorporated a
separate accounting information system (AIS), which is a specialized subsystem of the IS. The purpose of this separate AIS was to collect, process, and report information related to the financial aspects of business events.”
32 2.3 Sistem Informasi Persediaan 2.3.1
Pengertian Sistem Informasi Persediaan Menurut Stair dan Reynolds (2006, p.15), ”An information system (IS) is a set of
interrelated elements or components that collect (input), manipulate (process) and store, and disseminate (output) data and information and provide a feedback mechanism to meet an objective.” Menurut O’Brien (2005, p.6), “An information system can be any organized combination of people, hardware, software, communications networks, and data resources that collects, transforms, and disseminates information in an organization.” Persediaan menurut Kieso et al. (2007, p.368), “Inventories are asset items that a company holds for sale in the ordinary course of business, or goods that it will use or consume in the production of goods to be sold.” Jadi, Sistem informasi persediaan adalah suatu sistem yang melakukan pengumpulan, pemrosesan, penyimpanan, dan penyebaran data dan informasi mengenai barang-barang yang siap dijual dalam operasi bisnis normal perusahaan ataupun barang yang akan digunakan dalam proses produksi.
2.3.2
Jenis Persediaan Menurut Stice et al. (2007, p.446), “The term inventory (or merchandise
inventory) is generally applied to goods held by a merchandising firm, either wholesale or retail, when such goods have been acquired in a condition for resale. The terms raw materials, work in process, and finished goods refer to the inventories of a manufacturing enterprise.”
33 2.3.3
Sistem Pencatatan Persediaan Mengacu pada Spiceland et al. (2001), sistem pencatatan persediaan terdiri dari:
1. Sistem Persediaan Perpetual Dalam sistem persediaan perpetual, akun persediaan secara terus menerus disesuaikan atas setiap perubahan yang terjadi pada persediaan yang dikarenakan oleh adanya pembelian, penjualan, ataupun pengembalian barang oleh perusahaan kepada pemasoknya. Jadi, perusahaan langsung mencatat setiap perubahan yang terjadi pada akun persediaan. 2. Sistem Persediaan Periodik Dalam sistem persediaan periodik, akun persediaan tidak disesuaikan saat itu juga ketika terjadi perubahan atas persediaan, melainkan dilakukan hanya secara periodik pada akhir periode suatu pelaporan.
2.3.4 Metode Penilaian Persediaan Mengacu pada Kieso et al. (2007), terdapat tiga metode dalam penilaian terhadap persediaan yaitu: 1. Average Cost Method Dalam metode average, persediaan dinilai dengan harga rata-rata atas barangbarang sejenis yang tersedia selama periode yang bersangkutan.
34 2. FIFO (First-In, First-Out Method) Dalam metode FIFO, barang dikeluarkan dari gudang berdasarkan urutan barang yang pertama kali dibeli. Maka dari itu, persediaan yang tersisa di gudang harus merepresentasikan stok barang yang terakhir dibeli. 3. LIFO (Last-In, First-Out Method) Dalam metode LIFO, mengasumsikan bahwa biaya dari total barang yang terjual dalam periode yang bersangkutan berasal dari nilai biaya (cost) atas stok barang yang terakhir dibeli.
2.3.5
Resiko dan Pengendalian pada Persediaan Mengacu pada Warren et al. (2005), terdapat dua tujuan utama dari
pengendalian internal pada persediaan yaitu: perlindungan terhadap persediaan yang ada dan pelaporan persediaan yang wajar di dalam laporan keuangan. Pengendalian internal pada persediaan dapat bersifat preventif ataupun detektif:
Pengendalian Preventif (Preventive Control) Pengendalian ini dilakukan untuk mencegah kemungkinan terjadinya error atau kesalahan dalam penyajian.
Pengendalian Detektif ( Detective Control ) Pengendalian ini dilakukan untuk mendeteksi error atau kesalahan penyajian yang telah terjadi.
Menurut Messier et al. (2006, p.543), ” Segregation of duties is a particularly important control in the inventory management process because of the potential for
35 theft and fraud. Therefore, individuals involved in the inventory management and inventory stores functions should not have access to the inventory records, the costaccounting records, or the general ledger.”
2.4 Sistem Pengendalian Internal 2.4.1
Pengertian Sistem Pengendalian Internal Menurut Cangemi dan Singleton (2003, p.66), “Internal control system is the
policies, practices, procedures, and tools designed to: (1) safeguard corporate assets, (2) ensure accuracy and reliability of data captured and information products, (3) promote efficiency, (4) measure compliance with corporate policies, (5) measure compliance with regulations, and (6) manage the negative events and effects from fraud, crime, and deleterious activities.” Menurut Boynton dan Johnson (2006, p.391), “ The COSO report defines internal control as follows: Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: reliability of financial reporting, compliance with applicable laws and regulations, effectiveness and efficiency of operations.”
2.4.2
Tujuan Sistem Pengendalian Internal Menurut Arens et al. (2006, p.270), “ Management typically has three broad
objectives in designing an effective internal control system: 1. Reliability of financial reporting.
36 2. Efficiency and effectiveness of operations. 3. Compliance with laws and regulations.”
2.4.3
Komponen Sistem Pengendalian Internal Mengacu pada Moscove et al. (2001), sistem pengendalian internal yang
didefinisikan oleh COSO terdiri dari 5 komponen yang saling terkait: 1. Control environment Terdiri dari tindakan, kebijakan, dan prosedur yang mencerminkan pandangan perusahaan mengenai pengendalian internal dan pentingnya pengendalian tersebut bagi perusahaan. Lingkungan pengendalian ini berperan sebagai pijakan bagi komponen pengendalian internal lainnya. 2. Risk assessment Yaitu identifikasi dan analisa atas resiko-resiko yang berkaitan dengan pencapaian tujuan perusahaan, dalam rangka menentukan cara yang tepat untuk mengelola resiko yang ada tersebut. 3. Control activities Yaitu kebijakan dan prosedur yang membantu dalam menjamin bahwa tindakantindakan yang diperlukan telah dilaksanakan untuk menangani resiko-resiko yang ada. 4. Information & communication Dilakukan
untuk
mengidentifikasi,
mencatat,
memproses,
dan
mengkomunikasikan informasi yang diperoleh sehingga pihak-pihak yang terkait dapat melaksanakan tugas dan tanggung jawabnya.
37 5. Monitoring Yaitu penilaian yang dilakukan secara terus menerus atas kualitas dari kinerja pengendalian internal yang ada.
2.5 Pengendalian atas Sistem Informasi Mengacu pada Weber (1999), Pengendalian atas sistem informasi berkaitan dengan pengevaluasian atas keandalan atau keefektifan pengendalian operasional yang ada, yaitu mencakup usaha untuk mencegah, mendeteksi, ataupun mengkoreksi peristiwa-peristiwa yang melanggar aturan.
2.5.1 Jenis Pengendalian atas Sistem Informasi Menurut Hall dan Singleton (2005, p.30), ”IT internal controls are divided into the two broad categories of general controls and application controls. General controls apply to a wide range of risks that systematically threaten the integrity of all applications processed within the IT environment. … Application controls are narrowly focused on risks associated with specific systems, such as payroll, accounts receivable, and purchases.” Mengacu pada Weber (1999), pengendalian internal terhadap sistem informasi dibagi menjadi dua bagian yaitu:
Managerial Control Pengendalian manajemen dilakukan untuk menyediakan infrastruktur yang stabil bagi pengembangan dan pengoperasian sistem informasi sehari-hari. Subsistem pengendalian manajemen terdiri dari: pengendalian manajemen
38 puncak, pengembangan sistem, pemrograman, administrasi data, jaminan kualitas, administrasi keamanan, dan operasi.
Application Control Pengendalian aplikasi dilakukan untuk menjamin keandalan pemrosesan informasi dalam sistem informasi. Subsistem pengendalian aplikasi terdiri dari: pengendalian batasan, masukan, komunikasi, pemrosesan, database, dan keluaran.
Berdasarkan pada ruang lingkup audit, pengendalian manajemen yang akan dibahas meliputi pengendalian manajemen keamanan dan operasi; dan pengendalian aplikasi yang akan dibahas meliputi pengendalian batasan, masukan, dan keluaran.
2.5.2 Pengendalian Manajemen Keamanan Mengacu pada Weber (1999), pengendalian manajemen keamanan dilakukan untuk memastikan bahwa aset-aset yang berkaitan dengan fungsi sistem informasi dalam kondisi yang aman. Aset dikatakan aman apabila kerugian atas aset yang diprediksi akan terjadi berada pada batasan yang dapat diterima.
2.5.2.1 Klasifikasi Keamanan Sistem Informasi Mengacu pada Weber (1999), keamanan sistem informasi terbagi menjadi 2 (dua) jenis :
39 1. Physical Security (Keamanan Fisik) Meliputi perlindungan terhadap aset-aset fisik sistem informasi yang dimiliki oleh perusahaan, diantaranya yaitu: personil, perangkat keras, fasilitas, dokumentasi, dan perlengkapan-perlengkapan yang digunakan. 2. Logical Security (Keamanan Logika) Meliputi perlindungan terhadap data, informasi, dan perangkat lunak yang meliputi sistem dan aplikasi.
2.5.2.2 Ancaman Keamanan dan Pengendaliannya Mengacu pada Weber (1999), ancaman utama keamanan bagi sistem informasi dan bentuk-bentuk pengendalian yang efektif untuk mengatasinya, yaitu sebagai berikut: 1. Api: dengan menerapkan sistem perlindungan api yang dirancang dengan baik dan handal, diantaranya yaitu:
Alarm kebakaran dan alat pemadam kebakaran di tempatkan di seluruh lokasi yang strategis, tempat aset-aset sistem informasi berada.
Bangunan tempat aset-aset sistem informasi berada terbuat dari bahan yang tahan api.
Alat pemadam kebakaran dapat dengan mudah dijangkau.
Pelaksanaan prosedur perawatan terhadap aset sistem informasi yang baik untuk menjamin bahwa bahan-bahan dan kotoran yang mudah terbakar di sekitar aset-aset sistem informasi yang berharga dapat diminimalkan.
40 2. Air: fasilitas harus dirancang dan ditempatkan sedemikian rupa untuk meringankan kerugian dari kerusakan akibat air, diantaranya yaitu dengan cara:
Jika memungkinkan, menggunakan langit-langit, tembok, dan lantai yang tahan air.
Di daerah yang rawan banjir, seluruh aset-aset sistem informasi ditempatkan di atas ketinggian maksimum banjir yang biasanya terjadi.
Menutupi perangkat keras dengan menggunakan kain pelindung ketika perangkat keras tidak digunakan.
Menempatkan aset-aset sistem informasi di atas lantai dasar dari bangunan untuk mengantisipasi bahaya banjir yang mungkin terjadi.
3. Variasi Tegangan Listrik:
Untuk menjamin kelangsungan penggunaan
perangkat keras akibat hilangnya tenaga listrik digunakan uninterruptible power supply (UPS).
4. Gangguan dari pihak luar: diantaranya meliputi pencurian dan pengrusakan terhadap aset-aset sistem informasi. Untuk mencegah hal tersebut, diantaranya yaitu:
Penggunaan petugas keamanan.
Penggunaan tanda pengenal diri untuk membedakan antara pegawai perusahaan dengan tamu.
Semua tamu harus didampingi oleh pegawai tetap perusahaan selama berada di dalam perusahaan.
41
Alarm digunakan untuk mendeteksi adanya gangguan dari pihak luar.
5. Virus: Pengendalian yang dapat dilakukan untuk mengurangi kemungkinan kerugian yang disebabkan oleh virus dapat dibedakan menjadi 3 (tiga), diantaranya yaitu:
Preventive control: ¾ Melakukan pengecekan terhadap file-file baru dengan menggunakan software anti virus sebelum file yang bersangkutan digunakan. ¾ Melakukan pengecekan terhadap perangkat lunak baru yang akan diinstall dengan menggunakan software anti virus. ¾ Memberikan pengarahan kepada para pegawai mengenai bahaya dari virus dan cara pencegahannya.
Detective control: Melakukan scanning dengan menggunakan software anti virus secara berkala untuk mendeteksi infeksi virus yang ada.
Corrective control: Menjalankan software anti virus untuk menghilangkan infeksi-infeksi virus yang ada.
Menurut Hawker (2000, p.191-192), ”Protection against viruses should go further than simply installing some anti-virus software, … that they will need to comply with other measures, including: bans on ’fun’ software - …managers must insist that no unauthorised software is loaded on to office machines …; and maintenance of back-up copies. … Some viruses will destroy the entire contents of a hard drive within minutes, and there is no way of reserving such damage.”
42 2.5.2.3 Control of Last Resort Mengacu pada Weber (1999), dalam rangka pemulihan jalannya operasi perusahaan dan juga meringankan kerugian yang disebabkan oleh bencana yang terjadi, terdapat 2 (dua) macam pengendalian yang dilakukan:
Disaster Recovery Plan Memungkinkan fungsi sistem informasi untuk mengembalikan operasi yang berjalan ke keadaan pada saat sebelum terjadinya bencana, diantaranya yaitu dengan memiliki generator, lokasi gedung cadangan untuk operasional, dan melakukan backup data.
Asuransi Asuransi dapat digunakan untuk meringankan kerugian akibat bencana yang terjadi, diantaranya dapat mencakup asuransi atas gedung dan peralatan komputer yang dimiliki.
2.5.3 Pengendalian Manajemen Operasi Mengacu pada Weber (1999), pengendalian manajemen operasi berkaitan dengan pelaksanaan harian atas fasilitas perangkat keras dan lunak yang ada.
2.5.3.1 Computer Operations Mengacu pada Weber (1999), pengendalian terhadap operasi komputer yang ada dilakukan terhadap aktivitas-aktivitas yang secara langsung mendukung penggunaan keseharian sistem pada perangkat keras dan lunak yang tersedia. Pengendalian yang dapat diterapkan pada aspek operasi dan pemeliharaan komputer, diantaranya yaitu:
43
Operations Controls: adanya pemisahan tugas yang jelas; pengawasan yang efektif; dan pembatasan hak akses operator. Untuk mengumpulkan bukti mengenai kualitas dari pengendalian operasi ini, auditor dapat memeriksa dokumentasi yang ada, melakukan wawancara dan juga observasi.
Maintenance Controls: terdiri dari dua jenis yaitu preventive dan repair maintenance. Bagi perangkat keras yang memegang peranan penting bagi kelangsungan operasi perusahaan, maka preventive maintenance lebih diutamakan. Pengevaluasian terhadap fungsi perawatan ini dilakukan dengan cara melakukan wawancara terhadap personil yang bertanggung jawab terhadap perawatan komputer yang ada.
2.5.3.2 Data Entry Environment & Facilities Mengacu pada Weber (1999), Lingkungan dan fasilitas dari penginputan data harus dirancang untuk mendukung kecepatan dan ketepatan serta kesehatan dari keyboard operator. Menurut Weber (1999, p.302), ”The following sorts of factors should be considered:
Lighting in a keyboard area should be adequate without causing glare.
The layout of the work area should be uncluttered to facilitate the work flow. Layout considerations include space, amenities, and the position of keyboard devices.
Ergonomically designed office equipment should be used to reduce the likelihood of, say, back injury or repetition strain injury. For example, display
44 screens should be nonreflective and positioned at a comfortable viewing distance. Likewise, chairs and tables should be adjustable to allow operators to maintain good posture.”
2.5.3.3 File Library Mengacu pada Weber (1999), fungsi file library bertanggung jawab dalam hal manajemen atas media penyimpanan data suatu organisasi, diantaranya mengenai:
Storage of Storage Media: Media penyimpan data, terutama yang berisi data yang penting harus disimpan di tempat yang aman. Akses ke ruangan tempat penyimpanan data tersebut harus dibatasi, jika bisa, harus diawasi oleh seorang file librarian.
Use of Storage Media: Media penyimpan data hanya boleh digunakan oleh orang yang benar-benar memiliki otorisasi untuk menggunakan data yang bersangkutan.
Maintenance Storage Media: Media penyimpan data harus dirawat dengan baik. Reliabilitas dari media penyimpan data semakin menurun dengan bertambahnya usia media yang bersangkutan, oleh karena itu secara berkala (min.6 bulan sekali) file backup harus dipindahkan ke media penyimpan data yang baru.
2.5.3.4 Documentation Library Mengacu pada Weber (1999), Pustakawan dokumentasi bertanggung jawab dalam hal mengelola dokumentasi yang mendukung fungsi sistem informasi, diantaranya yaitu: menjamin bahwa dokumentasi disimpan secara aman, bahwa hanya
45 orang yang memiliki otorisasi saja yang dapat mengakses dokumentasi, menjamin bahwa dokumentasi yang ada selalu up-to-date. Dalam rangka mengevaluasi kegiatan yang dilakukan oleh pustakawan dokumentasi, auditor dapat melakukan wawancara, observasi dan juga review atas dokumentasi.
2.5.4 Pengendalian Batasan Menurut Weber (1999, p.370), ”Controls in the boundary subsystem have three major purposes: 1.
To establish the identity and authenticity of would-be users of a computer system. (The system must ensure that it has an authentic user.)
2. To establish the identity and authenticity of the resources that users wish to employ. (Users must ensure that they are given authentic resources.) 3. To restrict the actions taken by users who obtain computer resources to a set of authorized actions. (Users may be allowed to employ resources only in restricted ways) “ .
2.5.4.1 Mekanisme Pengendalian Akses Mengacu pada Weber (1999), mekanisme pengendalian akses terdiri dari 3 (tiga) tahapan, yaitu: proses identifikasi data, autentikasi data, dan otorisasi data.
46 Access control data User X User X Name, Account number
Identification data
Access control mechanism
Identified user
Authetication data Authorization data
(a) Access control data User X
User X Remembered information Possessed objects Personal characteristics
Access control mechanism
Identification data Authetication data Valid/invalid user
Authorization data
(b) Access control data User X
User X Object resources Action requests
Access control mechanism
Permitted/denied actions
Identification data Authetication data Authorization data
(c)
Gambar 2.2 Mekanisme: (a) identifikasi; (b) autentikasi; (c) otorisasi (Sumber: Weber, 1999, p.379)
2.5.4.2 Access Identification & Authentication Control Mengacu pada Cangemi dan Singleton (2003), penggunaan kebijakan password yang efektif berguna dalam mencegah terjadinya aktivitas-aktivitas yang tidak terotorisasi dan merugikan perusahaan dalam penggunaan komputer. Kebijakan password yang efektif harus meliputi hal-hal sebagai berikut: password terdiri dari campuran karakter angka dan huruf; penggantian password secara berkala; larangan untuk berbagi dalam penggunaan password; pembatasan usaha log-in
47 (limited trial); dan juga menonaktifkan secara segera password yang dimiliki oleh pegawai yang telah dipecat. Mengacu pada Hawker (2000), pengendalian tambahan yang dapat diterapkan untuk menjamin keamanan dari resiko penyalahgunaan user ID, diantaranya yaitu: Terminal time-out, yaitu apabila user tidak melakukan aktivitas selama periode waktu tertentu di dalam aplikasi, maka sistem secara otomatis melakukan logout.
Information about previous log-ins: setiap kali user melakukan log-in, maka sistem akan menampilkan pesan informasi mengenai waktu akses terakhir yang dilakukan user.
2.5.4.3 Kebijakan Pengendalian Akses Menurut Weber (1999, p.369), “Access controls should enforce the principle of least privilege: Users should be assigned only the minimum set of resources and action privileges that they need to accomplish their work.”
2.5.4.4 Logs and Auditability Menurut Cangemi dan Singleton (2003, p.120), “ It is imperative that the internal control system has an adequate degree of controls related to electronic audit trails. One effective control is the implementation of computer logs. … Logs should be developed and implemented that will assist in safeguarding assets and ensuring compliance with policy.”
48 Mengacu pada Rittenberg, Schwieger, dan Johnstone (2008), elektronik audit trail memuat informasi mengenai identifikasi yang unik, waktu dan tanggal, staf yang bertanggung jawab, dan juga rincian transaksi yang terjadi.
2.5.5 Pengendalian Masukan Mengacu pada Weber (1999), pengendalian masukan bertanggung jawab dalam hal penginputan data-data dan instruksi yang telah divalidasi ke dalam sistem informasi.
2.5.5.1 Data Input Methods Mengacu pada Weber (1999), penginputan data dapat dilakukan dengan 2 (dua) cara, yaitu:
Penginputan secara langsung kedalam sistem informasi, diantaranya yaitu melalui keyboard, touch screen, mouse , atau
Data terlebih dahulu dicatat pada suatu medium (sep. dokumen sumber) ,dan baru kemudian diinput
kedalam sistem informasi baik melalui keyboard,
ataupun pembacaan secara langsung via optical scanner.
Dengan semakin banyak campur tangan manusia dalam penginputan data, maka menyebabkan kemungkinan errors atau irregularities yang terjadi menjadi semakin tinggi. Selain itu, semakin lama interval waktu antara terjadinya suatu event yang perlu diinput dengan waktu penginputan event atau status tersebut ke dalam sistem aplikasi, menyebabkan kemungkinan errors atau irregularities yang terjadi menjadi semakin tinggi pula.
49 2.5.5.2 Source Document Design Menurut Weber (1999, p.423), “Some data-input methods use source documents to record data that will be entered into a computer system. Source documents are often used when there will be a delay between capturing the data about a state or event and input of that data into a computer system.” Menurut Weber (1999, p.424), “The choice of layout and style has an important impact on the number of input errors that will be made using the source document. Some important design guidelines follow: preprint wherever possible; provide titles, headings, notes, and instructions; use techniques for emphasis and to highlight differences; arrange fields for ease of use; when possible, provide multiple-choice answers to questions to avoid omissions; use tick marks or indicator values to identify field-size errors; combine instructions with questions; space items appropriately on forms; design for ease of keying; prenumber source documents; conform to organizational standards.“
2.5.5.3 Data Entry Screen Design Mengacu pada Weber (1999), perancangan layar dengan kualitas yang baik sangat penting untuk meminimalkan kesalahan penginputan dan untuk mencapai efisiensi dan efektifitas dari subsistem masukan. Pedoman dalam perancangan layar yang baik, adalah sebagai berikut : 1. Screen Organization. Layar harus dirancang agar tidak berantakan dan seimbang secara simetrik.
50 2. Caption Design. Caption harus dibedakan secara jelas dari field yang perlu diisi, dan harus selalu mendahului data-entry field terkait. 3. Data-Entry Field Design. Data-entry field harus seketika mengikuti caption terkait, baik pada baris yang sama maupun pada beberapa baris berikutnya. 4. Tabbing and skipping. Skipping secara otomatis ke suatu field baru harus dihindari dalam perancangan data-entry screen, dan untuk keperluan perpindahan ke field berikutnya sebaiknya dengan menggunakan cara tabbing. 5. Color. Warna digunakan untuk membantu dalam menemukan letak caption atau suatu data item, untuk memisahkan area yang ada pada suatu layar, ataupun untuk mengindikasikan suatu perubahan status (misalnya. suatu situasi error). 6. Prompting and Help Facilities. Teks yang ditampilkan oleh prompting dan help facilities harus memuat informasi, instruksi, dan contoh-contoh yang ringkas, penuh makna, dan task-oriented. User harus dapat berinteraksi secara mudah dengan fasilitas prompting dan help yang ada.
2.5.5.4 Data Code Controls Menurut Weber (1999, p.433), “Five factors affect the frequency with which these coding errors are made:
Length of the code. Longer codes are more error prone. … Long codes should be broken up into chunks by using, for example, hyphens, slashes, or spaces to reduce coding errors.
51
Alphabetic/numeric mix. If alphabetic and numeric characters are to be mixed in a code, the error rate is lower if the alphabetics are grouped together and the numerics are grouped together.
Mixing uppercase/lowercase fonts. Having to use the shift key during keying of a code breaks the keying rhythm and increases the likelihood of error. If possible, only an uppercase or a lowercase font should be used for a code.
Predictability of character sequence. Some character sequences are more predictable than others and, as such, are less error prone.”
2.5.5.5 Batch Control Mengacu pada Weber (1999), batching adalah proses pengelompokan transaksitransaksi yang memiliki suatu hubungan tertentu satu sama lain menjadi satu kesatuan. Menurut Weber (1999, p.442), “To identify errors or irregularities in either a physical or a logical batch, three type of control totals can be calculated:
Financial totals: grand totals calculated for each field containing money amounts.
Hash totals: grand totals calculated for any code on a document in the batch, e.g., the source document serial numbers can be totaled.
Document/record counts: grand totals for the number of documents or records in the batch.
… In the case of a logical batch, the person responsible for keying data must keep an independent record of transactions entered into the application system. Periodically,
52 the batch totals calculated by the input program must then be compared against the batch totals calculated on the basis of these independent records.”
2.5.5.6 Validation of Data Input Mengacu pada Rittenberg et al. (2008), beberapa tipe validasi atas data masukan diantaranya yaitu:
Alphanumeric. Tiap data field dilakukan perbandingan dengan setting-an data field terkait untuk mengetahui jenis karakter (huruf ataukah angka) yang diperbolehkan untuk dientri.
Limits. Bahwa data masukan yang dientri harus berada di dalam rentang nilai tertentu yang telah ditetapkan.
Validity. Bahwa aplikasi akan melakukan pengecekan untuk menentukan apakah data yang dientri memuat nilai yang valid.
Missing data. Bahwa dilakukan pengkajian atas field-field yang ada untuk melihat apakah terdapat data yang belum diisi. Jika field yang penting belum terisi, maka aplikasi akan menolak untuk memproses form terkait.
Sequence. Bahwa pada aplikasi dilakukan pengaturan untuk melakukan pemrosesan dalam urutan tertentu yang spesifik.
2.5.5.7 Menu-Driven Languages Menurut Weber (1999, p.447), “The following guidelines should reduce the number of errors that are likely to occur using menu input:
Menu items should be grouped logically so they are meaningful and memorable.
53
Menu items should follow any natural order that exists. If no natural order exists, short menus are often best ordered by frequency of occurrence and long menus by alphabetical order.
Menu items should be fully spelled, clear, concise, verbs or nouns or verb-noun pairs.
2.5.6
The basis for selecting a menu item should be clear.”
Pengendalian Keluaran Mengacu pada Weber (1999), pengendalian subsistem keluaran berkaitan
dengan penentuan isi, format, dan cara penyampaian data yang akan disajikan kepada pemakai.
2.5.6.1 Report Design Control Mengacu pada Weber (1999), elemen penting dalam pelaksanaan yang efektif terhadap pengendalian atas produksi dan distribusi laporan output adalah kualitas dari perancangan laporan output terkait. Rancangan laporan yang baik memuat informasi-informasi pengendalian, diantaranya yaitu: nama laporan, waktu dan tanggal produksi, periode terkait, program yang digunakan, staf yang bertanggung jawab, nomor halaman, dan penanda akhir laporan. Menurut Hawker (2000, p.119), “A useful precaution is to number the forms sequentially, so that a specified number can be assigned to a batch run (thereby providing, in effect, a control total).”
54 2.5.6.2 Output Production and Distribution Control Mengacu pada Weber (1999), Bentuk-bentuk pengendalian yang dapat diterapkan terhadap produksi dan distribusi atas output yang dihasilkan diantaranya yaitu:
Printing control: dilakukan untuk mencegah pihak-pihak yang tidak berwenang dari kemungkinan melihat secara sekilas data sensitif yang dicetak pada laporan ataupun menghilangkan secara sengaja laporan yang dicetak, yaitu dengan cara meletakkan printer di lokasi yang aman. Menurut Hawker (2000, p.119), “Particular care needs to be taken with positioning. It can be all to easy for passers-by to glance at a screen, or to read the contents of material coming off a printer.”
Report collection control: bahwa laporan yang dicetak harus dikumpulkan seketika itu juga dan disimpan di tempat yang aman, terutama apabila printer terletak di area publik.
Report distribution control: bahwa laporan yang dicetak harus didistribusikan secara langsung kepada user yang dituju.
User Output control: bahwa secara periodik, pemakai harus melakukan pengkajian secara mendalam atas output yang dihasilkan dalam rangka untuk mengevaluasi kualitas dari output terkait.
Storage control: bahwa output harus disimpan pada suatu kondisi lingkungan yang mendukung agar output dapat bertahan untuk jangka waktu yang dibutuhkan, bahwa output harus disimpan pada tempat yang aman, dan dirawat dengan baik.
55
Retention controls: bahwa untuk setiap jenis output yang dihasilkan harus ditentukan mengenai jangka waktu penyimpanan atas output terkait.
Destruction controls: bahwa untuk semua output yang sudah tidak diperlukan, harus
dimusnahkan.
Penghancuran
laporan
dapat
dilakukan
dengan
menggunakan paper shredder.
2.6 Metode Penilaian atas Resiko dan Pengendaliannya 2.6.1
Metode Penilaian atas Resiko ( Without Control ) Mengacu pada Pickett (2005), terdapat dua dimensi dasar dalam melakukan
pengukuran atas resiko, yaitu kemungkinan (likelihood) dan dampak (impact) dari resiko yang dimaksud. Mengacu pada Peltier (2001), penilaian terhadap resiko dilakukan dengan menggunakan metrik penilaian resiko, yang didasarkan atas dua buah variabel yaitu keterkaitan antara dampak (impact) dan kemungkinan keterjadian (probability) atas resiko terkait. Penilaian ini dilakukan tanpa memandang pengendalian yang terdapat
Probability
dalam sistem (existing control).
Low
Impact Medium
High
High
-3
-6
-9
Medium
-2
-5
-8
Low
-1
-4
-7
Tabel 2.1 Matrik Penilaian Resiko (Sumber: Peltier, 2001, p.39)
56 Dengan semakin tinggi nilai yang diperoleh dari matrik penilaian resiko, maka menunjukkan bahwa semakin tingginya resiko terkait yang dimiliki. Menurut Peltier (2001, p.79), “A typical set of definitions might be:
Severe Impact (High): likely to put the enterprise out of business or severely damage its business prospects and development.
Significant Impact (Medium): will cause significant damage and cost, but the enterprise will survive.
Minor Impact (Low): the type of operational impact one expects to have to manage as part of ordinary business life.”
2.6.2 Metode Penilaian atas Pengendalian Resiko ( With Control ) Mengacu pada Weber (1999), penilaian atas pengendalian yang ada dalam menghadapi resiko dilakukan dengan mengevaluasi probabilitas atas pelaksanaan pengendalian secara efektif untuk mengurangi atau menghilangkan dampak dari resiko yang ada. Mengacu pada Peltier (2001), matrik penilaian resiko dapat digunakan pula untuk melakukan pengevaluasian tingkat efektifitas atas pengendalian yang ada (existing controls) dalam sistem untuk menangani resiko terkait. Maka dari itu, matrik penilaian resiko digunakan untuk mengukur tingkat efektifitas atas pengendalian yang ada dengan menggunakan 2 (dua) buah variabel sebagai berikut, yaitu keterkaitan antara kehandalan (reliability) dengan cakupan (coverage) atas pengendalian terkait yang saat ini diterapkan dalam sistem yang berjalan.
Coverage
57
Low
Reliability Medium
High
High
3
6
9
Medium
2
5
8
Low
1
4
7
Tabel 2.2 Matrik Penilaian atas Pengendalian Resiko (Sumber: Peltier, 2001, p.39) Dengan semakin tinggi nilai yang diperoleh dari matrik penilaian atas pengendalian resiko, maka menunjukkan bahwa semakin tingginya pengendalian atas resiko terkait yang dimiliki.
2.6.3
Control Adjustment Mengacu pada Weber (1999), berdasarkan tingkatan resiko dan pengendalian
terkait yang telah diidentifikasi, maka harus dilakukan evaluasi untuk mengetahui apakah tingkatan pengendalian atas tiap resiko yang ada dapat diterima (acceptable) ataukah tidak. Dan memberikan rekomendasi atas pengendalian-pengendalian yang perlu diimplementasikan untuk meningkatkan efektifitasnya. Mengacu pada Hawker (2000), penilaian akhir atas tingkat acceptable pengendalian terhadap resiko yang ada tersebut bergantung pada penilaian dari pihak manajemen perusahaan yang bersangkutan.
58 2.7
Activity Diagram Rama dan Jones (2006, p.60) menyatakan, “The UML activity diagram plays
the role of a “map” in understanding business processes by showing the sequence of activities in the process.” Menurut Rama dan Jones (2006, p.88), “Activity diagram symbols:
Solid circle. Start of a process in an activity diagram.
Gambar 2.3 Solid circle symbol (Sumber: Rama dan Jones, 2006, p.88 )
Rounded rectangle. Event, activity, or trigger.
Gambar 2.4 Rounded rectangle symbol (Sumber: Rama dan Jones, 2006, p.88)
Continuous line. Sequence from one event or activity to the next.
Gambar 2.5 Continuous line symbol (Sumber: Rama dan Jones, 2006, p.88)
Dotted line. Flow of information between events.
Gambar 2.6 Dotted line symbol (Sumber: Rama dan Jones, 2006, p.88)
59
Document. Represents a source document or report.
Gambar 2.7 Document symbol (Sumber: Rama dan Jones, 2006, p.88)
Diamond. A branch.
Gambar 2.8 Diamond symbol (Sumber: Rama dan Jones, 2006, p.88)
Table. A computer file from which data may be read from or recorded during business events.
Gambar 2.9 Table symbol (Sumber: Rama dan Jones, 2006, p.88)
Bull’s-eye. End of process.
Gambar 2.10 Bull’s-eye symbol (Sumber: Rama dan Jones, 2006, p.88)
