BAB 2 LANDASAN TEORI
2.1
Evaluasi
2.1.1 Pengertian Evaluasi Menurut Kamus Besar Bahasa Indonesia (2002), “Evaluasi adalah proses penilaian yang sistematis, mencakup pemberian nilai, atribut, apresiasi, pengenalan masalah dan pemberian solusi atas permasalahan yang ditemukan”.
2.2
Teori Umum
2.2.1 Pengertian Sistem Menurut Mulyadi (2001, p.2), “Sistem adalah sekelompok unsur yang erat berhubungan satu dengan yang lainnya, yang berfungsi bersama-sama untuk mencapai tujuan tertentu” Menurut O’Brien (2005, p.29), “Sistem adalah sekelompok komponen yang saling berhubungan, bekerjasama untuk mencapai tujuan bersama dengan menerima input serta menghasilkan output dalam proses transformasi yang teratur”. Menurut McLeod, Jr. (2001, p.11), “Sistem adalah sekelompok elemen yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan”.
7
8
Menurut Gondodiyoto dan Hendarti (2006, p.94), “Sistem adalah komponen elemen-elemen atau sumber daya yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu, dan bertujuan untuk mencapai tujuan tertentu”. Sistem adalah kumpulan dari komponen yang terorganisasi yang digunakan untuk menyelesaikan satu atau beberapa fungsi dan tugas spesifik tertentu. (dikutip dari www.ichnet.org/glossary.htm). Jadi dapat disimpulkan bahwa sistem adalah kumpulan dari komponen-komponen yang saling berhubungan satu dengan lainnya membentuk satu kesatuan untuk mencapai tujuan tertentu.
2.2.2 Pengertian Informasi Menurut Wikipedia, “Informasi adalah hasil pemrosesan, manipulasi dan pengorganisasian atau penataan dari sekelompok data yang mempunyai nilai pengetahuan (knowledge) bagi penggunanya”. Informasi adalah keterangan, penerangan, data yang telah diproses kedalam suatu bentuk yang mempunyai arti bagi si penerima dan mempunyai nilai nyata, sehingga dapat dipakai sebagai dasar untuk mengambil keputusan, dan terasa bagi keputusan saat itu atau keputusan mendatang. (dikutip dari www.total.or.id/info.php).
9
Menurut Kamus Besar Bahasa Indonesia (2002, p.432) Informasi adalah : 1. Penerangan 2. Keterangan; Pemberitahuan; Kabar atau Berita 3. Keseluruhan makna yang menunjang amanat, telah terikat dalam bagian amanat-amanat itu. Menurut O’Brien (2005, p.13), “Informasi adalah data yang ditempatkan pada suatu konteks yang berarti dan berguna untuk end user dari suatu sistem”. Menurut McLeod, Jr. (2001, p.4), Informasi adalah salah satu jenis sumber daya yang tersedia bagi manager, yang dapat dikelola seperti halnya sumber daya yang lain. Informasi dari komputer dapat digunakan oleh para manager, non-manager, serta orang-orang dalam lingkungan perusahaan. Jadi dapat disimpulkan bahwa informasi adalah data yang sudah diproses atau sudah mempunyai arti dan berguna untuk penguna khusus.
2.2.3. Pengertian Sistem Informasi Menurut Turban, Rainer, Potter (2003, p.15) Sistem Informasi adalah mengumpulkan, memproses, menyimpan, meneliti, dan menghamburkan informasi untuk suatu tujuan spesifik yang memproses masukan dan
10
menghasilkan keluaran yang dikirim kepada pemakai atau kepada sistem itu sendiri. Menurut Brian dan Stacey (2005, p.447), Sistem Informasi adalah suatu kombinasi orang / user, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, merubah, dan menyebarkan suatu informasi dalam suatu organisasi. Menurut Gondodiyoto (2007, p.112), menyatakan bahwa sistem informasi masih dapat didefinisikan sebagai kumpulan elemen-elemen / sumber daya dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarki tertentu, dan bertujuan untuk mengolah data menjadi informasi. Menurut Hall (2001, p.7), Sistem Informasi adalah sebuah rangkaian prosedur normal dimana data dikumpulkan, diproses menjadi informasi dan didistribusikan pada para pemakai. Menurut O’Brien (2001, p.7), Sistem Informasi dapat berupa kombinasi sumber daya - sumber daya yang terorganisir dari manusia, perangkat keras, piranti lunak, jaringan komunikasi, dan data yang mengumpulkan, mengubah, dan mendistribusikan informasi pada suatu organisasi. Dari beberapa pendapat diatas, maka ditarik kesimpulan bahwa Sistem Informasi adalah serangkaian prosedur normal untuk mengubah data menjadi informasi guna mengambil keputusan dalam upaya mencapai sasaran dan tujuan perusahaan.
11
2.2.3.1 Tujuan Sistem Informasi Menurut Hall (2001, p.17) Sistem Informasi dibedakan atas tiga tujuan umum, yaitu : a.
Untuk mendukung fungsi pengurusan (Stewardship) manajemen. Kepengurusan yang merujuk ke tanggung jawab manajemenuntuk mengatur sumber daya perusahaan secara benar.
b. Untuk mendukung pengambilan keputusan manajemen. Sistem Informasi memberikan para manager informasi yang mereka perlukan untuk melakukan tanggung jawab pengambilan keputusan. c. Untuk mendukung kegiatan operasi perusahaan setiap harinya. Sistem Informasi menyediakan informasi bagi user untuk membantu mereka setiap hari dengan efisien dan efektif.
2.2.3.2 Komponen Sistem Informasi Ada tiga jenis syarat yang harus dipatuhi agar suatu informasi dapat dikatakan mempunyai kualitas yang tinggi, yaitu :
12
a. Akurat Artinya informasi harus bebas dari kesalahan-kesalahan dan harus
jelas
mencerminkan
maksudnya
sehingga
tidak
menimbulkan banyak gangguan yang dapat merubah dan merusak informasi. b. Tepat Waktu Artinya informasi yang datang pada penerima tidak boleh terlambat. Sebab informasi yang terlambat menjadi tidak bernilai lagi karena informasi merupakan landasan di dalam melakukan pengambilan keputusan. c. Relevan Artinya informasi tersebut harus mempunyai manfaat bagi para pemakai.
2.2.4 Audit 2.2.4.1 Pengertian Audit Menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf (2003, p.1), Auditting adalah proses pengumpulan dan pengevaluasian bahan
13
bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seseorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan kriteria-kriteria yang telah ditetapkan. Audit adalah pemeriksaan alat, program, aktivitas, dan prosedur untuk menentukan sampai berapa jauh efisiensi kinerja seluruh sistem, terutama dari
kepastian
integritas
dan
keamanan
data.
(
dikutip
dari
http://www.total.or.id/info.php?kk=audit ).
2.2.4.2 Jenis-Jenis Audit Menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf (2003, p.4), Auditing digolongkan menjadi 3 golongan yaitu : 1. Audit Laporan Keuangan (Financial Statement Audit) Audit Laporan Keuangan, bertujuan untuk menentukan apakah laporan keuangan secara keseluruhan yang merupakan informasi terukur yang akan diverifikasi telah disajikan sesuai dengan kriteria-kriteria tertentu. 2. Audit Operasional (Operational Audit) Audit Operasional, merupakan penelahaan atas bagian manapun dari prosedur dan metode operasional suatu organisasi untuk menilai efisiensi dan efiktivitasnya. 3. Audit Ketaatan (Compliance Audit)
14
Audit Ketaatan, bertujuan mempertimbangkan apakah audit telah mengikuti prosedur atau aturan yang telah ditetapkan pihak yang memiliki otoritas lebih tinggi.
2.2.4.3 Audit Sistem Informasi 2.2.4.3.1 Pengertian Audit Sistem Informasi Menurut Weber (1999, p.10), audit sistem informasi adalah proses pengumpulan data pengevaluasian bukti-bukti menentukan apakah sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aktiva dilindungi dengan baik atau tidak disalahgunakan serta terjaminnya integritas data, keandalan serta efektivitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer. Menurut Gondodiyoto (2006, p.385), yakni bahwa audit sistem informasi berbasis teknologi informasi adalah proses pengumpulan dan penilaian bahan bukti audit untuk dapat menentukan apakah sistem informasi perusahaan telah menggunakan sumber daya informasi secara tepat dan mampu mendukung pengamanan aset tersebut, memelihara kebenaran dan integritas data dalam pencapaian tujuan perusahaan secara efektif dan efisien. Audit Sistem Informasi adalah sebuah proses yang sistematis dalam mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan bahwa
15
sebuah sistem informasi berbasis komputer yang digunakan oleh organisasi
telah
dapat
mencapai
tujuannya
(dikutip
dari
http://theakuntan.com/auditing/audit-sistem-informasi-at-a-glance/ ).
2.2.4.3.2 Tujuan Audit Sistem Informasi Menurut Weber (1999, p.11), tujuan audit sistem informasi dibagi menjadi empat, yaitu : 1. Mengamankan aset Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup : perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dengan aktiva-aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak di otorisasi. 2. Menjaga Integritas Data Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut data : kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Integritas data (data
16
integrity) di dalam sebuah sistem informasi berbasis komputer mempunyai pengertian bahwa data yang diolah dalam suatu sistem informasi berbasis komputer haruslah data yang memenuhi syarat : a. Lengkap (Completeness) b. Mencerminkan suatu fakta yang sebenarnya (Soundness) c. Asli, belum diubah (Purity) d. Dapat dibuktikan kebenarannya (Veracity) Tanpa
menjaga
integritas
data,
organisasi
tidak
dapat
memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak di dukung dengan data yang benar. Meskipun demikian, perlu juga disadari dalam menjaga integritas data tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang dikeluarkan. 3. Menjaga Efektifitas Sistem Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuan. Untuk menilai efektifitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (User). Selanjutnya untuk menilai apakah sistem menghasilkan informasi yang bermanfaat
17
bagi user (misalnya dalam pengambilan keputusan), auditor perlu mengetahui karakteristik user selama dalam proses pengambilan keputusannya. Biasanya audit efektifitas sistem di lakukan setelah suatu sistem berjalan beberapa waktu. Managemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan yang telah ditetapkan. Evaluasi ini akan memberikan
masukkan
bagi
pengambilan
keputusan
untuk
menentukan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu di modifikasi; atau sistem sudah usang sehingga harus ditinggalkan dan dicari penggantinya. Audit efektifitas sistem dapat juga dilaksanakan pada tahap perencanaan sistem (system design). Hal ini dapat terjadi jika designer sistem mengalami kesulitan untuk mengetahui kebutuhan user, karena user sulit mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat kompleks dan besar biaya penerapannya, manajemen dapat mengambil sikap agar sistem di evaluasi terlebih dahulu oleh pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai dengan kebutuhan user. Melihat kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan evaluasi sistem dengan berfokus pada kebutuhan dan kepentingan manajemen. 4. Mencapai Efisiensi Sumber Daya Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataanya, sistem
18
informasi menggunakan berbagai sumber daya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut. Sumber daya seperti ini biasanya sangat terbatas adanya. Oleh karena itu, beberapa kandidat
sistem
(sistem
alternatif)
harus
berkompetisi
untuk
memberdayakan sumber daya yang ada tersebut. 2.2.4.4 Standar Audit Standar audit merupakan pedoman bagi seorang auditor dalam menjalankan tanggung jawab profesinya. Menurut Gondodiyoto, Hendarti ( 2007, p.209) standar audit sistem informasi terdiri dari : S5 – Planning Standar 1.
Auditor SI harus membuat rencana kerja audit SI, mencakup tujuan audit, dan bahwa kegiatan-kegiatan auditnya akan sesuai dengan aturan, hukum dan standar professional audit yang ada.
2.
Auditor SI harus melakukan teknik pendekatan audit berbasis risiko (risks-based audit) dan mendokumentasikannya dengan baik.
3.
Auditor SI harus menyusun rencana kerja audit, mencakup rincian tentang hakekat dan tujuan audit, periode dan waktu yang diperlukan, dan sumber-daya yang diperlukan untuk penugasan audit tersebut.
19
4.
Auditor SI harus menyusun rencana kerja audit dan/atau program audit, mencakup prosedur audit yang diperlukan untuk penyelesaian tugas audit itu.
Penjelasan: a.
Untuk fungsi internal audit, perencanaan audit harus dikembangkan dan di-update sebagai aktivitas berkelanjutan, dan menjadi dasar seluruh kegiatan audit sebagaimana dinyatakan pada audit charter. Rencana kerja audit tersebut harus disetujui oleh komite audit (jika di perusahaan itu ada komite audit).
b.
Untuk audit SI yang dilaksanakan oleh auditor eksternal, perencanaan audit disusun untuk setiap penugasan audit (dengan letter of engagement).
c.
Auditor SI harus memahami bidang dan kegiatan yang diperiksa. Tingkat pemahaman
tersebut
menentukan
pengorganisasian,
lingkungan,
penaksiran risiko dan sasaran audit. d.
Auditor SI harus melakukan risk assessment, sehingga diperoleh keyakinan memadai bahwa hal-hal yang bersifat material telah dicakup dalam audit / pemeriksaan. Setelah kemudian baru dikembangksan strategi audit, konsep atau level materialitas, dan sumberdaya-nya.
e.
Rencana kerja / program audit dapat / harus diperbaharui dengan adanya issues baru, temuan, kesalahan asumsi, atau penaksiran risiko baru yang diketahui setelah prosedur audit dijalankan.
20
f.
Informasi terkait terdapat pada : IS Auditting Guideline (G6, Materiality Concepts for Auditting Information Systems), IS Auditting Guideline (G15, Planning), IS Auditting Guideline (G13, Use of Risk Assessment in Audit Planning), IS Auditting Guideline (G16, Effect of Third Parties on an Organisation’s IT Controls), dan COBIT Framework, Control Objectives.
S11 – Use of Risk Assessment in Audit Planning Standar 1.
Auditor SI harus menggunakan teknik penilaian risiko yang cocok dalam pengembangan rencana kerja audit SI, dan dalam menentukan prioritas alokasi sumber daya audit yang efektif.
2.
Ketika
merencanakan
peninjauan
individual,
auditor
SI
harus
mengidentifikasi dan menilai risiko yang relevan dari area yang diperiksanya.
Penjelasan: a.
Penjelasan risiko adalah teknik yang digunakan untuk memeriksa auditable unit mana dari audit universe (keseluruhan unit / area yang dapat diaudit) dan memilih area / bidang yang didahulukan diaudit karena berisiko paling tinggi.
21
b.
Suatu audit unit adalah sebagai segmen atau area / bidang yang mempunyai karakterisitk tersendiri dalam organisasi dan sistemnya.
c.
Penentuan dari keseluruhan audit SI harus didasarkan kepada pengetahuan dari perencanaan strategis teknologi informasi organisasi dan operasionalnya yang diperoleh dari diskusi dengan manajemen yang bertanggungjawab.
d.
Risk assessment exercise digunakan untuk pengembangan perencanaan audit SI, didokumentasikan sedikitnya dalam basis tahunan. Rencana strategis organisasi, tujuan, dan kerangka risk manajemen perusahaan harus dilihat sebagai bagian dari risk assessment exercise.
e.
Penggunaan
penilaian
memungkinkan
auditor
risiko
dalam
SI
untuk
pemilihan
obyek
audit
mengkuantisifikasi
dan
menjustifikasikan jumlah sumber daya audit SI yang harus dimiliki untuk dapat menyelesaikan tugas audit. Selain itu auditor dapat membuat prioritas berdasarkan persepsi tentang risiko, sekaligus sebagai bahan penyusunan kerangka risk manajemen. f.
Audit SI harus melakukan penilaian awal terhadap risiko yang relevan dengan bidang yang akan diperiksa. Tiap tujuan audit harus mencerminkan hasil penilaian risiko bidang-bidang tertentu.
g.
Sebagai kelanjutan setelah selesainya pemeriksaan, auditor SI harus memastikan manajemen risiko perusahaan telah diperbaharui sesuai dengan temuan dan rekomendasi untuk kebaikan di masa mendatang.
h.
Informasi terkait terdapat pada : SI Auditing Guideline (G13, Use of Risk Assessment in Audit Planning).
22
S12-Audit Materiality Standar 1.
Auditor SI mempertimbangkan konsep materialitas dalam hubungannya dengan risiko audit.
2.
Dalam merencanakan audit, auditor SI mempertimbangkan kelemahankelemahan potensial atau tidak adanya kontrol internal dan apakah hal itu dapat mempunyai akibat yang signifikan pada SI.
3.
Auditor SI mempertimbangkan dampak kumulatif dari kelemahan atau ketiadaan pengendalian intern.
4.
Laporan auditor SI harus mengungkapkan adanya pengendalian intern yang tidak efektif atau tidak hanya pengendalian intern (terhadap risiko tertentu) dan dampaknya.
Penjelasan: a.
Risiko audit adalah risiko bahwa auditor SI menarik kesimpulan yang tidak tepat berdasarkan temuan audit. Auditor SI harus memahami tiga komponen risiko audit, yaitu: risiko bawaan, risiko pengendalian, dan risiko terdeteksi.
b.
Dalam merencanakan dan melaksanakan pemeriksaan, auditor SI harus mengurangi risiko audit sampai pada tingkat serendah mungkin yang dapat diterima untuk dapat mencapai tujuan audit. Hal ini akan dapat dicapai dengan penilaian yang tepat terhadap SI dan kontrol internal.
23
c.
Kelemahan pengendalian intern dianggap “materialitas” jika ketiadaan kontrol internal dapat berakibat kegagalan untuk memperoleh keyakinan memadai bahwa tujuan pengendalian intern akan tercapai.
d.
Kelemahan pengendalian intern yang material mencakup: 1. Kontrol internal tidak pada tempatnya (tidak efektif), tidak digunakan (dijalankan seperti yang seharusnya), atau tidak memadai. 2. Dapat berakibat eskalasi.
e.
Kelemahan dan pengendalian yang material ialah kekurangan atau penyimpangan yang signifikan atau berbagai kekurangan yang dapat menyebabkan hal-hal yang tidak diinginkan tidak tercegah atau terdeteksi.
f.
Ada hubungan berkebalikan antara materialitas dan tingkat risiko audit yang dapat diterima oleh auditor SI, misalnya makin tinggi tingkat materialitas berarti risiko audit yang dapat diterima semakin rendah, dan sebaliknya. Hal ini memungkinkan auditor SI untuk menentukan sifat, waktu, dan tingkat dalam prosedur audit. Misalnya dalam audit plan auditor menemukan materialitas rendah, artinya risiko audit lebih tinggi. Auditor dapat melakukan kompensasi dengan meningkatkan test of controls (reduce assessment of control risk) atau memperluas tes substantif (reduce assessment of detection risk).
g.
Dalam menentukan apakah kelemahan kontrol, atau kombinasi kekurangan, merupakan kelemahan materialitas, auditor SI harus mengevaluasi apakah ada kompensasi pengendalian dan apakah kompensasi tersebut efektif.
24
h.
Penilaian auditor SI mengenai materialitas dan risiko audit mungkin beragam dari waktu ke waktu dan bergantung pada situasi dan lingkungannya.
i.
Auditor sistem informasi harus mengacu kepada IS Auditing Guidelines (G2, bukti audit), (G5, audit charter), (G8, dokumentasi audit), (G9, audit considerations for irregularities), (G13, teknik penilaian risiko dalam perencanaan audit), serta COBIT framework, dan IT Control Objectives for Sarbanes-Oxley.
S14 – Audit Evidence Standar 1.
Audit SI harus memiliki bukti audit yang cukup dan layak ( lengkap dan kompeten ) untuk dapat menarik kesimpulan hasil audit.
2.
Auditor SI harus mengevaluasi kompetensi dan kecukupan bukti audit.
Penjelasan: a.
Appropriate audit evidence Kepantasan bukti audit ditentukan oleh: 1. Prosedur yang dilaksanakan auditor untuk memperoleh bukti audit tersebut dan hasil yang diperoleh.
25
2. Bukti berbentuk dokumen-dokumen (softcopy dan / atau hardcopy), catatan atau bukti penguat lain yang diperlukan dalam pemeriksaan, termasuk temuan dan hasil pelaksanaan audit. 3. Bahwa bukti-bukti tersebut diperoleh sesuai dengan hukum, aturan, dan kebijakan yang telah ditetapkan. 4. Dalam perolehan bukti audit dari suatu test of control, auditor SI harus mengingat kecukupan bukti audit diperlukan untuk mendukung penilaian terhadap risiko pengendalian. 5. Bukti audit harus diidentifikasi secara pantas, corss-referenced dan dicatat. 6. Bukti
fisik
(tertulis,visual,elektronik)
dan
yang
mengandung
otentisitas (tandatangan, cap) dievaluasi reliabilitasnya. b.
Reliable evidence Scara umum, bukti audit yang dapat dipercaya ialah: 1. Bukti tertulis, dibanding bukti tidak tertulis. 2. Diperoleh dari sumber independen. 3. Diperoleh langsung oleh auditor, dibanding yang disediakan oleh auditor. 4. Sertifikat atau dikelola oleh pihak yang independen. 5. Auditor SI harus mempertimbangkan perolehan bukti audit secara cost-effective sesuai dengan tujuan audit dan risiko yang dihadapi, namun demikian, kesulitan dan biaya bukan merupakan alasan untuk tidak melakukan proses yang diperlukan.
26
6. Prosedur perolehan bukti audit bergantung masalah (kondisi alamiah, waktu, professional judgement). Auditor harus memilih prosedur yang paling tepat untuk perolehan bukti audit tersebut, sesuai tujuan audit. 7. Auditor SI dapat memperoleh bukti audit dengan : inspection, obervation, inquiry and confirmation, reperformance, recalculation, computation, analytical procedures, dan metode lain yang dapat dilakukan. c.
Sufficent evidence Bukti audit dikatakan cukup jika: 1. Dapat mendukung pengambilan kesimpulan sesuai tujuan audit, khususnya yang bersifat materialitas / signifikan. 2. Bukti audit harus objektif dalam arti dapat digunakan pihak ketiga yang independen dan akan menghasilkan kesimpulan yang sama. 3. Bukti audit tersebut harus sepadan dengan materialitas dan risiko. 4. Suffiency menyangkut ukuran kuantitas, sedangkan appropriateness mengandung arti kualitas, dan keduanya terkait dalam konteks, serta jika data diperoleh dari auditan maka auditor SI harus juga memberi perhatian pada aspek accuracy dan completness. 5. Pada situasi bila auditor Si tidak dapat memperoleh cukup bukti audit, maka hal ini harus diungkapkan secara konsisten dengan laporan autit.
d.
Proteksi dan Retensi Secara umum bukti audit bisa dikatakan aman apabila: 1. Bukti audit harus aman dari akses yang tidak berwenang maupun kemungkinan dilakukannya modifikasi.
27
2. Bukti Audit harus disimpan (retensi) paling tidak sampai selesainya penugasan audit, maupun sesuai dengan ketentuan hukum, aturan dan kebijakan yang ada. e) Informasi terkait terdapat pada : IS Audit Standard (S6, Performance of Audit Work), IS Audit Guideline (G2, Audit Evidence Requirement), dan IS Audit Guideline (G8, Audit Documentation), serta COBIT control objective (ME2 dan ME3).
2.2.4.5 Metode Audit Sistem Informasi Ada 2 metode Audit Sistem Informasi yang dapat dilakukan oleh auditor, sebagai berikut : 1. Audit Around The Computer Weber (1999, p.56) berpendapat bahwa Audit Around The Computer merupakan audit terhadap suatu penyelenggaraan sistem informasi yang berbasis komputer, tanpa menggunakan kemampuan peralatan komputer itu sendiri. Metode ini merupakan suatu pendekatan dengan memberlakukan komputer sebagai Black Box, maksudnya metode ini tidak menguji langkah-langkah proses secara langsung tetapi hanya berfokus pada masukan dan keluaran dari sistem komputer. Biasanya audit around the computer merupakan pendekatan yang lebih sederhana untuk melakukan proses audit sistem informasi dan
28
dilakukan oleh auditor yang memiliki pengetahuan yang minim terhadap komputer. Kelemahan dari metode audit around the computer adalah : a. Database biasanya dalam jumlah data yang banyak dan sulit dilacak secara manual. b. Auditor tidak akan memahami operasional dalam sistem komputer c. Adanya pengabaian pada sistem pengolahan komputer sehingga sangat rawan adanya kesalahan potensial dalam sistem d. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit menjadi tidak ada e. Tidak menyelesaikan maksud dan tujuan proses audit secara keseluruhan
Keuntungan dari metode audit around the computer adalah : a. Tidak
ada
risiko
terhadap
kemungkinan
hancurnya
data
sesungguhnya b. Auditor hanya sedikit memerlukan tambahan pendidikan c. Umumnya mudah, sederhana dan dimengerti oleh semua orang d. Biaya yang terkait dengan pelaksanaannya kecil.
29
Audit around the computer adalah mengabaikan sistem komputer tetapi yang dilihat atau yang diuji adalah Input dan Output ( dikutip dari
http://theakuntan.com/auditing/audit-sistem-informasi-teknik-
dan-metode/ )
2. Audit Through The Computer Menurut Weber (1999, p.57) pada umumnya para auditor sekarang ini terlibat dengan Audit Through The Computer, dimana auditor menggunakan komputer untuk menguji : 1) Logika proses dan pengendalian yang ada saat ini pada sistem 2) Produksi record oleh sistem Metode ini merupakan suatu pendekatan yang berorientasi pada komputer dengan membuka back box dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer. Dengan asumsi bahwa apabila sistem pemrosesan mempunyai pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak akan terlewat untuk dideteksi. Sebagai akibatnya keluaran tidak dapat diterima. Tujuan dari Audit Through The Computer adalah untuk meneliti apakah aplikasi yang diaplikasikan sesuai dengan kondisi yang sesungguhnya. Audit Through The Computer dapat juga dilakukan untuk meneliti kelengkapan dan kebenaran akurasi dan validasi database atau penelitian software datanya.
30
Keuntungan dari pendekatan ini adalah dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan penguji yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap kehandalan dari pengumpulan dan evaluasi dapat ditingkatkan, selain itu dengan memeriksa secara langsung logika pemrosesan dari sistem aplikasi dan diperkirakan kemampuan sistem dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang. Kelemahan dari audit ini yaitu : 1. Biaya yang dibutuhkan relatif tinggi yang disebabkan jumlah jam kerja yang banyak untuk lebih memahami struktur pengendalian intern dari pelaksanaan sistem aplikasi. 2. Butuh keahlian teknik yang lebih mendalam untuk memahami cara kerja sistem. Audit Through The Computer adalah menggunakan bantuan komputer (atau
software)
untuk
mengaudit
(dikutip
dari
http://theakuntan.com/auditing/audit-sistem-informasi-teknik-danmetode/ )
2.2.4.6 Prosedur Audit Sistem Informasi Menurut Weber (1999, pp.47-55), tahapan-tahapan audit sistem informasi terdiri dari :
31
1. Perencanaan Audit (Planning The Audit) Merupakan tahapan pertama dalam audit bagi auditor eksternal yang berarti menyelidiki dari awal atau melanjutkan yang ada untuk menentukan apakah pemeriksaan dapat diterima, penempatan staff audit yang sesuai, melakukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien dan mendefinisikan area risiko. 2. Pengujian Atas Kontrol (Test Of Control) Tahap ini dimulai dengan pemfokusan pada pengendalian manajemen, apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian manajemen tidak berjalan sebagaimana mestinya. Bila auditor menemukan kesalahan yang serius pada pengendalian manajemen, maka mereka akan mengemukakan opini atau mengambil keputusan dalam pengujian transaksi dan saldo untuk hasilnya. 3. Pengujian Atas Transaksi (Test Of Transaction) Pengujian transaksi yang termasuk adalah pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan komputasi. Komputer sangat berguna dalam pengujian ini dan auditor dapat menggunakan software audit yang umum untuk mengecek apakah pembayaran bunga dari bank telah dilakukan secara tepat. 4. Pengujian Atas Keseimbangan atau Hasil Keseluruhan (Test of Balances or Overall Results)
32
Auditor melakukan pengujian ini agar bukti penting dalam penelitian akhir kehilangan atau pencatatan yang keliru yang menyebabkan fungsi sistem informasi gagal dalam memelihara data secara keseluruhan dan mencapai sistem yang efektif dan efisien. Dengan kata lain, dalam tahap ini mementingkan keamanan aset dan integritas data yang obyektif. 5. Penyelesaian Audit (Completition of The Audit) Tahap terakhir ini, auditor eksternal melakukan beberapa pengujian tambahan untuk mengkoleksi bukti untuk ditutup, dengan memberikan beberapa pernyataan pendapat.
2.2.5 Sistem Pengendalian Internal 2.2.5.1 Pengertian Sistem Pengendalian Internal Menurut pendapat Weber (1999, p.35), “A control is a system that prevent, detects, or correct unlawful event”. Sistem pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan mengkoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan. Committe On Sponsoring Organization (COSO), Pengendalian Internal adalah sebuah
33
proses yang dipengaruhi oleh sejumlah jajaran pimpinan, manajemen, dan personal lainnya, dirancang untuk menyediakan jaminan yang layak dalam hal pencapaian obyektifitas dalam : a. Keefektifitasan dan efisiensi operasi. b. Kepercayaan pada laporan keuangan. c. Pemenuhan hukum dan regulasi yang dapat dipakai.
2.2.5.2 Tujuan Sistem Pengendalian Internal Menurut Weber (1999, p.35), tujuan dari sistem pengendalian internal adalah untuk mengurangi risiko atau mengurangi pengaruh yang sifatnya merugikan akibat suatu kejadian. Berdasarkan pengertian diatas maka pengendalian dikelompokkan menjadi tiga bagian yaitu : a. Preventive Control Pengendalian ini digunakan untuk mencegah masalah-masalah sebelum masalah tersebut muncul. b. Detective Control Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian segera setelah masalah tersebut muncul.
34
c. Corrective Control Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada Detective Control. Pengendalian ini mencakup prosedur untuk menentukan penyebab masalah yang muncul, memperbaiki kesalahan atau kesulitan yang muncul, memodifikasi sistem proses. Dengan demikian bisa mencegah kejadian yang sama di masa mendatang.
2.2.5.3 Unsur-Unsur Pengendalian Internal Pendapat Weber (1999, p.49), pengendalian internal terdiri dari lima unsur / komponen yang saling terintegrasi, antara lain : a. Control Environment Komponen ini diwujudkan dengan cara pengoperasian, cara pembagian wewenang dan tanggung jawab yang harus dilakukan, cara komite audit berfungsi, dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja. b. Risk Assessment Komponen untuk mengidentifikasi dan menganalisa risiko yang dihadapi oleh perusahaan dan cara-cara untuk menghadapi risiko tersebut.
35
c. Control Activities Komponen yang dioperasikan untuk memastikan transaksi telah terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan aset dan record, pengecekan kinerja dan penilaian dari jumlah record yang terjadi. d. Information and Communication Komponen dimana informasi digunakan untuk mengidentifikasi, mendapatkan, dan menukarkan data yang dibutuhkan untuk mengendalikan dan mengatur operasi perusahaan. e. Monitoring Komponen yang memastikan pengendalian internal beroperasi secara dinamis.
2.2.5.4 Jenis Pengendalian Internal Computer Pendapat Weber (1999, p.67), ruang lingkup control dibedakan atas dua jenis, yaitu pengendalian umum dan pengendalian khusus. a. Pengendalian umum Pengendalian umum artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan
36
komputerisasi dalam perusahaan tersebut. Apabila tidak dilakukan pengendalian ini ataupun pengendalian yang lemah maka dapat berakibat negatif terhadap aplikasi. Pengendalian umum berupa : 1. Top Manajemen Control Mengontrol
peranan
manajemendalam
perencanaan
kepemimpinan dan pengawasan fungsi. 2. System Development Manajemen Control Mengontrol alternatif dari model proses pengembangan sistem informasi sehingga dapat digunakan sebagai dasar perkumpulan dan pengevaluasian bukti. 3. Control Programming Manajemen Mengontrol tahapan utama dari siklus program dan pelaksanaan dari setiap tahap. 4. Data Resource Manajemen Control Mengontrol peranan dan fungsi dari data administrator atau database administrator. 5. Operation Manajemen Control Mengontrol fungsi utama yang harus dilakukan oleh Quality
Assurance
Manajemen
untuk
meyakinkan
pengembangan, pelaksanaan, pengoperasian, pemeliharaan dari sistem informasi sesuai dengan standar kualitas.
37
6. Security Manajemen Control Mengontrol fungsi utama dari Security Administrator dalam mengidentifikasi ancaman utama terhadap fungsi sistem
informasi
dan
perancangan,
pelaksanaan,
pengoperasian, dan pemeliharaan terhadap pengontrolan yang dapat mengurangi kemungkinan kehilangan dari ancaman ini sampai pada tingkat yang dapat diterima. Secara garis besar pengendalian terhadap manajemen keamanan bertanggung jawab dalam menjamin aset sistem informasi tetap aman. Adapun ancaman utama terhadap keamanan dapat bersifat karena alam dan oleh manusia yang bersifat kelalaian atau kesengajaan, antara lain : a. Ancaman kebakaran b. Ancaman banjir c. Perubahan tegangan sumber energi d. Kerusakan struktural e. Polusi f. Penyusup g. Virus h. Hacking
38
b. Pengendalian Khusus Pengendalian khusus dilakukan dengan tujuan untuk menentukan apakah
pengendalian
sistem
informasi
dari
sistem
yang
terkomputerisasi pada aplikasi komputer tertentu sudah memadai untuk memberikan jaminan bahwa data dicatat, diolah, dan dilaporkan secara akurat, tepat waktu, dan sesuai dengan kebutuhan manajemen. Pengendalian khusus berupa : 1. Boundary Control Mengontrol sifat dan fungsi kontrol akses, penggunaan pengkodean
didalam
kontrol
akses,
PIN,
Digital
Signatures, dan Plastics Cards. Menurut Gondodiyoto (2003, p.140), pengendalian ini menjelaskan
bahwa
didalam
suatu
sistem
aplikasi
komputer perlu jelas mendesainnya, mencakup hal-hal : a. Ruang lingkup sistem Suatu sistem komputerisasi harus jelas ruang lingkupnya : apa dokumen inputnya, darimana sumbernya, tujuan pengolahan data, dan siapa para penggunanya (user), siapa sponsornya (pemegang kewenangan).
39
b. Subsistem dan keterkaitan Sistem terbagi atas subsistem, modul, program dan perlu kejelasan ruang lingkupnya (Boundary Controls),
dan
keterkaitan
(Interface)
antar
subsistem atau modul-modul. Menurut Weber (1999, p.368), pengendalian boundary adalah suatu pengendalian yang memiliki tiga tujuan utama, yaitu : a. Untuk memastikan bahwa pemakai komputer adalah orang yang memiliki wewenang. b. Untuk memastikan bahwa identitas yang diberikan oleh pemakai yang benar. c. Untuk membatasi tindakan yang dapat dilakukan oleh pemakai
untuk
menggunakan
komputer
ketika
melakukan otorisasi. 2. Input Control Menurut Gondodiyoto (2003, p.142), input merupakan salah satu tahap dalam sistem terkomputerisasi yang paling crucial dan mengandung risiko. Risiko yang dihadapinya, misalnya :
40
a. Data transaksi yang ditulis oleh pelaku transaksi salah (error). b. Kesalahan
pengisian
dengan
kesengajaan
disalahkan c. Penulisan tidak jelas sehingga dibaca salah oleh orang lain, khususnya bila diolah bukan dengan dokumen aslinya, melainkan tembusan. Input merupakan hal yang kritis didasarkan tiga alasan, yaitu jumlah pengendalian yang paling besar pada sistem informasi terhadap kehandalan subsistem input, aktifitas pada sub yang bersifat rutin dalam jumlah besar dan campur tangan manusia dapat mengalami kebosanan sehingga cenderung mengalami error, sub input sering menjadi target kecurangan. Banyak ketidakberesan yang ditemukan dengan cara penambahan, penghapusan, atau pengubahan transaksi di input. Pengendalian input sangat penting dilakukan, karena : a. Dalam sistem informasi, pengendalian terbesar terdapat didalam sub sistem input, jadi auditor akan menghabiskan banyak waktu untuk menilai apakah pengendalian input dapat dipercaya.
41
b. Aktifitas sub sistem input terkadang melibatkan besarnya rutinitas, campur tangan manusia yang monoton, sehingga mudah terjadi kesalahan. c. Sub sistem input sering menjadi sasaran tindak kejahatan, banyak keanehan telah ditemukan yang melibatkan
penambahan,
pengurangan,
atau
perubahan input transaksi. 3. Process Control Mencakup
pengendalian
terhadap
kemungkinan
kehilangan data atau tidak diprosesnya data, perhitungan aritmatik, dengan keakuratan pemrograman. 4. Output Control Menurut
Gondodiyoto
(2003,
p.145),
pengendalian
keluaran adalah pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang-orang yang tidak berhak. Kemungkinan risiko yang dihadapi terkait dengan keluaran adalah laporan tidak akurat, tidak lengkap, terlambat, atau data yang tidak up to date kemudian banyaknya item data yang tidak relevan, bias, dibaca oleh pihak yang tidak berhak. Lalu ada juga sistem yang lebih terbuka (menggunakan jaringan komunikasi publik) potensi akses atau hacker atau
42
orang yang tidak berwenang lainnya semakin banyak. Pengendalian keluaran digunakan untuk memastikan data yang diproses tidak mengalami perubahan yang tidak sah oleh operator komputer dan memastikan hanya orang yang berwenang saja yang menerima output. Pengendalian output, berupa : a. Mencocokkan
data
output
(khususnya
total
pengendalian) dengan total pengendalian yang sebelumnya telah ditetapkan yang diperoleh dalam tahap input dari siklus pemrosesan. b. Mereview data output untuk melihat format yang tepat yang terdiri dari judul laporan, tanggal, dan waktu percetakan, banyakknya copy laporan, untuk masing-masing pihak yang berwenang, periode laporan, nama program (termasuk versinya yang menghasilkan
laporan),
nama
personil
yang
bertanggung jawab atas dikeluarkannya laporan tersebut, masa berlaku laporan, nomor halaman, dan tanggal akhir laporan. c. Mengendalikan data input yang ditolak oleh komputer selama pemrosesan dan mendistribusikan data yang ditolak itu ke personil yang tepat.
43
d. Mendistribusikan
laporan-laporan
output
ke
departemen laporan tepat pada waktunya.
5. Database Control Digunakan untuk menjaga integritas data dalam suatu database. Pengendalian yang dilakukan untuk menjaga integritas data tersebut mencakup pengendalian terhadap pelaporan kemacetan, kamus data, kamus data yang terintegrasi, tanggung jawab unsur data, pengendalian data bersama, dan pemecahan hambatan. 6. Apllication Communication Control Digunakan
untuk
mengendalikan
pendistribusian,
pembukaan komunikasi sub, komponen fisik, kesalahan dalam komunikasi, aliran dan hubungan, pengendalian topologi, pengendalian akses hubungan, pengendalian atas ancaman subversif, pengendalian internet working, dan pengendalian arsitektur komunikasi.
44
2.3
Teori Khusus 2.3.1
Penjualan Kredit Menurut Mulyadi (2001, p.202), kegiatan penjualan terdiri dari transaksi penjualan barang atau jasa, baik secara kredit maupun secara tunai. Dalam transaksi penjualan kredit, jika order dari pelanggan telah dipenuhi dengan pengiriman barang atau
45
penyerahan jasa, untuk jangka waktu tertentu perusahaan memiliki piutang kepada pelanggannya. Kegiatan penjualan secara kredit ini ditangani oleh perusahaan menggunakan sistem penjualan kredit. 2.3.1.1 Prosedur Penjualan Kredit Menurut
Mulyadi
(2001,
p.210),
penjualan
kredit
dilakasanakan oleh perusahaan dengan cara mengirimkan barang sesuai dengan order yang diterima dari pembeli dan untuk jangka waktu tertentu perusahaan mempunyai tagihan kepada pembeli tersebut. Menurut Mulyadi (2001, p.219), jaringan prosedur yang membentuk sistem penjualan kredit adalah sebagai berikut : 1. Prosedur order Penjualan Dalam prosedur ini fungsi penjualan menerima order dari pembeli dan menambahkan informasi penting pada surat order dari pembeli. Fungsi penjualan kemudian membuat surat order pengiriman dan mengirimkannya kepada berbagai fungsi lain yang memungkinkan fungsi tersebut memberikan kontribusi dalam melayani order dari pembeli. 2. Prosedur Persetujuan Kredit
46
Dalam prosedur ini, fungsi penjualan meminta persetujuan kredit kepada pembeli tertentu dari fungsi kredit. 3. Prosedur Pengiriman Dalam prosedur ini, fungsi pengiriman mengirimkan barang kepada pembeli sesuai dengan informasi yang tercantum dalam surat order pengiriman yang diterima dari fungsi pengiriman. 4. Prosedur Penagihan Dalam prosedur ini, fungsi penagihan membuat faktur penjualan dan mengirimkannya kepada pembeli. Dalam metode tertentu faktur penjualan dibuat oleh fungsi penjualan sebagai tembusan pada waktu bagian ini membuat surat order pengiriman. 5. Prosedur Pencatatan Piutang Dalam prosedur ini, fungsi akuntansi mencatat tembusan faktur penjualan ke dalam kartu piutang atau dalam metode
pencatatan
tertentu
mengarsipkan
dokumen
tembusan menurut abjad yang berfungsi sebagai catatan piutang.
6. Prosedur Distribusi Penjualan
47
Dalam prosedur ini, fungsi akuntansi mendistribusikan data penjualan menurut informasi yang diperlukan oleh manajemen. 7. Prosedur Pencatatan Harga Pokok Penjualan Dalam prosedur ini, fungsi akuntansi mencatat secara periodik total harga pokok produk yang dijual dalam periode akuntansi tertentu. 2.3.1.2 Fungsi-Fungsi Yang Terkait Dalam Penjualan Kredit Fungsi-fungsi yang terkait : a. Fungsi penjualan Bertanggung jawab untuk surat order dari pembeli, mengedit order dari pelanggan untuk menambahkan informasi yang belum ada pada suat order tersebut, meminta otorisasi kredit, menentukan tanggal pengiriman dan dari gudang mana barang akan dikirim, serta mengisi surat order pengiriman. b. Fungsi Kredit Bertanggung jawab untuk meneliti status kredit pelanggan dan memberikan otorisasi pemberian kredit kepada pelanggan. Karena hampir semua penjualan dalam perusahaan manufaktur merupakan penjualan kredit, maka
48
sebelum order dari pelanggan dipenuhi, harus lebih dahulu diperoleh otorisasi penjualan kredit dari fungsi kredit. c. Fungsi Gudang Bertanggung
jawab
untuk
menyimpan
barang
dan
menyiapkan barang yang dipesan oleh pelanggan, serta menyerahkan barang ke fungsi pengiriman. d. Fungsi Pengiriman Bertanggung jawab untuk menyerahkan barang atas surat order pengiriman yang diterimanya dari fungsi penjualan. e. Fungsi Penagihan Bertanggung jawab untuk membuat dan mengirimkan faktur penjualan kepada pelanggan, serta menyediakan copy
faktur
bagi
kepentingan
pencatatan
transaksi
penjualan oleh fungsi akuntansi. f. Fungsi Akuntansi Bertanggung jawab untuk mencatat piutang yang timbul dari transaksi penjualan kredit dan membuat serta mengirimkan pernyataan piutang kepada para debitur, serta membuat laporan penjualan. 2.3.2 Matriks Penetapan Penilaian Risiko dan Pengendalian
49
Setelah memperoleh bukti audit yang berkualitas serta temuannya dengan menggunakan instrumen pengumpulan bukti, auditor menggunakan metode Matriks Penetapan Penilaian Risiko dan Pengendalian guna merumuskan analisa terhadap bukti audit dan temuan agar dapat merumuskan dan menyimpulkan opini yang handal dengan melakukan perbandingan dan penilaian terhadap tingkat risiko dan control yang ada. Metode Penetapan Penilaian Risiko ini didasari oleh teori Gondodiyoto (2007, p559) :
1. Matriks Penilaian Risiko Matriks penilaian risiko adalah suatu cara untuk menganalisa seberapa besar risiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan cara menganalisa pengaruh dan korelasi antara tingkat impact (dampak) yang ditimbulkan dari suatu risiko dengan tingkat likelihood (keterjadian) dari risiko tersebut. Besarnya tingkat dampak dan keterjadian suatu risiko dinyatakan sebagai berikut :
1. L atau Low diberi nilai -1 2. M atau Medium diberi nilai -2 3. H atau High diberi nilai -3 Teknik perhitungan dalam matriks penilaian risiko menggunakan fungsi perkalian antara dampak (impact) dengan keterjadian (likelihood).
50
Adapun kriteria dari hasil penilaian matriks risiko terdiri dari : a. Risiko kecil (Low) nilainya berkisar antara -1 dan -2, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini : − Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai risiko adalah 1 − Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai risiko adalah 2 − Jika dampak Medium (-2) dan keterjadian Low (-1), maka nilai risiko adalah 2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.
b. Risiko sedang (Medium) nilainya berkisar antara -3 dan -4, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini : − Jika dampak Low (-1) dan keterjadian High (-3), maka nilai risiko adalah 3. − Jika dampak Medium (-2) dan keterjadian Medium (-2), maka nilai risiko adalah 4. − Jika dampak High (-3) dan keterjadian Low (-1), maka nilai risiko adalah 3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.
c. Risiko tinggi (High) nilainya berkisar antara -6 dan -9, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini :
51
− Jika dampak Medium (-2) dan keterjadian High (-3), maka nilai risiko adalah 6. − Jika dampak HIgh (-3) dan keterjadian Medium (-2), maka nilai risiko adalah 6. − Jika dampak High (-3) dan keterjadian High (-3), maka nilai risiko adalah 9. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.
-3
L I K E L I H O O D
H
3
-6
-9
-2
-4
-6
-1
-2
-3
-2 M -1 L
0
L
M
H
-1
-2
-3
IMPACT
Gambar 2.1
Matriks Penilaian Risiko
Sumber : Audit Sistem Informasi + pendekatan CobIT (2007)
2.
Matriks Penilaian Pengendalian
52
Matriks penilaian pengendalian adalah suatu cara untuk menganalisa seberapa efektif dan efisiennya suatu pengendalian yang ada dalam mengcover suatu risiko atau ancaman. Hal ini dilakukan dengan cara menganalisa pengaruh dan korelasi antara tingkat efektifitas pengendalian dengan
desain
dari
pengendalian
tersebut.
Desain
pengendalian mencerminkan seberapa baiknya control yang ada dalam mengcover risiko sedangkan untuk efektifitas mencerminkan seberapa besar tingkat ketaatan / komitmen karyawan dalam menjalankan control yang ada. Besarnya
tingkat
efektifitas
dan
desain
suatu
pengendalian yang dimiliki perusahaan dinyatakan sebagai berikut : 1. L atau Low diberi nilai 1 2. M atau Medium diberi nilai 2 3. H atau High diberi nilai 3 Teknik pengendalian
perhitungan
dalam
matriks
penilaian
fungsi perkalian antara efektifitas (ketaatan
penerapan control) dengan desain (keandalan konsep control).
Adapun kriteria dari hasil penilaian pengendalian terdiri dari : 1. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini :
53
a) Jika efektifitas Low (1) dan desain Low (1), maka nilai pengendalian adalah 1 b) Jika efektifitas Low (1) dan desain Medium (2), maka nilai pengendalian adalah 2 c) Jika efektifitas Medium (2) dan desain Low (1), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.
2. Pengendalian
sedang
(Medium)
nilainya
berkisar antara 3 dan 4, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini : a) Jika efektifitas Low (1) dan desain High (3), maka nilai pengendalian adalah 3. b) Jika efektifitas Medium (2) dan desain Medium (2), maka nilai pengendalian adalah 4. c) Jika efektifitas High (3) dan desain Low (1), maka nilai pengendalian adalah 3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang. 3. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini :
54
a) Jika efektifitas Medium (2) dan desain HIgh (3), maka nilai pengendalian adalah 6. b) Jika efektifitas High (3) dan desain Medium (2), maka nilai pengendalian adalah 6. c) Jika efektifitas High (3) dan desain High (3), maka nilai pengendalian adalah 9. Artinya nilai pengendalian dari efektifitas dan desain adalah Tinggi.
L I K E L I H O O D
3H
3
6
9
2
4
6
1
2
3
2M
1 L
0
L
M
H
1
2
3
IMPACT
Gambar 2.2 Matriks Penilaian Pengendalian Sumber : Audit Sistem Informasi + pendekatan CobIT (2007)
2.3.3
Activity Diagram 2.3.3.1 Identifikasi Event
55
Menurut Jones dan Rama (2003, p.24), terdapat beberapa pedoman dalam mengidentifikasi event. Pedoman -pedoman tersebut diantaranya : 1. Kenali event pertama dalam proses yang timbul ketika seseorang atau departemen dalam
organisasi
bertanggung
jawab
terhadap sebuah aktivitas, 2. Acuhkan aktivitas yang tidak dibutuhkan partisipasinya oleh seorang agen internal, 3. Kenali sebuah event baru ketika tanggung jawab diberikan dari satu agen internal ke agen yang lain, 4. Kenali sebuah event baru ketika suatu proses telah diganggu dan dilanjutkan ke depannya oleh agen internal yang sama. Setelah
gangguan,
seseorang
di
luar
organisasi atau proses dapat mengulang proses. Secara alternatif, proses dapat berlanjut pada jadwal yang sama, 5. Menggunakan nama event dan deskripsi yang merefleksikan sifat yang luas dari event. Berikut ini adalah tabel yang digunakan untuk mengidentifikasi event :
56
Event
Internal
Starts
Activities in
Agent
When
The Event
Assuming Responsibility
Tabel 2.1 Identifikasi Event Dari definisi di atas dapat ditarik kesimpulan bahwa event merupakan tabel yang mencatat semua aktivitas dalam proses bisnis. 2.3.3.2 Pengertian Workflow Table Menurut
Jones
&
Rama
(2003,
p.84),
“Workflow Table is a two-column table that identifies the actors and actions in a process.“. Atau Workflow Table adalah sebuah tabel dua kolom yang mengidentifikasi beberapa aktor dan tindakan dalam sebuah proses. Berikut ini merupakan
workflow
table : Actor
Activities
Tabel 2.2 Workflow Table Dari definisi di atas dapat ditarikkesimpulan bahwa workflow table merupakan tabel yang menngidentifikasi hubungan dari tiap activities dengan actor.
57
2.3.3.3 Pengertian Activity Diagram Menurut Jones & Rama (2003, p.68), “Activity Diagram is a diagram that shows the sequence of activities in process.”. Diagram
merupakan
Hal
ini
sebuah
berarti
Activity
diagram
yang
menampilkan urutan aktivitas dalam proses. Menurut Whitten, Bentley, dan Dittman (2004, p.428), Activity Diagram merupakan sebuah diagram yang menggambarkan secara grafis aliran proses bisnis, langkah-langkah sebuah use case atau langkah perilaku.
Dari definisi diatas dapat disimpulkan
bahwa Activity diagram adalah sebuah diagram yang menterjemahkan ke dalam gambar suatu urutan aliran proses bisnis. 2.3.3.4 Klasifikasi Activity Diagram Menurut Jones dan Rama (2008, p.80) Activity Diagram dibagi atas dua jenis, yakni Overview Activity Diagram dan Detailed Activity Diagram. 2.3.3.4.1 Overview Activity Diagram Pengertian
Overview
Activity Diagram menurut Jones dan Rama (2008, p.79), Overview Activity Diagram menyajikan suatu pandangan tingkat tinggi dari proses bisnis dengan
58
mendokumentasikan kejadian – kejadian penting, urutan kejadian – kejadian, dan aliran informasi antar kejadian. Menurut Jones & Rama (2003, p.69),
Overview
Activity
Diagram
menampilkan pandangan tingkat tinggi dari
proses
bisnis
dengan
mendokumentasikan event-event kunci, urutan event dan aliran informasi antar event. Dari
definisi
diatas
dapat
disimpulkan bahwa Overview activity Diagram
adalah
diagram
yang
menggambarkan event-event penting yang utama pada aliran proses bisnis. 2.3.3.4.2
Detailed Activity Diagram Pengertian
Detailed
Activity
Diagram menurut Jones dan Rama (2008, p.80),
Detailed
Activity
Diagram
menyediakan suatu penyajian yang lebih detail dari aktivitas yang berhubungan dengan satu atau dua kejadian yang ditunjukkan Diagram.
pada
Overview
Activity
59
Menurut Jones & Rama (2003, p.69), Detailed Activity Diagram adalah gambaran
yang
lebih
lengkap
dari
aktivitas yang berhubungan dengan satu atau dua event yang ditampilkan dalam overview activity diagram.
2.3.3.4.3
Simbol Activity Diagram Menurut Jones dan Rama (2008,
p.111), simbol-simbol Activity Diagram mencakup :
60
Simbol
Keterangan Initial State Menggambarkan awal sebuah proses Controll Flow Menggambarkan urutan perpindahan kegiatan Object Flow Menggambarkan aliran informasi antara event Action State Menggambarkan event dan aktivitas
61
Constraint Menggambarkan dokumen sumber atau laporan Decision Menggambarkan cabang
Table Menggambarkan file komputer atau database Final State Menggambarkan akhir dari sebuah proses
Tabel 2.3 Simbol Activity Diagram