7
BAB 2 LANDASAN TEORI
2.1
Pengertian Evaluasi Sistem Informasi 2.1.1
Pengertian Evaluasi Evaluasi adalah proses penilaian yang sistematis mencakup pemberian nilai, atribut, apresiasi dan pengenalan permasalahan serta pemberian solusi-solusi atas permasalahan yang ditemukan (Badan Pengawasan Keuangan dan Pembangunan, 2002, p3). (Anonymous, 2009, evaluasi), evaluasi adalah kegiatan yang terencana untuk mengetahui keadaan suatu obyek dengan menggunakan instrumen dan hasilnya dibandingkan dengan tolok ukur tertentu untuk memperoleh kesimpulan. Berdasarkan pengertian di atas, maka dapat disimpulkan bahwa evaluasi
adalah
suatu
kegiatan
terencana
untuk
menilai
suatu
permasalahan yang terjadi dengan menggunakan instrumen dan hasilnya dapat dibandingkan dengan tolok ukur guna memperoleh kesimpulan dan solusi atas permasalahan yang dinilai.
2.1.2
Pengertian Sistem Menurut McLeod (2001, p12), “A System is a group of elements that are integrated with the common purpose of achieving an objective.” Secara garis besar dapat diartikan bahwa sistem adalah sekelompok
8
elemen-elemen yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan. Pendapat James Hall (2001, p5), yang diterjemahkan oleh Amir Abadi Jusuf, sistem adalah sekelompok atau lebih komponen-komponen yang saling berkaitan (inter-related) atau subsistem-subsistem yang bersatu untuk mencapai tujuan yang sama (common purpose). Jadi, secara umum sistem dapat diartikan sebagai sekumpulan elemen yang saling berinteraksi dan bekerja sama untuk mencapai suatu tujuan bersama.
2.1.3
Pengertian Informasi Menurut McLeod (2001, p16), “Information is processed data, or meaningful data.” Secara garis besar dapat diartikan bahwa informasi adalah data yang telah diproses atau data yang sudah memiliki arti tertentu bagi kebutuhan penggunanya. Menurut Romney dan Steinbart (2003, p9), “Information is data that have been organized and processed to provide meaning.” Secara umum dapat diartikan bahwa informasi adalah data yang telah diatur dan diproses untuk memberikan arti bagi orang yang menerimanya. Jadi dapat disimpulkan bahwa informasi adalah data yang telah diproses dimana informasi tersebut akan digunakan oleh para penggunanya.
9
2.1.4
Pengertian Sistem Informasi Menurut O’Brien yang diterjemahkan oleh Dewi Fitriasari dan Deny Arnos Kwary (2005, p5), sistem infomasi dapat merupakan kombinasi teratur apa saja dari orang-orang, hardware, software, jaringan komunikasi dan sumber daya data yang mengumpulkan, mengubah dan menyebarkan informasi dalam sebuah organisasi. Menurut Sanyoto Gondodiyoto (2003, p23), sistem informasi adalah suatu interaksi antar komponen-komponen di dalam suatu kesatuan terpadu untuk mengolah data menjadi informasi sesuai dengan kebutuhannya. Berdasarkan pengertian di atas dapat disimpulkan bahwa sistem informasi adalah sekumpulan sumber daya dalam organisasi, baik berupa manusia, hardware, software, jaringan
komunikasi yang saling
berinteraksi untuk mengumpulkan dan mengolah data menjadi informasi yang berguna bagi para pemakai informasi dalam suatu organisasi.
2.1.5
Pengertian Evaluasi Sistem Informasi Berdasarkan keterangan di atas, dapat disimpulkan bahwa evaluasi sistem informasi adalah suatu kegiatan terencana yang bertujuan untuk memeriksa dan menilai sumber daya dalam organisasi untuk mendapatkan hasil yang dibandingkan dengan menggunakan tolok ukur tertentu untuk memperoleh hasil mengenai kinerja sumber daya organisasi tersebut.
10
2.2
Sistem Pengendalian Intern 2.2.1
Pengertian Sistem Pengendalian Intern Menurut Mulyadi (2001, p163), “sistem pengendalian intern meliputi
struktur
organisasi,
metode
dan
ukuran-ukuran
yang
dikoordinasikan untuk menjaga kekayaan organsisasi dan mengecek ketelitian dan kehandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen”. Menurut Sanyoto Gondodiyoto (2003, p78) “sistem pengendalian intern meliputi metode dan kebijakan yang terkoordinasi di dalam perusahaan
untuk
mengamankan
kekayaan
perusahaan,
menguji
ketepatan, ketelitian dan kehandalan catatan atau data akuntansi serta untuk mendorong ditaatinya kebijakan manajemen”. Berdasarkan definisi di atas dapat disimpulkan bahwa sistem pengendalian internal adalah sebuah sistem yang dirancang oleh pihak manajemen sebuah organisasi untuk mengendalikan dan mengawasi seluruh kegiatan organisasi tersebut untuk menjaga aset perusahaan dan mendorong dipatuhinya kebijakan manajemen.
2.2.2
Tujuan Sistem Pengendalian Intern Mulyadi (2001, p163) mengungkapkan 4 (empat) tujuan sistem Pengendalian Intern, yaitu untuk: a. Menjaga kekayaan organisasi. b. Mengecek ketelitian dan kehandalan data akuntansi.
11
c. Meningkatkan efisiensi usaha. d. Mendorong dipatuhinya kebijakan manajemen. Sedangkan, menurut Sanyoto Gondodiyoto (2003, p75), Sistem Pengawasan Internal dijalankan bertujuan untuk: a. Mengamankan aset organisasi. b. Memperoleh informasi yang akurat dan dapat dipercaya. c. Meningkatkan efektivitas dan efisiensi kegiatan. d. Mendorong kepatuhan pelaksanaan terhadap kebijakan organisasi. Tujuan dari Pengendalian Intern adalah untuk mengurangi resiko atau mengurangi pengaruh yang sifatnya merugikan akibat suatu kejadian.
2.2.3
Unsur-Unsur Sistem Pengendalian Intern Menurut Mulyadi (2001, p165) unsur-unsur sistem pengendalian intern adalah sebagai berikut: a. Struktur organisasi yang memisahkan tanggungjawab fungsional secara tepat. Struktur organisasi merupakan kerangka (framework) pembagian tanggungjawab fungsional kepada unit-unit organisasi yang
dibentuk
untuk
melaksanakan
kegiatan-kegiatan
pokok
perusahaan. Dalam perusahaan manufaktur misalnya, kegiatan pokoknya adalah memproduksi dan menjual produk. Untuk melaksanakan kegiatan pokok tersebut dibentuk departemen produksi, departemen pemasaran, dan departemen keuangan dan umum.
12
Departemen-departemen ini kemudian dibagi-bagi lebih lanjut menjadi unit-unit organisasi yang lebih kecil untuk melaksanakan kegiatan-kegiatan perusahaan. b. Sistem wewenang dan prosedur pencatatan yang memberikan perlindungan yang cukup terhadap kekayaan, utang, pendapatan dan biaya. Dalam
organisasi setiap transaksi hanya terjadi atas dasar
otorisasi dari pejabat yang memiliki wewenang untuk menyetujui terjadinya transaksi tersebut. Oleh karena itu, dalam organisasi harus dibuat sistem yang dapat mengatur pembagian wewenang untuk otorisasi atas terlaksananya setiap transaksi dan penggunaan formulir harus diawasi sedemikian rupa guna mengawasi pelaksanaan otorisasi. c. Praktik yang sehat dalam melaksanakan tugas dan fungsi setiap unit organisasi. Adapun cara-cara yang umum yang ditempuh untuk menciptakan praktik yang sehat dalam organisasi adalah penggunaan formulir
bernomor
urut
dipertanggungjawabkan
tercetak oleh
yang
yang
pemakaiannya
berwenang,
harus
dilakukan
pemeriksaan mendadak tanpa pemberitahuan terlebih dahulu kepada pihak yang diperiksa dengan jadwal yang tidak teratur. Setiap transaksi tidak boleh dilaksanakan dari awal sampai akhir oleh satu orang tanpa ada campur tangan dari orang atau unit organisasi lain, perputaran jabatan yang diadakan secara rutin akan dapat menjaga independensi pejabat sehingga persekongkolan dapat dihindari.
13
Secara periodik diadakan pencocokan fisik kekayaan dengan catatannya. d. Karyawan yang mutunya sesuai dengan tanggungjawabnya. Unsur mutu karyawan merupakan unsur yang paling penting yakni karyawan yang kompeten dan jujur. Unsur pengendalian dapat dikurangi sampai batas minimum dan perusahaan tetap mampu menghasilkan pertanggungjawaban keuangan yang dapat diandalkan. Berdasarkan uraian di atas maka dapat disimpulkan bahwa unsurunsur sistem pengendalian intern meliputi struktur organisasi yang memisahkan tanggungjawab fungsional secara tegas, sistem wewenang dan prosedur pencatatan yang memberikan perlindungan yang cukup terhadap kekayaan, utang, pendapatan dan biaya, praktik yang sehat dalam tugas dan fungsi, karyawan yang cukup sesuai dengan tanggungjawabnya.
2.3
Sistem Pengendalian Internal Pada Sistem Berbasis Komputer Menurut Sanyoto Gondodiyoto (2003, pp126-127) yang dikutip dari Weber (1999, p38), struktur pengendalian internal yang perlu dilakukan pada sistem berbasis komputer adalah sebagai berikut: 1. Pengendalian Umum 2. Pengendalian Aplikasi
14
2.3.1
Pengendalian Umum Pengendalian yang berlaku umum, artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di dalam pengendalian tersebut. Apabila tidak dilakukan pengendalian ini atau pengendaliannya lemah maka berakibat negatif terhadap pengendalian aplikasi. Pengendalian umum terdiri dari: 1. Pengendalian Manajemen Puncak (Top Level Management Control) Mengendalikan
peranan
manajemen
dalam
perencanaan
kepemimpinan dan pengawasan fungsi sistem. 2. Pengendalian Manajemen Sistem Informasi (Information System Management Control) Mengendalikan alternatif dari model pengembangan proses sistem informasi sehingga dapat digunakan sebagai dasar pengumpulan dan pengevaluasian bukti. 3. Pengendalian
Manajemen
Pengembangan
Sistem
(System
Development Management Control) Mengendalikan tahapan utama dari daur hidup program dan pelaksanaan dari tiap tahap. 4. Pengendalian Manajemen Sumber Data (Data Resource Management Control) Mengendalikan peranan dan fungsi dari data administrator atau database administrator .
15
5. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance Management Control) Mengendalikan fungsi utama yang harus dilakukan oleh Quality Assurance Management untuk meyakinkan bahwa pengembangan, pelaksanaan dan pengoperasian serta, pemeliharaan dari sistem informasi sesuai dengan standar kualitas. 6. Pengendalian Manajemen Keamanan (Security Management Control) Pengendaliaan terhadap manajemen keamanan secara garis besar bertanggungjawab dalam menjamin aset sistem informasi tetap aman. Ancaman utama terhadap keamanan aset sistem informasi adalah: a. Ancaman kebakaran Beberapa pelaksanaan pengamanan untuk ancaman kebakaran: 1) Memiliki alarm kebakaran otomatis yang diletakkan pada tempat dimana aset-aset sistem informasi berada. 2) Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah diambil. 3) Memiliki tombol utama (termasuk AC). 4) Gedung tempat penyimpanan aset informasi dibangun dari bahan tahan api. 5) Memiliki pintu/tangga darurat yang diberi tanda dengan jelas sehingga karyawan mudah menggunakannya. 6) Ketika alarm berbunyi, signal langsung dikirim ke stasiun pengendalian yang selalu dijaga staf.
16
7) Prosedur pemeliharaan gudang yang baik menjamin tingkat polusi sesuatunya telah dirawat dengan baik. b. Ancaman banjir Beberapa pelaksanaan untuk ancaman banjir: 1) Usahakan bahan untuk atap, dinding dan lantai yang tahan air. 2) Menyediakan alarm pada titik strategis dimana material aset sistem informasi dilakukan. 3) Semua material aset sistem informasi diletakkan di tempat yang tinggi. 4) Menutup peralatan hardware dengan bahan yang tahan air sewaktu tidak digunakan. c. Perubahan tenaga sumber energi Pelaksanaan
pengamanan
untuk
mengantisipasi
perubahan
tegangan sumber energi listrik, misalnya menggunakan stabilizer atau Uninteruptable Power Supply (UPS) yang memadai dan mampu meng-cover tegangan listrik jika tiba-tiba turun. d. Kerusakan struktural Pelaksanaan struktural terhadap aset sistem informasi dapat terjadi karena adanya gempa. Beberapa pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural misalnya adalah memilih lokasi perusahaan yang jarang terjadi gempa.
17
e. Polusi Beberapa pelaksanaan pengamanan untuk mengantisipasi polusi, misalnya situasi kantor yang bebas debu dan tidak diperbolehkan membawa binatang peliharaan atau melarang karyawan membawa atau meletakkan minuman di dekat peralatan komputer. f. Penyusup Pelaksanaan pengamanan untuk mengantisipasi penyusup, dapat dilakukan dengan penempatan penjaga dan penggunaan alarm. g. Virus Pelaksanaan pengamanan untuk mengantisipasi virus meliputi tindakan: 1) Preventive, seperti meng-install antivirus dan meng-update secara rutin, melakukan scan file yang digunakan. 2) Detective, seperti melakukan scan secara rutin. 3) Corrective, seperti memastikan back up data bebas virus, pemakaian antivirus terhadap file yang terinfeksi. h. Hacking Beberapa
pelaksanaan
pengamanan
untuk
mengantisipasi
hacking: 1) Penggunaan kontrol logical seperti penggunaan password yang sulit untuk ditebak. 2) Petugas keamanan secara teratur memonitor digunakan.
sistem yang
18
7. Pengendalian Manajemen Operasi (Operations Management Control) Secara garis besar pengendalian manajemen operasi (Operations Management Control) bertanggungjawab terhadap hal-hal sebagai berikut: a. Pengoperasian komputer (Computer Operations) Tipe pengendalian yang harus dilakukan: 1) Menentukan fungsi-fungsi yang harus dilakukan operator komputer maupun fasilitas operasi otomatis. 2) Menentukan penjadwalan kerja pada pemakaian hardware atau software. 3) Menentukan perawatan terhadap hardware agar dapat berjalan baik. 4) Pengendalian perangkat keras berupa hardware controls dari produsen untuk deteksi hardware malfunction. b. Pengoperasian Jaringan (Network Operations) Pengendalian yang dilakukan ialah memonitor dan memelihara jaringan dan pencegahan terhadap akses oleh pihak yang tidak berwenang. Pengendalian sistem komunikasi data antara lain jalur komunikasi, Hardware, Cryptology, dan Software. c. Persiapan dan peng-entry-an data (Preparation and Entry Data) Fasilitas-fasilitas yang ada harus dirancang untuk memiliki kecepatan dan keakuratan data serta telah dilakukan terhadap peng-entry-an data.
19
d. Pengendalian produksi (Production Control) Fungsi yang harus dilakukan untuk pengendalian produksi adalah: 1) Penerimaan dan pengiriman input dan output. 2) Penjadwalan kerja. 3) Manajemen pelayanan. 4) Peningkatan pemanfaatan komputer. e. File Library Fungsi yang harus dilakukan untuk file library adalah: 1) Penyimpanan media penyimpanan (storage of storage media). 2) Penggunaan media penyimpanan (use of storage media). 3) Pemeliharaan
dan
penempatan
media
penyimpanan
(maintenance and disposal of storage media). 4) Lokasi media penyimpanan (location of storage media). f. Documentation and Program Library Orang yang bertanggungjawab atas dokumentasi mempunyai beberapa fungsi yang harus dilakukan yaitu: 1) Memastikan bahwa semua dokumentasi disimpan secara aman. 2) Memastikan bahwa hanya orang yang mempunyai otorisasi saja yang bisa mengakses dokumentasi. 3) Memastikan bahwa dokumentasi tersebut selalu up to date. 4) Memastikan adanya back up yang cukup untuk dokumentasi yang ada.
20
g. Help Desk or Technical Support Ada dua fungsi utama help desk or technical support yaitu: 1) Membantu end user dalam menggunakan hardware dan software yang berhubungan dengan end user seperti micro computer, spread sheet packages, database management packages dan local area networks. 2) Menyediakan technical support untuk sistem produksi dengan dilengkapi suatu penyelesaian masalah yang berhubungan dengan hardware, software dan database. h. Capacity Planning and Performance Monitoring Tujuan utama dari fungsi sistem informasi ini adalah untuk mencapai tujuan dari penggunaan sistem informasi dengan biaya serendah mungkin. i. Management of Outsourced Operations Saat ini banyak organisasi yang melakukan outsource terhadap beberapa fungsi dari sistem informasi mereka. Alasan utama dilakukannya outsource karena mereka ingin memfokuskan pada fungsi inti bisnis mereka.
Pengendalian Umum yang akan digunakan penulis dalam melakukan evaluasi adalah Pengendalian Manajemen Keamanan dan Manajemen Operasi karena kedua pengendalian tersebut merupakan hal
21
yang bersifat mendasar namun cukup penting dan jika tidak diperhatikan dan diawasi dengan ketat, maka akan berdampak terhadap pengendalian yang lain.
2.3.2
Pengendalian Aplikasi 2.3.2.1 Pengendalian Batasan (Boundary Control) Pengendalian Boundary menentukan hubungan antara pemakai komputer dengan sistem komputer itu sendiri, ketika pemakai menggunakan komputer maka fungsi boundary berjalan. a. Pengendalian Kriptografi (Cryptographic Control) Pengendalian
Kriptografi
dirancang
untuk
mengamankan data pribadi dan untuk menjaga modifikasi data oleh orang yang tidak berwenang, cara ini dilakukan dengan mengacak data sehingga tidak memiliki arti bagi orang yang tidak dapat menguraikan data tersebut. b. Pengendalian Akses (Access Control) Pengendalian
akses
berfungsi
untuk
membatasi
penggunaan sumber daya sistem komputer, membatasi dan memastikan user untuk mendapatkan sumber daya yang mereka butuhkan. Mekanisme pengendalian akses terdiri dari:
22
1. Identifikasi
dan
Otentikasi
(Identification
and
Authentication) User
mengidentifikasi
dirinya
pada
mekanisme
pengendalian akses dengan memberi informasi seperti nama
atau
nomor
rekening.
Informasi
tersebut
memungkinkan mekanisme untuk menentukan bahwa data yang masuk sesuai dengan informasi pada file otentikasi. Terdapat tiga bagian yang dapat diisi oleh user untuk informasi otentikasi yaitu: a. Informasi yang mudah diingat, contohnya: nama, tanggal lahir, nomor account, password dan PIN. b. Obyek berwujud yang dimiliki, contohnya: Badge, plastic card, kunci dan cincin. c. Karakter pribadi, contohnya : sidik jari, ukuran tangan, suara, tanda tangan, pola retina mata. 2. Sumber Daya Obyek. Sumber Daya digunakan oleh user berdasarkan sistem informasi berbasis komputer dapat dibagi menjadi empat jenis yaitu: a. Hardware, contohnya : terminal, printer, processor , disk. b. Software, contohnya : program sistem aplikasi, storage space. c. Komoditi, contohnya : Processor time, storage space
23
d. Data, contohnya : files, groups, data item (termasuk images dan sound). 3. Hak Istimewa (Action Privileges) Hak istimewa diberikan kepada user berdasarkan pada tingkatan kewenangan user dan jenis sumber daya yang diperlukan oleh user. Contoh hak istimewa ini adalah user hanya dapat melakukan akses berupa membaca tetapi tidak bisa mengubah atau menambah (dikenal dengan istilah read only) atau user hanya memiliki fasilitas menambah data tetapi tidak bisa mengubah atau menghapus data.
2.3.2.2 Pengendalian Masukan (Input Control) Menurut Sanyoto Gondodiyoto (2003, pp130-134) yang dikutip dari Weber (1999, pp420-450), komponen pada subsistem input, bertanggungjawab untuk memasukkan data dan intruksi pada sistem aplikasi, kedua jenis input tersebut harus divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol sehingga input yang dimasukkan akurat, lengkap, unik dan tepat waktu. Komponen Pengendalian Input terdiri dari 8 (delapan) komponen yaitu: a. Metode Data Input b. Perancangan Dokumen Sumber
24
Menurut sudut pandang pengendalian, perancangan dokumen sumber yang baik memiliki beberapa tujuan: 1. Mengurangi kemungkinan perekaman data yang error . 2. Meningkatkan kecepatan perekaman data. 3. Mengendalikan alur kerja. 4. Memfasilitasi pemasukan data ke sistem komputer. 5. Dapat meningkatkan kecepatan dan keakuratan pembacaan data. 6. Memfasilitasi pengecekan referensi berikutnya. c. Perancangan Layar Data Entry Jika data dimasukkan melalui monitor, maka diperlukan desain yang berkualitas pada layar tampilan data entry agar mengurangi kemungkinan terjadinya kesalahan dan supaya tercapai efisiensi dan efektivitas entry data pada subsistem input. Auditor harus dapat melakukan penilaian terhadap layout rancangan input pada komputer agar dapat membuat penilaian terhadap efektivitas dan efisiensi subsistem input ini. d. Pengendalian Kode Data Tujuan kode data yang unik yaitu untuk mengidentifikasikan entitas sebagai anggota dalam suatu grup atau set dan lebih rapih dalam menyusun informasi yang dapat mempengaruhi tujuan integritas data, keefektifan dan keefesienan. Ada 5 (lima) jenis kesalahan dalam pengkodean data yaitu:
25
1. Addition
(penambahan):
sebuah
karakter
ekstra
ditambahkan pada kode, contoh 68573 dikode menjadi 685738. 2. Transaction (pemotongan) : sebuah karakter dihilangkan dari kode, contoh 55871 dikode menjadi 5571. 3. Transcription (perekaman) : sebuah karakter yang salah direkam, contoh 17842 menjadi 14842. 4. Transposition (perubahan) : karakter yang berdekatan pada kode dibalik, contoh 87942 dikode menjadi 78942. 5. Double transposition : karakter dipisahkan oleh satu atau lebih karakter yang dibalik, contoh 97942 dikode menjadi 84972. e. Cek Digit Cek digit digunakan sebagai peralatan untuk mendeteksi kesalahan dalam banyak aplikasi, sebagai contoh : tiket pesawat, proses kartu kredit, proses rekening bank, proses pengumpulan item bank dan proses lisensi mengemudi. f. Pengendalian Batch Batching
merupakan
proses
pengelompokkan
transaksi
bersama-sama yang menghasilkan beberapa jenis hubungan antara yang satu dengan yang lainnya. Pengendalian yang bermacam-macam
dapat
digunakan
pada
batch
mencegah atau mendeteksi error atau kesalahan.
untuk
26
g. Validasi Input Data Jenis pengecekan validasi input data: 1. Field Checks Test validasi dapat diaplikasikan pada field yang tidak bergantung pada field lainnya dalam laporan input. 2. Record Checks Test validasi dapat diaplikasikan ke field berdasarkan hubungan timbal balik yang logis dari suatu field dengan field lainnya dalam laporan. 3. Batch Checks Test validasi memeriksa apakah karakteristik laporan batch yang dimasukkan sama dengan karakteristik batch. 4. File Checks Test validasi menguji apakah karakteristik penggunaan file selama
pemasukan
data
sama
dengan
rumusan
karakteristik file. h. Intruksi Input Dalam memasukkan instruksi ke dalam sistem aplikasi sering terjadi kesalahan karena adanya instruksi yang bermacam-macam menampilkan
dan
pesan
komplek.
Karena
itu,
kesalahan. Pesan kesalahan
perlu yang
ditampilkan harus dikomunikasikan kepada user dengan lengkap dan jelas.
27
2.3.2.3 Pengendalian Keluaran (Output Control) Menurut Sanyoto Gondodiyoto (2003, pp134-136) yang dikutip dari Weber (1999, pp615-646), subsistem output menyediakan fungsi-fungsi yang menentukan isi dari data yang akan disediakan bagi pengguna, sehingga data dapat diformat dan dipersembahkan bagi pengguna dan bagaimana caranya agar data dapat diperbaiki dan dikeluarkan untuk pengguna. Tipe pengendalian yang berhubungan dengan Pengendalian Output: a. Inference Control Pengendalian model akses memperbolehkan atau menolak akses terhadap item data berdasarkan nama dari data item, isi dari data item atau beberapa karakteristik dari serangkaian data yang terdapat pada data item. b. Batch Output and Distribution Control Batch output adalah output yang dihasilkan pada beberapa fasilitas operasional dan setelah itu dikirim atau disimpan oleh pemakai output tersebut. Output ini menggunakan banyak formulir,
contohnya,
keluaran
laporan
pengendalian
manajemen berisi tabel, grafik atau image. Pengendalian terhadap batch output dilakukan dengan tujuan untuk memastikan bahwa laporan tersebut akurat, lengkap dan tepat
28
waktu yang hanya dikirim atau diserahkan kepada pemakai yang berhak. c. Batch Report Design Controls Elemen penting untuk melihat pengendalian efektivitas pelaksanaan terhadap produksi, distribusi, laporan keluaran batch adalah dengan melihat kualitas dari desainnya. Desain laporan yang baik akan membuat pemakai mudah untuk membaca output yang dihasilkan. d. Online Output Production and Distribution Controls Pengendalian terhadap produksi dan distribusi atas output yang dilakukan melalui online secara garis lurus, tujuan utamanya adalah untuk memastikan bahwa hanya bagian yang memiliki wewenang saja dapat melihat output online tersebut. e. Audit Trail Controls Pengendalian jejak audit pada subsistem output dilakukan untuk menjaga kronologi kejadian yang terjadi dari saat output diterima sampai pemakai melakukan penghapusan output tersebut karena sudah tidak dipakai atau disimpan lagi. f. Existence Controls Output dapat hilang atau rusak karena berbagai alasan, seperti invoice hilang, online output terkirim pada alamat yang salah, output
terbakar
karena
kebakaran.
Recovery
terhadap
subsistem output secara akurat, lengkap dan tepat merupakan
29
hal yang sangat membantu kelangsungan hidup banyak organisasi.
2.4
Audit 2.4.1
Pengertian Audit Menurut
Sanyoto
Gondodiyoto
(2003,
p53),
Auditing
didefinisikan sebagai suatu proses yang dilakukan seseorang yang kompeten dan independen yang menghimpun dan mengevaluasi buktibukti dari informasi terukur dari suatu kesatuan ekonomi dengan tujuan untuk mempertimbangkan dan melaporkan tingkat kesesuaian dari keterangan terukur yang telah diperoleh pemeriksaannya tersebut dengan kriteria-kriteria yang telah ditetapkan. Menurut Arens and Loebbecke (2003, p1), yang diterjemahkan oleh Amir Abadi Jusuf, Auditing adalah proses pengumpulan dan pengevaluasian bukti-bukti tentang informasi ekonomi untuk menentukan tingkat kesesuaian informasi ekonomi tersebut dengan kriteria-kriteria yang telah ditetapkan dan melaporkan hasil pemeriksaan tersebut. Jadi dapat disimpulkan audit adalah suatu kegiatan yang dilakukan oleh seseorang yang memiliki kompetensi dan independen dalam menghimpun bukti dan melakukan evaluasi terhadap obyek yang diteliti
berdasarkan
kriteria-kriteria
yang
telah
ditetapkan
menyampaikan hasilnya kepada pihak yang berkepentingan.
dan
30
2.4.2
Jenis-jenis Audit Menurut Arens and Loebbecke (2003, p11), Audit dapat digolongkan menjadi 3 (tiga) jenis: 1) Audit Laporan Keuangan (General Financial Statement Audit) Merupakan audit yang dilakukan untuk menentukan apakah laporan keuangan secara keseluruhan merupakan informasi yang telah disajikan sesuai dengan kriteria tertentu. 2) Audit Operasional (Operational Audit) Merupakan penelaah atas bagian manapun dari prosedur dan metode operasi suatu organisasi untuk menilai efisiensi dan efektivitasnya. Dalam pemeriksaan operasional tinjauan yang dilakukan tidak hanya dibatasi pada bagian akuntansi saja melainkan termasuk struktur organisasi, penggunaan komputer dan sesudah audit operasional dilakukan, auditor akan mengajukan saran kepada pihak perusahaan tentang pemeriksaan operasionalnya. 3) Audit Kepatuhan Adalah audit yang bertujuan untuk melihat apakah suatu badan usaha yang diaudit telah melakukan prosedur atau peraturan yang telah ditetapkan oleh pihak yang berwenang.
31
2.5
Audit Sistem Informasi 2.5.1
Pengertian Audit Sistem Informasi Pengertian audit sistem informasi menurut Weber yang dikutip dari www.isaca.org adalah “the process of collecting and evaluating evidence to determine whether a computer system (information system) safeguards assets, maintains data integrity, achieves
organizational
goals effectively and consumes resources efficiently. Secara garis besar dapat diterjemahkan bahwa audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Menurut Sanyoto Gondodiyoto (2006, p419), audit sistem informasi adalah proses pengumpulan dan penilaian bukti untuk menentukan apakah sistem komputerisasi perusahaan telah menggunakan aset sistem informasi secara tepat dan mampu mendukung pengamanan aset tersebut, memelihara kebenaran dan integritas data dalam pencapaian tujuan perusahaan secara efektif dan efisien. Berdasarkan uraian di atas, maka dapat disimpulkan bahwa audit sistem informasi adalah proses pengumpulan dan pengevaluasian bahan bukti audit untuk mengetahui apakah sistem yang ada dapat melindungi
32
aset perusahaan, memelihara integritas data dan, mendukung pencapaian tujuan perusahaan secara efektif dan efisien.
2.5.2
Tujuan Audit Sistem Informasi Sanyoto Gondodiyoto dan Henny Hendarti (2006, p400) menyimpulkan tujuan audit sistem informasi adalah sebagai berikut : 1. Pengamanan Aset Aset informasi suatu perusahaan seperti hardware, software, sumber daya manusia, dan file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian, sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan. 2. Menjaga Integritas Data Integritas data merupakan salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti kelengkapan dan keakuratan. Jika tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki hasil atau laporan yang benar, bahkan perusahaan dapat menderita kerugian. 3. Efektifitas Sistem Sistem informasi dikatakan efektif jika sistem tersebut dapat mencapai tujuannya yaitu salah satunya untuk memenuhi kebutuhan user. Audit efektifitas sistem dilakukan setelah suatu sistem berjalan pada tahap perencanaan sistem (system design).
33
4. Efisiensi Sistem Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang dibutuhkan.
2.5.3
Prosedur Audit Sistem Informasi Langkah dari Prosedur Audit Sistem Informasi digambarkan dalam tahapan flow dibawah ini:
Gambar 2.1 Langkah Prosedur Audit Sumber: Information System Control and Audit (Weber, 1999, p48)
34
Menurut Weber (1999, p47) beberapa tahapan di dalam audit sistem informasi adalah sebagai berikut: 1. Perencanaan Audit (Planning the Audit) Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staf audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien, mengerti tentang masalah hukum klien dan, melakukan analisa tentang prosedur yang ada untuk mengerti tentang bisnis klien serta, mengidentifikasikan resiko audit. 2. Pengujian Pengendalian (Tests of Controls) Auditor melakukan control test ketika mereka menilai bahwa kontrol resiko berada pada level kurang dari maksimum, mereka mengandalkan kontrol sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini, auditor tidak mengetahui apakah identifikasi kontrol telah berjalan dengan efektif, oleh karena itu diperlukan evaluasi yang spesifik terhadap materi kontrol. 3. Pengujian Transaksi (Tests of Transactions) Auditor
menggunakan
test
terhadap
transaksi
untuk
mengevaluasi apakah kesalahan atau proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan yang material pada laporan keuangan. Test transaksi ini termasuk
35
menelusuri jurnal dari sumber dokumen, memeriksa file harga dan mengecek keakuratan perhitungan. 4. Pengujian Saldo atau Keseluruhan Hasil (Tests of Balances or Overall Result) Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus diperhatikan adalah pengamatan harta dan kesatuan data. Beberapa jenis substantive test terhadap saldo yang digunakan adalah konfirmasi piutang, perhitungan fisik persediaan dan, perhitungan ulang aktiva tetap. 5. Penyelesaian Audit (Completion of the Audit) Pada fase akhir audit, eksternal audit akan menjalankan beberapa test tambahan terhadap bukti yang ada agar dapat dijadikan laporan.
2.5.4
Metode Audit Sistem Informasi Sanyoto Gondodiyoto dan Idris (2003, pp155-158) berpendapat bahwa ada 3 (tiga) metode audit sistem informasi antara lain: 1. Audit Around the Computer Untuk menerapkan metode ini, auditor pertama kali harus menelusuri
dan
menguji
pengendalian
masukan,
kemudian
menghitung hasil yang diperkirakan dari proses transaksi dan auditor membandingkan hasil sesungguhnya dengan hasil yang dihitung secara manual.
36
2. Audit Through the Computer Pada metode ini, auditor tidak hanya melakukan pengujian pada input dan output melainkan juga pemeriksaan secara langsung terhadap pemrosesan komputer melalui pemeriksaan logika dan akurasi program meliputi coding program, desain aplikasi, serta hal lain yang berkaitan dengan program aplikasinya. 3. Audit With the Computer Pada metode ini audit dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Metode ini sangat bermanfaat dalam pengujian substantif atas file dan record perusahaan. Salah satu software audit yang dapat digunakan adalah GAS (Generalized Audit Software) dan SAS (Specialized Audit Software).
2.5.5
Standar Audit Sistem Informasi Menurut Sanyoto Gondodiyoto dan Hendarti (2007, pp153-154) CobIT (Control Objectives for Information and Related Technology) adalah sekumpulan dokumentasi yang best practices untuk IT governance yang dapat membantu auditor, pengguna (user) dan manajemen untuk menjembatani pembatas antara resiko bisnis, kebutuhan control dan masalah-masalah teknis TI. CobIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT Control Issue. CobIT berguna bagi para information technology users karena
37
memperoleh keyakinan atas kehandalan sistem aplikasi yang digunakan. Sedangkan, para manajer memperoleh manfaat dalam keputusan investasi dibidang teknologi informasi, menentukan arsitektur informasi dan keputusan atas procurement (pengadaan atau pembelian) mesin. Disamping itu, dengan kehandalan sistem informasi yang ada pada perusahaannya, diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada. CobIT mendukung manajemen dalam mengoptimalkan investasi teknologi informasi melalui ukuran-ukuran yang akan memberi sinyal bahaya bila terjadi suatu kesalahan atau resiko yang sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem pengendalian intern perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas pengendalian individual memenuhi tuntutan dan kebutuhan informasi serta, efeknya terhadap sumber daya teknologi informasi perusahaan. Sumber daya teknologi informasi merupakan elemen yang sangat disorotkan CobIT, termasuk pemenuhan kebutuhan bisnis terhadap: 1. Efektivitas (Effectiveness) Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.
38
2. Efisiensi (Efficiency) Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal. 3. Kerahasiaan (Confidentialy) Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi. 4. Keterpaduan (Integrity) Yang sesuai dengan harapan dan berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran nilai bisnis. 5. Ketersediaan (Availability) Berhubungan dengan informasi yang tersedia ketika diperlukan dengan proses bisnis sekarang dan yang akan datang. 6. Kepatuhan pada kebijakan dan peraturan (Compliance) Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis. 7. Kehandalan informasi (Reliability) Berhubungan dengan ketentuan, kecocokkan informasi untuk manajemen mengoperasikan entitas, mengatur pelatihan keuangan dan kelengkapan laporan pertanggungjawaban. Komponen CobIT terdiri atas : 1. Executive Summary Terdiri dari executive overview yang menyediakan kesadaran sepenuhnya dan pemahaman konsep utama dan prinsip COBIT,
39
termasuk pula ringkasan framework yang menyediakan penjelasan mengenai konsep dan prinsip ini. 2. Framework Menjelaskan bagaimana proses TI mengirimkan informasi yang dibutuhkan oleh organisasi dalam mencapai tujuannya. Antara lain 34 (tiga puluh empat) tujuan pengendalian tingkat tinggi yang berisi 4 (empat) domain, 7 (tujuh) informasi aktual (effectiveness, efficiency, actualnality, integrity, availability, compliance and reliability), 318 (tiga ratus delapan belas) control objectives dan audit guidelines, management guidelines and implementation guide. 3. Control Objectives Menyediakan pemahaman yang kritis yang dibutuhkan untuk menggambarkan kebijakan yang jelas dan praktek yang baik untuk pengendalian TI. 4. Control Practices Menyediakan panduan bagaimana pengendalian dibutuhkan dan praktek terbaik yang sesuai dengan tujuan pengendalian yang spesifik serta, membantu memastikan solusi yang lengkap dan sukses jika diimplementasikan. 5. Audit Guidelines Berisi sebanyak 318 (tiga ratus delapan belas) tujuan-tujuan pengendalian yang bersifat rinci (detail control objective) untuk
40
membantu para auditor dalam memberi management assurance dan saran perbaikan. 6. Management Guidelines Terdiri dari maturity models, untuk membantu menentukan tingkat pelaksanaan, pengharapan atas pengendalian dan membandingkannya dengan
norma
industri;
Critical
Success
Factors,
untuk
mengidentifikasi tindakan yang paling penting dalam mencapai pengendalian dalam proses TI; Key Goal Indicators, untuk mendefinisikan tingkat target atau pelaksanaan; dan Key Performance Indicators, untuk mengukur apakah proses pengendalian aplikasi TI sudah sesuai dengan tujuannya. 7. CobIT Quickstart TM Membantu pemakaian elemen CobIT dengan cepat dan mudah. Kerangka kerja CobIT terdiri atas beberapa arahan (Guidelines), yakni (2007, pp165-167) : Control Objectives Terdiri dari 4 (empat) unsur utama, yaitu : 1. Perencanaan dan Pengorganisasian (Planning and Organizing) Yaitu mencakup pembahasan tentang identifikasi dan strategi investasi teknologi informasi yang dapat memberikan informasi yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya, identifikasi dan visi strategis perlu direncanakan,
41
dikomunikasikan dan diatur pelaksanaannya (dari berbagai perspektif). 2. Akuisisi dan Implementasi (Acquisition and Implementation) Yaitu untuk merealisasi strategi teknologi informasi, perlu diatur kebutuhan teknologi informasi, diidentifikasi, dikembangkan atau diimplementasikan
secara
terpadu
dalam
proses
bisnis
perusahaan. 3.
Penyerahan dan Pendukung (Delivery and Support) Hal ini lebih dipusatkan pada ukuran tentang aspek dukungan teknologi informasi terhadap kegiatan operasional bisnis (tingkat jasa layanan teknologi informasi aktual atau service level) dan aspek urutan (prioritas implementasi dan untuk pelatihannya).
4. Memantau (Monitoring) Yaitu semua proses teknologi informasi yang perlu dinilai secara berkala agar kualitas dan tujuan dukungan teknologi informasi tercapai
dan
kelengkapannya
berdasarkan
pada
syarat
pengendalian intern yang baik. CobIT Domain 1.
Plan and Organize
High Level Objectives 1. Definisikan arah dan rencana strategis teknologi informasi. 2. Definisikan arsitektur informasi. 3. Tentukan arah teknologi. 4. Definisikan proses-proses teknologi informasi, organisasi dan
42
CobIT Domain
High Level Objectives hubungannya. 5. Mengelola investasi teknologi informasi. 6. Mengkomunikasikan arah dan tujuan manajemen. 7. Mengelola sumber daya manusia teknologi informasi. 8. Mengelola kualitas. 9. Mengkaji dan mengelola resiko teknologi informasi. 10. Mengelola proyek-proyek.
2.
Acquire and Implement
1. Identifikasi solusi-solusi otomatis. 2. Memperoleh dan memelihara aplikasi perangkat lunak. 3. Memperoleh dan memelihara infrastruktur teknologi. 4. Memperbolehkan operasi dan penggunaan. 5. Memperoleh sumber daya teknologi informasi. 6. Mengatur perubahan. 7. Memasang dan mengakui solusi dan perubahan.
3.
Deliver and Support
1. Definisikan dan mengatur tahapan pelayanan. 2. Mengatur jasa pihak ketiga. 3. Mengatur kinerja dan kapasitas. 4. Memastikan kelangsungan pelayanan.
43
CobIT Domain
High Level Objectives 5. Memastikan keamanan sistem. 6. Identifikasi dan menetapkan harga. 7. Mendidik dan melatih pengguna. 8. Mengatur bagian pelayanan dan peristiwa. 9. Mengatur susunan. 10. Mengatur masalah. 11. Mengatur data. 12. Mengatur lingkungan fisik. 13. Mengatur operasi.
4.
Monitor and Evaluate
1. Mengawasi dan mengevaluasi proses teknologi informasi. 2. Mengawasi dan mengevaluasi pengawasan interen. 3. Memastikan pemenuhan pengaturan. 4. Menyediakan Pemerintahan teknologi informasi (Information Technology Governance).
Tabel 2.1 Domain and High Level Controls CobIT Sumber : CobIT 4.1 (2007) CobIT diharapkan dapat membantu menemukan berbagai macam kebutuhan manajemen berkaitan dengan teknologi informasi, membantu mengoptimalkan investasi teknologi informasi, dan menyediakan ukuran (kriteria) ketika terjadi penyelewengan atau penyimpangan serta, dapat diterapkan dan diterima sebagai standar keamanan teknologi informasi
44
dan praktek kendali untuk mendukung kebutuhan manajemen dalam menentukan dan memantau tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka. Standar audit sistem informasi disusun oleh Information Systems Audit and Control Association (ISACA). Selain itu, ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi oleh IS auditor. Berikut ini adalah standar untuk audit IT yang terdiri dari 16 (enam belas) standar yaitu : 1. Audit Charter (1 Januari 2005) a) Tujuan, tanggungjawab, wewenang dan akuntabilitas dari fungsi audit sistem informasi atau tugas audit sistem informasi audit harus didokumentasikan secara tepat dalam piagam audit atau surat perjanjian. b) Audit charter atau surat perjanjian harus disepakati dan disetujui pada tingkat yang sesuai dalam organisasi. 2. Independence (1 Januari 2005) a) Independensi Profesional Dalam semua hal yang berkaitan dengan audit, IS auditor harus independen baik dalam sikap dan penampilan. b) Independensi organisasi Fungsi audit SI harus independen dari area atau kegiatan yang diperiksa untuk tujuan memungkinkan penyelesaian tugas audit.
45
3. Professional Ethics and Standards (1 Januari 2005) a) Auditor SI harus mentaati ISACA Code of Professional Ethics. b) Auditor SI harus menjalankan tugasnya secara seksama, termasuk mengikuti standar audit profesional yang berlaku. 4. Professional Competence (1 Januari 2005) a) Auditor SI profesional harus kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit. b) Auditor SI harus menjaga kompetensi profesional melalui pendidikan profesional berkelanjutan dan pelatihan 5. Planning (1 Januari 2005) a) Auditor SI harus merencanakan cakupan audit sistem informasi untuk tujuan audit dan, mematuhi hukum yang berlaku serta standar auditing yang profesional. b) Auditor SI harus mengembangkan dan mendokumentasikan sebuah pendekatan audit berbasis resiko. c) Auditor SI harus mengembangkan dan dokumen rencana audit merinci sifat dan tujuan, waktu dan luas dan sumber daya yang diperlukan. d) Auditor SI harus mengembangkan program audit dan prosedur. 6. Performance of Audit Work (1 Januari 2005) a) Supervision - staf audit SI harus diawasi untuk memberikan jaminan bahwa tujuan audit yang dicapai dan diterapkan standar audit profesional sudah terpenuhi.
46
b) Evidence - Selama audit, auditor SI harus mendapatkan cukup, dapat diandalkan dan bukti yang relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan harus didukung oleh analisis dan interpretasi yang tepat dari bukti yang ada. c) Documentation menggambarkan
-
Proses
audit
harus
didokumentasikan,
pekerjaan audit serta, bukti audit
yang
mendukung temuan auditor SI dan kesimpulan. 7. Reporting (1 Januari 2005) a) Auditor SI harus memberikan laporan, dalam bentuk yang tepat, setelah
selesainya
audit.
Laporan
harus
mengidentifikasi
organisasi, yang dimaksudkan penerima dan semua larangan pada sirkulasi. b) Laporan audit harus menyatakan lingkup, tujuan, cakupan dan periode sifat, waktu dan luasnya pekerjaan audit yang dilakukan. c) Laporan harus menyatakan temuan, kesimpulan dan rekomendasi dan setiap pemesanan, kualifikasi atau batasan dalam ruang lingkup yang telah auditor SI periksa. d) Auditor SI harus mempunyai cukup bukti-bukti audit dan tepat untuk mendukung hasil yang dilaporkan. e) Ketika dikeluarkan, laporan SI auditor harus ditandatangani, tanggal dan didistribusikan sesuai dengan ketentuan audit piagam atau surat perjanjian.
47
8. Follow Up Activities (1 Januari 2005) Setelah pelaporan temuan dan rekomendasi, auditor SI harus meminta dan mengevaluasi informasi yang relevan untuk menyimpulkan apakah tindakan yang tepat telah diambil oleh manajemen pada waktu yang tepat. 9. Irregularities and Illegal Acts (1 September 2005) a) Dalam merencanakan dan melaksanakan audit untuk mengurangi resiko audit ke tingkat yang lebih rendah, auditor SI harus mempertimbangkan resiko penyimpangan dan tindakan-tindakan ilegal. b) Auditor SI harus memelihara sikap skeptis profesional selama audit, mengakui kemungkinan bahwa misstatements materi akibat ketidakberesan dan tindakan melawan hukum bisa ada, terlepas dari evaluasi resiko dan tindakan-tindakan ilegal. c) Auditor SI harus memperoleh pemahaman tentang organisasi dan lingkungannya, termasuk kontrol internal. d) Auditor SI harus mendapatkan cukup bukti-bukti audit yang sesuai untuk menentukan apakah manajemen atau
orang lain
dalam organisasi memiliki pengetahuan aktual apa saja, diduga atau dugaan penyimpangan dan tindakan-tindakan ilegal. e) Ketika melakukan prosedur audit untuk memperoleh pemahaman tentang organisasi
dan
lingkungannya, auditor
SI harus
mempertimbangkan hubungan luar biasa atau tak terduga yang
48
mungkin menunjukkan resiko misstatements materi akibat ketidakberesan dan tindakan ilegal. f) Auditor SI harus merancang dan melakukan prosedur untuk menguji kesesuaian pengendalian internal dan manajemen resiko. g) Ketika auditor SI mengidentifikasi sebuah kesalahan pernyataan, auditor SI harus menilai apakah suatu kesalahan pernyataan seperti itu mungkin be indicative dari ketidakteraturan atau tindakan ilegal. Jika ada indikasi seperti itu, auditor SI harus mempertimbangkan implikasi dalam kaitannya dengan aspekaspek lain dari audit dan khususnya re-presentasi manajemen. h) Auditor
SI harus
memperoleh
re-presentasi
tertulis
dari
manajemen setidaknya setiap tahun atau lebih sering tergantung pada keterlibatan audit harus: 1. Mengakui tanggungjawabnya untuk desain dan pelaksanaan pengendalian internal untuk mencegah dan mendeteksi penyimpangan atau tindakan ilegal 2. Menyebarkan hasil penilaian resiko salah saji material yang mungkin ada sebagai hasil dari ketidakteraturan atau tindakan ilegal 3. Mengungkapkan
kepada
auditor
SI
pengetahuan
penyimpangan atau tindakan ilegal yang mempengaruhi organisasi dalam hubungannya dengan: -
Manajemen
49
-
Karyawan
yang
memiliki
peran
penting
dalam
pengendalian internal 4. Sebarkan ke auditor penyimpangan penyimpangan
atau atau
SI pengetahuan dari setiap dugaan tindakan tindakan
ilegal melawan
atau hukum
dugaan yang
mempengaruhi organisasi seperti yang disampaikan oleh para karyawan, mantan karyawan dan regulator . i) Jika auditor
SI telah mengidentifikasi bahan ketidakteraturan
atau tindakan ilegal atau memperoleh informasi yang material ketidakteraturan atau tindakan ilegal mungkin ada, auditor SI harus mengkomunikasikan hal ini pada tingkat yang sesuai pada manajemen dengan tepat waktu. j) Jika auditor SI telah mengidentifikasi bahan ketidakteraturan atau tindakan ilegal yang melibatkan manajemen atau karyawan yang memiliki peran penting dalam pengendalian internal, auditor SI harus mengkomunikasikan hal ini pada waktu yang tepat untuk mereka yang dituduh oleh pemerintah k) Auditor SI harus memberikan saran yang sesuai tingkat manajemen dan mereka yang dituduh dengan kelemahan dalam desain dan pelaksanaan pengendalian internal untuk mencegah dan mendeteksi penyimpangan dan tindakan-tindakan ilegal yang mungkin datang ke auditor SI selama pemeriksaan.
50
l) Jika auditor SI menemukan keadaan yang tidak biasa dan yang mempengaruhi kemampuan auditor SI untuk terus melakukan audit sebagai akibat salah saji material atau tindakan ilegal, auditor SI harus mempertimbangkan hukum dan tanggungjawab profesional yang berlaku, termasuk apakah ada persyaratan untuk auditor SI untuk melaporkan kepada orang- orang yang masuk ke dalam perjanjian atau dalam beberapa kasus mereka yang dituduh yang mendapatkan penugasan, penanggungjawab perusahaan atau pihak berwenang, bila perlu mengundurkan diri dari penugasan. m) Auditor SI harus mendokumentasikan semua komunikasi, perencanaan, hasil, evaluasi dan kesimpulan yang berkaitan dengan materi irregularities dan illegal acts yang telah dilaporkan kepada manajemen, pihak yang bertanggungjawab lain atau pihak yang berwenang. 10. IT Governance (1 September 2005) a) Auditor SI harus meninjau dan menilai apakah fungsi organisasi SI sejalan dengan misi, visi, nilai-nilai, tujuan dan strategi. b) Auditor SI harus meninjau apakah fungsi SI atas pernyataan yang jelas tentang kinerja yang diharapkan oleh bisnis (efektivitas dan efisiensi) dan menilai pencapaiannya. c) Auditor SI harus meninjau dan menilai efektivitas SI sumber daya dan proses manajemen kinerja.
51
d) Auditor SI harus meninjau dan menilai kepatuhan terhadap hukum, lingkungan dan kualitas informasi, fidusia serta persyaratan keamanan. Sebuah pendekatan berbasis risiko harus digunakan oleh auditor SI untuk mengevaluasi fungsi SI. e) Auditor SI harus meninjau dan menilai lingkungan pengendalian organisasi. f) Auditor SI harus meninjau dan menilai resiko yang mungkin efek negatif lingkungan SI. 11. Use of Risks Assessment in Audit Planning (1 November 2005) Auditor SI harus menggunakan penilaian resiko yang tepat
atau
pendekatan dalam mengembangkan SI, keseluruhan rencana audit dan dalam menentukan prioritas yang efektif. Ketika
me-review
perencanaan
individu,
auditor
SI
harus
mengidentifikasi dan menilai risiko yang relevan dengan area di bawah review. 12. Audit Materiality (1 Juli 2006) a) Auditor SI harus menggunakan penilaian resiko yang tepat teknik atau pendekatan dalam mengembangkan keseluruhan rencana audit SI dan dalam menentukan prioritas yang efektif. b) Apabila me-review perencanaan individu, auditor SI harus mengidentifikasi dan menilai resiko yang relevan dengan luas area di bawah tinjauan.
52
13. Using the Work of Other Expert (1 Juli 2006) a) Auditor
SI
harus,
dimana
tepat,
pertimbangkan
untuk
menggunakan karya para ahli lainnya untuk audit. b) Auditor SI harus menilai dan merasa puas dengan kualifikasi profesional, kompetensi, pengalaman yang relevan, sumber daya, kemandirian dan pengendalian mutu proses ahli lain, sebelum perjanjian. c) Auditor SI harus menilai, meninjau, mengevaluasi kerja ahli lain sebagai bagian dari audit dan menyimpulkan tingkat penggunaan dan ketergantungan pada pekerjaan ahli. d) Auditor SI harus menentukan dan menyimpulkan apakah karya ahli lain memadai dan lengkap untuk mengaktifkan auditor SI untuk menyimpulkan pada saat tujuan audit. Kesimpulan seperti itu harus secara jelas didokumentasikan. e) Auditor SI harus menerapkan prosedur test tambahan untuk memperoleh audit yang cukup dan sesuai keadaan dimana karya para ahli lain tidak cukup memberi bukti audit dan tepat. f) Auditor SI harus memberikan opini audit yang sesuai dan mencakup lingkup dimana bukti yang diperlukan tidak diperoleh melalui prosedur tes tambahan.
53
14. Audit Evidence (1 Juli 2006) a) Auditor SI harus mendapatkan cukup dan bukti-bukti audit yang tepat untuk menarik kesimpulan yang masuk akal yang mendasarkan hasil audit. b) Auditor SI harus mengevaluasi kecukupan bukti audit yang diperoleh selama audit. 15. IT Controls (1 February 2009) a) Auditor SI harus mengevaluasi dan memonitor kontrol TI yang merupakan bagian integral dari lingkungan pengendalian internal organisasi. b) Auditor SI harus membantu manajemen dengan memberikan saran mengenai rancangan, pelaksanaan, operasi dan peningkatan kontrol TI. 16. E-commerce (1 February 2009) Auditor SI harus mengevaluasi dan menilai resiko ketika meninjau lingkungan e-commerce untuk memastikan bahwa transaksi ecommerce telah benar dikontrol.
2.5.6
Instrumen Audit Sistem Informasi Menurut Indriantoro (2002, pp152-160) terdapat 2 (dua) metode pengumpulan data primer yang diperoleh secara langsung dari sumber asli:
54
1. Metode Survei Metode survei merupakan pengumpulan data primer yang menggunakan pertanyaan lisan dan tertulis. Metode ini memerlukan adanya kontak atau hubungan antara peneliti dengan subyek (responden) penelitian untuk memperoleh data yang diperlukan. Data penelitian berupa data subyek yang menyatakan opini, sikap, pengalaman atau karakteristik subyek penelitian secara individual atau secara berkelompok. Ada 2 (dua) teknik pengumpulan data dalam metode survei : a. Wawancara (Interview) Wawancara merupakan teknik pengumpulan data dalam metode survei yang menggunakan pertanyaan secara lisan kepada subyek penelitian (orang atau pegawai perusahaan). Teknik wawancara dilakukan jika peneliti memerlukan komunikasi atau hubungan dengan responden. Teknik wawancara dapat dilakukan dengan 2 (dua) cara, yaitu : melalui tatap muka atau melalui telepon. b. Checklist Checklist digunakan untuk mengumpulkan data berisi pilihan jawaban untuk mempermudah dalam mengecek kebenaran dan kelengkapan data, serta memberikan rekomendasi terhadap masalah yang dihadapi perusahaan terutama di bidang sistem informasi persediaan.
55
2. Metode Observasi Metode observasi merupakan proses pencatatan pola perilaku subyek (orang), obyek (benda) atau kejadian yang sistematik tanpa adanya pertanyaan atau komunikasi dengan individu-individu yang diteliti.
2.6
Teknik Penilaian Resiko Menurut buku Maiwald (2003, p144) penilaian resiko sistem informasi dibagi menjadi beberapa tingkatan kategori, yaitu : a) Low Resiko dinilai jarang terjadi dan tidak dapat mempengaruhi operasi perusahaan atau sistem internal kontrol dalam suatu organisasi. Contohnya : mati lampu, terganggunya jaringan server di kantor cabang, dan lain-lain. b) Medium Resiko yang dinilai jarang atau sering terjadi tetapi dapat memberikan dampak yang tidak terlalu mempengaruhi operasi perusahaan dan sistem internal kontrol dalam organisasi. Contohnya : keterlambatan karyawan, data yang tidak akurat dan tidak lengkap, ketidaktersediaan aset perusahaan dan pengamanan arsip data yang kurang memadai, dan lain-lain.
56
c) High Resiko yang dinilai sering terjadi dan secara langsung dapat mempengaruhi kegiatan operasi perusahaan dan mengancam sistem internal kontrol organisasi. Contohnya : banjir, virus, kurang disiplinnya karyawan dalam memanfaatkan jam kerja, kebocoran informasi rahasia perusahaan, dan lain-lain.
2.7
Pengertian Sistem Informasi Persediaan 2.7.1
Pengertian Persediaan Menurut Mulyadi dan Puradiredja (2001, p112) , ”inventory atau persediaan terdiri dari barang dagangan yang dimaksud untuk diperjualbelikan serta, bahan baku dan bahan pembantu yang dipakai dalam proses produksi barang yang akan dijual”. Niswonger,
Warren,
Reeve
dan
Fess
(2002,
p350),
mendefinisikan, “Inventory is merchandise held for sell in the normal course of business and materials in the process of production or held for production.” Secara garis besar dapat diartikan bahwa persediaan digunakan untuk menjelaskan (1) Barang-barang yang disimpan untuk penjualan dalam proses bisnis. (2) Bahan baku dalam proses produksi yang disimpan serta digunakan untuk keperluan produksi. Berdasarkan pendapat di atas, dapat disimpulkan bahwa persediaan merupakan barang yang terdiri dari bahan baku dan bahan
57
pembantu yang disimpan untuk proses produksi atau untuk penjualan dalam aktivitas bisnis perusahaan.
2.7.2
Jenis-jenis Persediaan Menurut Zaki Baridwan (2000, p150) jenis persediaan yang ada dalam perusahaan manufaktur adalah: 1. Persediaan bahan baku dan bahan penolong Bahan baku adalah barang-barang yang akan menjadi bagian dari produk jadi yang dengan mudah dapat diikuti biayanya, sedangkan bahan penolong adalah barang-barang yang juga menjadi bagian dari produk jadi tetapi jumlahnya kecil atau sulit diikuti biayanya. 2. Supplies pabrik Supplies pabrik adalah barang-barang yang mempunyai fungsi melancarkan proses produksi misalnya oli mesin, bahan pembersih mesin. 3. Barang dalam proses Barang dalam proses adalah barang-barang yang sedang dikerjakan (diproses) tetapi pada tanggal neraca barang-barang tadi belum selesai dikerjakan. Untuk dapat dijual masih diperlukan pengerjaan lebih lanjut. 4. Produk selesai Produk selesai adalah barang-barang yang sudah selesai dikerjakan dalam proses produksi dan menunggu saat penjualan.
58
Sedangkan menurut Arens dan Loebbecke (2003, p553), dalam perusahaan, persediaan manufaktur terdiri dari : persediaan produk jadi, persediaan produk dalam proses, persediaan bahan baku, persediaan bahan penolong, persediaan bahan habis pakai pabrik, persediaan suku cadang. Dalam perusahaan dagang, persediaan hanya terdiri dari satu golongan yaitu persediaan barang dagang dan merupakan barang yang dibeli untuk dijual kembali.
2.7.3
Prosedur Dalam Persediaan Bahan Baku Menurut Mulyadi (2001, p569), sistem dan prosedur yang berkaitan dengan persediaan bahan baku adalah: 1. Prosedur pencatatan persediaan yang dibeli Prosedur ini merupakan salah satu prosedur yang membentuk sistem pembelian dimana dalam prosedur ini, barang yang dibeli dicatat ke dalam catatan barang masuk. 2. Prosedur pencatatan persediaan yang di retur ke pemasok Prosedur ini merupakan prosedur pengurangan kuantitas persediaan atau sebagai pengurangan utang ke pemasok. Prosedur ini juga membentuk sistem pembelian.
59
3. Prosedur pencatatan persediaan yang dijual Prosedur ini merupakan salah satu prosedur yang membentuk sistem penjualan, dimana dalam prosedur ini barang yang dijual dicatat kedalam catatan barang keluar. 4. Prosedur pencatatan persediaan yang dikembalikan oleh pelanggan Prosedur ini merupakan prosedur penambahan kuantitas persediaan dan sebagai pengurangan piutang pelanggan. Prosedur ini juga membentuk sistem penjualan. 5. Sistem penghitungan fisik persediaan Sistem ini biasanya digunakan oleh perusahaan untuk menghitung secara fisik persediaan yang disimpan di gudang, yang hasilnya digunakan untuk meminta pertanggungjawaban bagian gudang
mengenai
pelaksanaan
fungsi
penyimpanan
dan
pertanggungjawaban mengenai kehandalan pencatatan persediaan yang diselenggarakan serta untuk melakukan penyesuaian terhadap catatan dengan fisik persediaan.
2.7.4
Fungsi Yang Terkait Dalam Sistem Persediaan Menurut Mulyadi (2001, p579), fungsi yang berkaitan dengan persediaan bahan baku adalah: 1) Panitia Penghitungan Fisik Persediaan Panitia ini berfungsi untuk melaksanakan penghitungan fisik persediaan dan menyerahkan hasil penghitungan tersebut kepada
60
bagian kartu persediaan untuk digunakan sebagai dasar adjustment terhadap catatan persediaan dalam kartu persediaan. 2) Fungsi Akuntansi Dalam
sistem
penghitungan
fisik
persediaan,
fungsi
ini
bertanggungjawab untuk mencantumkan harga pokok satuan persediaan yang dihitung ke dalam daftar hasil penghitungan fisik, mengalihkan kuantitas dan harga pokok per satuan yang tercantum dalam daftar hasil penghitungan fisik, mencantumkan harga pokok total dalam daftar hasil penghitungan fisik, melakukan adjustment terhadap kartu persediaan berdasar data hasil penghitungan fisik persediaan, membuat bukti memorial untuk mencatat adjustment data persediaan dalam jurnal umum berdasarkan hasil pengitungan fisik persediaan. 3) Fungsi Gudang Dalam sistem penghitungan fisik persediaan, fungsi gudang bertanggungjawab untuk melakukan adjustment data kuantitas persediaan yang dicatat dalam kartu gudang berdasarkan hasil penghitungan fisik persediaan.
2.7.5
Dokumen Yang Digunakan Dalam Sistem Persediaan Bahan Baku Menurut Mulyadi (2001, p569), dokumen yang berkaitan dengan persediaan bahan baku adalah:
61
1. Dokumen dalam prosedur pencatatan harga pokok persediaan yang dibeli Dokumen sumber yang digunakan dalam prosedur pencatatan harga pokok persediaan yang dibeli adalah: laporan penerimaan barang dan bukti kas keluar. Laporan penerimaan barang digunakan oleh Bagian Gudang sebagai dasar pencatatan tambahan kuantitas barang dari pembelian ke dalam kartu gudang. Bukti kas keluar yang dilampiri dengan laporan penerimaan barang, surat order pembelian dan faktur dari pemasok dipakai sebagai dokumen sumber dalam pencatatan harga pokok persediaan yang dibeli dalam register bukti kas keluar atau voucher register. Bukti kas keluar juga dipakai sebagai dasar pencatatan tambahan kuantitas dan harga pokok persediaan ke dalam kartu persediaan. 2. Dokumen
dalam
pencatatan
harga
pokok
persediaan
yang
dikembalikan kepada pemasok Dokumen yang digunakan dalam prosedur ini adalah laporan pengiriman barang dan memo debit. Laporan pengiriman barang digunakan oleh bagian gudang untuk mencatat kuantitas persediaan yang dikirimkan kembali kepada pemasok ke dalam kartu gudang. Memo debit yang diterima dari bagian pembelian digunakan oleh bagian kartu persediaan untuk mencatat kuantitas dan harga pokok persediaan yang dikembalikan kepada pemasok ke dalam kartu persediaan.
62
3. Dokumen dalam prosedur pengembalian barang gudang Dokumen yang digunakan dalam prosedur ini adalah bukti pengembalian barang gudang. Dokumen ini digunakan oleh bagian gudang untuk mencatat tambahan kuantitas persediaan ke dalam kartu gudang. Dokumen ini juga dipakai oleh bagian kartu persediaan untuk mencatat tambahan kuantitas dan harga pokok persediaan ke dalam kartu persediaan, untuk mencatat berkurangnya biaya ke dalam kartu biaya dan untuk mencatat pengembalian barang gudang tersebut ke dalam jurnal umum. 4. Dokumen dalam prosedur penghitungan fisik persediaan Dokumen
yang
digunakan
untuk
merekam,
meringkas
dan
membukukan hasil penghitungan fisik persediaan adalah: a)
Kartu Penghitungan Fisik (Inventory Tag) Dokumen ini digunakan untuk merekam hasil penghitungan fisik persediaan.
b)
Daftar Hasil Penghitungan Fisik (Inventory Summary Sheet) Dokumen ini digunakan untuk meringkas data yang telah direkam dalam bagian ke dua kartu penghitungan fisik.
c)
Bukti Memorial Dokumen ini merupakan dokumen sumber yang digunakan untuk membukukan adjustment rekening persediaan sebagai akibat dari hasil penghitungan fisik ke dalam jurnal umum.
63
2.7.6
Informasi Yang Diperlukan Dalam Sistem Persediaan Menurut penulis, informasi utama yang diperlukan dalam sistem persediaan : 1. Laporan Penerimaan barang Laporan yang berisi jumlah barang yang diterima dari supplier oleh bagian gudang yang dikarenakan adanya transaksi pembelian. 2. Laporan Saldo stock Merupakan laporan yang menginformasikan nama, jenis dan jumlah persediaan perusahaan pada suatu periode tertentu, biasanya untuk periode 1 (satu) bulan. 3. Laporan pemeriksaan bulanan Merupakan laporan hasil penghitungan fisik persediaan ada dalam gudang. Hasilnya akan dibandingkan dengan stock yang ada dalam sistem dan biasanya pemeriksaan bulanan dilakukan sebulan sekali dalam perusahaan.
2.7.7
Metode Pencatatan Persediaan Menurut Skousen (2001, p428), sistem pencatatan persediaan ada 2 (dua) yaitu : a. Sistem Persediaan Periodik Sistem persediaan dimana harga barang yang dijual tidak ditentukan, ketika setiap penjualan terjadi pembelian dicatat pada
64
rekening pembelian dan persediaan akhir ditentukan dengan penghitungan fisik. b. Sistem Persediaan Perpetual Sistem persediaan dimana detail pencatatan setiap pembelian dan penjualan dibuat, sistem barcode merupakan contoh dari sistem ini. Dengan sistem perpetual, persediaan fisik periodik dihitung untuk mengetahui jumlah persediaan yang hilang atau rusak.
2.7.8
Metode Penilaian Persediaan Menurut Skousen (2001, p524), ada 3 (tiga) metode dalam melakukan penilaian persediaan, yaitu : 1. Metode FIFO (First In First Out) Metode ini didasarkan asumsi bahwa harga yang sudah terjual, dinilai menurut harga pembelian barang yang terdahulu (pertama) masuk. Dengan demikian, persediaan akhir dinilai menurut harga pembelian barang yang terakhir masuk. 2. Metode LIFO (Last In First Out) Metode ini didasarkan atas asumsi bahwa harga yang telah terjual dinilai menurut harga pembelian barang yang terakhir masuk sehingga persediaan yang masih ada dinilai berdasarkan harga pembelian barang yang terdahulu.
65
3. Metode Rata-Rata (Weight Average Method) Metode ini didasarkan atas harga rata-rata, dimana harga tersebut dipengaruhi jumlah barang yang diperoleh pada masing-masing harganya. Dengan demikian persediaan dinilai berdasarkan harga rata-rata.
2.7.9
Fungsi Persediaan Menurut Mulyadi (2001, p242), ada 5 (lima) fungsi dari persediaan, yaitu : 1) Untuk melakukan pembatasan terhadap inflasi dan perubahan harga. 2) Untuk menghindari dari kekurangan stok yang dapat terjadi karena cuaca, kekurangan pasokan, masalah mutu atau pengiriman yang tidak tepat. 3) Untuk memberikan data tentang persediaan barang agar dapat memenuhi permintaan yang diantisipasi akan timbul dari produsen. 4) Untuk mengambil keuntungan dari potongan jumlah, karena pembelian dalam jumlah besar dapat secara substantial dapat menurunkan biaya. 5) Untuk memasangkan produksi dengan distribusi. Misalnya jika permintaan produk tinggi hanya pada musim panas, suatu perusahaan dapat membentuk stok pada musim tinggi sehingga biaya kekurangan stok dan kehabisan stok dapat dihindari.
66
2.8
Activity Diagram 2.8.1
Pengertian Activity Diagram Menurut Jones and Rama (2006, p60) ”Activity diagram plays the role of a ”map” in understanding business processes by showing the sequence of activities in the process.” Secara garis besar dapat diterjemahkan Activity diagram adalah sebuah re-presentasi grafik yang digunakan untuk menunjukkan urutan aktivitas dalam suatu proses bisnis dengan tujuan untuk memahami proses bisnis tersebut.
2.8.2
Jenis – Jenis Activity Diagram Menurut Jones and Rama (2006, p61) activity diagram terdiri dari: a. Overview activity diagram Overview activity diagram adalah diagram yang menampilkan gambaran level tertinggi dari proses bisnis dengan mencatat eventevent kunci, urutan event-event tersebut dan, aliran informasi di antara event-event itu. b. Detailed activity diagram Detailed activity diagram adalah diagram yang menyediakan representasi yang lebih detail dari aktivitas-aktivitas yang ditampilkan pada overview activity diagram.
