BAB 2 LANDASAN TEORI
2.1 Sistem Informasi Akuntansi 2.1.1 Pengertian Sistem Informasi Akuntansi Menurut Bodnar dan Hopwood yang diterjemahkan oleh A.A. Jusuf (2000, p1), pengertian sistem informasi akuntansi adalah kumpulan sumber daya, seperti manusia dan peralatan, yang diatur untuk mengubah data menjadi informasi. Informasi ini dikomunikasikan kepada beragam pengambil keputusan. Sedangkan menurut Rama dan Jones (2003, p5), mendefinisikan sistem informasi akuntansi sebagai subsistem dari sistem informasi manajemen yang menyediakan informasi akuntansi dan keuangan, seperti informasi yang dihasilkan dari proses rutin transaksi akuntasi. Sehingga dapat disimpulkan bahwa Sistem Informasi Akuntansi adalah suatu kombinasi dari berbagai sumber daya yang dirancang untuk memproses data akuntansi dan keuangan yang ada dan mengubahnya menjadi informasi yang dibutuhkan perusahaan untuk pengambilan keputusan.
2.1.2 Tujuan Sistem Informasi Akuntansi Menurut Mulyadi (2001, pp19-20), sistem informasi memiliki empat tujuan umum dalam penyusunannya, yaitu : 1. Untuk menyediakan informasi bagi pengelolaan kegiatan usaha baru. 8
9 2. Untuk memperbaiki informasi yang dihasilkan oleh sistem yang sudah ada, baik mengenai mutu, ketepatan penyajian maupun struktur informasinya. 3. Untuk memperbaiki pengendalian akuntansi dan pengecekan intern, yaitu untuk memperbaiki tingkat keandalan (realibility) informasi akuntansi dan untuk menyediakan catatan lengkap mengenai pertanggung jawaban dan perlindungan kekayaan perusahaan. 4. Untuk mengurangi biaya klerikal dalam penyelenggaraan catatan akuntansi. Menurut Hall (2001, p18), mengatakan pada dasarnya tujuan disusunnya sistem informasi akuntasi adalah : 1. Untuk mendukung fungsi kepengurusan (stewardship) manajemen. Kepengurusan merujuk ke tanggung jawab manajemen untuk mengatur sumber daya perusahaan secara benar. Sistem informasi menyediakan informasi tentang kegunaan sumber daya ke pemakai eksternal melalui laporan keuangan tradisional dan laporan-laporan yang diminta lainnya. Secara internal, pihak manajemen menerima informasi kepengurusan dari berbagai laporan pertanggungjawaban. 2. Untuk mendukung pengambilan keputusan manajemen. Sistem informasi memberikan para manajer informasi yang mereka perlukan untuk melakukan tanggung jawab pengambilan keputusan. 3. Untuk mendukung kegiatan operasi perusahaan hari demi hari. Sistem informasi menyediakan informasi bagi personel operasi untuk membantu mereka melakukan tugas mereka setiap hari dengan efisien dan efektif.
10 Jadi dapat disimpulkan bahwa tujuan sistem informasi akuntansi adalah untuk mendukung kegiatan operasi perusahaan dalam meningkatkan efesiensi dan efektifitas kegiatan operasional perusahaan, khususnya dalam proses arus informasi akuntansi.
2.1.3 Siklus Proses Transakasi Sistem Informasi Akuntansi Menurut Romney (2000, p23) siklus proses transaksi sistem informasi akuntansi yaitu : 1. Siklus Pendapatan (Revenue Cycle) Siklus ini terdiri dari aktivitas dalam penjualan barang dan jasa dan mengumpulkan pembayaran untuk penjualan tersebut. 2. Siklus Pengeluaran/Pembayaran (Expenditure Cycle) Siklus ini terdiri dari aktivitas dalam pembelian dan pembayaran untuk barang dan jasa yang digunakan dalam suatu organisasi. 3. Siklus Sumber Daya Manusia (Human Resources (Payroll) Cycle) Siklus ini terdiri dari aktivitas perekrutan dan pembayaran gaji. 4. Siklus Produksi (Production Cycle) Siklus ini terdiri dari aktivitas yang melibatkan pembuatan bahan mentah ke dalam barang jadi. 5. Siklus Finansial (Financing Cycle) Siklus ini terdiri dari aktivitas dalam penggunaan dana yang diperlukan untuk
menjalankan
organisasi
dan
pembayaran
pendistribusian keuntungan kepada investor.
kreditur
serta
11 Menurut Bodnar dan Hopwood yang diterjemahkan oleh A.A. Jusuf (2000, p6), siklus proses transaksi operasional dapat dikelompokan sesuai dengan empat siklus aktivitas bisnis, yaitu : 1. Siklus Pendapatan (Revenue Cycle) Kejadian-kejadian yang berkaitan dengan pendistribusian barang dan jasa ke entitas-entitas lain dan pengumpulan pembayaran-pembayaran yang berkaitan. 2. Siklus Pengeluaran (Expenditure Cycle) Kejadian-kejadian yang berkaitan dengan perolehan barang dan jasa dari entitas-entitas lain dan pelunasan kewajiban-kewajiban yang berkaitan. 3. Siklus Produksi (Production Cycle) Kejadian-kejadian yang berkaitan dengan pengubahan sumber daya menjadi barang dan jasa. 4. Siklus Keuangan (Finance Cycle) Kejadian-kejadian yang berkaitan dengan perolehan dan manajemen dana-dana modal, termasuk kas. Sedangkan menurut Wilkinson (2001, PP45-46), siklus dalam Sistem Informasi Akuntansi terdiri dari : 1. Siklus Transaksi (Transaction Cycle) yaitu tahap pengelompokkan transaksi bisnis ke dalam proses sequence. 2. Siklus Jurnal Umum dan Pelaporan Keuangan (General Ledger and Financial Reporting Cycle) yaitu tahap penjurnalan
transaksi
12 keuangan yang terjadi kemungkinan diproses hingga menghasilkan laporan keuangan pada akhir periode. 3. Siklus Pendapatan (Revenue Cycle) yaitu pengumpulan pendapatan suatu perusahaan baik itu yang berasal dari penerimaan penjualan dan lain-lain. 4. Siklus Expenditure (Expenditure Cyle) yaitu terdiri dari transaksi pembelian dan pengeluaran kas yang biasanya digunakan untuk pembelian bahan baku atau persediaan perusahaan. 5. Siklus Manajemen Sumber Daya (Resources Management Cyle) yaitu meliputi keseluruhan aktivitas yang berhubungan dengan sumber daya fisik (physical resources) dari suatu perusahaan yang biayanya berupa dana investasi, fixed assets, inventory, dan pembayaran gaji karyawan.
2.2 Sistem Pengendalian Internal 2.2.1 Pengertian Pengendalian Internal Menurut Mulyadi dan Puradireja (1998, pp171-172), pengendalian intern adalah suatu proses yang dijalankan oleh dewan komisaris, manajemen dan personel lain yang didesain untuk memberikan keyakinan memadai tentang mencapai tiga golongan tujuan yaitu kehandalan laporan keuangan, kepatuhan terhadap hukum dan peraturan yang berlaku, efektifitas dan efisiensi operasi. Menurut Weber (1999, p35), pengendalian intern adalah suatu sistem untuk mencegah, mendeteksi dan mengkoreksi kejadian yang timbul saat
13 transaksi dari serangkaian pemrosesan tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien. Berdasarkan pengertian diatas maka pengendalian dikelompokkan menjadi tiga bagian : 1. Preventive Controls, pengendalian ini digunakan untuk mencegah masalah sebelum masalah itu muncul. 2. Detective Controls, pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian segera setelah masalah tersebut muncul. 3. Corrective Controls, pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada pengendalian detective. Pengendalian ini mencakup prosedur untuk menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi sistem proses. Dengan demikian bisa mencegah kejadian yang sama di masa yang mendatang. Jadi berdasarkan pengertian diatas maka dapat disimpulkan, Pengendalian Internal adalah cara yang digunakan untuk mencegah terjadinya hal-hal yang dapat merugikan kegiatan operasional perusahaan.
14 2.2.2 Komponen Pengendalian Internal Menurut Weber (1999, p49), pengendalian internal terdiri dari lima komponen yang saling terintegrasi, antara lain : 1.
Control Environment Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian wewenang dan tanggung jawab yang harus dilakukan, cara komite audit berfungsi, dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja.
2. Risk Assessment Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi oleh perusahaan dan cara-cara untuk menghadapi resiko tersebut. 3. Control Activities Komponen yang beroperasi untuk memastikan transaksi telah terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan aset dan record, pengecekan kinerja, dan penilaian dari jumlah record yang terjadi. 4. Information and Communication Komponen mendapatkan
dimana dan
informasi
digunakan
menukarkan
data
untuk yang
mengidentifikasi,
dibutuhkan
untuk
mengendalikan dan mengatur operasi perusahaan. 5. Monitoring Komponen yang memastikan pengendalian internal beroperasi secara dinamis.
15 2.2.3 Jenis Pengendalian Internal Weber (1999, p38) melakukan dekomposisi terhadap fungsi system informasi dan membaginya menjadi management subsystem dan application subsystem. Berdasarkan kedua subsistem tersebut, diambil kesimpulan bahwa diperlukan pengendalian terhadap kedua subsistem tersebut, yaitu : 1. Pengendalian Manajemen (Management Control) 2. Pengendalian Aplikasi (Application Control) Mulyadi dan Puradiredja (1998, p180) menulis bahwa pengendalian terhadap pengolahan informasi dibagi menjadi dua, antara lain : 1. Pengendalian Umum (General Control) 2. Pengendalian Aplikasi (Application Control)
2.2.3.1 Pengendalian Umum (General Controls) Menurut Weber (1999, p67), dijelaskan bahwa pengendalian manajemen dilakukan untuk meyakinkan bahwa pengembangan, penerapan, pengoperasian, dan pemeliharaan sistem informasi telah diproses
sesuai
dengan
perencanaan
yang
telah
terkendali.
Pengendalian ini berguna untuk menyediakan infrastruktur yang stabil sehingga sistem informasi dapat dibangun, dioperasikan dan dipelihara secara berkesinambungan. Menurut Weber (1999, p68), pengendalian manajemen terdiri dari : 1. Top Management Controls 2. System Development Management Controls
16 3. Programming Management Controls 4. Data Resources Management Controls 5. Security Management Controls 6. Operation Management Controls 7. Quality Assurance Management Controls Pada pengendalian manajemen tidak semua pengendalian akan dibahas, yang dibahas hanya pengendalian manajemen keamanan
(security
management
control)
dan
pengendalian
manajemen operasional (operations management control).
2.2.3.1.1 Pengendalian Manajemen Keamanan Menurut
Weber
(1999,
p244),
pengendalian
manajemen keamanan bertanggung jawab untuk menjamin keamanan aset sistem informasi. Aset sistem informasi aman jika kemungkinan kehilangan yang dapat timbul berada pada level yang dapat diterima. Aset sistem informasi mencakup aset fisik (personel, perangkat keras, fasilitas, dokumentasi dan supplies) serta aset logika (data/informasi dan perangkat lunak). Menurut
Weber
(1999,
pp256-272),
terdapat
ancaman utama terhadap keamanan yang disebabkan oleh alam dan kelalaian atau kesengajaan manusia, yaitu : 1. Ancaman Kebakaran (Fire Damage) Beberapa pengamanan untuk ancaman kebakaran yaitu :
17 a. Alarm kebakaran manual dan otomatis diletakkan di tempat yang strategis, khususnya di tempat aset sistem informasi berada. b. Alat pemadam kebakaran manual dan otomatis diletakkan di tempat yang strategis, khususnya di tempat aset sistem informasi berada. c. Memiliki tombol power utama (termasuk AC). d. Bangunan terbuat dari bahan tahan api, khususnya di tempat aset sistem informasi berada. e. Letak tangga dan pintu darurat diberi tanda yang jelas sehingga pegawai dapat dengan mudah mengetahui dan menggunakannya. f. Terdapat prosedur pemeliharaan bangunan yang baik. g. Sistem perlindungan kebakaran diawasi dan diuji secara rutin. 2. Ancaman Air (Water Damage) Beberapa pengamanan untuk ancaman air yaitu : a. Bangunan (plafon, dinding, dan lantai) terbuat dari bahan tahan air. b. Memiliki sistem drainase yang baik. c. Aset sistem informasi diletakkan di tempat yang tinggi. d. Menutup perangkat keras dengan bahan tahan air apabila tidak digunakan.
18 3. Perubahan Tegangan Sumber Energi (Energy Variation) Perubahan tegangan sumber energi dapat terjadi karena naiknya tegangan listrik, penurunan tegangan listrik, maupun karena kehilangan daya listrik. Pengamanan untuk mengantisipasi perubahan tegangan sumber energi listrik,
yaitu
dengan
menggunakan
stabilizer
dan
uninteruptable power supply (UPS) dan merawatnya secara rutin. 4. Kerusakan Struktural (Structural Damage) Kerusakan struktural pada aset sistem informasi dapat terjadi karena gempa, tanah longsor, banjir., maupun angin ribut. Beberapa pengamanan untuk kerusakan struktural yaitu : a. Struktur bangunan tahan gempa. b. Meletakkan aset sistem informasi di tempat yang stabil/tidak mudah jatuh. 5. Polusi (Pollution) Beberapa pengamanan untuk mengatasi polusi yaitu : a. Membersihkan ruangan kantor secara teratur. b. Melarang pegawai meletakkan makanan dan minuman di dekat perangkat keras. 6. Penyusup (Unauthorized intrusion) Beberapa pengamanan untuk mengantisipasi adanya penyusup yaitu :
19 a. Terdapat pengamanan khusus pada ruangan di mana aset sistem informasi berada. b. Terdapat kamera keamanan/CCTV di tempat yang strategis. c. Alarm keamanan diletakkan di tempat yang strategis. 7. Viruses and Worms Pelaksanaan pengamanan untuk mengantisipasi viruses dan worms yaitu : a. Tindakan preventif, seperti meng-install dan mengupdate antivirus secara rutin, serta melakukan scan pada file yang akan digunakan. b. Tindakan detektif, seperti melakukan scan untuk mendeteksi ada tidaknya virus secara rutin. c. Tindakan korektif, seperti mem-backup data bebas virus,
pemakaian
antivirus
terhadap
file
yang
terinfeksi. 8. Penyalahgunaan Software, Data, dan Service Tipe penyalahgunaan software, data, dan service yaitu : a. Perangkat lunak dan database dicuri oleh pegawai atau kompetitor. b. Perusahaan tidak dapat menjaga kerahasiaan data dalam basis data. c. Pegawai menggunakan jasa sistem untuk kepentingan pribadi.
20 9. Hacking Beberapa
pelaksanaan
pengamanan
untuk
mengantisipasi hacking yaitu : a. Penggunaan password yang sulit ditebak. b. Petugas secara teratur mengawasi sistem yang digunakan. Apabila terjadi bencana, pengendalian yang dapat dilakukan yaitu : 1. Rencana Pemulihan Bencana (Disaster Recovery Plan) Memungkinkan
fungsi
sistem
informasi
untuk
memperbaiki operasional saat terjadi bencana. a. Rencana Darurat (Emergency Plan) Yaitu tindakan yang harus segera dilakukan saat terjadi bencana. Rencana ini mengidentifikasi siapa yang melakukan, tindakan apa yang harus dilakukan, dan prosedur evakuasi. b. Rencana Backup (Backup Plan) Rencana backup berisi tipe backup, frekuensi backup, prosedur backup, lokasi perlengkapan backup, serta pegawai yang bertanggung jawab melakukan backup. c. Rencana Pemulihan (Recovery Plan) Rencana
pemulihan
merupakan
prosedur
pengembalian sistem informasi menjadi seperti semula.
21 d. Rencana Pengujian (Test Plan) Merupakan komponen terakhir rencana pemulihan bencana yang berfungsi untuk mensimulasikan ketiga rencana di atas agar dapat berjalan dengan baik. 2.
Asuransi Perlu adanya asuransi untuk peralatan, fasilitas, media penyimpan, gangguan bisnis, dokumen dan kertas berharga perusahaan.
2.2.3.1.2 Pengendalian Manajemen Operasional Menurut
Weber
(1999,
p291),
manajemen
operasional bertanggung jawab pada jalannya fasilitas perangkat keras dan perangkat lunak sehari-hari agar sistem aplikasi produksi dapat menyelesaikan pekerjaan dan pegawai dapat mendesain, mengimplementasikan, serta menjaga sistem aplikasi. Menurut Weber (1999, pp292-316), terdapat delapan fungsi tanggung jawab manajemen operasional, yaitu : 1. Operasional Komputer (Computer Operations) Pengendalian pengoperasian komputer bertanggung jawab terhadap jalannya perangkat keras dan perangkat lunak setiap hari. Terdapat tiga pengendalian pada operasional komputer, yaitu :
22 a. Pengendalian Operasional (Operations Control) Pengendalian memastikan
operasional keotentikan,
bertujuan keakuratan,
untuk dan
kelengkapan kegiatan operasional. Banyak jenis kegiatan yang harus dilakukan untuk mendukung pelaksanaan program komputer, misalnya program harus dihidupkan dan dimatikan, media penyimpan harus tersedia, formulir dan dokumen harus tersedia di dekat printer serta informasi/laporan harus didistribusikan ke pengguna. b. Pengendalian Jadwal (Scheduling Control) Pengendalian jadwal dilakukan untuk memastikan komputer hanya digunakan untuk kegiatan yang seharusnya dan pemakaian sumber daya sistem telah efisien. c. Pengendalian Pemeliharaan (Maintenance Control) Pemeliharaan perangkat keras komputer merupakan tindakan preventif yang dilakukan untuk mencegah kerusakan perangkat keras. 2. Network Operation a. LAN : Suatu kumpulan komputer dimana terdapat beberapa unit komputer (client) dan satu unit komputer untuk bank data (server). Antara masingmasing client maupun antara client dan server dapat
23 saling bertukar file maupun saling menggunakan printer yang terhubung pada unit-unit komputer yang terhubung pada jaringan LAN b. WAN: kumpulan dari LAN dan atau workgroup yang
dihubungkan
dengan
menggunakan
alat
komunikasi modem dan jaringan internet dari/ke kantor pusat dan cabang maupun antar kantor cabang 3. Persiapan dan Entry Data (Data preparation and entry) Seluruh sumber data untuk sistem aplikasi dikirim ke bagian persiapan data untuk diketik dan diverifikasi sebelum dimasukkan ke dalam sistem. Faktor-faktor yang harus diperhatikan yaitu : a. Pencahayaan ruangan yang cukup. b. Ruangan yang tenang. c. Tata ruang yang baik. d. Desain peralatan kantor (monitor komputer, meja, dan kursi) yang argonomis. e. Memastikan adanya backup pada persiapan dan pemasukkan data. 4. Pengendalian Produksi (Production Control) Terdapat lima fungsi pada pengendalian ini, yaitu : a. Pengendalian input dan output (Input/output control) Bertanggung jawab menjamin peng-input-an hanya dilakukan oleh pihak yang berwenang, menerima
24 dan memasukkan input, menjaga input, secara berkala mengumpulkan input dan menyimpan input sampai tidak dibutuhkan lagi. b. Job scheduling control. Pada operasional komputer, suatu pekerjaan dapat dilakukan oleh satu atau lebih program. Bagian pengendalian
produksi
bertanggung
jawab
menetapkan jadwal operasional serta mempersiapkan dan menguji file pengendalian pekerjaan yang diperlukan untuk setiap pekerjaan. File pengendalian pekerjaan berisi perintah yang spesifik, yaitu : 1) Kapan program harus dijalankan. 2) Program apa yang harus dijalankan. 3) File data yang diperlukan. 4) Printer yang dibutuhkan. 5) Pioritas penugasan program. 6) Prosedur yang dilakukan jika program berjalan tidak seperti biasa. Pengendalian yang dapat dilakukan yaitu : 1) File telah disiapkan dan dokumen telah sesuai dengan standar yang ada. 2) File pengendalian pekerjaan telah diuji terlebih dahulu sebelum digunakan.
25 3) Memastikan tidak ada perubahan yang tidak sah. 4) Terdapat backup file pengendalian pekerjaan. c. Management of service-level agreements Service
Level
perjanjian
Agreement
antara
(SAL)
pengguna
merupakan
dengan
fasilitas
operasional komputer. SAL berisi waktu respon sistem
yang
diinginkan
pengguna,
tingkat
pemeliharaan sistem, biaya jasa dan penalti jika sistem tidak sesuai dengan perjanjian. d. Transfer pricing/chargeout control Apabila operasi komputer dilengkapi dengan transfer pricing pengendalian produksi dapat ditingkatkan. e. Acquisition of consumables Operasional
komputer
membutuhkan
banyak
peralatan pendukung seperti kertas printer, disket, flash disk, dan tinta printer. Peralatan tersebut membutuhkan biaya yang tidak sedikit, tetapi dapat mengganggu kegiatan operasional jika tidak tersedia. Pengendalian yang dapat dilakukan yaitu: 1) Menjamin ketersediaan stok peralatan yang dibutuhkan. 2) Memonitor harga dan kualitas peralatan. 3) Menjamin stok disimpan dengan aman. 4) Mengawasi penggunaannya.
26 5. File Library File library bertanggung jawab mengelola media penyimpanan. a. Penyimpanan media peyimpan (Storage of storage media) Media penyimpan sebaiknya ditempatkan di ruangan yang terpisah, akses untuk masuk dibatasi, terdapat petugas yang mengawasi, suhu ruangan dijaga dan ruangan harus bebas dari debu. b. Penggunaan media penyimpan (Use of storage media) Penggunaan media penyimpan harus diawasi dengan baik. Media penyimpan hanya diberikan kepada pegawai yang berwenang dan pada saat yang telah ditentukan. c. Pemeliharaan dan pembuangan media penyimpan (Maintenance and disposal of storage media) Media penyimpan dapat digunakan untuk jangka waktu
yang
lama,
tetapi
secara
umum
kemampuannya berkurang seiring dengan umur media penyimpan tersebut. Karena itulah sebaiknya media peyimpan tidak digunakan dalam jangka waktu yang panjang karena resiko yang timbul juga akan semakin tinggi.
27 d. Lokasi media penyimpan (Location of storage media) Media penyimpan dapat diletakkan di dalam maupun di luar ruang komputer. Media penyimpan sebaiknya diletakkan di dalam ruang komputer jika sering digunakan. Tetapi jika hanya digunakan untuk backup dan keperluan pemulihan, dapat diletakkan di luar ruang komputer. 6. Documentation and Program Library Banyak tipe dokumentasi yang digunakan untuk mendukung
fungsi
sistem
informasi,
perencanaan
strategis dan operasional, dokumentasi sistem aplikasi, dokumentasi sistem perangkat lunak dan perlengkapan program, dokumentasi basis data, manual operasional, manual pengguna serta manual standar. Petugas bertanggung jawab untuk memastikan penyimpanan dokumentasi aman, memastikan bahwa hanya pegawai yang berwenang yang dapat mengakses dokumentasi, memastikan dokumentasi selalu diperbaharui serta memastikan adanya backup untuk setiap dokumentasi. 7. Help Desk/Technical Support Bertanggung
jawab
untuk
membantu
pegawai
menggunakan perangkat keras dan perangkat lunak, serta menyediakan dukungan teknis untuk membantu
28 menyelesaikan masalah. Agar dapat efektif dan efisien diperlukan petugas yang kompeten dan terpercaya serta terdapat sistem pengelolaan masalah. 8. Capacity Planning and Performance Monitoring Manajemen operasional harus terus-menerus memonitor kinerja perangkat keras dan perangkat lunak untuk memastikan bahwa sistem telah berjalan efisien dan memiliki waktu respon yang dapat diterima.
2.2.3.2 Pengendalian Aplikasi (Application Controls) Menurut Weber (1999, p365), pengendalian aplikasi bertujuan untuk memastikan bahwa setiap aset sistem aplikasi dijaga, menjaga integritas data, serta mencapai tujuan dengan efektif dan efisien. Menurut Weber (1999, pp365-366), pengendalian aplikasi terdiri dari : 1.
Boundary Controls
2.
Input Controls
3.
Communiation Controls
4.
Processing Controls
5.
Database Controls
6.
Output Controls Pada pengendalian aplikasi tidak semua pengendalian akan
dibahas, yang dibahas hanya pengendalian batasan (boundary
29 control), pengendalian input (input control) dan pengendalian output (output control).
2.2.3.2.1 Pengendalian Batasan Menurut Weber (1999, p370), subsistem batasan menentukan hubungan antara pengguna dengan sistem informasi. Terdapat tiga tujuan pengendalian batasan, yaitu : a. Memastikan identitas dan otentifikasi pengguna sistem. b. Memastikan identitas dan otentifikasi sumber daya yang digunakan pengguna. c. Membatasi tindakan pengguna dalam penggunaan sistem informasi. Menurut Weber (1999, pp371-405), terdapat enam pengendalian pada pengendalian batasan, yaitu : 1. Pengendalian Cryptographic (Cryptographic Control) Pengendalian cryptographic dibuat untuk melindungi kerahasiaan data dan untuk mencegah modifikasi data yang tidak berwenang. Hal di atas dapat dilakukan dengan cara mengubah data (cleartext) menjadi kode (cryptograms atau chipertext) agar tidak memiliki arti bagi orang yang tidak dapat menguraikannya. Terdapat tiga teknik encipherment, yaitu : a. Transposition Chipers
30 Transposition chipers yang sederhana yaitu menukar posisi karakter data. b. Substitution Chiphers Substitution chiphers tetap mempertahakan posisi karakter yang ada tetapi menyembunyikan identitas karakter dengan cara menukarnya dengan karakter lain sesuai dengan aturan tertentu. c. Product Chipers Product chipers menggunakan kombinasi antara metode transposisi dan substitusi. 2. Pengendalian Akses (Access Control) Pengendalian akses membatasi penggunaan sistem informasi hanya kepada pengguna yang berwenang, membatasi tindakan yang dapat dilakukan pengguna, dan memastikan bahwa pengguna hanya mendapat sistem komputer yang asli. a. Identifikasi dan Otentifikasi (Identification and Authentication) Pengguna mengidentifikasi dirinya sendiri pada mekanisme
pengendalian
akses
dengan
cara
memberikan informasi seperti nama atau nomor account.
Informasi
identifikasi
ini
membuat
mekanisme dapat memilih file yang otentik bagi pengguna. Pengguna dapat menggunakan tiga tipe
31 otentifikasi, yaitu informasi yang dapat diingat (seperti nama, ulang tahun, password), objek berwujud (seperti kartu plastik, kunci), dan karakter pribadi (seperti sidik jari, suara, ukuran tangan, tanda tangan, pola retina mata). b. Object Resources Digunakan pengguna pada sistem informasi berbasis komputer dapat diklasifikasikan ke dalam empat tipe, yaitu perangkat keras (contohnya terminal, printer, prosesor), perangkat lunak (contohnya program sistem aplikasi), komoditi (contohnya tempat penyimpanan), serta data (contohnya file, gambar, suara). Setiap sumber daya harus diberi nama agar dapat teridentifikasi. c. Hak istimewa (Action Privileges) Hak istimewa memberikan pengguna suatu hak yang tergantung tingkat otoritas dan tipe sumber daya yang diperlukan pengguna. d. Kebijakan Pengendalian Akses (Access Control Policies) Terdapat dua tipe kebijakan, yaitu : 1) Discretionary Access Control. Kebijakan ini membebaskan
penggunanya
menentukan
mekanisme pengendalian akses, dan pengguna
32 dapat memilih untuk membagikan file pengguna kepada pengguna lain atau tidak. 2) Mandatory Access Control. Pada kebijakan ini pengguna dan sumber daya diberikan kategori keamanan yang tetap. 3. Personal Identification Numbers (PIN) PIN
merupakan
mengotentifikasi
teknik
yang
pengguna.
PIN
digunakan harus
untuk terjaga
kerahasiaannya. Terdapat sembilan fase pada daur hidup PIN, yaitu : a. Pembuatan PIN (PIN generation) Terdapat tiga cara pembuatan PIN, yaitu : 1) Derived PIN, yaitu institusi membuat PIN berdasarkan nomor account pengguna atau identitas pengguna lainnya. 2) Random PIN, yaitu institusi membuat nomor acak dengan panjang yang tetap sebagai PIN. 3) Customer-selected PIN, yaitu pengguna dapat memilih PIN mereka sendiri. b. Penerbitan dan Pengiriman PIN (PIN Issuance and Delivery) Metode penerbitan dan pengiriman PIN tergantung pada metode pembuatan PIN. Jika institusi yang membuat PIN (metode derived PIN dan random
33 PIN) maka digunakan PIN mailer. Tetapi terdapat empat cara jika pengguna yang memilih PIN mereka sendiri (customer-selected PIN), yaitu : 1) Mail solicitation, yaitu mengirim PIN melalui surat. 2) Telephone solicitation, yaitu pengguna memilih PIN melalui telepon setelah mendapatkan PIN mailer. 3) PIN entry via a secure terminal, yaitu pengguna datang ke institusi untuk mengisi PIN pada terminal yang tersedia. 4) PIN entry at the issuer’s facility, yaitu pengguna memilih PIN pada saat membuka account. c. Validasi PIN (PIN Validation) Pada saat PIN dimasukkan, biasanya pengguna diberikan sejumlah kesempatan sebelum kartu ditahan dan account diblokir apabila PIN yang dimasukkan salah. d. Transmisi PIN (PIN Transmission) PIN dapat dipalsukan saat dikirim, sehingga PIN harus di-enkripsi. Chiper PIN yang dibuat haruslah unik untuk setiap transmisi PIN. e. Pemrosesan PIN (PIN Processing)
34 Proses yang dibutuhkan yaitu me-enkripsi dan mendeskripsi PIN dan membandingkan PIN yang dimasukkan dengan referensi PIN. f. Penyimpanan PIN (PIN Storage) Jika PIN bukan fungsi cryptographic dari nomor account maka PIN harus disimpan untuk tujuan referensi. g. Perubahan PIN (PIN Change) Pengguna dapat merubah PIN mereka, dengan cara yang sama seperti di atas. h. Penggantian PIN (PIN Replacement) PIN dapat diganti jika pengguna lupa atau PIN diketahui oleh orang lain. i. Penghentian Pemakaian PIN (PIN Termination) Penghentian
pemakaian
PIN
dilakukan
jika
pengguna menutup account-nya, PIN diganti dengan PIN yang baru, atau jika tidak sengaja rusak. 4. Tanda Tangan Digital (Digital Signature) Tanda tangan digital memiliki dua tujuan yaitu : a. Sebagai otentifikasi pengguna. b. Menghindari penyangkalan keterlibatan pihak-pihak yang berpartisipasi dalam pembuatan kontrak.
35 5. Kartu Plastik (Plastic Card) Jika PIN dan tanda tangan digital digunakan untuk keperluan otentifikasi, maka kartu digunakan untuk keperluan identifikasi. 6. Pengendalian Jejak Audit (Audit Trail Control) Terdapat dua tipe jejak audit, yaitu : a. Jejak audit akuntansi, yaitu catatan seluruh kejadian yang berhubungan dengan subsistem batasan. b. Jejak audit operasional, yaitu catatan pemakaian sumber daya yang berhubungan dengan kejadian pada subsistem batasan. Jejak audit harus dianalisa secara berkala untuk mendeteksi kelemahan pengendalian batasan pada sistem.
2.2.3.2.2 Pengendalian Masukan Menurut Weber (1999, pp420-456), subsistem input bertanggung jawab memasukkan data dan instruksi ke dalam sistem aplikasi. 1. Metode Input Data (Data Input Methods) Terdapat beberapa cara untuk memasukkan data ke dalam
sistem
aplikasi
yaitu
melalui
keyboard,
pembacaan langsung melalui pengenal karakter optikal, pengenal karakter tinta magnetik, image reader, atau
36 ATM, serta memasukkan langsung melalui touch screen, mouse, joystick, suara, video, atau suara. 2. Desain Dokumen Sumber (Source Document Design) Beberapa metode memasukkan data ke dalam komputer menggunakan dokumen sumber. Dokumen sumber digunakan bila terdapat perbedaan waktu antara waktu terjadinya data dengan waktu memasukkan data ke dalam sistem. Desain dokumen sumber yang baik harus memenuhi tujuan berikut ini : a. Formulir harus dapat mengurangi kemungkinan terjadinya kesalahan pencatatan data. b. Formulir harus dapat meningkatkan kecepatan mencatat data. c. Formulir
merupakan
bagian
dari
kegiatan
memfasilitasi
kegiatan
pengawasan. d. Formulir
harus
dapat
memasukkan data ke komputer. e. Formulir harus dapat meningkatkan kecepatan dan keakuratan pembacaan data. f. Formulir harus dapat berperan sebagai referensi pengecekan.
37 3. Desain Layar Pemasukan Data (Data-entry Screen Design) Jika data dimasukkan melalui monitor, maka diperlukan desain yang berkualitas pada tampilan pemasukan data agar
dapat
mengurangi
kemungkinan
terjadinya
kesalahan dan agar tercapai efisiensi dan efektivitas pemasukan data pada subsistem input. Terdapat delapan petunjuk penilaian desain layar pemasukan data, yaitu : a. Pengelolaan tampilan (Screen organization) Tampilan harus dirancang agar rapih, seimbang, serta elemen data dikelompokkan dengan sesuai dengan fungsinya. Dan jika tampilan digunakan untuk memasukkan data ke dalam dokumen sumber, maka tampilan harus sama dengan dokumen sumber. b. Caption design Desain harus mempertimbangkan struktur, ukuran, jenis huruf, format, jarak baris, dan spasi. c. Data-entry field design Field pemasukan data harus berada tepat di sebelah judul data yang harus dimasukkan. d. Tabbing and skipping Sebaiknya tidak menggunakan skipping otomatis ke field baru pada desain layar, karena operator tidak dapat mendeteksi adanya kesalahan pencatatan dan
38 pada beberapa aplikasi terdapat field yang tidak perlu diisi karena sudah terisi secara otomatis. e. Color Warna dapat digunakan untuk menandakan field yang sedang diisi, untuk memisahkan suatu area pada
tampilan,
atau
untuk
mengindikasikan
perubahan status. Warna juga dapat mengurangi waktu
pencarian
pada
tampilan
dan
dapat
memotivasi pengguna karena lebih menarik, selain itu
penggunaan
warna
yang
sedikit
dapat
membingungkan pengguna dalam memasukkan data. f. Response time Response
time
adalah
interval
waktu
antara
memasukan data sampai dengan sistem siap untuk menerima data baru. Response time harus stabil dan cepat. g. Display rate Display rate adalah kecepatan karakter atau gambar ditampilkan pada layar komputer. h. Prompting and help facilities Prompting and help facility menyediakan saran atau informasi
tindakan
memasukkan data.
yang
harus
diambil
saat
39 4. Pengendalian Kode Data (Data Code Control) Kode data mempunyai dua tujuan, yaitu : a. Sebagai identitas yang unik. b. Untuk keperluan identifikasi. Desain kode yang tidak bagus dapat membuat proses input mudah salah dan proses memasukkan data menjadi tidak efisien. 5. Check Digits Kesalahan pengetikan data dapat berdampak serius bagi perusahaan. Pengendalian yang dapat digunakan untuk mencegah terjadinya kesalahan jenis ini adalah dengan melakukan check digits. Check digits digunakan untuk memeriksa atau menguji validitas angka. 6. Pengendalian Batch (Batch Control) Cara pengendalian yang mudah dan efektif untuk melakukan pengendalian terhadap pemasukan data. Batching adalah proses pengelompokkan transaksi yang memiliki hubungan satu dengan yang lain. Ada dua tipe dari batch, yaitu : a. Physical batches Adalah
pengelompokkan
transaksi
pada
unit
fisiknya. Sebagai contoh, sumber dokumen yang diperoleh dari pos dikumpulkan dalam satu batches.
40 b. Logical batches Adalah proses pengelompokkan transaksi dilakukan berdasarkan logika. 7. Validasi Data Input (Validation of Data Input) a. Tipe validasi peng-input-an data Data yang dimasukkan pada aplikasi harus segera di validasi. Terdapat beberapa jenis validasi data input yang harus diperiksa ketika data dimasukkan pada terminal, yaitu : 1) Field check Dilakukan terhadap field tidak tergantung pada field lain dalam input record atau dalam input record lainnya. 2) Record check Dilakukan pada field tergantung pada hubungan logika field itu dengan field yang lain pada record. 3) Batch check Dilakukan pengujian apakah karakteristik dari batch record yang dimasukkan sama dengan karakteristik yang telah ditetapkan pada batch. 4) File check Dilakukan pengujian apakah karakteristik pada file yang digunakan selama entry data adalah sama dengan karakteristik data pada file tersebut.
41 b. Reporting Data Input Errors Kesalahan harus dilaporkan oleh program validasi input sehingga dapat dilakukan perbaikan secara cepat dan tepat atas kesalahan yang terjadi. Kesalahan dapat diberi tanda dengan sebuah bel atau pesan error. Pesan error harus dibuat dengan hati-hati agar jelas dan ringkas sopan dan netral. 8. Pengendalian Jejak Audit (Audit Trail Control) Jejak audit pada pengendalian input menjaga kronologis suatu kejadian mulai dari saat data dan instruksi diterima dan dimasukkan kedalam sistem aplikasi sampai dengan saat penentuan data tersebut valid dan dapat dikirim ke subsistem lain yang ada pada sistem aplikasi. Terdapat dua tipe jejak audit, yaitu : a. Jejak audit akuntansi, mencatat sumber data, isi dan waktu transaksi dimasukkan kedalam sistem aplikasi. b. Jejak audit operasional, mencatat aktivitas pegawai pada subsistem input.
2.2.3.2.3 Pengendalian Keluaran Menurut Weber (1999, p615), subsistem output menyediakan fungsi yang menentukan isi dari data yang akan disampaikan kepada pengguna, cara data disajikan
42 kepada pengguna, cara menyiapkan data serta cara pengiriman data tersebut kepada pengguna. Menurut Weber (1999, pp616-646), terdapat lima pengendalian pada subsistem output, yaitu : 1. Inference Control Inference
control
digunakan
untuk
mencegah
kompromi stastistical database (basis data dimana pengguna hanya dapat mengakses statistik agregat daripada nilai individual data). Pada statistical database, data yang sensitif dan rahasia seperti riwayat penyakit pegawai dapat dikelola dengan baik sehingga tidak dapat diakses oleh pihak yang tidak berwenang. Inference
control
terhadap
statistical
database
dilakukan untuk mencegah empat jenis kompromi yang dapat terjadi, yaitu : a. Positive
compromise.
Pengguna
menyatakan
bahwa seseorang memiliki sifat khusus, contohnya John Doe seorang pecandu alkohol. b. Negative
compromise.
Pengguna
menyatakan
bahwa seseorang tidak memiliki sifat khusus, contohnya John Doe bukan seorang pecandu alkohol.
43 c. Exact compromise. Pengguna menyatakan bahwa seorang memiliki nilai yang tepat, contohnya Mary Doe memiliki gaji sebesar $120,000 per tahun. d. Approximate compromise. Pengguna menyatakan bahwa seseorang memiliki range nilai tertentu, contohnya
Mary
Doe
memiliki
gaji
antara
$100,000 sampai dengan $140,000 per tahun. Ada dua jenis inference control yang dapat dilakukan untuk mencegah terjadinya kompromi, yaitu : a. Restriction Control Restriction control membatasi rangkaian respon yang akan diberikan kepada pengguna untuk melindungi kerahasiaan data seseorang dalam basis data. b. Perturbation Control Perturbation control menggunakan beberapa jenis gangguan terhadap perhitungan statistik yang dibuat berdasarkan catatan yang diambil dari basis data. 2. Batch Output Production and Distribution Control Batch output adalah output yang dihasilkan pada beberapa fasilitas operasional dan didistribusikan atau disimpan oleh pengguna output tersebut. Pengendalian produksi dan distribusi pada output dilakukan untuk
44 memastikan laporan/output yang akurat, lengkap, dan tepat waktu dan hanya diserahkan kepada pengguna yang berhak. Terdapat sebelas pengendalian pada batch output production and distribution control, yaitu: a. Stationary Supplies Storage Controls Perusahaan menggunakan printer untuk mencetak laporannya biasanya mempunyai jumlah formulir yang banyak. Agar memudahkan pengawasan terhadap formulir tersebut, penggunaan warna kertas dapat dilakukan sehingga memudahkan pencarian dan pemakaian formulir tersebut. Pemakaian formulir kosong sangat dianjurkan karena diperlukan banyak jenis formulir yang harus disiapkan karena semua bentuk formulir telah
dimasukkan
dalam
program
sehingga
perusahaan hanya perlu menyediakan formulir berupa kertas kosong yang akan dicetak oleh komputer dengan menggunakan printer. Pengendalian yang dapat dilakukan yaitu : 1) Preprinted stationery hanya dibuat sesuai dengan aturan yang ada dan hanya diberikan ke pihak yang berhak.
45 2) Menjaga
sistem
persediaan
preprinted
stationery. 3) Menyimpan preprinted stationery dengan aman. 4) Mengawasi akses ke preprinted stationery. 5) Memberikan nomor pada preprinted stationery. b. Report Program Execution Controls Ada tiga hal yang harus diperhatikan pada pelaksanaan program pembuatan laporan, yaitu : 1) Hanya orang yang berwenang yang dapat menjalankan program tersebut. 2) Wewenang yang diberikan harus sesuai dengan kebutuhan. 3) Program pembuatan laporan yang menghasilkan laporan dalam jumlah banyak harus memiliki fasilitas mengulang kembali. c. Queuing / Spoolling / Printer File Controls Jika laporan tidak dicetak dengan segera pada printer maka laporan tersebut harus antri, sistem perangkat lunak dapat membuat suatu program laporan untuk mengerti bahwa ketika printer sedang digunakan oleh pihak lain maka laporanlaporan tersebut harus mengantri dan ketika printer tersebut dapat digunakan maka segera memberikan perintah
mencetak
oleh
sistem
sehingga
46 pencetakan laporan dapat dilakukan. Pengendalian ini bertujuan untuk memastikan : 1) Isi file yang dicetak tidak dapat dirubah. 2) Tidak ada salinan file yang dicetak tanpa izin. 3) File hanya dicetak satu kali. 4) File yang dicetak yang disimpan untuk backup tidak
digunakan
oleh
pihak
yng
tidak
berwenang. d. Printing Controls Pengendalian
terhadap
pencetakan
laporan
memiliki tiga tujuan, yaitu : 1) Untuk memastikan bahwa laporan dicetak dengan printer yang benar. 2) Untuk mencegah pihak yang tidak berwenang melihat data yang sensitif yang tercetak pada laporan. 3) Untuk memastikan bahwa pengawasan yang tepat telah dilakukan pada proses pencetakan laporan. e. Report Collection Controls Ketika output sudah dihasilkan harus diperhatikan keamanannya untuk mencegah kehilangan atau diambil oleh pihak yang tidak berwenang, terutama bila
output
berisi
data
rahasia
dan
dapat
47 mengakibatkan kerugian bagi perusahaan bila diketahui oleh pihak pesaing. Pengendalian yang dapat dilakukan yaitu : 1) Disimpan dengan aman. 2) Mencatat nama pegawai yang membuat output. 3) Mencatat tanggal dan waktu laporan output dibuat dan diberikan ke pengguna. f. User/Client Services Review Controls Sebelum output dikirim kepada pengguna, sebuah pelayanan pengguna/klien (user/client service) harus melakukan pemeriksaan untuk mengetahui ada tidaknya kesalahan. Pemeriksaan yang dapat dilakukan yaitu : 1) Apakah halaman laporan yang dicetak dapat dibaca atau tidak. 2) Apakah kualitas hasil cetakan memuaskan. 3) Apakah tape cartridge atau CD-ROM
sudah
diberi nama atau belum. 4) Apakah terdapat halaman yang hilang. 5) Apakah terdapat halaman laporan yang tercetak miring. g. Report Distribution Controls Pelayanan pengguna/klien (user/client service) memiliki tugas untuk mengambil output dan
48 mendistribusikannya kepada pemakai secara aman dan benar. Terdapat beberapa cara pendistribusian laporan, yaitu : 1) Disimpan di tempat terkunci yang dapat diambil oleh pengguna secara berkala. 2) Langsung dikirim ke pengguna. 3) Dikirim melalui surat kepada pengguna baik melalui surat internal maupun melalui jasa pos. 4) Diambil sendiri oleh pengguna. 5) Dikirim ke pengguna melalui jasa kurir. 6) Diserahkan
melalui
perusahaan
jasa
pengiriman. h. User Output Controls Pengguna dapat dilibatkan untuk melakukan pengawasan terhadap output yang dihasilkan. Karena pengguna telah terbiasa dengan output yang mereka terima, maka sangat mudah bagi mereka untuk mengetahui adanya kesalahan. i. Storage Controls Ada
tiga
pengendalian
utama
yang
dapat
dilakukan, yaitu : 1) Output harus disimpan di tempat yang mudah dijangkau jenisnya.
dan
disimpan
sesuai
dengan
49 2) Output harus disimpan dengan aman. 3) Terdapat pengawasan persediaan yang tepat. j. Retention Controls Tanggal retensi harus ditetapkan pada setiap output. Karena berhubungan dengan media dan cara penyimpanan yang dilakukan. k. Destruction Controls Jika output sudah tidak digunakan lagi maka output tersebut harus dihancurkan. Proses penghancuran output harus diawasi agar tidak terjadi output yang seharusnya masih diperlukan dan tidak diperintah untuk dihancurkan tetapi ternyata dihancurkan, selain itu juga untuk menjamin penghancuran data rahasia. 3. Batch Report Design Control Elemen
penting
pada
efektivitas
pelaksanaan
pengawasan terhadap produksi dan distribusi laporan adalah kualitas desain laporan. Desain laporan yang baik akan membuat pengguna mudah membaca laporan yang dihasilkan. Desain laporan yang baik harus terdapat informasi sebagai berikut : a. Nama laporan. b. Waktu dan tanggal laporan dibuat. c. Jumlah laporan dicetak.
50 d. Periode proses pembuatan laporan. e. Program yang digunakan untuk membuat laporan. f. Nama pegawai yang bisa dihubungi jika laporan salah atau rusak. g. Klasifikasi keamanan (rahasia/umum). h. Tanggal retensi. i. Metode penghancuran laporan. j. Kepala halaman. k. Nomor halaman. l. Tanda akhir laporan. 4. Pengendalian Jejak Audit (Audit Trail Control) Pengendalian jejak audit pada subsistem output dilakukan untuk menjaga kronologi suatu kejadian mulai dari laporan dibuat sampai laporan tersebut disimpan. Terdapat dua tipe jejak audit, yaitu : a. Jejak audit akuntansi, menunjukkan output apa yang diberikan ke pengguna, siapa dan kapan output diterima, serta tindakan apa yang dilakukan sehubungan dengan output tersebut. Jejak audit akuntansi juga dapat digunakan untuk menentukan apakah telah terjadi penyalahgunaan akses dan tindakan oleh pihak yang tidak berwenang pada subsitem output.
51 b. Jejak audit operasional, mencatat penggunaan sumber daya untuk menghasilkan berbagai macam output.
2.3
Audit Sistem Informasi 2.3.1 Pengertian Audit Sistem Informasi Menurut Weber (1999, p10) Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti atau fakta untuk menetukan apakah sebuah sistem aplikasi sudah terkomputerisasi, sudah menetapkan sistem pengendalian intern yang memadai dan apakah semua aktiva dilindungi dengan baik atau tidak disalahgunakan, serta sudah terjaminnya integritas data, kehandalan dan kefektifan dalam penyelenggaraan sistem informasi berbasis komputer. Menurut Gondodiyoto (2003, p151) Audit Sistem Informasi merupakan suatu pengevaluasian untuk mengetahui bagaimana tingkat kesesuaian antara aplikasi sistem informasi dengan prosedur yang telah ditetapkan dan mengetahui apakah suatu sistem informasi telah didisain dan diimplementasikan secara efektif, efisien dan ekonomis, memiliki mekanisme pengamanan aset yang memadai serta menjamin integritas data yang memadai. Jadi dapat disimpulkan bahwa Audit Sistem Informasi merupakan suatu
proses
mengumpulkan
dan
mengevaluasi
bukti-bukti
yang
berhubungan dengan sistem informasi untuk menentukan apakah sistem informasi yang digunakan telah menerapkan sistem pengendalian yang
52 memadai agar tidak disalahgunakan dan dapat menyajikan informasi yang berguna.
2.3.2 Tujuan Audit Sistem Informasi Menurut Weber (1999, pp11-13) tujuan Audit Sistem Informasi secara garis besar dapat disimpulkan menjadi 4 tahap, yaitu : 1. Meningkatkan objektifitas keamanan aset perusahaan Aset informasi suatu seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file atau data harus dijaga oleh suatu sitem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan. 2. Meningkatkan objektifitas integritas data Integritas data (data integrity) adalah suatu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti kelengkapan, kebenaran dan keakuratan. Jika integritas data tidak dipelihara, maka suatu perusahaan tidak akan lagi memiliki hasil suatu laporan yang benar bahkan perusahaan dapat menderita kerugiaan. 3. Meningkatkan objektifitas efektifitas sistem Efektifitas sistem informasi perusahaan memiliki peranan dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user. Suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user.
53 4. Meningkatkan objektifitas efisiensi sistem Efisiensi menjadi hal yang sangat penting ketika sumber komputer tidak lagi memiliki kapasitas yang memadai, jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
2.3.3 Jenis Audit Sistem Informasi Menurut Weber (1999, pp106-107) jenis-jenis Audit Sistem Informasi dapat dibagi menjadi 3, yaitu : 1. Audit Secara Bersama-sama (Concurrent Audit) Auditor merupakan anggota dari tim pengembangan sistem, mereka membantu tim dalam meningkatkan kualitas dari pengembangan untuk sistem spesifik yang mereka bangun dan yang akan diimplementasikan. 2. Audit Setelah Implementasi (Postimplementation Audit) Auditor
membantu
organisasi
untuk
belajar
dari
pengalaman
pengembangan dari sistem aplikasi. Mereka akan mengevaluasi apakah sistem perlu dihentikan, dilanjutkan atau dimodifikasi. 3. Audit Umum (General Audit) Auditor mengevaluasi pengendalian pengembangan sistem secara keseluruhan. Mereka melakukan audit untuk menentukan apakah mereka dapat mengurangi waktu dari pengujian substantif yang perlu dilakukan untuk memberikan opini audit tentang pernyataan keuangan
54 (sebagai tuntutan dari manajemen) ataupun tentang keefektifan dan keefisienan sistem.
2.3.4 Metode Audit Sistem Informasi Menurut Weber (1999, pp56-57) metode Audit Sistem Informasi meliputi: 1. Audit Around The Computer Audit Around The Computer merupakan suatu pendekatan audit dengan memberlakukan computer sebagai kotak hitam (black box), maksud metode ini tidak menguji langkah-langkah proses secara langsung tetapi hanya berfokus pada masukan dan keluaran dari sistem komputer. Diasumsikan jika masukan benar akan diwujudkan pada keluaran sehingga pemrosesan dianggap benar, dan tidak melakukan pengecekan terhadap pemrosesan komputer secara langsung. 2. Audit Through The Computer Audit Through The Computer merupakan suatu pendekatan audit yang berorientasi pada komputer dengan membuka kotak hitam (black box), dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer. Dengan asumsi apabila sistem pemrosesan mempunyai pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak akan terlewat untuk terdeteksi, sebagai akibatnya keluaran tidak dapat diterima.
55 2.3.5 Tahapan Audit Sistem Informasi Menurut Weber (1999, pp47-55), tahapan-tahapan Audit Sistem Informasi adalah sebagai berikut: a. Perencanaan Audit (Planning the Audit) Ini merupakan fase pertama dalam pemerikasaan audit bagi auditor eksternal berarti menyelidiki dari awal atau melanjutkan yang ada untuk menentukan apakah pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai, melakukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien, menganalisa memajukan bisnis klien dan mengidentifikasikan area resiko. Sedangkan bagi auditor internal berarti mengerti objek pendukung dalam pemeriksaan, penyediaan informasi pendukung staf yang handal dan mengidentifikasi area resiko. b. Pengujian Pengendalian (Tests of Controls) Biasanya dalam fase ini diawali memusatkan pada pengendalian manajemen, apabila hasil menunjukkan tidak sesuai dengan harapan maka pengendalian manajemen tidak berjalan sebagaimana mestinya. Bila auditor menemukan kelemahan serius pada pengendalian manajemen mereka akan mengemukakan opini atau mengambil keputusan dalam pengujian transaksi dan saldo untuk hasilnya. c. Pengujian Transaksi (Test of Transactions) Pengujian transaksi yang termasuk pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan komputasi. Komputer sangat berguna dalam pengujian ini dan auditor dapat
56 menggunakan piranti lunak (software) audit yang umum untuk mengecek apakah pembayaran bunga dari bank telah di kalkulasi secara tepat. d. Pengujian Saldo atau Hasil Keseluruhan (Test of Balances or Overall Result) Dalam audit keuangan terhadap sistem akuntansi berbasis komputer, pengujian substantif atas saldo misalnya dilakukan dengan memeriksa apakah saldo suatu rekening telah sesuai, misalnya piutang. Teknik pemeriksaannya
dapat
dilakukan
dengan
cara
membuat
dan
mengirimkan surat konfirmasi kepada debitur. Jawaban dari debitur akan membuktikan apakah hutang menurut pengakuannya sudah sesuai dengan saldo buku pembantu piutang dalam sistem akuntansi. Sedangkan dalam audit operasional dapat dilakukan dengan memeriksa konteks efisiensi dan efektifitas dalam kegiatan komputerisasi. e. Penyelesaian Audit ( Completion of the Audit) Di tahapan akhir audit, auditor eksternal membuat kesimpulan dan rekomendasi untuk dikomunikasikan pada manajemen. Jenis-jenis pendapat auditor adalah: 1) Pernyataan tidak memberikan pendapat (Disclaimer of Opinion) Auditor tidak menyatakan pendapat atas laporan keuangan yang diaudit.
57 2) Pendapat tidak wajar (Adverse Opinion) Auditor memberikan pendapat tidak wajar jika laporan keuangan yang diberikan tidak disusun berdasarkan prinsip akuntansi secara umum. 3) Pendapat wajar dengan pengecualian (Qualified Opinion) Auditor menyatakan bahwa laporan keuangan yang disajikan salah tetapi tidak ada yang mempengaruhi dari laporan keuangan. 4) Pendapat wajar tanpa pengecualian (Unqualified Opinion) Auditor menyimpulkan tidak ada kehilangan atau penyelewengan material atas pencatatan akuntansi.
58 Start
Persiapan Kerja Audit
Memahami Pengendalian Internal
Menaksir Resiko Pengendalian
Tergantung Kontrol?
Tidak
Ya
Melakukan tes kontrol
Menaksir ulang Resiko
Ya Masih Tergantung kontrol
Tidak
Menentukan Tes Substantif
Ya
Meningkatkan ketergantungan Kontrol
Tidak
Tes Substantif terbatas
Memberikan Opini dan Laporan Audit
Stop
Gambar 2.1 Langkah Proses Audit Sumber : Information System Control and Audit (Weber, 1999, p.48)
59 2.4
Sistem Informasi Pengiriman Barang 2.4.1 Pengertian Sistem Informasi Pengiriman Barang Menurut Hall (2001, p7), sistem informasi adalah sebuah rangkaian prosedur formal dimana data dikumpulkan, diproses menjadi informasi, dan didistribusikan kepada para pemakai. Menurut Kamus Umum Bahasa Indonesia (1999, p512), pengiriman adalah kiriman; hal (perbuatan dan sebagainya) mengirimkan. Menurut
(www.wikipedia.org),
pengiriman
adalah
proses
pengangkutan barang-barang. Kebanyakan barang-barang diantarkan lewat jaringan transportasi. Muatan (barang-barang fisik) terutama diantarkan melalui darat dengan memakai kereta api, melalui jalur laut dengan menggunakan kapal laut dan melalui udara dengan menggunakan perusahaan penerbangan. Jadi dapat disimpulkan bahwa sistem informasi pengiriman barang adalah sebuah rangkaian prosedur dimana data-data tentang cara dan hasil pekerjaan dari menyampaikan barang kepada seseorang yang diolah menjadi informasi yang bermanfaat bagi manajemen perusahaan.
2.4.2 Teori Pengiriman Barang Di bawah ini akan dijelaskan secara singkat mengenai beberapa pengertian penting yang berkaitan dengan pengiriman barang, yaitu : a. Shipping/Shipment adalah kegiatan pengiriman barang yang melibatkan shipper, penyedia jasa, consignee, dan armada pengangkutan mitra bisnis penyedia jasa pengiriman barang.
60 b. Shipping Instrution (SI) adalah surat perintah pengiriman barang yang diberikan oleh shipper kepada pihak penyedia jasa pengiriman barang. c. Shipper adalah pelanggan retail atau korporat yang memanfaatkan jasa layanan pengiriman barang. d. Consignee adalah penerima barang dari shipper melalui penyedia jasa layanan pengiriman barang. e. Agent adalah pihak penyedia jasa layanan pengiriman barang yang bertanggung jawab atas pengiriman barang setelah barang berangkat dari bandara atau pelabuhan untuk selanjutnya dikirimkan kepada consignee. f. Notify Party adalah pihak yang bertanggung jawab atas penerimaan barang. g. Airway Bill adalah surat tanda bukti pengiriman barang dengan tanda nomor tertentu yang telah disetujui oleh pihak penyedia jasa pengiriman barang dan armada pengangkutan udara mitra bisnisnya. Airway Bill dikenal juga sebagai Surat Muatan Udara. h. Bill of Lading (B/L) adalah surat tanda bukti pengiriman barang dengan tanda nomor tertentu yang telah disetujui oleh pihak penyedia jasa pengiriman barang dan armada pengangkutan laut mitra bisnisnya. i. House Bill of Lading adalah surat tanda bukti pengiriman barang yang dibuat oleh pihak PT. TIKI JNE dan dikirim ke pihak agent dan shipper. j. Tracking adalah kegiatan menampilkan informasi barang shipper melalui suatu media tertentu. Tujuannya adalah memberikan status
61 informasi pengiriman barang yang dibutuhkan oleh shipper mengenai barang kirimannya. Kegiatan tracking ini dilakukan oleh shipper, bukan oleh pihak penyedia jasa pengiriman barang ; pihak penyedia jasa hanya menyediakan status informasi pengiriman yang dibutuhkan oleh para shipper. k. Invoice adalah surat tagihan jasa pengiriman barang yang dikeluarkan oleh pihak penyedia jasa pengiriman barang kepada shipper.
2.5 Penetapan Potensial Penilaian Resiko Potensial penilaian resiko menggunakan penilaian berdasarkan pada buku Emile Woolf (1999, p167) dalam bukunya “Auditing Today”, dimana tingkat resiko dibagi ke dalam beberapa kategori diantaranya yaitu : a. Low Resiko yang dinilai jarang terjadi dan tidak dapat mempengaruhi operasi perusahaan ataupun sistem internal kontrol dalam suatu organisasi. b. Medium Resiko yang dinilai jarang/sering terjadi tetapi dapat memberikan dampak yang tidak terlalu mempengaruhi operasi perusahaan dan sistem internal kontrol dalam organisasi. c. High Resiko yang dinilai sering terjadi dan secara langsung dapat mempengaruhi kegiatan operasi perusahaan dan mengancam sistem internal kontrol organisasi.
