BAB 2 LANDASAN TEORI
2.1
Konsep Sistem Informasi 2.1.1
Pengertian Sistem Pengertian sistem menurut beberapa ahli: George H. Bodnar (2000, p.1): “Sistem adalah kumpulan sumber daya yang berhubungan untuk mencapai tujuan tertentu.” Menurut O’ Brien (2002, p.8): “System can be most simply defined as a group of interrelated or interacting elements forming a unified whole. However, the following generic system provides a more appropriate foundation concept for the field of information system. A system is a group of interrelated components working together toward a common goal by accepting inputs and producing outputs in a organized transformation process.” Wilkinson (2000, p.6), mengemukakan pendapat bahwa: ”System is a unified group of interacting part that function together to achieve its purpose.” Jadi dapat disimpulkan bahwa sistem adalah kumpulan sumber daya atau elemen-elemen yang saling berkaitan yang terdiri atas lebih dari suatu bagian yang saling berhubungan untuk mencapai tujuan tertentu.
7
2.1.2 Pengertian Informasi McLeod (2001, p.12), dalam bukunya yang berjudul “Management Information System,” mengemukakan bahwa: “ Information is processed data, or meaningful data.” Romney dan Steinbart (2003, p.9) berpendapat bahwa: “Information is data that have been organized and processed to provide meaning.” Sedangkan menurut Laudon (2004, p.8) informasi adalah : “Data that have been shaped into a form that is meaningful and useful to human beings.” Dari definisi diatas dapat disimpulkan bahwa informasi secara singkat adalah data yang telah diolah sedemikian rupa sehingga memiliki arti dan berguna bagi pemakainya. 2.1.3
Pengertian Sistem Informasi Menurut Ward (2002, p.3), yang disadur dari The UK Academy Information System (UKAIS) defined information system as: “The means by which people and organizations, utilizing technology, gather, process, store, use and disseminate information.” Menurut Laudon (2004, p.8), sistem informasi adalah: “An information system can be defined technically as a set of interrelated components that collect (or retrive), process, store, and distribute information to support decision making, coordinitation, and control in an organization.”
8
O’ Brien (2002, p.7), berpendapat bahwa sistem informasi: “Can be any organized combination of people, hardware, software, communications networks, and data resources that collect, transforms, and disseminates, information in an organizations.” Dari pengertian diatas dapat disimpulkan bahwa sistem informasi adalah bagian dari sistem yang diorganisasikan dan bekerja menggunakan teknologi informasi dengan cara mengumpulkan, memproses, mengatur, melaporkan dan menyebarkan informasi dalam suatu organisasi untuk mewujudkan tujuan organisasi atau dengan kata lain sistem informasi merupakan suatu komponen yang terdiri dari sekumpulan elemen yang saling berinteraksi sehingga menghasilkan informasi yang digunakan untuk mencapai tujuan suatu organisasi. 2.2
Audit 2.2.1
Pengertian Audit Menurut Gondodiyoto (2003, p.52) kata Audit berasal dari bahasa latin ‘Audire’ (B.N. Tandon, 2000, p.1) yang berarti ‘mendengar’ (the word Audit berasal dari Bahasa Latin audire yang berarti to hear, yaitu pada zaman dahulu apabila seseorang pemilik usaha merasa ada suatu kesalahan/penyalahgunaan, maka ia mendengarkan kesaksian orang tertentu). Dari dasar pengertian tersebut para ahli mendefinisikan audit sebagai: Menurut Arens dan Loebbecke dalam bukunya yang diterjemahkan oleh Jusuf (2001, p.1) mengemukakan bahwa:
9
“Audit adalah merupakan suatu proses pengumpulan dan pengoperasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seseorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi yang dimaksud dengan kriteria-kriteria yang ditetapkan. Auditing seharusnya dilakukan oleh seseorang yang independen dan kompeten.“ Mulyadi (2002, p.9) berpendapat bahwa: “Auditing secara umum adalah suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.“ Sedangkan pengertian auditing dari segi profesi akuntan publik menurut Mulyadi (2002, p.11) adalah: “Pemeriksaan (examination) secara objektif atas laporan keuangan suatu perusahaan atau organisasi lain dengan tujuan untuk menentukan apakah laporan keuangan tersebut menyajikan secara wajar, dalam semua hal material, posisi keuangan dan hasil usaha perusahaan atau organisasi tersebut.“ Dari pendapat diatas dapat disimpulkan bahwa audit adalah proses pengumpulan data dari semua kegiatan ekonomi yang dapat dilakukan oleh seseorang yang berkompeten dan independen dalam memberikan 10
pendapat. Teori-teori dasar dan konsep-konsep audit telah menjawab bahwa kebenaran atau alasan diadakan audit adalah audit ditujukan memperbaiki kinerja unit organisasi. Jika tindakan audit berhasil dalam meningkatkan kinerja unit, maka berarti menunjang ke arah perbaikan kinerja organisasi secara keseluruhan. 2.2.2 Tujuan Audit Tujuan audit menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf (2001, pp.127-128), yaitu: 1. Eksistensi adalah angka-angka yang dicantumkan memang eksis. Tujuan ini menyangkut apakah semua angka-angka yang dimasukkan dalam laporan keuangan memang seharusnya dimasukkan dan cara auditor untuk memenuhi asersi manajemen mengenai keberadaan atau keterjadian. 2. Kelengkapan adalah angka-angka yang telah dimasukkan seluruhnya. Tujuan ini menyangkut apakah semua angka-angka yang seharusnya dimasukkan memang diikutsertakan secara lengkap dan cara auditor untuk memenuhi asersi manajemen mengenai kelengkapan. 3. Akurasi adalah jumlah yang ada disajikan pada jumlah yang benar. Tujuan akurasi mengacu ke jumlah yang dimasukkan dengan jumlah yang benar. Asersi adalah bagian dari asersi penilaian atau alokasi. 4. Klasifikasi adalah angka-angka yang dimasukkan didaftar klien telah diklasifikasikan dangan tepat. Klasifikasi digunakan untuk menunjukkan apakah setiap pos dalam daftar klien telah dimasukkan dalam akun yang benar. 11
5. Pisah batas adalah transaksi-transaksi yang dekat dengan tanggal neraca dicatat dalam periode yang tepat. Tujuan menguji pisah batas adalah untuk memutuskan apakah transaksi telah dicatat dalam periode yang tepat. 6. Kepemilikan adalah angka-angka yang dimasukkan memang menjadi hak perusahaan. Tujuan ini digunakan auditor untuk memenuhi asersi manajemen mengenai hak dan kewajiban. 7. Kecocokkan Rincian adalah rincian dalam saldo akun sesuai dengan angka-angka buku besar tambahan, dijumlah kebawah benar dalam saldo akun, dan sesuai dengan jumlah buku besar. Tujuan kecocokkan rincian adalah untuk menyakinkan bahwa rincian dalam daftar memang dibuat dengan akurat, dijumlahkan secara benar, dan sesuai dengan buku besar. 8. Penyajian dan Pengungkapan adalah saldo perkiraan dan persyaratan pengungkapan yang berkaitan telah disajikan dengan pantas dalam laporan keuangan. Tujuan ini merupakan cara auditor untuk memenuhi asersi manajemen mengenai penyajian dan pengungkapan. 2.2.3
Standar Audit Standar Auditing menurut Webster international Dictionary, standar adalah sesuatu yang ditentukan oleh penguasa, sebagai suatu peraturan untuk mengukur kualitas, berat, luas, nilai atau mutu. Jika ditetapkan dalam auditing standar auditing adalah suatu ukuran pelaksanaan tindakan yang merupakan pedoman secara umum bagi
12
auditor dalam melaksanakan audit. Standar auditing pula mengandung pengertian sebagai suatu ukuran baku atas mutu jasa auditing. Standar auditing menurut Mulyadi (2002, p.16) terdiri dari 10 standar dan semua pernyataan standar auditing (PSA) yang berlaku. Sepuluh standar auditing dibagi menjadi tiga kelompok yaitu : 1. Standar Umum. Standar umum mengatur syarat-syarat diri auditor. Standar umum terdiri dari: a) Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki keahlian dan pelatihan teknis cukup sebagai auditor. b) Dalam
semua
hal
yang
berhubungan
dengan
perikatan,
independensi dalam sikap mental harus dipertahankan oleh auditor. c) Dalam pelaksanaan audit dan penyusunan laporannya auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan seksama. 2. Standar Pekerjaan Lapangan. Standar pekerjaan lapangan mengatur mutu pelaksanaan auditing. Standar pekerjaan lapangan terdiri dari: a) Pekerjaan harus direncanakan sebaik-baiknya dan jika digunakan asisten harus di supervisi dengan semestinya. b) Pemahaman yang memadai atas struktur pengendalian intern harus diperoleh untuk merencanakan audit dan menentukan sifat, saat, dan lingkup pengujian yang akan dilakukan.
13
c) Bahan bukti kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan, pengajuan pertanyaan, dan konfirmasi sebagai dasar yang memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit. 3. Standar Pelaporan. Standar pelaporan memberikan panduan bagi auditor dalam mengkomunikasikan hasil auditnya melalui laporan audit kepada pemakai informasi keuangan. Standar pelaporan terdiri dari: a) Laporan auditor harus menyatakan apakah laporan keuangan telah disusun sesuai dengan prinsip akuntansi yang berlaku umum di Indonesia. b) Laporan auditor harus menunjukan atau menyatakan, jika ada, ketidakkonsistenan penerapan prinsip akuntansi dalam penyusunan laporan keuanganan periode berjalan dalam hubungannya dengan prinsip akuntansi yang diterapkan dalam periode sebelumnya. c) Pengungkapan
informatif
dalam
laporan
keuangan
harus
dipandang memadai, kecuali dinyatakan lain dalam laporan auditor. d) Laporan auditor harus memuat suatu pernyataan pendapat mengenai laporan keuangan secara keseluruhan atau suatu asersi bahwa pernyataan demikian tidak dapat diberikan dalam semua hal yang nama auditor dikaitkan dalam laporan keuangan, laporan auditor harus memuat petunjuk yang jelas mengenai sifat
14
pekerjaan auditor, jika ada, tingkat dan tanggung jawab yang dipikulnya. 2.2.4
Tipe Audit Menurut Mulyadi (2002, pp.30-33) Audit umumnya digolongkan menjadi tiga golongan yaitu : 1. Audit laporan keuangan (financial statement audit) Audit laporan keuangan adalah audit yang dilakukan oleh auditor independen terhadap laporan keuangan yang disajikan oleh kliennya untuk menyatakan pendapat mengenai kemajuan laporan keuangan tersebut. Dalam audit laporan keuangan ini, auditor independen menilai kewajaran laporan keuangan atas dasar kesesuaianya dengan prinsip akuntansi berterima umum. Hasil auditing terhadap laporan keuangan tersebut disajikan dalam bentuk tertulis berupa laporan audit. 2. Audit kepatuhan (compliance audit) Audit kepatuhan adalah audit yang tujuannya adalah untuk menentukan apakah yang diaudit sesuai dengan kondisi dan peraturan tertentu. Hasil audit kepatuhannya umumnya dilaporkan kepada pihak yang berwenang membuat kriteria. 3. Audit Operasional Audit operasional merupakan review secara sistematik kegiatan organisasi, atau bagian daripadanya, dalam hubungannya dengan tujuan tertentu. Tujuan audit operasional adalah untuk: 1) Mengevaluasi kinerja. 15
2) Mengidentifikasi kesempatan untuk peningkatan. 3) Membuat rekomendasi untuk perbaikan atau tindakan lebih lanjut. Pihak yang memerlukan audit operasional adalah manajemen atau pihak ketiga. Hasil audit operasional diserahkan kepada pihak yang meminta dilaksanakannya audit tersebut. Hubungan dari ke-tiga tipe tersebut dapat digambarkan sebagai berikut:
Tipe Audit
Audit Laporan Keuangan
Audit Kepatuhan
Audit Operasional
Memeriksa asersi dalam laporan keuangan
Memeriksa tindakan perorangan atau organisasi
Memeriksa seluruh atau sebagian aktivitas organisasi
Kriteria yang digunakan adalah prinsip akuntansi berterima umum
K r it e r ia ya n g d ig u na k a n a d a la h k eb ija k a n p eru nd a n g a n , p erat u ra n
Kriteria yang digunakan adalah tujuan tertentu organisasi
Laporan audit berisi pendapat auditor atas kesesuaian laporan keuangan dengan prinsip akuntansi berterima umum
Laporan audit berisi pendapat auditor atas kepatuhan perorangan atau organisasi terhadap kebijakan perundangan, peraturan
Laporan audit berisi rekomendasi perbaikan aktivitas.
Gambar 2.1 Tipe Audit Mulyadi (2002, p.33)
16
2.2.5
Metode Audit Menurut Weber (1999, pp.55-57) dan menurut
Gondodiyoto
(2003, pp.155-159) metode audit meliputi: 1. Auditing Around The Computer (audit disekitar komputer). Merupakan
suatu
pendekatan
audit,
dimana
auditor
memperlakukan komputer sebagai black box maksudnya pemrosesan sistem aplikasi tidak diuji secara langsung, metode ini hanya berfokus pada
masukan
dan
keluaran
dari
sistem
aplikasi
dengan
mengasumsikan bahwa jika masukan benar dan keluaran juga benar, maka proses juga dianggap benar. Pendekatan ini mengandung kelemahan : •
Umumnya database mencakup jumlah data yang banyak dan sukar untuk ditelusuri secara manual.
•
Tidak menciptakan sarana bagi auditor untuk menghayati dan mendalami lebih mantap liku-liku sistem komputer.
•
Cara
ini
mengakibatkan
pengendalian
sistem
dalam
pengolahan komputer itu sendiri, sehingga rawan terhadap adanya kelemahan dan kesalahan yang potensial di dalam sistem. •
Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit menjadi sia-sia.
•
Tidak dapat mencakup keseluruhan maksud dan tujuan penyelenggaraan audit.
17
Sedangkan keunggulan dari metode audit around the computer yaitu
pelaksanaan
audit
lebih
sederhana
dan
auditor
yang
berpengetahuan yang minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit tersebut. 2. Auditing Through The Computer (audit melalui komputer). Merupakan suatu pendekatan audit, dimana auditor berorientasi pada komputer dengan membuka black box, dan secara langsung berfokus pada pemrosesan dalam sistem aplikasi. Dengan asumsi apabila pemrosesan memiliki pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak akan terlewat untuk dideteksi, sebagai akibatnya, keluaran dapat diterima. Pendekatan audit langsung ke sistem komputerisasi cocok dalam kondisi: •
Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
•
Bagian penting dari struktur pengendalian intern perusahaan terdapat didalam komputerisasi yang digunakan.
•
Sistem logika komputer sangat kompleks dan memiliki banyak fasilitas pendukung.
•
Adanya jurang yang besar dalam melaksanakan audit secara visual, sehingga memerlukan perimbangan antara biaya dan manfaatnya.
18
Keunggulan pendekatan audit melalui komputer adalah: •
Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem komputer.
•
Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.
•
Auditor dapat menilai kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan. Keuntungan
utama
dari
pendekatan
ini
adalah
dapat
meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan pengujian dapat diperluas sehingga tingkat kepercayaan terhadap keandalan dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan. Selain itu, dapat memeriksa secara langsung logika pemrosesan dari sistem aplikasi, dapat diperkirakan kemampuan sistem dalam menangani perubahan dan kemungkinan akan terjadi pada masa yang akan datang. Karena pendekatan ini demikian kompleksnya, maka kelemahan pendekatan ini yaitu memerlukan biaya yang besar dan tenaga ahli yang terampil. 3. Auditing With The Computer (audit dengan komputer). Merupakan suatu pendekatan audit dengan bantuan komputer, dimana prosedur auditnya dapat dilaksanakan dengan beberapa cara, yaitu: •
Memproses atau melakukan pengujian dengan sistem komputer klien itu sendiri sebagai bagian dari pengujian pengendalian. 19
•
Menggunakan komputer untuk melaksanakan tugas audit yang terpisah dari catatan klien, yaitu mengambil copy data atau file untuk dites dengan komputer lain.
•
Menggunakan komputer sebagai alat bantu dalam audit, menyangkut : o Dalam pengujian program atau file yang dipergunakan dan dimiliki oleh perusahaan (sebagai software bantu audit). o Menggunakan komputer untuk dukungan kegiatan audit, misalnya untuk administrasi dan surat menyurat. Kelemahan utama sistem audit berbasis komputer yang
digeneralisasi adalah upaya dan biaya pengembangannya tentu relatif besar dan mungkin memerlukan keahlian teknis yang memadai. Dari ketiga metode audit diatas dapat disimpulkan bahwa metode Around The Computer dan Through The Computer yang paling banyak digunakan pada saat dilakukannya audit sistem informasi karena biaya yang dibutuhkan relatif lebih murah dibanding metode With The Computer. 2.2.6
Pengertian Audit Sistem Informasi Audit sistem informasi menurut George H. Bodnar (1996, p.704) yang diterjemahkan oleh Jusuf berpendapat bahwa: Sebagian besar perusahaan memperkerjakan auditor intern dan ekstern untuk mengaudit sistem informasi. Fokus audit harus pada sistem informasi itu sendiri dan pada validitas dan akurasi data yang diproses oleh sistem.
20
Perhatian akuntan dalam auditing atas sistem informasi cenderung memfokuskan pada pengendalian intern. Pendekatan umum yang diikuti auditor adalah pertama mendapatkan deskripsi mengenai sistem pengendalian
intern,
umumnya
dengan
menggunakan
kuesioner
pengendalian intern. Setelah deskripsi sistem pengendalian intern diperoleh, kemudian auditor melakukan uji ketaatan. Selama proses auditor memasukan tingkat dimana perusahaan secara aktual menerapkan pengendalian intern seperti didokumentasikan dalam evaluasi pengendalian intern. Terakhir auditor melakukan pengujian transaksi-transaksi spesifik yang berjalan dalam sistem. Jumlah pengujian yang dibutuhkan tergantung pada tingkat dimana pengendalian intern mencukupi dan berjalan dalam operasi yang efektif. Dalam sistem dengan tingkat pengendalian intern yang tinggi, auditor melakukan uji petik statistik dan transaksi-transaksi. Weber mengemukakan (1999, p.10) bahwa: “Information system auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allow organizational goals to be achieved effectively, and uses resources efficienly.“ Dari pengertian tersebut dapat kita simpulkan bahwa audit sistem informasi dilakukan untuk melihat apakah sistem informasi yang tersedia baik pengendalian umumnya maupun aplikasinya sudah dapat melindungi aset perusahaan.
21
Auditing sistem informasi berbasis komputer adalah proses pengumpulan dan penilaian bahan bukti untuk dapat menentukan apakah sistem komputerisasi perusahaan dapat memelihara kebenaran dan integritas data dalam pencapaian tujuan perusahaan secara efektif dan efisien 2.2.7
Tujuan Audit Sistem Informasi Tujuan audit sistem informasi adalah untuk menaksir kecukupan dari kontrol lingkungan, pengamanan fisik, pengamanan logis dan operasional sistem informasi yang dirancang untuk melindungi perangkat keras, perangkat lunak, data terhadap akses ilegal dan penghancuran atau perubahan yang disengaja maupun yang tidak disengaja dan untuk menjamin bahwa sistem informasi berfungsi dengan efisien dan efektif dalam membantu organisasi mencapai tujuan strategisnya. Tujuan audit sistem informasi menurut Weber (1999, p.11): 1. Meningkatkan perlindungan terhadap aset-aset. Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. 2. Menjaga integritas data. Integritas adalah salah satu konsep dasar sistem informasi, jika tidak terpelihara maka suatu perusahaan tidak akan memiliki lagi hasil atau laporan yang benar bahkan perusahaan dapat menderita kerugian.
22
3. Meningkatkan efektifitas sistem. Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user. 4. Meningkatkan efisiensi sistem Suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya yang minimal. 2.2.8 Kontrol Audit Sistem Informasi Program audit dirancang untuk menentukan resiko utama yang sebenarnya
dari
semua
sistem
komputerisasi.
Jelasnya
sistem
komputerisasi dapat menjalankan banyak aplikasi yang berbeda, masingmasing dengan pengaturan kontrol yang unik. Salah satu komponen atau unsur sistem informasi ialah kontrol internal atau pengendalian intern (internal system control). Terlebih lagi sebuah sistem berbasis komputer pasti mempunyai resiko. Resiko yang sangat besar itu mendorong untuk dilakukan kontrol dan pengevaluasian sistem. Menurut Weber (1999, p.21) secara garis besar dapat disimpulkan bahwa kontrol tehadap audit sistem informasi dilakukan untuk: 1. Mendeteksi resiko kerugian perusahaan karena kehilangan data. 2. Mendeteksi
resiko
kerugian
perusahaan
karena
pengambilan
keputusan yang salah. 3. Mendeteksi kerugian perusahaan karena penyalahgunaan komputer. 23
4. Menjaga aset perusahaan karena nilai hardware, software, dan personil yang lazimnya tinggi. 5. Mendeteksi kerugian perusahaan karena kesalahan pada komputer. 6. Memelihara kerahasiaan. 7. Mengendalikan evolusi dari pengunaan komputer. Weber (1999, p.5) menggambarkan the need for control and audit of computer dalam model berikut :
Cost of incorrect Decision Making
Costs of Computer Abuse
Value of Hardware, Software, Personnel
Organizational Costs of data Loss
High costs Maintenance Of Of privacy computer Error Controlled Evoluation of Computer use
ORGANIZATIONS
Control and audit of Computer-based Information system Gambar 2.2. Factor influencing an organization toward control and audit of computer
24
Menurut Weber (1999, p.7), kemungkinan ancaman yang terjadi pada sistem berbasis komputer, antara lain : •
Hacking; Orang yang tidak berhak memperoleh keuntungan dari akses yang sebetulnya unauthorized ke sistem komputer untuk membaca, merubah atau memodifikasi, menghapus file atau program atau data yang mengakibatkan gangguan sistem.
•
Virus; Adalah program komputer yang dibuat agar komputer dapat attach themselves to executable files, system areas on diskettes, or data files that contains macros, yang dapat mengakibatkan rusaknya file atau program atau data atau terganggunya sistem komputer (Nachenberg 1997, 1998).
•
Virus biasanya di desain agar dapat mereplikasi dirinya sendiri dan to deliver a payload that cause disruption of some kind.
•
Illegal physical access; Access unauthorized person ke instalasi (masuk ke ruang komputer atau server yang biasanya very restricted area),
dan
bisa
berakibat
hardware
physical
damage
atau
memreplikasi program atau data. •
Abuse of privileges; Penggunaan privileges oleh seseorang untuk unauthorized purposes (antara lain copy sensitive data yang memang diberi izin akses) Menurut Weber (1999, p.8) berbagai kemungkinan ancaman bisa
terjadi, sebagai berikut: •
Destruction of assets: hardware, software, data, fasilitas lain, dokumen, atau supplies ada kemungkinan atau dapat rusak. 25
•
Theft of assets: Pencurian hardware, software, data, documentation dan supplies.
•
Modification of assets: hardware, software, data, documentation, dapat dimodifikasi secara tidak sah.
•
Privacy violations: pelanggaran privacy dari data personal atau organisasi.
•
Distruption
of
operations:
Kemungkinan
gangguan
terhadap
beroperasinya sistem operasi suatu organisasi. •
Unauthorized use of assets: Hardware, software, data, documentation dan
supplies
mungkin
di
salah
gunakan
atau
di
gunakan secara tidak sah (antara lain untuk kebutuhan pribadi, atau komputer digunakan untuk “chatting”). • 2.2.9
Physical harm to personel: Terjadinya physical harm ke pegawai.
Tahapan Audit Sistem Informasi Tahapan audit menurut Weber (1999, pp. 47-55) adalah sebagai berikut : 1. Perencanaan audit. Tahap pertama yang dilakukan adalah pemahaman terhadap sasaran yang
akan
diaudit,
pengumpulan
informasi
awal,
dan
pengidentifikasian resiko. 2. Pengumpulan bukti-bukti. Bukti-bukti
pemeriksaan
dikumpulkan
menggunakan
percobaan dan prosedur. Ada beberapa metode pengumpulan bukti-bukti adalah : a. Pengujian pengendalian (test of control-TOC) 26
beberapa
b. Pengujian substantif (substantif test) c. Pengujian transaksi. Didalam hal audit keuangan terhadap sistem akuntansi berbasis komputer, maka contoh pengujian pengendalian adalah dengan melakukan pembuktian bahwa transaksi-transaksi sudah dengan tepat dibukukan dalam pencatatan akuntansi. Sedangkan dalam audit operasional, pengujian pengendalian ini dapat dilakukan misalnya dengan memeriksa apakah respon time sudah sesuai dengan yang diharapkan. d. Pengujian saldo atau keseluruhan hasil (test of balances or overall results). Dalam audit keuangan terhadap sistem akuntansi berbasis komputer, pengujian substantif atas saldo misalnya dilakukan dengan memeriksa apakah saldo suatu rekening telah sesuai. Sedangkan dalam audit operasional misalnya dapat dilakukan dengan memeriksa konteks efisiensi dan efektifitas dalam kegiatan komputerisasi. e. Pengevaluasian bukti-bukti. Jika
semua
bukti-bukti
sudah
terkumpul,
pemeriksa
harus
mengevaluasi semua bukti-bukti dalam hubungannya dengan objek pemeriksa dan memutuskan apakah : a) Bukti-bukti mendukung kesimpulan yang berhubungan dengan operasional, pengawasan sistem yang diperiksa. b) Mendukung kesimpulan yang tidak memuaskan.
27
c) Bukti-bukti yang ada membutuhkan bukti-bukti tambahan dari pemeriksaan yang lain agar mendukung kesimpulan definitif. f. Penyelesaian audit. Di tahap terakhir audit, auditor eksternal membuat kesimpulan dan rekomendasi untuk dikomunikasikan pada manajemen. diagram alir tahapan audit sistem informasi digambarkan sebagai berikut: Mulai Persiapan Kerja Audit
Pemahaman Struktur Pengendalian
Penilaian Resiko Kontrol
Apakah kontrol terkendali ?
Tidak
Ya Lakukan test kontrol
Penilaian kembali resiko kontrol
Apakah hasil terkendali ?
Tidak
Perluasan test substantif
Ya Ya
Apakah kehandalan akan kontrol meningkat ?
Tidak
Pembatasan test substantif
Formulasi opini audit dan pembuatan laporan
Selesai
Gambar 2.3 Tahapan Audit Sistem Informasi Sumber : Information System Control and Audit (Weber, 1999, p.48). 28
2.3 Audit atas Siklus Penjualan dan Penerimaan kas: Piutang Usaha 2.3.1 Pengertian penjualan Penjualan adalah suatu proses kegiatan dimana terjadi transaksi menjual barang atau jasa kepada
pihak lain (pembeli). Penjualan
digolongkan menjadi dua yaitu: 1. Penjualan secara cash atau tunai. Merupakan penjualan yang terjadi dimana pada saat barang diserahkan kepada pihak lain (pembeli), maka pihak penjual menerima uang secara langsung, sejumlah harga barang yang diserahkan. 2. Penjualan secara kredit. Merupakan penjualan yang terjadi dimana pihak penjual menyerahkan barang namun tidak menerima uang sejumlah harga barang tersebut, melainkan menerima uang dengan jumlah tertentu sesuai dengan persyaratan dan sisa uang tersebut akan diangsur secara kredit. Menurut Arrens and Loeback (1996, p.355) tujuan menyeluruh dalam audit atas siklus penjualan dan penerimaan kas adalah untuk mengevaluasi apakah saldo-saldo yang dipengaruhi oleh siklus ini telah disajikan secara wajar sesuai dengan prinsip akuntansi yang berlaku umum. Siklus penjualan dan penerimaan kas meliputi keputusan dan proses yang diperlukan untuk mengalihkan kepemilikan atas barang dan jasa yang telah tersedia untuk dijual kepada pelanggan. Ada lima golongan transaksi yang terdapat dalam siklus penjualan dan penerimaan kas: 1. Penjualan (penjualan kas dan kredit).
29
Dalam transaksi penjualan tunai atau kas, barang atau jasa diserahkan oleh fungsi pengiriman kepada konsumen, jika fungsi penerimaan kas telah menerima uang dari konsumen. Sedang dalam transaksi penjualan kredit, jika order dari konsumen telah dipenuhi dalam pengiriman barang atau penyerahan jasa untuk jangka waktu tertentu perusahaan memiliki piutang kepada konsumen atau pihak ketiga (dalam hal ini pihak leasing) 2. Penerimaan kas. Penerimaan kas diterima dari penjualan barang atau jasa yang dilakukan secara tunai. Dalam pemrosesan dan pencatatan penerimaan kas, perhatian paling utama adalah kemungkinan dicuri. Pertimbangan paling utama dalam penanganan penerimaan adalah seluruh kas harus disetor ke bank dalam jumlah yang benar dengan tepat waktu dan dicatat diberkas transaksi penerimaan kas, yang digunakan untuk membuat jurnal penerimaan kas dan memutakhirkan berkas induk piutang usaha. 3. Diskon penjualan atau potongan harga. Diskon penjualan diberikan kepada pelanggan pada saat-saat tertentu sesuai kebijakan yang dikeluarkan oleh perusahaan. 4. Penyisihan piutang tak tertagih. Untuk mendapatkan gambaran posisi keuangan perusahaan seakurat mungkin, maka perusahaan yang banyak melakukan penjualan secara kredit akan mempergunakan metode penyisihan untuk mengukur jumlah piutang tak tertagih. Dalam pencatatan kerugian metode ini 30
tidak menunggu sampai langganan benar-benar tidak mampu membayar,
melainkan
memperkirakan
jumlah
piutang
yang
kemungkinan tidak dapat dibayar oleh langganan. 5. Beban penghapusan piutang tak tertagih. Dengan mengabaikan agresitivitas, adalah tidak biasa kalau beberapa pelanggan
tidak
membayar
tagihannya.
Kalau
perusahaan
berkesimpulan bahwa suatu jumlah akan tidak tertagih, jumlah tersebut harus dihapuskan. Penghapusan piutang tak tertagih tidak selalu sama dengan penyisihan piutang tak tertagih. Penghapusan piutang tak tertagih merupakan jumlah aktual piutang yang tidak dapat ditagih dari konsumen, sedangkan penyisihan dibuat berdasarkan perkiraan. 2.3.2 Pengertian Piutang Piutang terjadi karena adanya penjualan kredit. Piutang merupakan klaim uang pada perusahaan maupun individu. 2.3.3
Jenis Piutang Dalam neraca piutang dikelompokkan menjadi: 1. Piutang usaha. Adalah piutang yang timbul dari transaksi penjualan barang atau jasa dalam kegiatan normal perusahaan. Piutang usaha ini umumnya merupakan jumlah yang material di neraca bila dibandingkan dengan piutang non-usaha. 2. Piutang Non-usaha.
31
Piutang non-usaha timbul dari transaksi selain penjualan barang dan jasa kepada pihak luar, seperti piutang kepada karyawan, piutang penjualan saham, piutang klaim asuransi, piutang pengembalian pajak serta piutang deviden dan bunga. Prosedur pencatatan piutang bertujuan untuk mencatat mutasi piutang perusahaan kepada setiap debitur. Mutasi piutang disebabkan oleh transaksi penjualan kredit, penerimaan kas dari debitur, dan penghapusan piutang. Informasi mengenai piutang yang dilaporkan adalah: 1. Saldo piutang pada saat tertentu kepada setiap debitur. 2. Riwayat pelunasan piutang yang dilakukan oleh setiap debitur. 3. Umur piutang kepada setiap debitur pada saat tertentu. 2.3.4
Dokumen yang digunakan dalam Aplikasi Piutang Dokumen pokok yang digunakan sebagai dasar pencatatan ke dalam kartu piutang adalah: 1. Faktur Penjualan. Dalam pencatatan piutang, dokumen ini digunakan sebagai dasar pencatatan timbulnya piutang dari transaksi penjualan kredit. Dokumen ini dilampiri dengan surat muat (bill of lading) dan surat order pengiriman sebagai dokumen pendukung untuk mencatat transaksi penjualan kredit. 2. Bukti Kas Masuk. Dalam pencatatan piutang, dokumen ini digunakan sebagai dasar pencatatan berkurangnya piutang dari transaksi pelunasan piutang oleh 32
debitur. Jika cancelled check dikembalikan kepada check issuer melalui sistem perbankan, bukti kas masuk tidak perlu dibuat oleh perusahaan yang menerima pembayaran, karena cancelled check dapat berfungsi sebagai tanda terima uang bagi pembayar. Sebagai dasar pencatatan kedalam kartu piutang digunakan surat pemberitahuan (remittance advice) sebagai dokumen sumber. 3. Bukti memorial. Bukti memorial adalah dokumen sumber untuk pencatatan transaksi ke dalam jurnal umum. Dalam pencatatan piutang, dokumen ini digunakan sebagai dasar pencatatan piutang penghapusan piutang. Dokumen ini dikeluarkan oleh fungsi kredit yang memberikan otorisasi penghapusan piutang yang sudah tidak dapat ditagih lagi. Kartu piutang merupakan buku pembantu yang berisi rincian mutasi piutang perusahaan kepada tiap-tiap debiturnya. Dalam metode pencatatan piutang tertentu, buku pembantu piutang ini tidak diselenggarakan dan digantikan fungsinya dengan arsip faktur penjualan menurut abjad. 2.3.5
Metode pencatatan piutang a. Metode konvensional. Dalam metode ini, posting ke dalam kartu piutang dilakukan atas dasar data yang dicatat dalam jurnal. b. Metode posting langsung ke dalam kartu piutang. Dibagi menjadi dua metode yaitu metode ’posting harian’ dimana posting langsung ke dalam kartu piutang dengan tulisan tangan; jurnal 33
hanya menunjukkan jumlah total harian saja sedangkan metode ‘posting periodik’ akan dilakukan secara tertunda dan penagihannya bersiklus dimana pencatatan yang sudah dikumpulkan selama sebulan misalnya baru akan dicatat ke dalam kartu piutang. c. Metode pencatatan tanpa buku pembantu. Dalam metode ini, faktur penjualan beserta dokumen pendukungnya yang diterima dari Bagian Penagihan, oleh Bagian Piutang diarsipkan menurut nama pelanggan dalam arsip faktur yang belum dibayar. d. Metode pencatatan dengan bantuan komputer. Dalam sistem komputer dibentuk dua arsip: arsip transaksi dan arsip induk. Pencatatan piutang dilakukan secara harian, arsip transaksi digunakan untuk memutakhirkan arsip induk piutang. Secara periodik, misalnya setiap bulan, arsip induk piutang digunakan untuk menghasilkan berbagai macam laporan bagi manajemen. 2.3.6
Pentingnya audit piutang Dalam akuntansi piutang, secara periodik dihasilkan pernyataan piutang yang dikirimkan kepada setiap debitur. Pernyataan piutang ini merupakan unsur pengendalian internal yang baik dalam pencatatan piutang dengan mengirimkan secara periodik pernyataan piutang kepada para debitur, catatan piutang perusahaan diuji ketelitiannya dengan menggunakan tanggapan yang diterima dari debitur atas pengiriman pernyataan piutang tersebut. Disamping itu, pengiriman pernyataan piutang secara periodik kepada para debitur akan menimbulkan citra yang baik dimata debitur 34
mengenai keandalan pertanggung jawaban keuangan perusahaan. Oleh karena itu, piutang harus diaudit dalam suatu periode tertentu. Untuk mengetahui status piutang dan kemungkinan tertagih atau tidaknya piutang, secara periodik fungsi pencatatan piutang menyajikan informasi umur piutang setiap debitur kepada manager keuangan. Daftar umur piutang ini merupakan laporan yang dihasilkan dari kartu piutang. 2.3.7
Fungsi Kredit Fungsi ini berada di bawah fungsi keuangan yang dalam transaksi penjualan kredit, bertanggung jawab untuk meneliti status kredit pelanggan dan memberikan otorisasi pemberian kredit kepada pelanggan. Karena hampir semua penjualan dalam perusahaan dagang merupakan penjualan kredit, maka sebelum order dari pelanggan dipenuhi, harus lebih dahulu diperoleh otorisasi penjualan kredit dari fungsi kredit. Dalam hal ini jika perusahaan dagang tidak memiliki fungsi kredit sendiri, mereka dapat melakukan kerjasama dengan pihak lain (perusahaan pembiayaan atau leasing). Jika penolakan pemberian kredit sering terjadi, pengecekan status kredit perlu dilakukan sebelum fungsi penjualan mengisi surat order penjualan. Untuk mempercepat pelayanan kepada pelanggan, surat order pengiriman langsung dikirim ke fungsi pengiriman sebelum fungsi penjualan memperoleh otorisasi kredit dari fungsi kredit. Namun, tembusan kredit harus dikirimkan ke fungsi kredit untuk mendapatkan persetujuan kredit dari fungsi tersebut. Dalam hal otorisasi kredit tidak dapat diberikan, fungsi penjualan memberitahu fungsi pengiriman untuk membatalkan pengiriman barang kepada pelanggan atau 35
membatalkan pesanan barang tersebut. Bisa juga fungsi penjualan memberikan alternatif
dengan mengajukan permohonan kredit pada
perusahaan pembiayaan lainnya. 2.4
Sistem Pengendalian Intern ( SPI ) 2.4.1
Pengertian Sistem Pengendalian Intern Menurut Weber (1999, p.35), pengendalian adalah suatu sistem untuk mencegah, mendeteksi atau memperbaiki kejadian atau aktivitas yang tidak semestinya. Menurut Gondidoyoto (2003, p.77), Adapun menurut suatu organisasi profesi yang disebut COSO (The Committee of Sponsoring Organizations) yang dikutip oleh Amin (2000, p.3) dalam bukunya berjudul COSO Based Auditing. Sistem pengendalian intern didefinisikan didalam suatu batasan pengertian sebagai berikut: “Internal process, effected by an entity board of directors, manajement, and other personnel, designed toprovide reasonable assurance regarding the achievement of objectives in the following categories: •
Effectiveness and effciency of operations.
•
Realibility of financial reporting.
•
Compliance with applicable laws and regulations. Menurut Mulyadi (2001, p.165), sistem pengendalian intern ialah
meliputi
struktur
organisasi,
metode
dan
ukuran-ukuran
yang
dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan kehandalan data akuntansi, mendorong efisiensi dan dipatuhinya 36
kebijakan manajemen. Sistem pengendalian intern dijalankan oleh dewan komisaris, manajemen, dan personil lain atau karyawan atau anggota suatu organisasi, yang didesain untuk memberikan keyakinan memadai tentang pencapaian tiga golongan tujuan berikut ini: 1.
Keandalan pelaporan keuangan.
2.
Kepatuhan terhadap hukum dan peraturan yang berlaku.
3.
Efektivitas dan efisiensi operasi. Berdasarkan pengertian-pengertian diatas dapat disimpulkan
bahwa sistem pengendalian intern
merupakan sebuah sistem yang
dirancang oleh pihak manajemen sebuah organisasi untuk mengendalikan dan mengawasi seluruh kegiatan organisasi tersebut untuk menjaga aset perusahaan dan menjamin dipatuhinya kebijakan manajemen. 2.4.2
Tujuan Sistem Pengendalian Intern Tujuan sistem pengendalian internal (Arens dan Loebbecke, 1996, p.218), adalah terdiri dari: 1. Menyajikan data yang dapat dipercaya. Pemimpin hendaklah memiliki informasi yang tepat dalam rangka melaksanakan kegiatannya. Mengingat bahwa berbagai jenis informasi dipergunakan untuk bahan mengambil keputusan sangat penting artinya, karena itu suatu mekanisme atau sistem yang dapat mendukung penyajian informasi yang akurat sangat diperlukan oleh pimpinan organisasi atau perusahaan. 2. Mengamankan aktiva dan pembukuan.
37
Pengaman atas berbagai harta benda dan catatan pembukuan menjadi semakin penting dengan adanya komputer. Data atau informasi yang begitu banyaknya yang disimpan di dalam media komputer sebagai magnetic tape dapat dirusak apabila tidak diperhatikan pengamannya. 3. Meningkatkan efisiensi operasional. Pengawasan dalam suatu organisasi merupakan alat untuk mencegah penghamburan usaha, menghindarkan pemborosan dalam setiap segi dunia usaha dan mengurangi setiap jenis penggunaan sumber-sumber yang ada secara tidak efisien. 4. Mendorong pelaksanaan kebijaksanaan yang ada. Pimpinan menyusun tata cara dan ketentuan yang dapat dipergunakan untuk mencapai tujuan perusahaan. Sistem pengendalian internal berarti memberikan jaminan yang layak bahwa ke semuanya itu telah dilaksanakan oleh karyawan perusahaan. Menurut Mulyadi (2001) tujuan sistem pengendalian internal ialah untuk: 1) Melindungi harta milik perusahaan 2) Memeriksa kecermatan dan kehandalan data akuntansi 3) Meningkatkan efisiensi usaha 4) Mendorong ditaatinya kebijakan manajemen yang telah digariskan Suatu pengendalian internal yang baik dalam perusahaan akan memberikan keuntungan yang sangat berarti bagi perusahaan itu sendiri karena antara lain: 1) Dapat memperkecil kesalahan-kesalahan dalam penyajian data akuntansi sehingga akan menghasilkan laporan yang benar. 38
2) Melindungi atau membatasi kemungkinan terjadinya kecurangan dan penggelapan-penggelapan. 3) Menghasilkan pekerjaan yang efisien 4) Mendorong dipatuhinya kebijakan pimpinan. 5) Tidak memerlukan detail audit dalam bentuk penyajian subtantif atas bahan bukti atau data perusahaan yang cukup besar oleh akuntan publik. Jika sistem pengendalian internal suatu perusahaan sangat baik dan auditor cukup puas dalam melakukan test of controls, maka pengujian subtantif dapat dilakukan dengan sekecil mungkin jumlah bukti atau data dari suatu “sampling technique”. Dengan demikian kegiatan audit tidak akan memerlukan biaya yang terlalu besar. Sedangkan Gondodiyoto (2003, p.75) mengemukakan bahwa sistem pengendalian intern bertujuan untuk: 1. Mengamankan aset organisasi. 2. Memperoleh informasi yang akurat dan dapat dipercaya. 3. Meningkatkan efektifitas dan efesiensi kegiatan. 4. Mendorong kepatuhan pelaksanaan terhadap kebijaksanaan organisasi. Berdasarkan pengertian diatas maka dapat disimpulkan bahwa sistem pengendalian intern meliputi metode dan kebijakan yang terkoordinasi
didalam
perusahaan
untuk
mengamankan
kekayaan
perusahaan, menguji ketepatan, ketelitian, dan keandalan catatan atau data akuntansi serta untuk mendorong ditaatinya kebijakan manajemen.
39
2.4.3
Elemen Sistem Pengendalian Intern Menurut Weber (1999, p.49) unsur sistem pengendalian internal suatu entitas terdiri dari : 1. Lingkungan pengendalian. Spesifik dan prosedur-prosedur kontrol harus dioperasikan. 2. Penaksiran resiko. Mencakup
tentang
identifikasi
resiko,
analisis
resiko,
cara
pengendalian resiko. 3. Aktivitas pengendalian. Aktivitas pengendalian akuntansi meliputi: otorisasi, pengendalian fisik,
pemeriksaan
independent,
dokumentasi
yang
memadai,
pemisahan tugas dan fungsi. 4. Pemrosesan informasi dan komunikasi. Meliputi identifikasi informasi, membuat sebuah formulir berjangka waktu dan layak untuk memastikan personil untuk melaksanakan tugasnya sebagaimana mestinya. 5. Pemantauan. Memastikan kontrol-kontrol internal beroperasi baik sepanjang waktu. 2.4.4
Jenis Pengendalian Sistem Intern Menurut Gondodiyoto (2003, p.127) yang di kutip dari Weber (1999, p.38), secara garis besar sistem pengendalian intern yang perlu dilakukan pada sistem berbasis komputer adalah sebagai berikut : 1. Pengendalian umum.
40
Pengendalian umum artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Pengendalian umum terdiri dari: a.
Top Management Controls (Pengendalian Top Manajemen). Pengendalian terhadap peran top management dalam merencanakan, mengorganisasikan, memimpin dan mengawasi fungsi sistem informasi.
b.
System Development Management Controls (Pengendalian Manajemen Pengembangan Sistem). Pengendalian terhadap model proses pengembangan sistem informasi, sehingga auditor dapat menggunakannya sebagai dasar untuk mengumpulkan dan mengevaluasi bukti.
c.
Programming Management Controls (Pengendalian Manajemen Program). Pengendalian terhadap setiap tahapan dari daur hidup program.
d.
Data Resource Management Controls (Pengendalian Manajemen Sumber Data). Pengendalian terhadap peran data administrator dan database administrator atas fungsi yang mereka kerjakan.
e.
Security Management Controls (Pengendalian Manajemen Keamanan). Pengendalian terhadap fungsi security administrator, yaitu untuk mengidentifikasikan ancaman utama dari fungsi sistem informasi dan untuk merencanakan, mengimplementasikan, mengoperasikan, dan memelihara pengendalian sehingga dapat mengurangi kemungkinan kegagalan akibat ancaman tersebut. Menurut Weber (1999, pp.256-265) ancaman utama dapat bersifat karena alam, oleh manusia yang bersifat kelalaian maupun kesengajaan, antara lain: 1. Ancaman kebakaran. 2. Ancaman banjir. 3. Perubahan tegangan sumber energi. 4. Kerusakan struktural. 5. Polusi. 6. Penyusup. 7. Virus. 8. Hacking. Untuk mengantisipasi resiko-resiko tersebut, sistem pengendalian intern lainnya yang dapat diterapkan adalah sebagai berikut: 1.
Pengendalian keamanan fisik.
2.
Pengendalian keamanan data dan fasilitas pengolahan.
41
f.
3.
Pengendalian security dan data communication.
4.
Standard Operating Procedures (SOP).
Operation Management Control (Pengendalian Manajeman
Operasi)
Menurut Weber (1999, pp.288-320), secara garis besar pengendalian manajemen operasi bertanggung jawab terhadap hal-hal sebagai berikut: 1.
Pengoperasian komputer (Computer Operations). Tipe pengendalian yang dapat dilakukan antara lain a)
Menentukan fungsi-fungsi yang harus dilakukan operator komputer maupun fasilitas operasi otomatis.
b)
Menentukan penjadwalan kerja pada pemakaian hardware dan software.
c)
Menentukan perawatan terhadap hardware agar dapat berjalan dengan baik.
d)
Pengendalian perangkat keras berupa hardware controls dari produsen untuk deteksi hardware malfunction.
2.
Pengoperasian jaringan ( Network Operations ). Pengendalian yang dilakukan ialah memonitor dan memelihara jaringan dan pencegahan terhadap akses oleh pihak yang tidak berwenang. Pengendalian sistem komunikasi data antara lain adalah :
3.
a)
Jalur komunikasi (kabel coaxial, satelit, microwave).
b)
Hardware ( ports, modem, concentrator ).
c)
Cryptology (dalam komunikasi data disebut encryption).
d)
Software komunikasi (firewall).
Persiapan dan pengentrian data (Preparation and Entry Data). Fasilitas-fasilitas yang ada harus dirancang untuk memiliki kecepatan dan keakuratan data serta telah dilakukan pelatihan terhadap pengentri data.
4.
Pengendalian produksi (Production Control). Fungsi yang harus dilakukan untuk pengendalian produksi adalah: 1) Penerimaan dan pengiriman input dan output. 2) Penjadwalan kerja. 3) Manajemen pelayanan. 4) Peningkatan pemanfaatan komputer.
g.
Quality Assurance Management Controls (Pengendalian Manajemen Jaminan Kualitas).
42
Pengendalian terhadap fungsi manajemen quality assurance, dengan memastikan bahwa pengembangan, pengimplementasikan, operasi dan pemeliharaan sistem informasi sesuai dengan standar kualitas.
2. Pengendalian aplikasi Menurut Gondodinyoto (2003, p.139) pengendalian khusus atau pengendalian aplikasi
adalah sistem pengendalian intern
komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan. Pengendalian aplikasi terdiri dari: a. Pengendalian masukan atau input controls. b. Pengendalian proses pengolahan data atau process control. c. Pengendalian keluaran atau output controls. d. Pengendalian file/database atau files/database controls. Adapun unsur-unsur sistem pengendalian intern aplikasi adalah:
a. Boundary Controls Pengendalian batas-batas sistem aplikasi (boundary controls) ialah bahwa dalam suatu sistem aplikasi komputer perlu jelas desainnya, mencakup hal-hal: •
Ruang lingkup sistem. Suatu sistem komputerisasi harus jelas ruang lingkupnya: apa dokumen inputnya, darimana sumbernya, tujuan pengolahan data, dan siapa para penggunanya, siapa sponsornya.
•
Subsistem dan keterkaitan,
43
Sistem terdiri dari subsistem, modul, program, dan perlu kejelasan ruang lingkupnya dan keterkaitan antar subsistem atau modul. b. Input Control Mengapa diperlukan pengendalian input? Karena input merupakan salah satu tahap dalam sistem komputerisasi yang paling penting. Resiko yang dihadapi misalnya ialah: •
Data transaksi yang ditulis oleh pelaku transaksi salah. Contoh kesalahan yang tidak disengaja misalnya adalah sangat mungkin terjadi bahwa secara tidak sadar kita mengisi tanggal lahir pada suatu formulir dengan tanggal/bulan yang benar tetapi dengan tahun yang sedang berjalan.
•
Kesalahan pengisian dengan kesengajaan disalahkan. Misalnya usaha untuk melakukan kecurangan atau kejahatan penarikan uang tabungan di bank oleh orang yang tidak berhak (dengan mencoba-coba, misalnya mengisi personal identification number (PIN) dengan tanggal lahir orang yang kebetulan diketahuinya).
•
Penulisan tidak jelas sehingga dibaca salah oleh orang lain. Khususnya bila yang diolah bukan dokumen aslinya, melainkan tembusan.
b.1. Batch System Cara pemrosesan data input antara lain dengan sistem batch processing, data diolah dalam satuan kelompok (bundel) 44
dokumen, dan delayed processing system (pengolahan bersifat tertunda), yaitu updating data di komputer tidak sama dengan terjadinya transaksi. Contoh klasik sistem pengolahan data semacam ini ialah pengolahan data sensus penduduk, pengolahan data pemilihan umum, dan tes penerimaan mahasiswa baru. Pada sistem pengolahan data secara batch processing system. Tiap transaksi (misalnya formulir sensus, kartu coblosan pemilihan umum, atau answer sheet ujian calon mahasiswa) dibundel dalam jumlah lembar tertentu untuk direkam. Pengendalian input dalam system batch dilakukan dalam tahap: •
Data Capturing Dilakukan sejak pada tahap pengisian dokumen input (data capturing). Pengendalian dalam data capturing
termasuk
pengendalian yang bersifat preventif, caranya misalnya dengan desain formulir atau dokumen yang baik, jelas, dan mudah pengisiannya, dan sebagainya. •
Batch Data Preparation Pada tahap persiapan-persiapan sebelum perekaman (data preparation), yaitu antara lain dilakukannya editing kode atau isian-isian nomor tertentu, dan pembundelan (batching)
•
Batch Data Entry Pada tahap pemasukan data (data entry), biasanya
dicek
terprogram oleh mesin data entry system (mesin perekam
45
data yang kini sudah jarang digunakan, atau bahkan sudah tidak ada lagi). •
Validation Pengecekan terprogram (validation) terhadap data input berdasar kriteria tertentu, misalnya jumlah lembar dokumen menurut jumlah record yang dihitung komputer sesuai (sama) dengan yang tertulis pada record batch.
Dengan demikian pada semua tahap tersebut dilakukan pengendalian input (menjaga jangan sampai input yang salah dapat masuk ke sistem komputerisasi). b.2. On-line Real Time Entry Validation Cara pemrosesan data yang lebih lazim pada saat ini adalah dengan on-line transaction processing system. Pada data tersebut data masukan dientri dengan Workstation atau terminal atau jenis input device yang seperti Automatic Teller System (ATM) dan Point Of Sales (POS). Meskipun on-line bisa saja dengan memakai pola batch, tetapi biasanya on-line dikaitkan dengan real time system, artinya updating data di komputer bersamaan dengan terjadinya transaksi. Contoh sistem pengolahan data seperti ini adalah front-office hotel, kegiatan oleh teller pada penarikan dan setoran tabungan di bank, dan sebagainya. Pengendalian input dalam system on-line real time dilakukan pada tahap: •
Entry Data & Validation 46
Pada system on-line real time seringkali sudah tidak dengan dokumen lagi (paperless). Data lazimnya langsung dientri ke sistem komputer, misalnya dengan workstation, automatic teller machine, atau point of sales. Mesin-mesin tersebut sudah dilengkapi dengan software yang antara lain berisi fungsi validasi terprogram. •
Pada batch processing system Lazimnya entri data dilakukan petugas data entry (petugas unit komputer), sedangkan dalam system on-line real-time lazimnya entri data oleh pemakai langsung (misalnya para pelanggan atau nasabah bank) maupun para petugas operasional (sudah tidak dikategorikan sebagai pegawai komputer lagi, misalnya: nasabah yang mengambil uang di ATM, petugas front office hotel, bank teller.
•
Dalam sistem komputerisasi. Khususnya yang menggunakan sistem
online-real-time,
paperless, maka masalah jejak pemeriksaan (audit trial) menjadi makin penting. Oleh karena itu masalah audit trial antara lain dalam bentuk existence control harus betul-betul diperhatikan. Ditinjau dari sifatnya pengendalian input juga dapat di bedakan dalam tiga tipe yaitu: 1. Pengendalian bersifat Prevention Objective (pencegahan). Mengurangi kemungkinan atau mencegah jangan sampai terjadi
kesalahan, 47
kekeliruan,
kelalaian,
error
penyalahgunaan, maupun kecurangan, atau fraud berisikan jenis laporan, periode laporan, siapa penggunanya. Contoh pengendalian
yang
bersifat
preventif
misalnya
ialah
Password. 2. Pengendalian bersifat Detection Objective. Apabila terjadi error hendaknya ada mekanisme yang dapat mendeteksinya
berisikan
sub
total
dan
total
untuk
mengevaluasi keakuratan suatu laporan. Contoh pengendalian intern yang bersifat detection objective misalnya ialah validasi kesesuaian kode atau identitas atau
PIN atau
account-ID antara yang di entry dengan yang ada di file komputer, validasi atas field tertentu, misalnya tanggal (Februari tidak mengenal tanggal 30 atau 31, dan sebagainya), pengujian klasifikas atau validitas kode, permintaan
komputer
dilayar agar pemakai merekam
identitas 2x atau diminta tanggal lahir. 3. Pengendalian korektif atau correction objective Mempunyai
prosedur
yang
jelas
tentang
bagaimana
melakukan pembetulan terhadap data yang salah dengan maksud untuk mengurangi kemungkinan kerugian kalau kesalahan atau penyalahgunaan tersebut sudah benar-benar terjadi. yaitu adanya help desk, contact person, dan service level. Lazimnya terdapat dua prosedur yang berkaitan dengan hal ini, yaitu: •
Bila kesalahan adalah keying Error, cara pelaksanaan pembetulan ialah dengan merekam ulang (pembetulan data).
•
Bila Source Error,
artinya kesalahan bukan dipihak
sistem pengolahan data, melainkan pada sumbernya. Cara 48
pembetulannya apabila terjadi kesalahan semacam itu, maka harus diklarifikasi kepada asal datanya. c. Pengendalian proses Pengendalian
proses
(processing
control)
pengendalian intern untuk mendeteksi jangan sampai
ialah data
(khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses. Kemungkinan yang paling besar untuk menimbulkan terjadinya error adalah kesalahan logika program, salah rumus, salah urutan program. Kesalahan yang “levelnya tinggi” adalah sistem (dan program-programnya) dibuat tidak sesuai kebutuhan pemakai (user). Seperti halnya dalam tahapan input, proses pengolahan (processing controls) juga dapat bersifat batch processing system (proses
dan
updating
data
dilakukan
secara
periodik).
Pengendalian aplikasi bersifat prosedural yang perlu dilakukan ialah dokumentasi program dan tes secara lengkap, pelaksanaan tes yang memadai, program yang sudah well-tested di compile dan dari source code dijadikan absolute code dan dikelola oleh librarian, prosedur program change request yang formal. Bentuk pengendalian lainnya misalnya: •
Processing logic check
•
Run-to-run check
•
Inter-sub-system check
•
File and program check 49
•
Audit Trial linkage Ditinjau dari segi pandang sistem informasi akuntansi,
potensi resiko error adalah kurangnya akurasi atau keandalan data karena data diolah tidak sesuai aturan sistem akuntansi, misalnya salah akun (ledger), salah periode, debit atau kredit, tidak sesuai prinsip pengamanan asset dan record. Metodologi pemeriksaan kecukupan pengendalian bersifat detektif yang dapat dilakukan misalnya ialah pemeriksaan label file, pengujian identifikasi record, pengujian kode transaksi, sequence test, anticipation control, validasi untuk mendeteksi error pengolahan, arithmetic accuracy test, dual field input, data reasonable test, data limit test, cross footing test, pengendalian saldo subsistem (system balancing control), dan inter subsystem totals, serta run to run totals. Metode penelitian yang bersifat corrective objective misalnya ialah perlakuan terhadap data (yang error), mekanisme koreksi error. Dalam sistem proses data per batch bila terjadi error yang bukan bersifat keying error pada salah satu record, lazimnya record tersebut dihapus dari batch yang bersangkutan. Jika tipe kesalahannya adalah keying error, maka dengan mudah di lakukan pembetulan. Akan tetapi kalau salah karena source error maka agar tidak mengganggu record lainnya data tersebut perlu dipisahkan dan dibuat batch baru. Dalam hal ini prosedur pembetulan harus jelas dan dimengerti semua pihak.
50
Dalam tinjauan audit dan pengujian terhadap keterandalan pengendalian proses, auditor seringkali melakukan evaluasi dokumentasi program aplikasi, cek manfaat atau pelaksanaan control total dan rekonsiliasinya, adakah mekanisme copy error dari pengguna, apakah dibuat suatu error log, cek atau evaluasi apakah ada laporan kegiatan pengolahan yang dibuat secara rutin dan sebagainya. d. Pengendalian hasil keluaran (output controls) Pengendalian keluaran (output controls) ialah pengendalian intern
untuk
mendeteksi
jangan
sampai
informasi
yang
disampaikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang-orang yang tidak berhak. Kemungkinan resiko yang dihadapi yang terkait dengan keluaran ialah: laporan tidak akurat, tidak lengkap, terlambat atau data tidak up to date, banyak item data yang tidak relevan, bisa dibaca oleh pihak yang tidak berhak. Dalam sistem yang sudah lebih terbuka (menggunakan jaringan komunikasi publik) potensi akses oleh hacker, cracker, atau orang yang tidak berwenang lainnya semakin tinggi. Metode
pengendalian
bersifat
preventive
objective
misalnya ialah perlunya disediakan tabel pelaporan: jenis laporan, periode laporan, dan siapa pengguna, serta check-list, konfirmasi tanda terima oleh penggunanya, prosedur permintaan laporan rutin atau on-demand, atau permintaan laporan baru. Pengendalian 51
bersifat detection objective misalnya ialah cek antar program pelaporan, perlunya dibuat nilai-nilai subtotal dan total yang dapat diperbandingkan untuk mengevaluasikan keakurasian
laporan,
judul dan laporan kolam-kolam perlu didesain dengan sungguhsungguh. Pengendalian bersifat corrective objective misalnya ialah prosedur prosedur klaim ketidakpuasan pelayanan, tersedianya help-desk dan contact person, persetujuan dengan users mengenai service level yang disepakati. Tujuan audit dan cara pengujian yang sering dilaksanakan oleh auditor misalnya ialah cek terhadap jenis output, bentuk atau format laporan, akurasi, pengguna (kategori atau kerahasiaan) dan ketetapan jadwal pelaporan, apakah laporan akurat dan sesuai dengan yang dibutuhkan, apakah keluaran tepat sasaran kepada yang berhak. e. Pengendalian Data/File/Database Umumnya, pengendalian intern dalam lingkungan database memerlukan pengendalian efektif terhadap database, DBMS dan aplikasi. Oleh karena adanya data sharing, independensi dan karakteristik lain sistem database, pengendalian umum sistem informasi komputer (SIK) umumnya lebih besar pengaruhnya terhadap sistem database dibandingkan dengan pengendalian aplikasi. Pengendalian umum SIK yang penting dalam lingkungan database dapat digolongkan ke dalam kelompok berikut :
52
1. Pendekatan baku untuk pengembangan dan pemeliharaan program aplikasi. Karena data dibagi ke banyak pemakai, pengendalian dapat ditingkatkan jika digunakan pendekatan baku di dalam pengembangan setiap program aplikasi dan modifikasi terhadap program aplikasi. Pengendalian ini mencakup dilaksanakannya analisis terhadap dampak transaksi baru dan yang telah ada atas database setiap kali modifikasi diperlukan. Hasil analisis akan menunjukan dampak perubahan tersebut atas
keamanan
dan
integritas
database.
Implementasi
pendekatan baku dalam pengembangan dan perubahan program aplikasi merupakan teknik yang dapat membantu meningkatkan
kecermatan,
integritas,
dan
kelengkapan
database.
2. Kepemilikan data. Dalam lingkungan database, yang di dalamnya banyak individu dapat menggunakan program untuk memasukkan dan mengubah data, diperlukan pembebanan tanggung jawab secara jelas dan tertentu batas-batasnya bagi pengelola database tentang kecermatan dan integritas setiap unsur data. Pembebanan tanggung jawab tertentu untuk kepemilikan data membantu memberikan jaminan terhadap integritas database. 3. Akses ke database. 53
Implementasi yang tidak semestinya ke dalam akses dapat mengakibatkan akses yang tidak berijin ke data dalam database, karena itu akses ke database perlu dibatasi dengan menggunakan password. Pembatasan ini dapat diterapkan terhadap individu, peralatan terminal, dan program. Agar password
efektif,
diperlukan
prosedur
memadai
untuk
mengubah password, penjagaan kerahasian password dan pelaksanaan review. 4. Pemisahan tugas. Tanggung jawab untuk melaksanakan berbagai aktivitas yang diperlukan untuk mendesain, mengimplementasikan, dan mengoperasikan database dibagi di antara personel teknis, desain, pengelola, dan pemakai. Sebagai contoh, orang yang bertanggung jawab dalam mengubah program database karyawan harus berbeda dengan orang yang berwenang untuk mengubah tarif upah karyawan dalam database. Dalam
suatu
instalansi
sistem
database
yang
sudah
kompherensif dan terpadu, mungkin kebijakan manajemen sumber data telah memenuhi hampir seluruh kebutuhan pengendalian, termasuk kebutuhan spesifik aplikasi. Tetapi bila kebutuhan khusus aplikasi masih diperlukan, maka on-top dari yang sudah didesain secara umum pada pengendalian umum, tiap-tiap aplikasi bisa menambahkan kebutuhan spesifiknya, misalnya menyangkut: 54
•
Akses database (access controls) yang spesifik pada file aplikasi.
•
Existence controls, dilihat dari sudut pandang atau lingkup aplikasinya saja.
•
Audit-Trial
f. Pengendalian Komunikasi Aplikasi. Masalah resiko yang berkaitan dengan jaringan menjadi semakin penting karena kini organisasi atau perusahaan harus berani terjun ke lapangan terbuka (jaringan publik) dimana everybody is member of the virtual community, global world wide. Dalam suatu instalansi sistem komputerisasi yang sudah canggih jaringan komunikasi datanya, kebijakan atau manajemen diharapkan
telah
memenuhi
hampir
seluruh
jaringan kebutuhan
pengendalian, termasuk kebutuhan spesifik aplikasi. Tetapi bila kebutuhan khusus aplikasi masih diperlukan, maka on-top dari yang telah didesain secara umum pada pengendalian umum, tiaptiap aplikasi bisa menambahkan kebutuhan spesifiknya, misalnya menyangkut: •
Audit-Trial.
•
Pengendalian atas kegagalan unjuk-kerja.
•
Concurrency, cryptographic controls.
•
Pengaturan tentang digital signature maupun electronic signature.
2.5
Kuisioner 55
Menurut George H. Bodnar dan William S. Hopwood yang diterjemahkan oleh Jusuf (2000, pp.201-203) kuesioner adalah elemen penting dalam suatu program audit. Oleh karenanya, kuesioner merupakan format standar didalam kantor-kantor akuntan publik, departemen audit intern dan organisasi lain yang secara tetap melakukan penelaahan atas pengendalian intern. Kuesioner biasanya dirancang sehingga jawaban positif atas pertanyaan yang diajukan dapat mengindikasikan tingkat pengendalian intern, dan jawaban negatif mengindikasikan kebutuhan informasi lebih lanjut atau adanya kelemahan potensial didalam struktur. Kuesioner pada hakikatnya merupakan daftar periksa untuk menyakinkan bahwa penelaahan tidak menghilangkan hal-hal yang penting. Kuesioner harus diisi dengan dasar pengamatan dan tanya jawab aktual. Tetapi pengisian kuesioner bukan merupakan esensi penelaahan karena esensi penelaahan adalah analisis atas temuan, sedangkan kuesioner menunjang dokumentasi bahwa penelaahan telah dilakukan; tetapi, kuesioner perlu “distandarkan“ dan oleh karena itu tidak dapat diterapkan secara seragam untuk seluruh situasi.
56