7 BAB 2 LANDAS AN TEORI
2.1 Pengertian Sistem Informasi M enurut O’Brien ( 2003, p5 ), sistem informasi merupakan kombinasi teratur apapun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi. Orang bergantung pada sistem informasi untuk berkomunikasi antara satu sama lain dengan menggunakan berbagai jenis alat fisik (hardware), perintah dan prosedur pemrosesan informasi (software), saluran komunikasi (jaringan), dan data yang disimpan (sumber daya data) sejak permulaan peradaban. M enurut Laudon (2002, p7-8), sistem informasi merupakan sekumpulan komponen yang saling berhubungan, yang mengumpulkan, memproses, menyimpan dan mendistribusikan informasi untuk membantu manajer dalam mengambil keputusan,
pengontrolan,
pengkoordinasian,
penganalisaan
masalah
dan
penanggungan masalah yang kompleks dalam suatu perusahaan atau organisasi. Dari definisi di atas dapat disimpulkan bahwa sistem informasi merupakan sekumpulan elemen yang berinteraksi dan dikoordinasikan untuk mengubah data menjadi informasi tepat dan akurat kepada pihak tertentu agar dapat digunakan untuk analisis, fungsi operasional, memanajemen dan mendukung pengambilan keputusan dalam suatu perusahaan.
7
8 2.2 Sistem Informasi Persediaan 2.2.1 Pengertian Sistem Informasi Persediaan M enurut Smith dan Skousen (2001, p328), persediaan menunjukkan barang yang dimiliki untuk dijual kembali dalam kegiatan normal perusahaan serta untuk perusahaan manufaktur merupakan barang – barang yang sedang diproduksi atau akan dimasukkan kedalam proses produksi. M enurut M ulyadi (2001, p553), Sistem informasi persediaan adalah suatu sistem yang menyediakan informasi atau laporan-laporan yang dibutuhkan oleh pihak manajemen yang berhubungan dengan operasi pemesanan, penyimpanan dan persediaan bahan baku. Berdasarkan pendapat diatas, penulis manyimpulkan bahwa sistem informasi persediaan adalah suatu rancangan sistem informasi yang digunakan untuk membantu memantau pengendalian persediaan yang terdapat dalam gudang - gudang yang dimiliki oleh perusahaan. Bagi pihak persediaan, Sistem informasi ini digunakan untuk membantu proses pencatatan persediaan dan juga proses pengecekan fisik persediaan pada gudang – gudang yang bersangkutan. Laporan – laporan yang dihasilkan berupa laporan posisi stok, laporan kartu stok, dan laporan mutasi stok. Semua laporan tersebut digunakan bagi pihak pengendalian persediaan untuk mengadakan pengecekan dan penelusuran transaksi guna mendapatkan saldo akhir persediaan.
9 2.2.2 Jenis-jenis Persediaan Jenis-jenis persediaan menurut Skousen, Stice, dan Stice (2000, p426) menyatakan bahwa dalam perusahaan manufaktur terdapat 3 jenis persediaan, yaitu : a. Bahan mentah ( raw material ) Bahan mentah merupakan bahan yang diperoleh untuk digunakan dalam proses manufaktur atau proses produksi. b. Barang dalam proses ( work in process ) Barang dalam proses ini terdiri atas bahan-bahan yang diproses sebagian dimana dibutuhkan proses lebih lanjut sebelum barang tersebut dijual. c. Barang jadi ( finished goods ) Barang jadi merupakan produk-produk manufaktur yang siap jual.
2.2.3 Metode Pencatatan Persediaan M enurut M ulyadi (2001, p556), ada dua macam metode pencatatan persediaan yaitu : a) M etode M utasi Persediaan (Perpetual Inventory Method) Dalam metode mutasi persediaan, setiap mutasi persediaan dicatat dalam kartu persediaan. b) M etode Persediaan Fisik (Physical Inventory Method) Dalam metode persediaan fisik, hanya ditambah persediaan dari pembelian saja yang dicatat, sedangkan mutasi berkurangnya persediaan karena pemakaian tidak dicatat dalam kartu persediaan.
10 2.2.4 Metode Penilaian Persediaan M enurut Skousen (2001, p524), ada tiga metode dalam penilaian persediaan, yaitu : 1. M etode FIFO ( First In First Out ) M etode ini didasarkan asumsi bahwa harga yang terjual, dinilai menurut harga pembelian barang yang terdahulu ( pertama masuk ). Dengan demikian persediaan akhir dinilai menurut harga pembelian barang yang terakhir masuk. 2. M etode LIFO ( Last In First Out ) M etode ini didasarkan atas asumsi bahwa harga yang sudah terjual dinilai menurut harga pembelian barang yang terakhir masuk sehingga persediaan yang masih ada dinilai berdasarkan harga pembelian yang terdahulu. 3. M etode Rata-Rata ( Weight Average Method ) M etode ini didasarkan atas harga rata-rata, dimana harga tersebut dipengaruhi jumlah barang yang diperoleh pada masing-masing harganya. Dengan demikian persediaan dinilai berdasarkan harga rata-rata.
2.2.5 Fungsi Persediaan M enurut M ulyadi (2002, p242), ada lima fungsi dari persediaan, yaitu: 1) Untuk melakukan pembatasan terhadap inflasi dan perubahan harga. 2) Untuk menghindari dari kekurangan stok yang dapat terjadi karena cuaca, kekurangan pasokan, masalah mutu, atau pengiriman yang tidak tepat. 3) Untuk memberikan suatu stok barang-barang agar dapat memenuhi permintaan yang diantisipasi akan timbul dari produsen.
11 4) Untuk mengambil keuntungan dari potongan jumlah, karena pembelian dalam jumlah besar dapat secara substansial menurunkan biaya. 5) Untuk memasangkan produksi dengan distribusi. M isalnya jika permintaan produk tinggi hanya pada musim panas, suatu perusahaan dapat membentuk stok pada musim tinggi sehingga biaya kekurangan stok dan kehabisan stok dapat dihindari.
2.2.6 Prosedur dalam persediaan M enurut M ulyadi (2001, p559), sistem dan prosedur yang berkaitan dengan persediaan bahan baku adalah: 1. Prosedur pencatatan persediaan yang dibeli. Prosedur ini merupakan salah satu prosedur yang membentuk sistem pembelian dimana dalam prosedur ini, barang yang dibeli dicatat kedalam catatan barang masuk. 2. Prosedur pencatatan persediaan yang diretur ke pemasok. Prosedur ini merupakan prosedur pengurangan kuantitas persediaan atau sebagai pengurangan utang ke pemasok. Prosedur ini juga membentuk sistem pembelian. 3. Prosedur pencatatan persediaan yang dijual. Prosedur ini merupakan salah satu prosedur yang membentuk sistem penjualan, dimana dalam prosedur ini barang yang dijual dicatat kedalam catatan barang keluar.
12 4. Prosedur pencatatan persediaan yang dikembalikan oleh pelanggan. Prosedur ini merupakan prosedur penambahan kuantitas persediaan dan sebagai pengurangan piutang pelanggan. Prosedur ini juga membentuk sistem penjualan. 5. Sistem penghitungan fisik persediaan. Sistem ini biasanya digunakan oleh perusahaan untuk menghitung secara fisik persediaan yang disimpan digudang, yang hasilnya digunakan untuk meminta pertanggung jawaban bagian gudang mengenai pelaksanaan fungsi penyimpanan dan pertanggung jawaban mengenai keandalan pencatatan persediaan yang diselenggarakan serta untuk melakukan penyesuaian terhadap catatan dengan fisik persediaan.
2.2.7 Tujuan Audit Persediaan ( M ulyadi dan Puradiredja, 1998, p257) Tujuan audit terhadap persediaan antara lain : 1. M emperoleh keyakinan tentang keandalan catatan akuntansi yang bersangkutan dengan persediaan. 2. M embuktikan asersi keberadaan persediaan yang dicantumkan di neraca dan keterjadian transaksi yang berkaitan dengan persediaan. 3. M embuktikan asersi kelengkapan transaksi yang berkaitan dengan persediaan yang dicatat dalam catatan akuntansi dan kelengkapan saldo persediaan yang disajikan dineraca. 4. M embuktikan asersi hak kepemilikan klien atas persediaan yang dicantumkan di neraca.
13 5. M embuktikan asersi penilaian persediaan yang dicantumkan di neraca. 6. M embuktikan asersi penyajian dan pengungkapan persediaan di neraca.
2.3 Sistem Pengendalian Intern 2.3.1 Pengertian Sistem Pengendalian Intern M enurut pendapat Weber (1999, p35), “A Control Is A System That Prevents, Detects, Or Corrects Unlawful Events”, yang berarti bahwa sistem pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan mengoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan. M enurut M ichael P.Cangemi dan Tommie Singleton (2002, p66), pengendalian internal adalah aturan, praktek, prosedur, dan peralatan yang dirancang untuk : 1) Keamanan aset yang berhubungan dengan badan hukum. 2) M enyakinkan akurasi dan kepercayaan perolehan data dan informasi produk. 3) M endapatkan efisiensi. 4) M engukur pemenuhan dengan aturan yang berhubungan dengan badan hukum. 5) M engukur pemenuhan dengan regulasi-regulasi. 6) M engatur kejadian-kejadian negatif dan pengaruh dari penyuapan, kejahatan, dan aktivitas pengrusakan.
14 Berdasarkan pengertian diatas maka pengendalian dikelompokkan menjadi tiga bagian yaitu : 1) Preventive Control Pengendalian ini digunakan untuk mencegah masalah sebelum masalah tersebut muncul. 2) Detective Control Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian segera setelah masalah tersebut muncul. 3) Corrective Control Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada detective control. Pengendalian ini mencakup prosedur untuk menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi sistem proses. Dengan demikian bisa mencegah kejadian yang sama dimasa mendatang.
2.3.2 Tujuan Sistem Pengendalian Intern M enurut Hall (dalam Gondodiyoto, 2006, p156), tujuan sistem pengendalian intern terdiri dari : a. M enyajikan data yang dapat dipercaya (To Ensure The Accuracy And Reliability Of The Accounting Records And Information). Pimpinan hendaklah memiliki informasi yang tepat dalam rangka melaksanakan kegiatannya. M engingat bahwa berbagai jenis informasi dipergunakan untuk bahan mengambil keputusan sangat penting artinya, karena itu suatu mekanisme atau sistem yang dapat mendukung penyajian
15 informasi yang akurat sangat diperlukan oleh pimpinan organisasi / perusahaan.
b. M engamankan Aktiva Dan Pembukuan (Safeguarding Assests Of The Firm). Pengamanan atas berbagai harta benda dan catatan pembukuan menjadi semakin penting dengan adanya komputer. Data/informasi yang begitu banyaknya disimpan di dalam media komputer seperti magnetic tape dapat dirusak apabila tidak diperhatikan pengamanannya.
c. M eningkatkan Efesiensi Operasional (To Promote Efficiency In The Firm’s Operations). Pengawasan dalam suatu organisasi merupakan alat untuk mencegah penghamburan usaha, menghindarkan pemborosan dalam setiap segi dunia usaha dan mengurangi setiap jenis penggunaan sumber-sumber yang ada secara tidak efisien.
d. M endorong Pelaksanaan Kebijakan Yang Ada (To Measure Compliance With Management’s Policies And Procedures) Pimpinan menyusun tata cara dan ketentuan yang dapat dipergunakan untuk mencapai tujuan perusahaan. Sistem pengendalian intern berarti memberikan jaminan yang layak bahwa kesemuanya itu telah dilaksanakan oleh karyawan perusahaan.
16 2.3.3 Unsur-Unsur Sistem Pengendalian Intern Pendapat Weber (1999, p49), pengendalian internal terdiri dari lima unsur/komponen yang saling berintegrasi, antara lain : a) Control Environment Komponen ini diwujudkan dengan cara pengoperasian, cara pembagian wewenang dan tanggung jawab yang harus dilakukan, cara komite audit berfungsi, dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja. b) Risk Assessment Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi oleh perusahaan dan cara-cara untuk menghadapi resiko tersebut. c) Control Activities Komponen
yang
dioperasikan
untuk
memastikan
transaksi
telah
terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan aset dan record, pengecekan kinerja dan penilaian dari jumlah record yang terjadi. d) Information and Communication Komponen
dimana
informasi
digunakan
untuk
mengidentifikasi,
mendapatkan, dan menukarkan data yang dibutuhkan untuk mengendalikan dan mengatur operasi perusahaan. e) Monitoring Komponen yang memastikan pengendalian internal beroperasi secara dinamis.
17 2.3.4 Jenis Pengendalian Internal Berbasis Komputer Pendapat Weber (1999, p67), ruang lingkup kontrol dibedakan atas dua jenis, yaitu pengendalian manajemen dan pengendalian aplikasi. 1. Pengendalian M anajemen Pengendalian
M anajemen
dilakukan
untuk
memastikan
bahwa
pengembangan, pengimplementasian, pengoperasian dan pemeliharaan sistem informasi telah direncanakan dan dikontrol dengan baik.
Susbsistem Manajemen
Keterangan
Pengendalian Top
M anajemen puncak harus memastikan bahwa
Management
fungsi sistem informasi telah berjalan dengan baik, tanggung jawab utama mereka adalah untuk membuat keputusan jangka panjang pada sistem terhadap bagaimana sistem informasi akan digunakan dalam organisasi.
Pengendalian
Bertanggung
jawab
merancang,
M anajemen
mengimplementasikan
Pengembangan Sistem
sistem aplikasi.
Pengendalian
Bertanggung jawab dalam menerjemahkan
M anajemen Sumber Data
rencana dan pengendalian yang berhubungan
dan
memelihara
dengan penggunaan data organisasi.
18 Susbsistem Manajemen
Keterangan
Pengendalian
Bertanggung jawab
dalam pengendalian
M anajemen Keamanan
terhadap akses dan pengamanan fisik dari fungsi sistem informasi.
Penendalian M anajemen
Bertanggung jawab dalam perencanaan dan
Operasional
pengendalian terhadap operasional informasi setiap hari.
Pengendalian
Bertanggung jawab
M anajemen Jaminan
keyakinan
Kualitas
pengembangan
mengenai
pengoperasian
dalam
memberikan
kesesuaian
antara
pengimplementasian, dan
pemeliharaan
sistem
informasi dengan standard kualitas yang ada. Tabel 2.1 Kategori Pengendalian Manajemen
Pengendalian M anajemen yang dibahas terdiri dari 2, yaitu : a. Pengendalian M anajemen Keamanan M enurut Weber (1999, p256-272), terdapat ancaman utama terhadap keamanan yang disebabkan oleh alam dan kelalaian atau kesengajaan manusia, yaitu : 1. Ancaman kebakaran ( Fire Damage ) Beberapa pengamanan untuk ancaman kebakaran yaitu :
19 a) Alarm dan alat pemadam kebakaran manual dan otomatis diletakkan ditempat strategis, khususnya ditempat aset sistem informasi berada. b) M emiliki tombol power utama ( termasuk AC ). c) Bangunan terbuat dari bahan tahan api, khususnya ditempat aset sistem informasi berada. d) Letak tangga dan pintu darurat diberi tanda yang jelas sehingga memudahkan untuk menggunakannya. e) Sistem perlindungan kebakaran diawasi dan diuji secara rutin. 2. Ancaman Air ( Water Damage ) Beberapa pengamanan untuk ancaman air, yaitu : a. Bangunan ( platfon, dinding, dan lantai ) terbuat dari bahan tahan air. b. M emiliki sistem drainase yang baik. c. Aset sistem informasi diletakkan ditempat yang tinggi. d. M enutup perangkat keras dengan bahan tahan air apabila tidak digunakan. 3. Perubahan Tegangan Sumber Energi ( Energy Variation ) Pengamanan untuk mengantisipasi perubahan tegangan sumber energi listrik dapat diatasi dengan menggunakan peralatan yang dapat menstabilkan tegangan listrik seperti : a. UPS ( Uninteruptable Power Suply ). b. Stabilizer.
20 4. Kerusakan Struktural ( structural Damage ) Beberapa pengamanan untuk kerusakan struktural yaitu : a. M engasuransikan aset sistem informasi. b. Pilih lokasi yang jarang terjadi bencana alam. 5. Polusi ( Pollution ) Beberapa pengamanan untuk mengatasi polusi yaitu : a. M elarang karyawan membawa makanan dan minuman di sekitar komputer. b. M embersihkan aset secara berkala. 6. Penyusup ( Unauthorized Intrusion ) Beberapa pengamanan untuk mengantisipasi adanya penyusup yaitu: a. Adanya kamera pengawas. b. Adanya satpam/security. c. Adanya alarm keamanan. d. M emastikan tidak adanya bugs. 7. Viruses dan Worms Pelaksanaan keamanan untuk mengantisipasi Viruses dan Worms yaitu : a. Tindakan preventif, seperti install dan update antivirus secara rutin, serta melakukan scan pada file yang akan digunakan. b. Tindakan detektif, seperti melakukan scan untuk mendeteksi ada tidaknya virus secara rutin. c. Tindakan korektif, seperti backup data bebas virus, pemakaian antivirus terhadap file yang terinfeksi.
21 8. Penyalahgunaan Software, data dan Service Tipe penyalahgunaan Software, data dan Service yaitu : a. Perangkat lunak dan database dicuri oleh pegawai atau kompetitor. b. Perusahaan tidak dapat menjaga kerahasiaan data dalam basis data. c. Pegawai menggunakan jasa sistem untuk kepentingan pribadi. 9. Hacking Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking yaitu: a. Penggunaan pin dengan minimal digit. b. Administrator keamanan melakukan monitor sistem secara berkala.
Apabila terjadi bencana, pengendalian yang dapat dilakukan yaitu : 1. Rencana Pemulihan Bencana ( Disaster Recovery Plan ) M emungkinkan fungsi sistem informasi untuk memperbaiki operasional saat terjadi bencana. a. Rencana Darurat ( Emergency Plan ), merupakan tindakan khusus yang akan dilakukan segera setelah terjadinya bencana. b. Back-up Plan, berisi jangka waktu back-up dilakukan, prosedur untuk melakukan back-up, letak perlengkapan back-up, karyawan yang bertanggungjawab untuk melakukan kegiatan back-up. c. Recovery Plan, merupakan kelanjutan dari rencana back-up karena Recovery adalah kegiatan yang dilakukan agar sistem informasi dapat berjalan seperti biasa.
22 d. Test Plan, komponen terakhir dari Disaster Recovery Plan adalah test plan yang berfungsi untuk memastikan bahwa ketiga rencana diatas berjalan dengan baik. 2. Asuransi Kadangkala asuransi digunakan untuk mengurangi kerugian yang meningkat ketika bencana terjadi.
b. Pengendalian M anajemen Operasional M enurut Weber (1999, p292-316) terdapat fungsi delapan tanggung jawab manajemen operasional yaitu: 1. Operasional Komputer ( computer operation ) Terdapat tiga pengendalian operasional komputer, yaitu: a.
Pengendalian Operasional ( Operation Control ) Pengendalian
operasional
bertujuan
untuk
memastikan
keotentikan, keakuratan dan kelengkapan kegiatan operasional. M isalnya program harus dihidupkan dan dimatikan, media penyimpanan
harus
tersedia
dan
informasi
dan
laporan
didistribusikan kepada pengguna. b.
Pengendalian Jadwal ( Scheduling Control ) Pengendalian jadwal digunakan untuk memastikan komputer digunakan untuk kegiatan yang seharusnya dan pemakaian sumber daya sistem telah efisien.
23 c.
Pengendalian Pemeliharaan ( Maintenance Control ) M erupakan tindakan preventif yang dilakukan untuk mencegah kerusakkan perangkat keras.
2. Network Operation • LAN : suatu kumpulan komputer dimana terdapat beberapa unit komputer ( client ) dan satu unit komputer untuk bank data ( server ). Antara masing-masing client maupun antara client dan server dapat saling berrtukar file maupun saling menggunakan printer
yang terhubung pada unit-unit
komputer yang terhubung pada jaringan LAN. • WAN : kumpulan dari LAN atau work group yang dihubungkan dengan menggunakan alat komunikasi modem dan jaringan internet dari / ke komputer pusat dan cabang maupun antar kantor cabang. 3. Persiapan dan entry data (Data preparation and entry) Seluruh sumber data untuk sistem aplikasi dikirim ke bagian persiapan data untuk diketik dan diverifikasi sebelum dimasukkan ke sistem. faktor-faktor yang yang harus diperhatikan yaitu: - Pencahayaan ruangan yang cukup, - Ruangan yang tenang, - Tata ruang yang baik, - Desain peralatan kantor ( monitor komputer, meja dan kursi yang argonomis ),
24 - M emastikan adanya back up pada persiapan pemasukkan data. 4. Pengendalian produksi ( production control ) Terdapat lima fungsi pada pengendalian produksi, yaitu: -
Pengendalian input dan output Bertanggung jawab menjamin input hanya dilakuan oleh pihak yang berwenang, menerima dan memasukkan input, menjaga input, secara berkala mengumpulkan input dan menyimpan input sampai tidak dibutuhkan lagi.
-
Job scheduling control Pada operasional komputer, suatu pekerjaan dilakukan oleh satu atau lebih program. Bagian pengendalian produksi bertanggung jawab menetapkan jadwal operasional serta mempersiapkan dan menguji file pengendalian pekerjaan yang diperlukan untuk setiap pekerjaan.
-
Management of service – level agreement Service level agreement (SAL) merupakan perjanjian antar pengguna dengan fasilitas operasional komputer. SAL berisi waktu respon sistem yang diinginkan pengguna, tingkat pemeliharaan sistem, biaya jasa dan penalti jika sistem tidak sesuai dengan perjanjian.
-
Transfer Pricing / chargeout control Apabila operasi komputer dilengkapi dengan transfer pricing pengendalian produksi dapat ditingkatkan.
25 -
Acquisition of consumables Operasional komputer membutuhkan banyak peralatan pendukung seperti kertas printer, disket, flashdisk, tinta printer.
5. File library File library bertanggung jawab mengolah media penyimpanan. a. Penyimpanan media penyimpan ( storage of storage media ) M edia penyimpan sebaiknya ditempatkan di ruang yang terpisah, akses untuk masuk dibatasi, terdapat petugas yang mengawasi, suhu ruangan dijaga dan ruangan harus bebas dari debu. b. Penggunaan media penyimpan ( used of storage media ) Penggunaan media penyimpan harus diawasi dengan baik. M edia penyimpan hanya diberikan kepada pegawai yang berwenang dan pada saat yang telah ditentukan. c. Pemeliharaan dan Pembuangan media penyimpanan ( maintenance and disposal of storage media ) M edia penyimpan dapat digunakan untuk jangka waktu yang lama, tetapi secara umum kemampuannya berkurang seiring dengan umur media penyimpan tersebut. Karena itulah sebaiknya media penyimpan tidak digunakan dalam jangka waktu yang panjang karena resiko yang timbul juga akan semakin tinggi. d. Lokasi media penyimpan (location of storage media) M edia penyimpan dapat diletakkan didalam maupun diluar ruang komputer. M edia komputer sebaiknya diletakkan di dalam ruang komputer jika sering digunakan. Tetapi jika hanya digunakan untuk
26 back up dan keperluan pemulihan, dapat diletakkan diluar ruang komputer. 6.
Documentation and Program Library Banyak tipe dokumentasi yang digunakan untuk mendukung fungsi sistem informasi, perencanaan strategis dan operasional, dokumentasi sistem informasi,
dokumentasi sistem perangkat
lunak,
dan
perlengkapan program, dokumentasi basis data, manual operasional, manual pengguna, manual standar. Petugas bertanggung jawab untuk memastikan penyimpanan dokumentasi aman, memastikan bahwa hanya pegawai yang berwenang yang dapat mengakses dokumentasi, memastikan dokumentasi selalu diperbaharui, serta memastikan adanya back up untuk setiap dokumentasi. 7.
Help Desk / Technical Support Bertanggung
jawab
untuk
membantu
pegawai
menggunakan
perangkat keras dan perangkat lunak, serta menyediakan dukungan teknis untuk membantu menyelesaikan masalah. A gar dapat efektif dan efisien diperlukan petugas yang kompeten dan terpercaya serta terdapat sistem pengelolaan masalah. 8.
Capacity Planning and Performance Monitoring M anajemen operasional harus terus menerus memantau kinerja perangkat keras dan perangkat lunak untuk memastikan bahwa sistem telah berjalan efisien dan memiliki waktu respon yang dapat diterima.
27 2. Pengendalian Aplikasi ( Application Control ) Pengendalian aplikasi dilakukan dengan tujuan untuk menentukan apakah pengendalian sistem informasi dari sistem yang terkomputerisasi pada aplikasi komputer tertentu sudah memadai untuk memberikan jaminan bahwa data dicatat, diolah, dan dilaporkan secara akurat, tepat waktu, dan sesuai dengan kebutuhan manajemen.
Kategori Pengendalian Boundary Control
Input Control
Proses Control
Jenis-jenis pengendalian •
Otoritas akses ke sistem aplikasi
•
Identitas dan Otentitas pengguna
•
Otorisasi dan validasi masukan
•
Transmisi dan konversi data
•
Penanganan kesalahan
•
Pemeliharaan ketepatan data
•
Pengujian terprogram atas batasan dan memadainya pengolahan
Output Control
•
Rekonsiliasi keluaran
•
Penelaahan
dan
pengolahan
Database Control
•
Distribusi keluaran
•
Record retention
•
Akses
pengujian
hasil
28 Kategori Pengendalian
Communication Control
Jenis-jenis pengendalian •
Integritas data
•
Pengendalian kegagalan unjuk kerja
•
Gangguan komunikasi
Table 2.2 Kategori Pengendalian Aplikasi
Pengendalian aplikasi berupa : a) Pengendalian Batasan (Boundary Control) M engontrol sifat dan fungsi kontrol akses, penggunaan pengkodean dalam kontrol akses, PIN, digital signatures, dan plastic cards. M enurut Weber (1999, p368), pengendalian boundary adalah suatu pengendalian yang memiliki tiga tujuan utama yaitu : 1. M engatur identitas dan otentifikasi dari calon user. 2. M engatur identitas dan otentifikasi dari sumber daya komputer yang diminta oleh user. 3. M embatasi tindakan yang dilakukan oleh user yang menggunakan sumber daya komputer dari serangkaian hak yang diberikan kepadanya.
Tiga tujuan pengendalian subsistem boundary adalah sebagai berikut : 1. Untuk menetapkan identitas dan kewenangan user dari sistem komputer.
29 2. Untuk menetapkan identitas dan kewenangan dari sumber daya yang digunakan user. 3. M embatasi tindakan-tindakan yang dilakukan oleh user yang menggunakan sumber daya komputer terhadap tindakan-tindakan yang tidak terotorisasi.
b) Pengendalian Input (Input Control) M enurut Weber (1999, p420) berpendapat, “Components in the input subsystem are responsible for bringing both data and instructions into an application controls”. Intinya adalah komponen dalam subsistem input bertanggung jawab untuk memasukkan data dan instruksi ke dalam sistem aplikasi. Kedua jenis input tersebut harus divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol sehingga input yang dimasukkan akurat, lengkap dan tepat waktu. Pengendalian input merupakan hal kritis yang didasarkan tiga alasan, yaitu jumlah pengendalian yang paling besar pada sistem informasi terhadap kehandalan subsitem input, aktivitas pada sub yang bersifat rutin dalam jumlah besar dan campur tangan manusia dapat mengalami kebosanan sehingga cenderung mengalami error, sub input sering menjadi target kecurangan. Banyak ketidaksesuaian yang ditemukan dengan cara penambahan, penghapusan atau pengubahan transaksi di input.
30 Pengendalian masukan sangat penting dilakukan karena : 1. Pada sistem informasi kontrol yang besar jumlahnya adalah pada subsistem input, sehingga auditor harus memberikan perhatian yang lebih kepada keandalan pengendalian input yang ada. 2. Aktivitas subsistem input terkadang melibatkan besarnya rutinitas, campur
tangan
manusia
yang
monoton,
sehingga
dapat
menyebabkan terjadinya kesalahan. 3. Subsistem input sering menjadi sasaran tindak kejahatan (fraud), banyak kegiatan yang tidak seharusnya dilakukan yang melibatkan penambahan, pengurangan, atau perubahan input transaksi.
c) Process Control M enurut Gondodiyoto (2003, p144), “Pengendalian proses adalah pengendalian internal untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses. Kemungkinan penyebabnya terjadinya error adalah kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan antara subsistem ataupun kesalahan teknis lainnya”.
d) Pengendalian Output (Output Control) M enurut Gondodiyoto (2003, p145). Pengendalian keluaran adalah pengendalian informasi
yang
internal untuk mendeteksi jangan sampai
disajikan
tidak
akurat,
tidak
didistribusikan kepada orang-orang yang tidak berhak.
lengkap,
atau
31 Digunakan untuk memastikan bahwa data yang diproses tidak mengalami perubahan yang tidak sah oleh operator komputer dan memastikan hanya orang yang berwenang saja yang menerima output.
Pengendalian output berupa : 1. M encocokkan data output (khususnya total pengendalian) dengan total pengendalian yang sebelumnya telah ditetapkan yang diperoleh dalam tahap input dari siklus pemrosesan. 2. M eninjau kembali data output untuk melihat format yang tepat yang terdiri dari judul laporan, tanggal dan waktu pencetakan, banyaknya copy laporan untuk masing-masing pihak yang berwenang, periode laporan, nama program (termasuk versinya yang menghasilkan laporan),
nama
personil
yang
bertanggung
jawab
atas
dikeluarkannya laporan tersebut, masa berlaku laporan, nomor halaman, tanda akhir halaman. 3. M engendalikan data input yang ditolak oleh komputer selama pemrosesan dan mendistribusikan data yang ditolak itu ke personil yang tepat. 4. M endistribusikan laporan-laporan output ke departemen pemakai tepat pada waktunya.
e) Pengendalian Basis Data (Database Control) Weber (1999, p563) berpendapat bahwa “the database subsystem provides function to difine, create, modify, delete, and read data in an
32 informations system”. Intinya adalah bahwa subsistem database menyediakan
fungs i-fungsi
untuk
mendefinisikan,
menciptakan,
memodifisikan, menghapus, dan membaca data di dalam suatu sistem informasi.
f) Pengendalian Komunikasi (Communication Control) Weber (1999, p474) berpendapat bahwa “The Communication subsystem is responsible for transporting data among all the others subsystem within a system and for transporting data to or receiving data from another system”. Intinya adalah subsistem komunikasi bertanggung jawab untuk pengiriman data ke subsistem yang lain pada suatu sistem dan untuk pengiriman data ke penerima data dari sistem yang lain.
2.3.5 Teknik Penilaian Resiko M etode penetapan penilaian resiko ini didasari oleh teori Pickett yang dinyatakan dalam bukunya yang berjudul The Essential Book of Internal Auditing (2005, p.76) yang sebagian dari esensial buku ini juga didukung oleh Peltier dalam bukunya yang berjudul Information Security Risk Analysis (2001, p.60-63). M atriks penilaian resiko adalah suatu cara untuk menganalisa seberapa besar suatu resiko yang ada dari suatu temuan audit. Hal ini dimungkinkan dengan cara menganalisa pengaruh dan kolerasi antara tingkat impact (dampak) yang
33 ditimbulkan dari suatu resiko dengan tingkat Likelihood (kejadian) dari resiko tersebut.
Likelihood High
Likelihood Definition Sumber ancaman dianggap sangat mungkin terjadi, dan kontrol untuk mencegah vulnerabilitas terjadi dianggap tidak efektif.
Medium
Sumber ancaman mungkin terjadi, tetapi kontrol diterapkan ditempat yang dapat mengganggu keberhasilan pencegahan vulnerabilitas.
Low
Sumber ancaman kecil kemungkinan terjadi, atau kontrol diterapkan untuk mencegah, atau sebaliknya menghalangi vulnerabilitas
Tabel 2.3 Definisi Likelihood level ( level kemungkinan terjadi
Risk Level High
Risk Description and Necessary Action Jika sebuah temuan dievaluasi sebagai High Risk, maka penting untuk mempertimbangkan tindakan perbaikan.
Medium
Jika sebuah temuan ditentukan sebagai Medium Risk, tindakan perbaikan diperlukan dan sebuah rencana harus diterapkan.
Low
Jika
sebuah
temuan
dipertimbangkan
ditentukan
apakah
sebagai
diperlukan
Low
Risk,
perbaikan
atau
34 Risk Level
Risk Description and Necessary Action memutuskan untuk menerima resiko.
Tabel 2.4 Definisi Magnitude of impact ( besar dampak resiko )
Besarnya nilai Threat Likelihood dinyatakan dengan: a. High (H) diberi nilai 1.0 b. Medium (M ) diberi nilai 0.5 c. Low (L) diberi nilai 0.1
Sedangkan besarnya nilai impact dinyatakan dengan: a. High (H) diberi nilai 100 b. Medium (M ) diberi nilai 50 c. Low (L) diberi nilai 10
Threat Likelihood
Impact Low (10)
High (1.0)
Medium (0.5)
Low (0.1)
Medium (50)
High (100)
Low
Medium
High
10 x 1.0 = 10
50 x 1.0 = 50
100 x 1.0 = 100
Low
Medium
High
10 x 0.5 = 5
50 x 0.5 = 25
100 x 0.5 = 50
Low
Medium
High
10 x 0.1 = 1
50 x 0.1= 5
100 x 0.1= 10
Tabel 2.5 Matriks penilaian resiko
35
Teknik perhitungan dalam Level penilaian resiko menggunakan fungsi perkalian antara Threat Likelihood dengan impact. Caranya yaitu: 1. Tentukan kemungkinan terjadinya ancaman (Threat Likelihood) berdasarkan nilai yang ada, apakah High, Medium, atau Low. 2. Kemudian tentukan dampak yang mungkin terjadi (Impact) berdasarkan nilai yang ada apakah High, Medium, atau Low. 3. Setelah itu kalikan antara Threat Likelihood dengan Impact. 4. Hasil perkalian tersebut dijumlahkan dan dibagi dengan jumlah pertanyaan. 5. Hasil pembangian tersebut dinilai dengan menggunakan Risk Scale apakah termasuk kategori High, Medium, atau Low. 6. Ancaman yang akan dijadikan resiko dan diberikan rekomendasinya hanya kategori Medium dan High. Low Risk Scale
1 to 10
Medium >10 to 50
Tabel 2.6 Risk Scale
High >50 to 100
36 2.4 Audit 2.4.1 Definisi Audit M enurut Sanyoto Gondodiyoto (2003, p53) auditing didefinisikan sebagai suatu proses yang dilakukan seseorang yang kompeten dan independen yang menghimpun dan mengevaluas i bukti-bukti dari informasi terukur dari suatu kesatuan ekonomi dengan tujuan untuk mempertimbangkan dan melaporkan tingkat kesesuaian dari keterangan terukur yang diperoleh pemeriksaannya tersebut dengan kriteria-kriteria yang telah ditetapkan. M enurut M ulyadi dan Puradiredja (2003, p1), auditing adalah suatu proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan oleh seorang yang kompeten dan independan untuk dapat menentukan dan melaporkan kesesuaian informasi yang dimaksud dengan kriteria-kriteria yang telah ditetapkan. Jadi dapat disimpulkan audit adalah sebuah kegiatan yang dilakukan oleh seseorang yang memiliki kompeten dan bersifat independen dalam melakukan evaluasi dan menghimpun bukti-bukti terhadap objek penelitiannya sehingga dapat mempertanggung jawabkan informasi yang ia berikan yang disebut laporan audit.
2.4.2 Jenis-Jenis Audit Pada umumnya kegiatan audit dapat diklasifikasikan didalam beberapa jenis audit. M enurut Arens & Loebbecke (2003, p4) terdapat tiga jenis audit, yaitu :
37 1) Audit Laporan Keuangan (General Financial Statement Audit) Audit yang dilakukan oleh auditor eksternal independen terhadap laporan keuangan yang disajikan oleh klien untuk menyatakan pendapat mengenai kewajaran keuangan tersebut serta kesesuaiannya dengan standar akuntansi keuangan. 2) Audit Kepatuhan (Compliance Audit) Audit yang tujuannya untuk menentukan apakah objek yang diaudit telah sesuai dengan kondisi atau peraturan tertentu. 3) Audit Operasional / M anajemen (Operational/Management Audit) M eninjau kembali secara sistematik kegiatan organisasi atau kegiatan dari padanya, dalam hubungannya dalam tujuan tertentu, lazimnya menyangkut efektivitas, efisiensi, dan ekonomis tidaknya operasi suatu organisasi.
2.4.3 Bahan Bukti Audit Arens and Loebbecke (2003, p153-161) berpendapat bahwa dalam menentukan prosedur audit mana yang akan digunakan, ada tujuh katagori bahan bukti audit yang dapat dipilih auditor yaitu : 1) Pemeriksaan Fisik M erupakan perhitungan secara fisik atau aktiva berwujud seperti uang tunai, inventory, dll. 2) Konfirmasi Konfirmasi digambarkan sebagai penerimaan jawaban tertulis maupun lisan dari pihak ketiga yang independen dalam memverifikasi akurasi informasi yang telah diminta auditor.
38 3) Dokumentasi (Pemeriksaan Dokumen/Voucing) M erupakan pemeriksaan auditor atas dokumentasi dan catatan klien untuk mendukung informasi yang ada atau seharusnya ada dalam laporan keuangan. 4) Pengamatan Adalah penggunaan panca indera untuk menilai/menetapkan suatu aktivasi tertentu. 5) Tanya Jawab Dengan Klien Tanya jawab adalah mendapatkan informasi tertulis atau lisan dari klien dengan menjawab pertanyaan dari auditor. M eskipun sebagai bahan bukti yang diperhitungkan dapat memperoleh dari klien melalui tanya jawab, biasanya tanya jawab tidak dapat diperlakukan sebagai kemampuan memberikan kesimpulan, karena didapat dari sumber yang tidak independen dan mungkin memihak kepentingan klien. Dengan demikian, apabila auditor memperoleh bahan bukti tanya jawab, biasanya perlu untuk mendapatkan bahan bukti lain yang menguatkan melalui prosedur yang lain. 6) Pelaksanaan Ulang M encakup pengecekan ulang suatu sampel perhitungan dan perpindahan informasi yang dilakukan klien selama periode yang diaudit. 7) Prosedur Analitis Prosedur analitis adalah menggunakan perbandingan dan hubungan untuk menentukan apakah saldo akun tersaji secara layak. Prosedur analitis sangat
39 penting sehingga harus dilakukan selama tahap
perencanaan dan
penyelesaian di setiap audit.
2.4.4 Tujuan Audit Tujuan audit sistem informasi menurut Ron Weber (1999, p10 - 11), secara garis besar dibagi menjadi 4, antara lain : 1)
M engamankan aset (aktiva) yang berhubungan dengan instalasi sistem informasi yang mencakup : perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
2)
M enjaga dan meningkatkan integritas data yang merupakan konsep dasar audit sistem informasi, yang berarti data tersebut memiliki atribut seperti: kelengkapan (completeness), baik dan dipercaya (soundness), kemurnian (purity), dan ketelitian (veracity).
3)
M enjaga dan meningkatkan efektifitas sistem, sistem informasi dikatakan efektif hanya jika sistem informasi tersebut dapat mencapai tujuannya yaitu salah satunya untuk memenuhi kebutuhan user, audit efektivitas sistem dilakukan setelah
suatu sistem berjalan dan pada tahap
perencanaan sistem (sistem design). 4)
M eningkatkan sumber daya sistem dengan menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang dibutuhkan.
40 2.4.5 Standard Audit Standar auditing merupakan pedoman bagi auditor dalam menjalankan tanggung jawab profesionalnya. Standar-standar ini meliputi pertimbangan mengenai kualitas profesional mereka, seperti keahlian dan independensi, persyaratan pelaporan dan bahan bukti. Pedoman utama adalah sepuluh (10) standar auditing atau 10 generally auditing standar-GAAS. Kesepuluh standar tersebut adalah : 1)
Standar Umum: a. Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki keahlian dan pelatihan teknis cukup sebagai auditor. b. Dalam semua hal yang berhubungan dengan penugasan, independensi dalam sikap mental harus dipertahankan oleh auditor. c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya secara cermat dan seksama.
2)
Standar Pekerjaan Lapangan : a. Pekerjaan harus direncanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi dengan semestinya. b. Pemahaman yang memadai atas struktur pengendalian internal harus diperoleh untuk merencanakan audit dan menentukan sifat dan lingkup pengujian yang harus dilakukan. c. Bukti audit yang kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan, pengajuan pertanyaan dan konfirmasi sebagai dasar yang memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit.
41 3)
Standar Lapangan: a. Laporan audit harus menyatakan apakah laporan keuangan telah disusun sesuai dengan prinsip akuntansi yang berlaku umum. b. Laporan audit harus menunjukkan keberadaan yang di dalamnya prinsip akuntansi tidak secara konsisten ditetapkan dalam penyusunan laporan keuangan periode berjalan dalam hubungannya dengan prinsip akuntansi yang ditetapkan dalam periode sebelumnya. c. Pengungkapan informatif dalam laporan keuangan harus dipandang memadai, kecuali dinyatakan lain dalam laporan audit. d. Laporan audit harus memuat suatu pernyataan pendapat mengenai laporan keuangan secara keseluruhan atau suatu asersi bahwa pernyataan demikian tidak dapat diberikan. Jika pendapat secara keseluruhan tidak dapat diberikan, maka alasannya harus dinyatakan. Dalam semua hal yang mana auditor dihubungkan dengan laporan keuangan, laporan auditor harus memuat petunjuk yang jelas mengenai sifat pekerjaan auditor, jika ada, dan tingkat tanggung jawab yang dipikulnya.
2.4.6 Pengertian Audit Sistem Informasi Pengertian audit sistem informasi menurut Weber (1999, p10) adalah proses pengumpulan dan evaluasi terhadap bukti-bukti untuk menentukan apakah suatu sistem komputer telah mengamankan harta organisasi, memelihara keutuhan data, membuat pencapaian tujuan organisasi menjadi lebih efektif dan telah menggunakan sumber daya secara efisien.
42 M enurut Sanyoto Gondodiyoto (2006, p419), audit sistem informasi adalah proses pengumpulan dan penilain bukti untuk menentukan apakah sistem komputerisasi perusahaan telah menggunakan aset sistem informasi secara tepat dan mampu mendukung pengamanan aset tersebut, memelihara kebenaran dan integritas data dalam pencapaian tujuan perusahaan secara efektif dan efisien. Berdasarkan kesimpulan di atas, maka dapat disimpulkan bahwa audit sistem informasi adalah proses pengumpulan dan pengevaluasian bahan bukti audit untuk mengetahui apakah sistem informasi yang ada dapat melindungi aset perusahaan, menjaga integritas data dan mendukung tercapainya tujuan perusahaan secara efektif dan efisien.
2.4.7 Prosedur Audit S istem Informasi M enurut Ron Weber dalam bukunya “Information System Control And Audit” (1999, p45-46) terdapat empat jenis prosedur audit,, yaitu : 1) Prosedures To Obtain An Understanding Of Controls : Penyelidikan, pemeriksaan, observasi dapat digunakan untuk memperoleh sebuah pengertian mengenai apakah kontrol itu ada, seberapa bagus kontrol itu dibuat atau dirancang dan apakah kontrol itu digunakan dalam kegiatan operasional. 2) Test Of Control : Penyelidikan, pemeriksaan, pengamatan, dan penerapan prosedur kontrol dapat digunakan untuk mengevaluasi apakah kontrol tersebut beroperasi secara efektif.
43 3) Subtantive Test Of Details Of Account Balances : Pengujian (test) ini digunakan untuk mengetahui apakah transaksi telah dibukukan dengan benar. 4) Analytical Review Procedures : Pengujian (test) ini fokus pada hubungan antara data dengan tujuan audit.
2.4.8 Tujuan audit Sistem Informasi M enurut Weber (1999, p11-13), tujuan dari audit sistem informasi adalah : 1. meningkatkan perlindungan terhadap asset perusahaan, 2. meningkatkan integritas data, 3. meningkatkan efektivitas sistem dan meningkatkan efisiensi sistem.
2.4.9 Metode Audit Sistem Informasi 1. Auditing Around The Computer M enurut Gondodiyoto (2007, p451) auditor tidak perlu menguji SI berbasis teknologi informasi klien (file program/pengendalian atas file/data di komputer), melainkan cukup terhadap input (dokumen) serta output (laporan) sistem aplikasi saja. 2. Auditing Throught The Computer M enurut Gondodiyoto (2007, p453), dalam pendekatan audit ke sistem komputer (Audit through the computer) auditor melakukan pemeriksaan langsung terhadap program – program dan file komputer pada audit SI berbasis TI.
44 3. Audit With the Computer M enurut Gondodiyoto (2007, p454), menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit.
2.4.10 S tandar ISACA (Information Systems Audit and Control Association) M enurut Information Systems Audit and Control Association (ISACA) (Gondodiyoto, 2006, p68-70) standar untuk audit sistem informasi adalah :
S1 Audit Charter ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit Standard ini adalah menyediakan suatu petunjuk yang berkenaan dengan Audit Charter selama proses Audit. Standard – standard : 1. kegunaan
tanggungjawab,
wewenang dan sesuatu yang harus
dipertanggungjawabkan dari fungsi audit sistem informasi harus dibuat dokumentasinya secara tepat didalam Audit Charter. 2.
Audit Charter harus setuju dan diakui diantara setiap bagian organisasi.
S2 Independen ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
45 kewajiban bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit Standard ini adalah menyediakan suatu petunjuk yang berkenaan dengan Audit Charter selama proses Audit. Standard – standard : 1.
Professional Independence Di dalam semua keadaan yang berhubungan dengan audit, IS Auditor harus independent terhadap sikap dan penampilan pada saat audit.
2. Organisational independence Fungsi audit SI harus independent terhadap area atau aktivitasnya di dalam mencapai tujuannya pada saat mengerjakan tugas audit.
S3 Profesional Ethics and Standards ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban bersama – sama dengan suatu petunjuk di dalamnya. M aksudnya dari IS audit standard adalah menyediakan suatu standard dan petunjuk yang melekat pada IS Auditor terhadap kode etik professional ISACA dan pelatihan secara professional didalam memimpin tugas audt. Standard – standard : 1. IS Auditor harus melekat pada kode etik professional ISACA di dalam memimpin tugas audit. 2. IS Auditor harus dilatih secara professional, termasuk ketaatan pada standard professional audit, di dalam memimpin tugas audit.
46 S4 Competence ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah menyediakan suatu standard dana petunjuk sehingga IS Auditor wajib untuk mencapai suatu kesuksesan dan memelihara professional competence. Standard – standard : 1. IS Auditor harus memiliki professional competence, mempunyai kemampuan dan pengetahuan untuk memimpin tugas audit. 2. IS Auditor harus memelihara professional competence di dalam melanjutkan pembelajaran dan pelatihan professional.
S5 Planning ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk di dalam perencanaan audit. Standard – standard : 1. IS Auditor harus membangun suatu jaringan audit sistem informasi. 2. IS Auditor harus mengembangkan dan mendokumentasikan resiko yang ada.
47 3. IS Auditor harus mengembangkan dan mendokumentasikan rencana audit. 4. IS Auditor harus mengembangkan program audit.
S6 Performance of Audit Work ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk mengenai performance dari kerja audit. Standard – standard : 1. Pengawasan – staff IS audit harus menyediakan kepastian yang jelas mengenai tujuan audit. 2. Bukti – IS audit harus memperoleh bukti yang cukup, nyata, relevan. 3. Dokumentasi – suatu proses audit harus didokumentasikan.
S7 Reporting ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk mengenai laporan sehingga IS Auditor dapat memenuhi tanggungjawabnya. Standard – standard : 1. IS Auditor harus menyediakan laporan audit.
48 2. Laporan audit harus berisi mengenai bagian, tujuan periode, waktu dan performa kinerja audit. 3. Laporan harus ada pendapat, kesimpulan dan rekomendasi, kualifikasi dan bagian pertanggung jawaban audit. 4. IS Auditor harus memiliki bukti yang cukup dan jelas untuk mensupport laporan audit. 5. Laporan harus ditandatangani, diberi tanggal dan didistribusikan kebagian Audit Charter.
S8 Follow Up Activities ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk mengenai kelanjutan aktivitas selama melanjutkan proses audit. Standard – standard : Setelah laporan terhadap kesimpulan dan rekomendasi, IS Auditor harus meminta dan mengevaluasi informasi yang relevan dengan kegiatan yang dilakukan management pada waktu yang tepat.
S9 Irregularities and Illegal Acts ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban bersama – sama dengan suatu petunjuk di dalamnya. M aksud
49 dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk pada kegiatan yang tidak beres dan illegal yang IS audit harus pertimbangkan selama proses audit. Standard – standard : Pada saat perencanaan dan pelaksanaan audit untuk mengurangi resiko ke level yang bawah. 1. IS Auditor harus memelihara sikap professional selama audit. 2. IS Auditor harus mengerti terhadap lingkungan dan organisasi. 3. IS Auditor harus mendapatkan bukti audit yang cukup daan tepat. 4. IS Auditor harus mempertimbangkan terhadap hubungan yang tak diduga – duga yang dapat menyebabkan suatu resiko. 5. IS Auditor harus mendesain dan melaksanakan prosedur. 6. IS Auditor harus memperkirakan pernyataan yang salah yang berindikasi terjadi kegiatan yang tidak beres dan illegal. 7. IS Auditor harus menulis gambaran dari management. 8. IS Auditor apabila menemukan kegiatan yang mencurigakan/illegal harus dilaporkan kepada management secepatnya. 9. IS Auditor apabila menemukan management atau pekerja yang melakukan kegiatan yang mencurigakan/illegal, harus dilaporkan ke pemerintah. 10. IS Auditor harus memberitahukan ke management dan pemerintah mengenai design dan implementasi dari internal control. 11. IS
Auditor
harus
mendokumentasikan
perencanaan, evaluasi dan kesimpulan.
seluruh
komunikasi,
50 S10 IT Governance ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk pada area IT Governance yang IS Auditor butuhkan untuk melakukan pertimbangan selama proses audit. Standard – standard : 1. IS Auditor harus me-review dan menaksir apakah fungsi IS sesuai dengan misi, visi, nilai, tujuan dan strategi organisasi. 2. IS Auditor harus me-review apakah fungsi IS telah memiliki pernyataan yang benar mengenai hasil yang diharapkan bisnis dan menilai kesuksesan. 3. IS Auditor harus me-review dan menaksir efektivitas dari sumber daya IS dan performa dari proses menajemen. 4. IS Auditor harus me-review dan menaksir pemenuhan secara legal, kualitas informasi dan penggadaian. 5. Resiko – berdasarkan suatu pendekatan harus digunakan oleh IS Auditor untuk mengevaluasi fungsi IS. 6. IS Auditor harus me-review dan menaksir control environment dari sebuah organisasi. 7. IS Auditor harus me-review dan menaksir resiko yang akan memberikan efek bagi lingkungan IS.
51 S11 Use of Risk Assessment in Audit Planning ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk mengenai penggunaan dan penilaian resiko pada perencanaan audit. Standard – standard : 1. IS Auditor harus menggunakan tehnik penilaian resiko yang tepat. 2. IS Auditor harus mengidentifikasi dan menaksir resiko yang relevan terhadap area yang sedang ditinjau ketika merencanakan peninjauan individu.
S12 Audit Materiality ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah menyediakan konsep dari audit materialitas dan berhubungan dengan audit resiko. Standard – standard : 1. IS Auditor harus menggunakan audit materialitas dan hubungan dengan audit resiko ketika membandingkan sifat, waktu, dan tingkat dari prosedur audit. 2. ketika merencanakan audit, auditor harus menggunakan kelemahan potensial atau ketiadaan dari pengendalian dan apakah kelemahan atau
52 ketiadaan
pengendalian
dapat
menghasilkan
kecurangan
yang
signifikan atau sebuah kelemahan material dalam sistem informasi. 3. IS
Auditor
harus
menyadari efek
komulatif
dari kelemahan
pengendalian minor atau kelemahan dan ketiadaan dari pengendalian untuk menerjemahkan kedalam kekurangan yang semakin signifikan atau kelemahan material dalam IS. 4. Laporan dari IS Auditor harus memperlihatkan pengendalian yang tidak efektif atau ketiadaan dari pengendalian dan kekurangan yang signifikan dari pengendalian dan kemungkinan dari kelemahan yang dihasilkan dalam kekurangan yang signifikan atau kelemahan material.
S13 Using the work of other experts ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah untuk membuat dan menyediakan pedoman untuk IS Auditor yang menggunakan pekerjaan dari para ahli lain dari audit. Standard – standard : 1. IS Auditor harus tepat dalam menggunakan pekerjaan para ahli dalam audit. 2. IS Auditor harus dapat menilai kualifikasi professional, kompetensi, pengalaman
yang
relevan,
sumber,
kemandirian
pengendalian kualitas dari keahlian yang lain.
dan
proses
53 3. IS Auditor harus menilai, memeriksa ulang dan mengevaluasi pekerjaan dari para ahli sebagai bagian dari audit dan menyimpulkan tingkat dari penggunaan dan kepercayaan dalam pekerjaan para ahli. 4. IS Auditor harus membandingkan dan menyimpulkan apakah pekerjaan dari para ahli sudah memadai dan lengkap untuk membantu IS Auditor dalam menyimpulkan tujuan audit. Kesimpulan seperti itu harus terdokumentasi dengan jelas. 5. IS Auditor harus mengajukan prosedur pengujian tambahan untuk mendapatkan bukti tambahan yang tepat. 6. IS Auditor harus menyediakan opini audit yang tepat dan mencakup ruang lingkup batasan dimana setiap bukti harus diuji terlebih dahulu.
S14 Audit Evidence ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah untuk menetapkan standard dan menyediakan pedoman yang merupakan bukti audit, dan kualitas dan kuantitas dan bukti audit harus didapat dari IS Auditor. Standard – standard : 1. IS Auditor harus mendapatkan prosedur pengujian tambahan untuk mendapatkan bukti tambahan yang tepat untuk menggambarkan kesimpulan yang berdasarkan hasil audit. 2. IS Auditor harus mengevaluasi bukti audit selama proses audit.
54 S15 IT Controls ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah untuk menetapkan standard dan menyediakan pedoman mengenai pengendalian IT. Standard – standard : 1. IS Auditor harus mengevaluasi dan mengawasi pengendalian IT yang merupakan
bagian
dari lingkungan
pengendalian
dalam suatu
organisasi. 2. IS Auditor harus membantu manajemen dengan menyediakan saran mengenai rancangan, implementasi, operasi dan pengembangan pengendalian IT.
S16 E-commerce ISACA standard
berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. M aksud dari IS Audit standard ini adalah untuk menetapkan standard dan menyediakan pedoman mengenai tinjauan lingkungan e-commerce. Standard – standard : IS Auditor harus mengevaluasi pengendalian yang dapat dipergunakan dan menilai resiko ketika meninjau kembali lingkungan e-commerce untuk memastikan transaksi e-commerce sudah terkendali.
55 2.4.11 Tahapan Audit Sistem Informasi M enurut Ron Weber dalam buku “Information System Control and Audit” (1999, p47-55) yang dikutip oleh Sanyoto Gondodiyoto dalam bukunya audit sistem informasi (2006, p425-428), terdapat lima langkah atau tahapan audit sistem informasi yaitu : 1) Perencanaan Audit (Planning The Audit) Perencanaan merupakan tahapan pertama dari kegitan audit, bagi auditor eksternal, hal ini artinya adalah auditor eksternal melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima,
menetapkan staf audit, menghasilkan perjanjian audit,
menghasilkan informasi latar belakang klien, mengerti tentang masalah hukum klien dan melakukan analisa terhadap prosedur yang ada untuk mengerti tentang bisnis klien dan mengindentifikasi resiko audit. 2) Pengetesan Kendali (Tests of Controls) Auditor melakukan control test ketika mereka menilai bahwa control risk berada pada tingkat kurang dari maksimum. M ereka mengandalkan control sebagai dasar untuk mengurangi biaya testing. Sampai pada tahap ini auditor tidak mengetahui apakah identifikasi control telah berjalan dengan efektif. Oleh karena itu diperlukan evaluasi yang spesifik terhadap materi control. 3) Pengetesan Transaksi (Tests of Transaction) Auditor menggunakan test terhadap transaksi untuk mengevaluasi kesalahan atau proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan material yang laporan keuangan.
56 Test transaksi ini menelusuri jurnal dari sumber dokumen, memeriksa file harga dan mengecek keakuratan perhitungan. 4) Pengetesan Keseimbangan atau Keseluruhan Hasil (Tests of Balances Or Overall Results) Yang harus diperhatikan pada pendekatan ini adalah tujuan pengamanan harta dan integritas data. Jenis substantive test terhadap saldo yang digunakan adalah konfirmasi piutang, perhitungan fisik persediaan fisik persediaan dan perhitungan ulang penyusutan aktiva tetap. 5) Pengakhiran (Penyelesaian) Audit (Completion of The Audit) Ada empat opini yang diberikan terhadap hasil audit oleh eksternal auditor yaitu : a. Disclaimer of opinion : auditor tidak dapat memberikan opini. b. Adverse opinion : auditor berpendapat bahwa banyak kesalahan. c. Qualified opinion : auditor berpendapat terjadi beberapa kesalahan tetapi nilainya tidak material. d. Unqualified opinion : auditor berpendapat tidak terjadi kesalahan atau misstatement.
2.4.12 Instrument Audit S istem Informasi M enurut Ron Webber dalam bukunya “Information System Control And Audit” (1999, p789-810) terdapat tiga instrument audit sistem informasi yaitu:
57 1. Wawancara (Interview) Auditor merupakan wawancara dengan orang-orang yang berhubungan dengan sistem yang berjalan dalam perusahaan. 2. Check List Check list digunakan untuk mengetahui kehandalan sistem dengan mengajukan pertanyaan kepada pihak-pihak terkait. Kemudian auditor memeriksa
jawaban-jawaban
yang
diberikan
untuk
menentukan
kehandalan sistem. 3. Control Flowchart Control flowchar t menunjukkan pengendalian apa yang ada dalam perusahaan dan dimana letak pengendalian tersebut.
2.4.13 Pengertian Diagram Alir (FlowChart) M enurut M ulyadi (2001), Flowchart adalah suatu diagram yang berupa simbol-simbol dan dapat menunjukan alur data serta operasi yang terjadi pada suatu sistem.
Flowchart terbagi atas lima jenis, yaitu :
1.
Flowchart Sistem (System Flowchart)
Sistem flowchart adalah suatu gambar yang memperlihatkan urutan prosedur dan proses dari beberapa file dalam media tertentu. M elalui flowchart, dapat terlihat jenis media penyimpanan yang dipakai dalam
58 pengolahan data. Selain itu juga menggambarkan file yang dipakai sebagai input maupun output.
2.
Flowchart Skematik (Schematic Flowchart)
Flowchart
skematik
mirip
dengan
flowchart
sistem
yang
menggambarkan suatu sistem atau prosedur. Flowchart skematik ini bukan hanya menggunakan symbol-simbol flowchart standar, tetapi juga menggunakan gambar-gambar komputer, peripheral, form-form atau peralatan lain yang digunakan dalam sistem.
Flowchart skematik digunakan sebagai alat komunikasi anatara analsis sistem dengan seseorang yang tidak familiar dengan simbol-simbol flowchart yang konvensional. Pemakaian gambar sebagai ganti dari seseorang untuk mempelajari simbol abstrak sebelum dapat mengerti flowchart.
3.
Flowchart Program (Program Flowchart)
Program flowchart adalah bagan yang memperlihatkan urutan dan hubungan proses dalam suatu program. Program flowchart merupakan langkah awal pembuatan flowchart program. Dengan adanya program flowchart maka urutan proses di program menjadi lebih jelas.
59 4.
Flowchart Proses (Process Flowchart)
Flowchart Proses merupakan teknik penggambaran rekayasa industrial yang memecah dan menganalisis langkah-langkah selanjutnya dalam suatu prosedur atau sistem. Flowchart Proses digunakan oleh perekayasa industrial dalam mempelajari dan mengembangkan prosesproses manufacturing. Dalam analisis sistem, flowchart ini digunakan secara efektif untuk menelusuri alur suatu laporan atau form.
5.
Flowchart Paperwork / Flowchart Dokumen (Document Flowchart)
Flowchart paperwork menelusuri alur dari data yang ditulis melalui sistem. Flowchart sering disebut juga flowchart dokumen. Kegunaan utamanya adalah untuk menelusuri alur from dan laporan sistem dari satu bagian ke bagian lain baik bagaimana alur from laporan diproses, dicatat dan disimpan.
Untuk menggambarkan aliran dokumen dalam sistem tertentu, digunakan simbol-simbol dalam suatu bagan alir dokumen. (document flowchart). Dalam bagan alir, arus dokumen digambarkan berjalan dari kiri ke kanan dan dari atas ke bawah. Arah perjalanan dokumen ini, dapat diikuti dengan melihat nomor dalam simbol penghubungan pada halaman yang sama ( on-page connector ) atau nomor dalam simbol penghubung pada halaman yang berbeda ( off-page connector).
60 Penggunaan bagan alir lebih bermanfaat daripada uraian tertulis dalam menggambarkan suatu sistem. M anfaat tersebut adalah sebagai berikut : 1.
Gambaran sistem secara menyeluruh lebih mudah diperoleh dengan menggunakan bagan alir.
2.
Perubahan sistem lebih mudah digambarkan dengan menggunakan bagan alir.
3.
Kelemahan-kelemahan dalam sistem dan identifikasi bidang-bidang yang memerlukan perbaikan lebih mudah ditemukan dengan bagan alir
4.
Dokumentasi sistem akutansi dilakukan dengan menggunakan bagan alir.