BAB 2 LANDAS AN TEORI
2.1 Teori Umum 2.1.1 Pengertian Evaluasi M enurut Kamus Besar Bahasa Indonesia, “Evaluasi adalah proses penilaian yang sistematis mencakup pemberian nilai, atribut, apresiasi dan pengenalan permasalahan serta pemberian solusi-solusi atas permasalahan yang ditemukan.” M enurut husein (2005, p.36), “Evaluasi adalah suatu proses untuk menyediakan informasi tentang sejauh mana suatu standar tertentu untuk mengetahui apakah ada selisih diantara keduanya, serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan yang diperoleh.” Jadi secara umum evaluasi adalah menganalisis dan memberi penilaian serta solusi terhadap masalah yang ditemukan. 2.1.1.2 Pentingnya Evaluasi Gondodiyoto (2007, p.150), mengemukakan “sistem informasi (akuntansi) terutama yang berbasis teknologi informasi perlu dievaluasi (atas efektivitas dan efisiennya) karena berbagai alasan. Alasan pertama adalah karena lazimnya memerlukan dana investasi yang sangat besar. Alasan kedua adalah sistem tersebut melibatkan hampir seluruh posisi kunci dan bahkan mungkin seluruh anggota organisasi. Alasan lain ialah bahwa faktor resiko, kontrol internal, dan dampak kalau terjadi permasalahan akan sangat vital dan kompleks.”
11
12
2.1.2 Pengertian Sistem M enurut Husein (2006, p.137), mengemukakan “sistem adalah seperangkat komponen yang saling berhubungan dan saling bekerja sama untuk mencapai beberapa tujuan.” M enurut Hall (2007, p.6), “sistem adalah kelompok dari dua atau lebih komponen atau subsistem yang saling berhubungan yang berfungsi dengan tujuan yang sama.” Sedangkan menurut O’Brien (2005, p.29), “Sistem adalah sekelompok komponen yang saling berhubungan, bekerja sama untuk mencapai tujuan bersama dengan menerima input serta menghasilkan output dalam proses transformasi yang teratur.” Jadi secara umum sistem dapat diartikan sebagai suatu rangkaian yang terdiri dari komponen-komponen yang saling mendukung satu sama lain dalam pencapaian tujuan yang diharapkan. 2.1.3 Pengertian Informasi M enurut Hall (2007, p.617), “Informasi adalah fakta yang menyebabkan penggunanya melakukan tindakan yang tidak akan dapat dilakukannya atau tidak dilakukannya, jika tidak ada fakta tersebut.” M enurut Husein (2006, p.5), “informasi adalah data yang telah diolah menjadi suatu bentuk yang mempunyai arti dan bermanfaat bagi manusia.” Jadi dapat disimpulkan bahwa informasi merupakan data yang telah diproses yang menghasilkan suatu arti bagi yang menerimanya.
13
2.1.4 Pengertian Sistem Informasi M enurut O’Brien (2005, p.5), “Sistem informasi dapat merupakan kombinasi teratur apa pun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi.” M enurut Hall (2007, p.9), “Sistem informasi adalah serangkaian prosedur formal dimana data dikumpulkan, diproses menjadi informasi dan didistribusikan ke para penggunanya.” M enurut Gelinas, Dull (2008, p.13), “An information system (IS) is a man-made system that generally consists of an integrated set of computer-based components and manual components established to collect, store, and manage data and to provide output information to users.” Jadi dapat disimpulkan bahwa sistem informasi merupakan suatu integrasi dari komponen-komponen yang saling terkait yang telah memproses suatu data menjadi informasi yang berguna untuk membantu dalam menjalankan proses bisnis. 2.1.4.1 Tujuan Sistem Informasi Berdasarkan Hall (2007, p.21) menyatakan, “ tujuan-tujuan sistem informasi sebagai berikut : 1.
M endukung fungsi penyediaan pihak manajemen Administrasi mengacu pada tanggung jawab pihak manajemen untuk mengelola dengan baik sumber daya perusahaan. Sistem informasi menyediakan informas i mengenai penggunaan sumber daya kepada para pengguna eksternal melalui laporan keuangan tradisional serta dari berbagai laporan lain yang diwajibkan. Secara
14
internal, pihak manajemen menerima informasi pelayanan dari berbagai laporan pertanggungjawaban. 2.
M endukung pengambilan keputusan pihak manajemen Sistem informasi memberikan informasi kepada pihak manajemen informasi yang dibutuhkan untuk melaksanakan tanggung jawab pengambilan keputusan tersebut.
3.
M endukung operasional harian perusahaan Sistem informasi menyediakan informasi bagi para personel operasional untuk membantu mereka melaksanakan pekerjaan hariannya dengan cara yang efisien dan efektif.
2.1.4.2 Peran Dasar Sistem Informasi dalam Bisnis M enurut O’Brien (2005, p.10), “terdapat tiga alasan mendasar untuk semua aplikasi bisnis dalam teknologi informasi. M ereka dapat ditemukan dalam tiga peran penting yang dapat dilakukan sistem informasi untuk sebuah perusahaan bisnis. 1.
M endukung proses dan operasi bisnis
2.
M endukung pengambilan keputusan para pegawai dan manajernya
3.
M endukung berbagai strategi untuk keunggulan kompetitif
2.1.4.3 Aktivitas S istem Informasi M enurut O’Brien (2005, p.39), aktivitas sistem informasi terdiri dari: a.
Input Sumber Daya Data Data mengenai transaksi bisnis dan kegiatan lainnya harus ditangkap dan disiapkan untuk pemrosesan melalui aktivitas input. Input biasanya berbentuk aktivitas entri data seperti pencatatan dan pengeditan. Para pemakai akhir biasanya memasukkan data secara langsung ke dalam sistem komputer, atau mencatat data mengenai transaksi dari beberapa jenis media fisik seperti formulir kertas. Hal ini biasanya
15
meliputi berbagai aktivitas edit untuk memastikan bahwa mereka telah mencatat data dengan benar. Begitu dimasukkan, data bisa dipindahkan ke dalam media yang dapat dibaca mesin, seperti magnetic disk hingga dibutuhkan untuk pemrosesan b.
Pemrosesan Data menjadi Informasi Data biasanya tergantung pada aktivitas pemrosesan seperti penghitungan, perbandingan, pemilahan, pengklasifikasian, dan pengikhtisaran. Aktivitas-aktivitas ini mengatur, menganalisis, dan memanipulasi data, hingga mengubahnya ke dalam informasi bagi para pemakai akhir. Kualitas data apa pun yang disimpan dalam sistem informasi juga harus dipelihara melalui proses terus-menerus dari aktivitas perbaikan dan pembaruan.
c.
Output Produk Informasi Informasi dalam berbagai bentuk dikirim ke pemakai akhir dan disediakan untuk mereka dalam aktivitas output. Tujuan dari sistem informasi adalah untuk menghasilkan produk informasi yang tepat bagi para pemakai akhir. Produk informasi umum meliputi pesan, laporan, formulir, dan gambar grafis, yang dapat disediakan melalui tampilan video, respons audio, produk kertas, dan multimedia.
d.
Penyimpanan Sumber Daya Data Penyimpanan adalah komponen sistem dasar sistem informasi. Penyimpanan adalah aktivitas sistem informasi tempat data dan informasi disimpan secara teratur untuk digunakan kemudian.
e.
Pengendalian Kinerja Sistem Aktivitas sistem informasi yang penting adalah pengendalian kinerja sistem. Sistem informasi harus menghasilkan umpan balik mengenai aktivitas input, pemrosesan, output, dan penyimpanan. Umpan balik ini harus diawasi dan dievaluasi untuk
16
menetapkan apakah sistem dapat memenuhi standar kinerja yang telah ditetapkan. Kemudian, aktivitas sistem yang tepat harus disesuaikan agar produk informasi yang tepat dihasilkan bagi para pemakai akhir. 2.1.5 Pengertian Sistem Informasi Akuntansi M enurut Rama dan Jones (2008, p.6), “Sistem Informasi Akuntansi itu adalah suatu subsistem dari Sistem Informasi M anajemen yang menyediakan informasi akuntansi dan keuangan, juga informasi lain yang diperoleh dari pengolahan rutin atas transaksi akuntansi.” M enurut Barry E. Cushing yang dikutip oleh Baridwan (2008, p.3), “sistem informasi akuntansi adalah suatu set sumber daya manusia dan modal dalam suatu organisasi, yang bertugas untuk menyiapkan informasi keuangan dan juga informasi yang diperoleh dari kegiatan pengumpulan dan pengolahan data transaksi.” Dapat disimpulkan pengertian Sistem Informasi Akuntansi merupakan bagian dari sistem informasi manajemen yang menggabungkan sumber daya yang ada untuk diatur dan diproses menjadi informasi yang berkaitan dengan transaksi akuntansi. 2.1.5.1 Prinsip-prinsip Sistem Informasi Akuntansi M enurut
Gondodiyoto
(2007,
p123),
“prinsip-prinsip
yang
harus
dipertimbangkan di dalam penyusunan sistem informasi akuntansi adalah : 1.
Keseimbangan biaya dengan manfaat Yang dimaksud dengan keseimbangan antara biaya dengan manfaat ialah bahw a sistem akuntansi suatu perusahaan harus disusun dengan sebaik-baiknya, tetapi dengan biaya yang semurah-murahnya. M aksudnya adalah sistem akuntansi harus sesuai dengan kebutuhan masing-masing perusahaan tetapi juga harus dengan pertimbangan manfaat yang diperoleh harus lebih besar dari biayanya
17
2.
Luwes dan dapat memenuhi perkembangan Ciri khas suatu perusahaan modern adalah perubahan (organization change). Setiap perubahan harus terus-menerus menyesuaikan diri dengan lingkungan dan perkembangannya, termasuk perubahan kebijakan, perubahan peraturan, dan perkembangan teknologi. Sistem akuntansi harus luwes dalam menghadapi tuntutan perubahan tersebut (flexibility to meet future needs)
3.
Pengendalian internal yang memadai Suatu sistem akuntansi harus dapat menyajikan informasi akuntansi yang diperlukan oleh pengelola perusahaan sebagai pertanggungjawaban kepada pemilik, maupun kepada pihak-pihak yang berkepentingan lainnya. Informasi yang disajikan harus bebas bias, error, dan hal lain yang dapat menyesatkan. Selain dari itu sistem akuntansi
juga
harus
dapat
menjadi
alat
manajemen
untuk
menjalankan/mengendalikan operasi perusahaan, termasuk pengamanan aset perusahaan (adequate internal control) 4.
Sistem pelaporan yang efektif Bila kita menyiapkan laporan, maka pengetahuan tentang pemakai laporan (yaitu mengenai keinginannya, kebutuhan saat ini dan yang akan datang) harus dapat diketahui dengan sebaik-baiknya sehingga kita dapat menyajikan informasi yang relevan dan dipahami oleh mereka yang menggunakannya.
2.1.5.2 Kegunaan Sistem Informasi Akuntansi M enurut Gondodiyoto (2007, p.124) sistem informasi akuntansi memiliki tujuan atau manfaat/kegunaan sebagai berikut : a.
Untuk melakukan pencatatan (recording) transaksi dengan biaya klerikal seminimal mungkin dan menyediakan informasi (information value added mechanism) bagi
18
pihak intern untuk pengelolaan kegiatan usaha (managers) serta para pihak terkait (stockholder/stakeholder). b.
Untuk memperbaiki informasi yang dihasilkan oleh sistem yang sudah ada, baik mengenai mutu, ketepatan penyajian maupun struktur informasinya.
c.
Untuk menerapkan (implementasi) sistem pengendalian intern, memperbaiki kinerja dan tingkat keandalan (reliability) informasi akuntansi dan untuk menyediakan catatan lengkap mengenai pertanggungjawaban (akuntanbilitas).
d.
M enjaga/meningkatkan perlindungan kekayaan perusahaan. M enurut Rama dan Jones (2008, p.7), mengemukakan terdapat 5 kegunaan
Sistem Informasi Akuntansi, yaitu : 1.
M embuat Laporan Eksternal Perusahaan menggunakan sistem informasi akuntansi untuk menghasilkan laporanlaporan khusus untuk memenuhi kebutuhan informasi dari para investor, kreditor, dinas pajak, badan-badan pemerintah, dan yang lain. Laporan-laporan ini mencakup laporan keuangan, SPT pajak, dan laporan yang diperlukan oleh badan-badan pemerintah yang mengatur perusahaan dalam industri perbankan dan utilitas
2.
M endukung Aktivitas Rutin Para manajer memerlukan sistem informasi akuntansi untuk menangani aktivitas operasi rutin sepanjang siklus operasi perusahaan itu. Contohnya antara lain menerima pesanan pelanggan, mengirimkan barang dan jasa, membuat faktur penagihan pelanggan, dan menagih kas ke pelanggan. Sistem komputer mahir menangani transaksi-transaksi yang berulang, dan banyak paket peranti lunak akuntansi yang mendukung fungsi-fungsi yang rutin ini. Teknologi lain, seperti scanner untuk memindai kode produk, meningkatkan efisiensi dari proses bisnis
19
3.
M endukung Pengambilan Keputusan Informasi juga diperlukan untuk mendukung pengambilan keputusan yang tidak rutin pada semua tingkat dari suatu organisasi. Contohnya antara lain mengetahui produk-produk yang penjualannya bagus dan pelanggan mana yang paling banyak melakukan pembelian. Informasi ini sangat penting untuk merencanakan produksi baru, memutuskan produk-produk apa yang harus ada di persediaan, dan memasarkan produk kepada para pelanggan
4.
Perencanaan dan Pengendalian Suatu sistem informasi juga diperlukan untuk aktivitas perencanaan dan pengendalian. Informasi mengenai anggaran dan biaya standar disimpan oleh sistem informasi, dan laporan dirancang untuk membandingkan angka anggaran dengan jumlah aktual. M enggunakan pemindai untuk mencatat barang yang dibeli dan dijual mengakibatkan terkumpulnya jumlah informasi yang sangat banyak dengan biaya yang rendah,
memungkinkan
pengguna untuk
merencanakan
dan
mengendalikan dengan lebih terperinci. Sebagai contoh, analisis pendapatan dan beban bisa dilakukan di tingkatan produk secara individu 5.
M enerapkan Pengendalian Internal Pengendalian internal (internal control) mencakup kebijakan-kebijakan, prosedurprosedur, dan sistem informasi yang digunakan untuk melindungi aset-aset perusahaan dari kerugian atau korupsi, dan untuk memelihara keakuratan data keuangan. Dimungkinkan untuk membangun pengendalian ke dalam suatu sistem informasi akuntansi yang terkomputerisasi untuk membantu mencapai tujuan ini. Sebagai contoh, satu sistem informasi dapat menggunakan kata sandi (password) untuk mencegah individu lain memiliki akses ke format data entri dan laporan yang
20
tidak diperlukan untuk menjalankan pekerjaan mereka. Selain itu, format data entri dapat dirancang untuk secara otomatis memeriksa error dan mencegah jenis tertentu dari data entri yang akan melanggar aturan-aturan yang sudah dibuat. 2.1.6 Pengertian Pengendalian Internal M enurut Gondodiyoto (2009, p.133) yang mengutip dari Information System Audit and Control Association (ISACA, dalam Cangemi 2003, p.65) menyatakan bahwa internal control adalah: The policies, procedures, practice and organizational structures, designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented, or detected, and corrected. Gondodiyoto (2009, p.133) yang mengutip dari The Institute of Internal Auditors (IIA) adalah: The attitude and actions of management and the board regarding the significance of control within the organization. The control environment provides the discipline and structure for the achievement of the primary objectives of the system of internal control. The control environment includes the following elements: integrity and ethical values, manage-ment’s philosophy and operating style, organizational structure, assignment of authority and responsibility, human resources policies and practices, and competence of personnel. M enurut M ulyadi (2001, p.163) mengemukakan, “Sistem pengendalian intern meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya manajemen.”
21
M enurut Rama dan Jones (2008, p.132), “pengendalian internal (internal control) adalah suatu proses, yang dipengaruhi oleh dewan direksi entitas, manajemen, dan personel lainnya, yang dirancang untuk memberikan kepastian yang beralasan terkait dengan pencapaian sasaran kategori sebagai berikut : efektifitas dan efisiensi operasi; keandalan pelaporan keuangan; dan ketaatan terhadap hukum dan peraturan yang berlaku.” Berdasarkan definisi yang sudah disebutkan maka dapat disimpulkan bahwa sistem pengendalian intern adalah suatu perencanaan yang berisi kebijakan, prosedur, dan standar yang dikelola untuk menjaga dan mengendalikan kegiatan proses bisnis agar berjalan secara efektif, efisien, dan sesuai yang diharapkan. 2.1.6.1 Tujuan Pengendalian Intern M enurut M ulyadi (2001, p.180), “Rincian tujuan pengendalian intern akuntansi adalah sebagai berikut : 1.
M enjaga kekayaan perusahaan a.
Penggunaan kekayaan perusahaan hanya melalui sistem otorisasi yang telah ditetapkan
b.
Pertanggungjawaban kekayaan perusahaan yang dicatat dibandingkan dengan kekayaan yang sesungguhnya ada;
2. M engecek ketelitian dan keandalan data akuntansi a.
Pelaksanaan transaksi melalui sistem otorisasi yang telah ditetapkan
b.
Pencatatan transaksi yang terjadi dalam catatan akuntansi;
Tujuan tersebut dirinci lebih lanjut sebagai berikut : a.
Penggunaan kekayaan perusahaan hanya melalui sistem otorisasi yang telah ditetapkan :
22
b.
1)
Pembatasan akses langsung terhadap kekayaan
2)
Pembatasan akses tidak langsung terhadap kekayaan
Pertanggungjawaban kekayaan perusahaan yang dicatat dibandingkan dengan kekayaan yang sesungguhnya ada : 1)
Perbandingan secara periodik antara catatan akuntansi dengan kekayaan yang sesungguhnya ada
2) c.
Rekonsiliasi antara catatan akuntansi yang diselenggarakan
Pelaksanaan transaksi melalui sistem otorisasi yang telah ditetapkan : 1)
Pemberian otorisasi oleh pejabat yang berwenang
2)
Pelaksanaan transaksi sesuai dengan otorisasi yang diberikan oleh pejabat yang berwenang
d.
Pencatatan akuntansi yang terjadi dalam catatan akuntansi 1)
Pencatatan semua transaksi yang terjadi
2)
Transaksi yang dicatat adalah benar-benar terjadi
3)
Transaksi yang dicatat dalam jumlah yang benar
4)
Transaksi dicatat dalam periode akuntansi yang seharusnya
5)
Transaksi dicatat dengan penggolongan yang seharusnya
6)
Transaksi dicatat dan diringkas dengan teliti
3.
M eningkatkan efisiensi dan operasi kegiatan perusahaan
4.
M endorong terlaksananya kepatuhan terhadap kebijaksanaan manajemen yang telah ditetapkan. M enurut James A. Hall (2007, p.181), Tujuan dari pengendalian internal adalah:
1.
M enjaga aset perusahaan
2.
M emastikan akurasi dan keandalan catatan serta informasi akuntansi
23
3.
M endorong efisiensi dalam operasional perusahaan
4.
M engukur kesesuian kebijakan serta prosedur yang ditetapkan oleh pihak manajemen
2.1.6.2 Unsur-unsur Pengendalian Intern Laporan COSO yang dikutip dari buku Rama dan Jones (2008, p.134) mengidentifikasikan lima komponen pengendalian internal yang berpengaruh terhadap kemampuan organisasi dalam mencapai sasaran pengendalian internal. 1.
Lingkungan pengendalian mengacu pada faktor-faktor umum yang menetapkan sifat organisasi dan mempengaruhi kesadaran karyawannya terhadap pengendalian. Faktor-faktor ini meliputi integritas, nilai-nilai etika, serta filosofi dan gaya operasi manajemen. Juga meliputi cara manajemen memberikan wewenang dan tanggun g jawab, mengatur dan mengembangkan karyawannya, serta perhatian dan arahan yang diberikan oleh dewan direksi
2.
Penentuan resiko adalah identifikasi dan analisis risiko yang mengganggu pencapaian sasaran pengendalian internal
3.
Aktivitas pengendalian adalah kebijakan dan prosedur yang dikembangkan oleh organisasi untuk menghadapi risiko. Aktivitas pengendalian meliputi hal-hal berikut: a.
Penelaahan kinerja merupakan aktivitas-aktivitas yang mencakup analisis kinerja misalnya, melalui perbandingan hasil aktual dengan anggaran, proyeksi standar, dan data periode lalu
b.
Pemisahan tugas mencakup pembebanan tanggung jawab untuk otorisasi transaksi, pelaksanaan transaksi, pencatatan transaksi, dan pemeliharaan aset kepada karyawan yang berbeda-beda
24
c.
Pengendalian aplikasi diterapkan pada masing-masing aplikasi SIA
d.
Pengendalian umum adalah pengendalian umum yang berkaitan dengan banyak aplikasi. Sebagai contoh, pengendalian yang membatasi akses ke komputer, peranti lunak, dan data perusahaan. Pengendalian umum juga mencakup pengendalian atas proses pengembangan dan pemeliharaan peranti lunak aplikasi
4.
Informasi dan komunikasi. Sistem informasi perusahaan merupakan kumpulan prosedur (otomatisasi dan manual) dan record yang dibuat untuk memulai, mencatat, memproses, dan melaporkan kejadian pada proses entitas. Komunikasi meliputi penyediaan pemahaman mengenai peran dan tanggung jawab individu
5.
Pengawasan. M anajemen harus mengawasi pengendalian internal untuk memastikan bahwa pengendalian organisasi berfungsi sebagaimana dimaksudkan. M ulyadi (2001, p.167-173), mengemukakan “unsur-unsur pengendalian intern
adalah 1.
Struktur organisasi yang memisahkan tanggungjawab fungsional secara tegas. Struktur organisasi merupakan kerangka (framework) pembagian tanggungjawab fungsional kepada unit-unit organisasi yang dibentuk untuk melaksanakan kegiatankegiatan pokok perusahaan. Pembagian tanggung jawab fungsional dalam organisasi ini didasarkan pada prinsip-prinsip dibawah ini : a.
Harus dipisahkan fungsi-fungsi operasi dan penyimpanan dari fungsi akuntansi
b.
Suatu fungsi tidak boleh diberi tanggung jawab penuh untuk melaksanakan semua tahap suatu transaksi
25
2.
Sistem wewenang dan prosedur pencatatan yang memberikan perlindungan yang cukup terhadap kekayaan, utang, pendapatan dan biaya. Dengan adanya sistem otorisasi akan menjamin dihasilkannya dokumen pembukuan yang dapat dipercaya, sehingga akan menjadi masukan yang dapat dipercaya bagi proses akuntansi. Selanjutnya, prosedur-prosedur pencatatan yang baik akan menghasilkan informas i yang teliti dapat dipercaya mengenai kekayaan, utang, pendapatan dan biaya suatu organisasi
3.
Praktek yang sehat dalam melaksanakan tugas dan fungsi setiap unit organisasi. Pembagian tanggung jawab fungsional dan sistem wewenang dan prosedur pencatatan yang telah ditetapkan tidak akan terlaksana dengan baik jika tidak diciptakan cara-cara untuk menjamin praktik yang sehat dalam pelaksanaannya. Adapun cara-cara yang umumnya ditempuh oleh perusahaan dalam menciptakan praktik yang sehat adalah : a.
Penggunaan formulir bernomor urut tercetak yang pemakaiannya harus dipertanggungjawabkan oleh yang berwenang
b.
Pemeriksaan mendadak (surprised audit), dilaksanakan tanpa pemberitahuan terlebih dahulu terhadap pihak yang akan diperiksa, dengan jadwal yang tidak teratur
c.
Setiap transaksi tidak boleh dilaksanakan dari awal sampai akhir oleh satu orang atau satu unit organisasi, tanpa ada campur tangan dari orang atau unit organisasi lain
d.
Perputaran jabatan (job rotation), diadakan secara rutin akan dapat menjaga independensi pejabat dalam melaksanakan tugasnya, sehingga persekongkolan diantara mereka dapat dihindari
26
e.
Keharusan pengambilan cuti bagi karyawan yang berhak. Karyawan kunci perusahaan diwajibkan mengambil cuti yang menjadi haknya
f.
Secara periodik diadakan pencocokan fisik kekayaan dengan catatannya
g.
Pembentukan unit organisasi yang bertugas untuk mengecek efektifitas unsurunsur sistem pengendalian intern yang lain. Unit organisasi ini disebut satuan pengawas intern atau staf pemeriksaan intern
4.
Karyawan yang mutunya sesuai dengan tanggung jawab. Unsur-unsur mutu karyawan merupakan unsur sistem pengendalian intern yang paling penting. Untuk mendapatkan karyawan yang kompeten dan dapat dipercaya, berbagai cara berikut ini dapat ditempuh : a.
Seleksi calon
karyawan
berdasarkan
persyaratan yang dituntut oleh
pekerjaannya b.
Program yang baik dalam seleksi calon karyawan yang akan menjamin diperolehnya karyawan yang dapat memiliki kompetensi seperti yang dituntut jabatan yang akan dimiliki
c.
Pengembangan pendidikan karyawan
d.
Selama menjadi karyawan perusahaan-perusahaan sesuai dengan tuntutan perkembangan pekerjaannya.”
2.1.6.3 Pihak yang Berkepentingan dalam Pengendalian Internal M enurut Gondodiyoto (2007, p.254), “pihak yang terkait atau berkepentingan terhadap pengendalian internal, yaitu : 1.
M anajemen perusahaan
27
Pihak manajemen organisasi berkepentingan terhadap pengendalian internal, karena struktur pengendalian intern suatu perusahaan pada dasarnya adalah tanggungjawab manajemen puncak (top management) 2.
Dewan komisaris, auditor intern, dan sebagainya
3.
Para karyawan perusahaan itu sendiri
4.
Regulatory Body (Badan pengatur/pemerintahan atau ikatan profesi)
5.
Auditor ekstern independen.”
2.1.6.4 Penggolongan Pengendalian Internal M enurut Gondodiyoto (2007, p.250), “Pengendalian intern digolongkan dalam preventive, detection, corrective, yaitu : 1.
Preventive Controls, yaitu pengendalian intern yang dirancang dengan maksud untuk mengurangi kemungkinan (atau mencegah/menjaga) jangan sampai terjadi kesalahan (kekeliruan, kelalaian, error) maupun penyalahgunaan (kecurangan, fraud). Contoh jenis pengendalian ini ialah misalnya desain formulir yang baik, itemnya lengkap, mudah diisi, serta user-training atau pelatihan kepada orang-oran g yang berkaitan dengan input sistem, sehingga mereka tidak melakukan kesalahan
2.
Detection Controls, adalah pengendalian yang didesain dengan tinjauan agar apabila data direkam (di-entry)/dikonversi dari media sumber (media input) untuk ditransfer ke sistem komputer dapat dideteksi bila terjadi kesalahan (maksudnya tidak sesuai dengan criteria yang ditetapkan). Contoh jenis pengendalian ini ialah misalnya jika seseorang mengambil uang di ATM , maka seharusnya program komputer mendeteksi jika dana tidak cukup, atau saldo minimal tidak mencukupi, atau melebihi jumlah maksimal yang diijinkan untuk pengambilan tiap harinya
28
3.
Corrective Controls, ialah pengendalian yang sifatnya jika terdapat data yang sebenarnya error tetapi tidak terdeteksi oleh detection controls, atau data yang error yang terdeteksi oleh program validasi, harus ada prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data yang salah dengan maksud untuk mengurangi kemungkinan kerugian kalau kesalahan/penyalahgunaan tersebut sudah benar-benar terjadi”.
2.1.6.5 Keterbatasan Sistem Pengendalian Intern M enurut Gondodiyoto (2007, p.253), disamping perlu diingat bahwa sistem pengendalian intern yang baik terbaik adalah bukan struktur pengendalian yang seketat mungkin secara maksimal, sistem pengendalian intern juga mempunyai keterbatasanketerbatasan, antara lain sebagai berikut: 1.
Persekongkolan (kolusi) Pengendalian intern mengusahakan agar persekongkolan dapat dihindari sejauh mungkin, misalnya dengan mengharuskan giliran bertugas, larangan dalam menjalankan tugas-tugas yang bertentangan oleh mereka yang mempunyai hubungan kekeluargaan, keharusan mengambil cuti dan seterusnya. Akan tetapi pengendalian intern tidak dapat menjamin bahwa persekongkolan tidak terjadi
2.
Perubahan Struktur pengendalian intern pada suatu organisasi harus selalu diperbarui sesuai dengan perkembangan kondisi dan teknologi
3.
Kelemahan manusia Banyak kebobolan terjadi pada sistem pengendalian intern yang secara teoritis sudah baik. Hal tersebut dapat terjadi karena lemahnya pelaksanaan yang dilakukan oleh personil yang bersangkutan. Oleh karena itu personil yang paham dan
29
kompeten untuk menjalankannya merupakan salah satu unsur terpenting dalam pengendalian intern 4.
Azas biaya-manfaat Pengendalian juga harus mempertimbangkan biaya dan kegunaannya. Biaya untuk mengendalikan hal-hal tertentu mungkin melebihi kegunaannya, atau manfaat tidak sebanding dengan biaya yang dikeluarkan (cost-benefit analysis). M engenai pengendalian
intern,
seringkali dihadapi dilema antara menyusun sistem
pengendalian yang komprehensif sedemikian rupa dengan biaya yang relative menjadi semakin mahal, atau se-optimal mungkin dengan risiko, biaya dan waktu yang memadai. 2.1.6.6 Sistem Pengendalian Intern pada Sistem Berbasis Komputer 2.1.6.6.1 Pengendalian Umum M enurut Gondodiyoto (2007, p.301), Pengendalian Umum ialah sistem pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. M enurut Gondodiyoto (2007, p.301) ruang lingkup yang termasuk dalam pengendalian umum adalah sebagai berikut : 1.
Pengendalian top manajemen (top management controls), dalam lingkup ini termasuk pengendalian manajemen sistem operasi (information system management controls) Pengendalian
pucuk pimpinan
(top
management controls)
adalah
sistem
pengendalian intern yang ada pada suatu organisasi yang mendorong keterlibatan, kepedulian dan tanggung jawab pucuk pimpinan organisasi terhadap kegiatan TI
30
(teknologi informasi) pada organisasi tersebut, berikut semua konsekuensi, dampak dan syarat-syarat yang harus dipenuhi demi berjalannya sistem secara memadai. 2.
Pengendalian manajemen pengembangan sistem (system development management controls), termasuk manajemen program (programming management controls) Pengendalian pengembangan dan pemeliharaan sistem diperlukan untuk mencegah dan mendeteksi kemungkinan
kesalahan pada waktu pengembangan dan
pemeliharaan sistem (systems development/maintenance), serta untuk memperoleh keyakinan memadai bahwa sistem berbasis teknologi informasi dikembangkan dan dipelihara dengan cara yang efisien dan melalui proses otorisasi yang semestinya. 3.
Pengendalian manajemen sumber data (data resources management controls) Di dalam suatu sistem berbasis teknologi informasi, pengendalian sumber data (data resources management) yang baik adalah: a.
User harus dapat berbagi data (data sharing among users)
b.
Data harus tersedia untuk digunakan kapan saja, dimana pun, dan dalam bentuk apapun (sudah tentu dengan aturan akses/wewenang yang jelas)
c.
Sistem manajemen data harus menjamin adanya sistem penyimpanan yang efisien, tidak terjadi redundancy data, adanya data security, data integrity, dan data independence
d.
Data harus dapat dimodifikasi dengan mudah (user friendly) oleh yang berwenang sesuai dengan kebutuhan user
4.
Pengendalian manajemen operasi (operations management controls) M erupakan jenis pengendalian intern yang didesain untuk menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan pembagian tugas yang baik dalam suatu organisasi yang menggunakan sistem berbasis teknologi informasi.
31
Sumber daya informasi meliputi hardware, software, netware, brainware, data itu sendiri dan seluruh komponen yang diperlukan untuk mendukung berlangsungnya operasi sistem informasi yang baik. M enurut Gondodiyoto (2007, p.338-340) operasi jaringan yang digunakan terdiri dari 2 (dua) jenis, yaitu : a.
Wide Area Network Controls Area network yang luas memerlukan intervensi manusia, sebagai contoh, adanya jaringan komunikasi yang gagal, program diberhentikan secara tidak normal, antrian berita
memenuhi
seluruh
kapasitas
penyimpanan,
operator
harus
dapat
mengidentifikasikan kapan masalah itu dapat terjadi dan memastikan bahw a jaringan dapat mengakomodasi masalah tersebut. b.
Local Area Network Controls Server memainkan peranan penting untuk mekanisme control akses data pada local area network. Utilities operating system di server membuat staf operasional dapat mengelola kegiatan operasi menjadi lebih baik, misalnya : a)
Jumlah space kosong pada harddisk server dapat selalu dimonitor, jika tempat kosong pada server tinggal sedikit maka kinerja network dapat menjadi kacau
b)
Aktivitas pemakaian dan pola perjalanan data pada jaringan dapat dimonitor. Informasi ini dapat membuat operator dapat menentukan konfigurasi jaringan untuk meningkatkan kinerja jaringan, melakukan identifikasi pemakai yang menggunakan jaringan secara tidak pantas, dan mengetahui tingkat interaksi dengan jaringan lain dengan menggunakan gateway atau bridge.
c)
Kartu network khusus sering digunakan untuk masuk ke jaringan pada LAN (Local Area Network)
32
d)
File pada server dapat digunakan untuk menjalankan software yang dapat melakukan tindakan preventif, detektif, dan menghilangkan virus. File server merupakan komponen kritis LAN, server berisi data yang sensitif dan program yang digunakan untuk berkompromi dengan keamanan dan integrity dengan jaringan. Auditor dapat menggunakan interview, observasi, dan review dokumentasi untuk mengevaluasi keandalan control terhadap operasional local area network.
5.
Pengendalian manajemen keamanan (security management controls) Pengendalian ini dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak berwujud (non-fisik, misalnya data/informasi, dan program aplikasi komputer). Keamanan sistem komputer mencakup keamanan perangkat keras, perangkat lunak, data/informasi, sistem prosedur dan manusia. Dimensi keamanan informasi mencakup penggunaan teknologi komputer, proses, dan orang yang dapat dijabarkan sebagai berikut : a.
Peranan teknologi yang mendukung keamanan komputer terkait (network) dan media komunikasi yang terkait kehandalan dan kecepatan penyampaian informasi dari sumber informasi ke tujuan
b.
Proses dilihat dari penyusunan kebijakan keamanan informasi, peranan manajemen, dan jaminan terhadap keamanan informasi agar tidak dapat disusupi oleh pihak yang ingin mendapatkan informasi dengan cara yang tidak benar
c.
Pemakai akhir, staf, IT department, maupun manajemen puncak. Resiko yang dimulai dari proses rekruitmen, dan pelatihan karyawan.
33
6.
Pengendalian manajemen jaminan kualitas (quality assurance management controls) Kebijakan tentang quality assurance ini menyangkut masalah kepedulian dan komitmen pimpinan terhadap aspek mutu atau kualitas jasa informasi yang mereka berikan kepada para penggunanya. Di dalam suatu perusahaan industri misalnya, jasa informasi yang diberikan pusat komputer kepada divisi penjualan, divis i produksi, divisi personalia harus betul-betul dirasakan kegunaannya dalam bentuk data yang akurat, lengkap, dan relevan. Jadi sistem informasi komputerisasi yang dibangun untuk para user tersebut benar-benar sesuai dengan kebutuhan mereka.
2.1.6.6.2 Pengendalian Aplikasi M enurut Gondodiyoto (2007, p.372), pengendalian aplikasi adalah sistem pengendalian intern pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan/aplikasi tertentu (setiap aplikasi memiliki karakteristik dan kebutuhan pengendalian yang berbeda). Pengendalian aplikasi diperlukan untuk mengurangi terjadinya resiko, atau jika resiko ternyata terjadi juga, hendaknya tingkat kerugiannya supaya seminimal mungkin. M enurut Gondodiyoto (2007, p.374), pengendalian aplikasi terdiri dari : 1.
Boundary controls (Pengendalian Batasan) Boundary adalah interface antara pengguna (user) dengan sistem berbasis TI. Tujuan utama Boundary controls ialah : a.
Untuk mengenal identitas dan otentik atau tindakan user/pemakai sistem
b.
Untuk menjaga agar sumber daya informasi digunakan oleh user tersebut dengan cara yang ditetapkan.
34
Beberapa control yang diimplementasikan dalam boundary controls: a.
Chryptographic control Adalah sistem pengendalian internal yang didesain untuk menjaga privacy, serta menjaga agar orang/pihak tidak berwenang tidak dapat melakukan kegiatan yang berkaitan dengan merubah atau menambah data, dan menghapus data
b.
Access control Access control bertujuan agar sumber daya sistem digunakan hanya oleh orangorang yang berhak, menjamin agar kegiatan pengguna dilakukan sesuai dengan ketentuan, dan menjamin bahwa peralatan yang digunakan sesuai dengan semestinya. Ada beberapa cara yang diterapkan dalam kontrol ini, antara lain dengan password. Kelemahan password, antara lain : password dicatat, sehingga kemungkinan dibaca orang lain, orang cenderung membuat password dengan angka tertentu yang mudak ditebak, password tidak pernah diperbaharui, password sering dianggap tidak penting dan dibuat menjadi rahasia umum dengan menyuruh orang lain mengetik password kita
c.
Audit trail Adalah catatan-catatan atau data tertentu yang disimpan di dalam sistem komputer dengan tujuan apabila di kemudian hari ada masalah, maka catatan/data tersebut dapat digunakan untuk pelacakan. Cakupan audit trail : identitas user, informasi otentiknya, identitas sumber daya yang digunakan, jenis kegiatan yang dilakukan, apakah yang bersangkutan harus mencoba akses beberapa kali karena akses gagal, dan kapan mulai serta berakhirnya kegiatan
35
d.
Existance control Didesain untuk menjaga agar jika aktivitas user terhenti karena suatu sebab kegagalan tertentu, akses tersebut tidak diproses lebih lanjut demi untuk menjaga integritas data maupun pengamanan aset.
2.
Input controls (Pengendalian M asukan) Input merupakan salah satu tahap dalam sistem komputerisasi yang paling penting dan mengandung resiko. Input controls dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan. M ekanisme masuknya data input ke sistem dapat dikategorikan dalam dua cara,
yaitu: a.
Batch delayed processing system Pada cara ini, data tiap transaksi diolah dalam satuan kelompok dokumen, dan pengolahan bersifat tertunda, yaitu updating data di komputer tidak sama dengan terjadinya transaksi
b.
Online transaction processing system (real time system) Pada cara ini, peng-update-an data di komputer bersamaan dengan terjadinya transaksi. Sistem ini beresiko tinggi. Pada umumnya perusahaan sekarang ini menggunakan jaringan publik karena biaya yang lebih murah dan alasan keterbukaan akses ke pasar vendor partners dan lingkungan perusahaan lainnya (entity’s environment). Konsekuensinya adalah tingkat keamanan sistem dan data.
36
Pengendalian input dalam sistem online real time dilakukan pada tahap : a.
Entry data & validation Dalam sistem ini, seringkali sudah tidak dengan dokumen lagi (paperless). Data lazimnya langsung di entry ke sistem komputer, misalnya dengan workstation, automatic teller machine, atau point of sales. M esin-mesin tersebut sudah dilengkapi dengan software yang antara lain berisi fungsi validasi terprogram
b.
Pada sistem ini, data di entry langsung oleh pemakai maupun petugas operasional
c.
M asalah audit trail menjadi semakin penting pada sistem ini karena pada umumnya paperless. Oleh karena itu, masalah audit trail dalam bentuk existance control betul-betul diperhatikan.
3.
Process controls (Pengendalian Proses) Ialah pengendalian intern untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses.
4.
Output controls (Pengendalian Keluaran) Output controls merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat, lengkap dan digunakan sebagaimana mestinya. Output controls ini didesain untuk menjamin agar output atau informasi dapat disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak secara cepat dan tepat waktu. Kemungkinan resiko yang terkait dengan keluaran dan harus dideteksi ialah : laporan tidak akurat, tidak lengkap, terlambat atau data tidak up-to-date, banyak item data yang tidak relevan, bisa dibaca oleh pihak yang tidak berhak
37
M etode pengendalian bersifat preventive objective misalnya ialah perlunya disediakan tabel atau matriks pelaporan : jenis laporan, periode laporan, dan siapa pengguna, serta check list konfirmasi tanda terima oleh penggunanya. Pengendalian bersifat detection objective misalnya ialah cek antar program pelaporan, perlunya dibuat nilai-nilai subtotal dan grand-total yang dapat diperbandingkan untuk mengevaluasi keakurasian laporan, judul dan kolom-kolom laporan perlu didesain dengan sungguh-sungguh. Sedangkan pengendalian intern yang bersifat corrective objective misalnya ialah prosedur-prosedur klaim ketidakpuasan pelayanan, tersedianya help-desk dan contact person, persetujuan dengan users mengenai service level yang disepakati. Yang termasuk pengendalian keluaran antara lain ialah : a.
Rekonsiliasi Keluaran dengan M asukan dan Pengolahan Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran dari sistem dengan dokumen asal
b.
Penelaahan dan Pengujian hasil-hasil Pengolahan Pengendalian ini dilakukan dengan cara melakukan penelaahan, pemeriksaan dan pengujian terhadap hasil-hasil pengolahan dari sistem
c.
Pendistribusian Keluaran Pengendalian ini didesain untuk memastikan bahwa keluaran didistribusikan kepada pihak yang berhak, dilakukan secara tepat waktu dan hanya keluaran yang diperlukan saja yang didistribusikan
5.
Pengendalian file/database atau files/database controls, terdiri dari akses dan integritas data
38
6.
Pengendalian komunikasi aplikasi/communication controls terdiri dari pengendalian kegagalan unjuk kerja dan gangguan komunikasi.
2.1.7 Pengertian Audit Sistem Informasi M enurut Bodnar dan Hopwood (2006, p.565), Istilah auditing sistem informasi digunakan umumnya untuk menjelaskan perbedaan dua jenis aktivitas yang terkait dengan komputer. Salah satunya adalah untuk menjelaskan proses mengkaji ulang dan mengevaluasi pengendalian internal dalam sebuah sistem pemrosesan data elektronik. M enurut Weber dalam Gondodiyoto (2007, p.442) “EDP auditing is the process of collecting and evaluating evidence to determine whether a computer systems safeguard assets, maintains data integrity, archieves organizational goals effectively, and consumes resources efficiently”. Namun seiring dengan perkembangan jaman saat ini istilah Electronic Data Processing (EDP) sudah tidak sesuai lagi. Pada awalnya bidang-bidang pekerjaan yang tepat menggunakan komputer ialah kegiatan pengolahan dokumen input yang jumlahnya relatif banyak tetapi pengolahan dokumen input atau rumusan pengolahannya sederhana (kegiatan pembukuan) atau digunakan sebagai alat pengolahan data secara elektronik sehingga dikenal dengan istilah Electronic data Processing (EDP). Istilah Electronic Data Processing Audit (EDP-Audit), kini lebih sering disebut dengan audit sistem informasi yang berkaitan dengan general financial audit atau audit dalam rangka evaluasi terhadap IT governance. Gondodiyoto (2007, p.443) definisi audit sistem informasi disempurnakan menjadi : “Secara garis besar audit sistem informasi merupakan suatu evaluasi untuk mengetahui tingkat kesesuaian antara sistem informasi dengan prosedur yang telah ditetapkan (atau kebutuhan pengguna, user needs), dan untuk mengetahui apakah suatu
39
sistem informasi telah didesain dan diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai”. Dapat disimpulkan bahwa pengertian audit sistem informasi adalah suatu proses untuk mengumpulkan bukti-bukti dalam sistem untuk mengetahui apakah sistem sudah berjalan sesuai dengan kebijakan, prosedur, dan standar yang telah ditetapkan. 2.1.7.1 Tahapan Audit Subjek Audit Sasaran Audit Jangkauan Audit Rencana Pre-audit
Prosedur audit dan langkah-langkah pengumpulan bukti audit
Prosedur evaluasi
untuk
Pelaporan hasil audit
Tahapan Audit Tentukan/identifikasi unit/lokasi yang diaudit Tentukan sistem secara spesi fik, fungsi atau unit organisasi yang akan diperiksa Identi fikasi sistem secara spesi fik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan 1. Identi fikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit 2. Identi fikasi sumber bukti untuk tes atau review seperti fungsi flow chart, kebijakan, standard prosedur dan kertas kerja audit sebelumnya 1. Identi fikasi dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian intern 2. Identi fikasi daftar individu untuk interview 3. Identi fikasi dan menghasilkan kebijakan yang berhubungan dengan bagian, standard an pedoman untuk interview 4. Mengembangkan instrument audit dan metodologi penelitian dan pemeriksaan control internal 1. Organisasikan sesuai kondisi dan situasi 2. Identi fikasi prosedur evaluasi atas tes efektivitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijakan dan pros edur yang diaudit Siapkan laporan yang objekti f, konstrukti f (bersi fat membangun) dan menampung penjelasan auditee
Tabel 2.1 Tahapan Audit (Sumber:Gondodiyoto 2007,p.487 yang mengutip dari CISA Review M anual 2003,p.35)
2.1.7.2 Instrumen Audit M enurut Gondodiyoto (2007, p.596) terdapat berbagai teknik pemeriksaan yang bisa diterapkan dalam melaksanakan audit. Teknik-teknik pemeriksaan tersebut sering
40
disebut dengan istilah instrument audit. Berikut ini adalah contoh-contoh instrumen audit yang dapat digunakan pada saat pelaksanaan audit : 1.
Observasi (Observation) Observasi adalah cara memeriksa dengan menggunakan panca indera terutama mata, yang dilakukan secara berkelanjutan selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah
2.
Wawancara (Interview) Wawancara merupakan teknik pemeriksaan berupa tanya-jawab secara lisan antara auditor dengan auditee untuk memperoleh bahan bukti audit. Tanya-jawab dapat dilakukan secara lisan (wawancara) atau tertulis
3.
Kuesioner (Questionaire) Teknik ini merupakan teknik pemeriksaan yang mudah dan praktis karena tertulis. Dengan metode ini, responden ditentukan, kemudian dikirim surat pengantar beserta daftar pertanyaan (questionaire) tentang hal-hal yang ditanyakan dengan pedoman pengisian dan tanggal jawab yang ditentukan
4.
Inspeksi fisik (physical inspection) Inspeksi merupakan cara memeriksa dengan memakai panca indera terutama mata, untuk memperoleh bukti atas suatu keadaan atau suatu masalah pada saat tertentu. Inspeksi merupakan usaha pemeriksa untuk memperoleh bukti-bukti secara langsung di tempat dimana keadaan atau masalah ingin dibuktikan
5.
Prosedur analisis Analisis artinya memecah atau menguraikan suatu keadaan atau masalah ke dalam beberapa bagian atau elemen dan memisahkan bagian tersebut untuk digabungkan
41
dengan keseluruhan atau dibandingkan dengan yang lain. Dengan analisis pemeriksa dapat melihat hubungan penting antara satu unsur dengan unsur lainnya 6.
Penelaahan dokumen Pada teknik ini dilakukan penelaahan pada dokumen yang tersedia pada suatu organisasi, seperti bagan arus, bagan organisasi, manual program, manual operasi, manual referensi, notulen rapat, surat perjanjian, dan catatan-catatan historis lainnya. Jika mungkin, dokumen-dokumen penting harus ditelaah sebelum wawancara. Dokumentasi yang bermanfaat adalah diagram (flowchart/bagan alir) dan DFD (data flow diagram/diagram arus data). DFD menekankan pada hubungan arus data dan pemrosesan. DFD sangat sederhana dan mudah digunakan.
2.1.7.3 Pendekatan Audit Sistem Informasi Gondodiyoto (2007, p.451), Auditor harus memutuskan pendekatan mana yang akan ditempuh, diantara tiga pendekatan audit yang berkaitan dengan komputer : 1.
Audit di sekitar (input/output) komputer (audit around the computer) Dalam pendekatan audit di sekitar komputer, auditor dapat melangkah kepada perumusan pendapat
dengan
hanya menelaah
struktur pengendalian
dan
melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem manual (bukan sistem informasi berbasis komputer). Auditor tidak perlu menguji pengendalian sistem informasi berbasis komputer klien (yaitu terhadap file program atau data di komputer), melainkan cukup terhadap input serta output sistem aplikasi saja. Dari penilaian terhadap kualitas dan kesesuaian antara input dengan output sistem aplikasi ini, auditor dapat mengambil
42
kesimpulan tentang kualitas pemrosesan data yang dilakukan klien (meskipun proses/program komputernya tidak diperiksa). 2.
Audit M elalui Komputer (Audit Trough the Computer) Dalam pendekatan audit ke sistem komputer auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit sistem informasi berbasis komputer. Auditor menggunakan komputer (software bantu) atau dengan cek logika atau listing program (desk test on logic or program source code) untuk menguji logika program dalam rangka pengujian pengendalian yang ada dalam komputer. Selain itu auditor juga dapat meminta penjelasan dari para teknisi komputer mengenai spesifikasi sistem atau program yang diperiksanya. Dalam pendekatan ini fokus perhatian auditor langsung pada operasi pemrosesan di dalam sistem komputer.
3.
Audit Dengan Komputer (Audit with the Computer) Dalam audit dengan komputer atau audit berbantuan komputer (computer assisted audit), auditor dapat menggunakan cara-cara berikut: 1)
M emproses/melakukan pengujian dengan sistem komputer klien itu sendiri sebagai bagian dari pengujian pengendalian/substantif
2)
M enggunakan komputer untuk melaksanakan tugas audit yang terpisah dari catatan klien, yaitu mengambil copy data/file dan/atau program milik klien untuk dites dengan komputer lain (di kantor auditor)
3)
M enggunakan komputer sebagai alat bantu audit dalam pengujian program dan/atau file/data yang dipergunakan dan dimiliki perusahaan.
43
2.1.7.4 Tujuan Audit Sistem Informasi M enurut Gondodiyoto (2007, p.474), “audit objectives pada audit atas IT governance menurut CobIT
ialah: effectiveness, confidentiality, data integrity,
availability, efficiency, dan realibility. Sedangkan menurut Weber (1999) tujuan audit teknologi informasi (audit objectives) lebih ditekankan pada beberapa aspek penting, yaitu pemeriksaan dilakukan untuk dapat menilai: (a) apakah sistem komputerisasi suatu organisasi/perusahaan dapat mendukung pengamanan aset (assets saveguarding), (b) apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan (system effectiveness), (c) apakah sistem komputerisasi tersebut sudah memanfaatkan sumber-daya secara efisien (efficiency), dan (d) apakah terjamin konsistensi dan keakuratan datanya (data integrity). a.
Pengamanan Aset Dalam model CobIT, tujuan audit ini tidak dinyatakan eksplisit (tidak tertulis). Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file/data dan fasilitas lain harus dijaga dengan sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.
b.
Efektifitas Sistem Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan benar (doing the right thing), telah sesuai dengan kebutuhan user. Informasi yang dibutuhkan oleh para manajer dapat dipenuhi dengan baik.
44
c.
Efisiensi Sistem Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal. Cara kerja sistem benar (doing thing right). Adapun ekonomis mencerminkan kalkulasi untung rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisien berarti sumber daya minimum untuk mencapai hasil maksimal, sedangkan ekonomis lebih bersifat pertimbangan ekonomi.
d.
Ketersediaan (Availability) Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi (TI). TI hendaknya dapat mendukung secara kontinyu terhadap proses bisnis (kegiatan perusahaan). M akin sering terjadi gangguan (system down) maka berarti tingkat ketersediaan sistem rendah.
e.
Kerahasiaan (Confidentiality) Fokusnya ialah pada proteksi terhadap informasi dan supaya terlindungi dari akses dari pihak-pihak yang tidak berwenang.
f.
Kehandalan (Realibility) Berhubungan dengan kesesuaian
dan keakuratan bagi manajemen dalam
pengelolaan organisasi, pelaporan dan pertanggungjawaban.
45
g.
M enjaga integritas data Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki informasi/laporan yang benar, bahkan perusahaan dapat menderita kerugian karena pengawasan tidak tepat atau keputusan-keputusan yang salah. Faktor utama yang membuat data berharga bagi organisasi dan pentingnya untuk menjaga integritas data adalah : a. M akna penting data/informasi bagi pengambilan keputusan. Peningkatan data sehingga dapat memberikan informasi bagi para pengambil keputusan. b. Nilai data bagi pesaing, jika data tersebut berguna bagi pesaing maka kehilangan data akan memberikan dampak buruk bagi organisasi tersebut. Pesaing dapat menggunakan
data
tersebut
untuk
mengalahkan
organisasi
sehingga
mengakibatkan organisasi menjadi kehilangan pasar (market), berkurangnya keuntungan, dan sebagainya.” 2.1.7.5 Perlunya Kontrol dan Audit M enurut Gondodiyoto (2007, p. 476), mengemukakan “mengapa dengan adanya dukungan teknologi informasi, maka kebutuhan kontrol internal sistem yang makin baik dan perlunya audit makin meningkat? Salah satu komponen atau unsur sistem informasi ialah control internal atau pengendalian intern (internal system controls). Terlebih lagi sistem berbasis teknologi informasi akan mempunyai potensi risiko yang makin besar. Risiko yang makin besar mendorong perlunya kontrol yang makin memadai, dan pada akhirnya kita perlu mengevaluasi apakah sistem cukup dilengkapi kontrol dan apakah kalau sudah ada kontrol maka kontrol tersebut sudah dijalankan dengan secara sungguh-
46
sungguh. Untuk mengetahui apakah sistem sudah dilengkapi dengan kontrol yang memadai, dan apakah kontrol tersebut benar-benar dijalankan, maka perlu dilakukan audit. Proses penelitian dan pemeriksaan dengan bahan bukti dan evaluasi berdasarkan kriteria atau standar yang ada adalah merupakan audit. M enurut Gondodiyoto (2007, p. 476) yang mengutip dari Weber (1999, p.6) Faktor-faktor yang mendorong pentingnya kontrol dan audit SI adalah antara lain untuk: 1. M endeteksi agar komputer tidak dikelola secara kurang terarah, tidak ada visi, misi, perencanaan teknologi informasi (IT Plan, information technology plan), pucuk pimpinan organisasi kurang peduli, tidak ada pelatihan dan pola karier personil yang baik, dan sebagainya 2. M endeteksi risiko kehilangan data 3. M endeteksi risiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputersasi salah/lambat/tidak lengkap 4. M enjaga aset perusahaan karena
nilai hardware, software dan personil yang
lazimnya tinggi 5. M endeteksi risiko error komputer 6. M endeteksi risiko penyalahgunaan komputer (fraud) 7. M enjaga kerahasiaan, maksudnya ialah bahwa sistem informasi berbasis teknologi informasi (apalagi yang didesain dengan jaringan publik), hendaknya mempunyai kemampuan untuk memproduksi data, aman terjaga privacy para penggunanya, dan sebagainya 8. M eningkatkan pengendalian evolusi penggunaan komputer, yaitu jangan sampai suatu organisasi/perusahaan melakukan komputerisasi secara tidak terkendali
47
sehingga terjadi pemborosan-pemborosan atau tingkat keamanan yang kurang memadai.” M enurut Gondodiyoto (2007, p.479), “kontrol internal dan audit sangat penting bagi suatu organisasi/perusahaan, karena: 1. Jika data pada sistem komputer hilang, atau rusak, maka kerugiannya akan tidak terkirakan (kerugian yang sangat besar) 2. Bila data pada sistem komputerisasi tidak benar, atau prosesnya salah, sehingga laporan yang dihasilkan error, maka mungkin terjadi pengambilan keputusan yang tidak benar (karena menggunakan data yang salah) 3. Nilai hardware, software, infrastructure komputer dan pegawai yang terlatih bernilai sangat tinggi. Perusahaan telah mengeluarkan investasi yang sangat besar untuk mendapatkan aset sistem informasi (data, hardware, software dan brainware) dan sekaligus merupakan sumberdaya kritis dari perusahaan. Beberapa perusahaan memiliki hardware dan software yang bernilai sangat tinggi dan apabila terjadi kerusakan maka berarti kerugian besar. Selain itu terhentinya proses juga merupakan kerugian tak ternilai 4. Biaya tinggi akibat error-nya komputer Pada saat ini banyak kegiatan perusahaan yang dilakukan secara otomatisasi berbasis komputer, mengolah data, mengontrol pasien, mengontrol pesawat terbang, mengontrol misil nuklir, dan semua dilakukan secara otomatis oleh komputer. Apabila terjadi error pada komputer, atau komputer rusak sehingga organisasi tidak dapat beroperasi dengan normal, maka dapat dibayangkan apa yang akan terjadi dan berapa besar biaya yang disebabkannya
48
5. Data pada sistem komputerisasi banyak yang bersifat pribadi seperti pajak, kredit, kesehatan, dan sebagainya. Data pribadi yang seharusnya menjadi rahasia seseoran g pada jaringan TI dapat tersebar, sehingga mengakibatkan orang-orang kehilangan hak privacy-nya 6. Bila perkembangan komputerisasi tidak dikelola dan dikontrol dengan baik, mungkin akan terjadi perkembangan yang makin tidak terarah 7. Biaya penyalahgunaan komputer bisa berakibat fatal. ” M enurut Gondodiyoto (2007, p.481), “Penyalahgunaan komputer lainnya dapat berupa: 1. Pengrusakan aset (hardware, software, data, fasilitas, dokumentasi, supplies) 2. Pencurian aset (hardware, software, data, dokumentasi atau supply) 3. Pengubahan aset (hardware, software, data atau dokumentasi) yang diubah secara illegal 4. Pelanggaran privacy yaitu melanggar privasi data perusahaan seperti membuka dokumen yang bukan haknya 5. Gangguan operasi yaitu operasi harian dapat berhenti sesaat karena gangguan, termasuk gangguan teknis 6. Penggunaan aset tanpa izin yaitu hardware, software, data, fasilitas, dokumentasi atau supply yang digunakan tanpa izin/wewenang 7. M engabaikan, tidak mengikuti prosedur operasi, atau ketidakpedulian terhadap perawatan assets.” 2.1.8 CobIT (Control Objectives for Information and Related Technology) 2.1.8.1 Latar Belakang dan S ejarah Singkat CobIT
49
M enurut Gondodiyoto (2009, p.161-162) mengemukakan ”CobIT disusun oleh the IT Governance
Institute (ITGI) dan Information Systems Audit and Control
Association (ISACA), tepatnya Information System Audit and Control Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003) dan saat ini adalah edisi keempat pada Desember 2005. M odel CobIT adalah kulminasi dari evolusi ISACA’s control objectives. Pada tahun 1977, EDPAA mempublikasikan konsep pertama control objectives, yang merupakan kompilasi teknik dan prosedur audit SI. Control objective tidak hanya menyangkut tujuan controls, tetapi juga prosedur audit. Jadi, control objective menyediakan benchmark bagi auditor SI dalam mengukur audit effectiveness dan best practices. Pada tahun 1996 ISACF merevisi control objective ke panduan yang lebih baru yang disebut Control Objectives for Information Technology (CobIT). CobIT menjembatani gaps antara business risks, control needs, dan isu-isu teknis. CobIT mengadopsi definisi control dari CO SO : The policies, procedures, practices, and organizational structures are designed to provide reasonable assurance that business objective will be achieved and that undesired events will be prevented or detected and corrected. CobIT juga mengadopsi pengertian control TI dari SAC : a statement of the desired result or purpose to be achieved by implementing control procedures in a particular IT activity. CobIT memberi tekanan pada peran dan dampak IT control dalam kaitannya dengan proses bisnis. CobIT dan ISO/IEC 17799:2005 merupakan standar yang sekarang banyak digunakan (ISO/IEC 17799:2005 adalah code of practice for implementing security management), dan keduanya bersifat saling melengkapi. Ruang lingkup ISO/IEC
50
17799:2005 adalah aspek security, sedangkan CobIT lebih luas, merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan dan dikenal sebagai acuan model (seperti : COSO), dan disejajarkan dengan standar industri (seperti : ITIL, CMM, BS7799, ISO9000), CobIT juga dilengkapi dengan IT balanced scorecard. Secara komplitnya paket produk CobIT terdiri dari CobIT product family, yaitu executive summary, framework, control objectives, audit guidelines, implementation tool set, serta management guidelines, yang sangat berguna atau dibutuhkan oleh auditor, para IT users, dan manajer, pada gambar berikut CobIT Product Family EXECUTIVE SUMM ARY
IMPLEMENTATION TOOL SET
FRAMEWORK With High-Level Control Objectives
MANAGEMENT GUIDELINES
DETAILED CONTROL OBJECTIVES
Maturity Models
Critical Success Factors
AUDIT GUIDELINES
Key Goal Indicators
Key Perfomance Indicators
Gambar 2.1 CobIT Family of Product Sumber : (Gondodiyoto 2009, p.163 yang mengutip dari CobIT Framework, 2003) 2.1.8.2 Pengertian CobIT M enurut Gondodiyoto (2009, p.163) mendefinisikan “CobIT adalah sekumpulan best practices untuk IT governance yang dapat membantu auditor, pengguna user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis IT. CobIT dapat dipakai sebagai alat yang komprehensif untuk
51
menciptakan IT Governance pada suatu perusahaan. CobIT mendukung manajemen dalam mengoptimumkan investasi TI-nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi. M anajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas control individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumberdaya TI perusahaan. Sumber daya TI merupakan suatu elemen yang sangat disoroti CobIT.” Romney dan Steinbart (2005, h.231), “CobIT (Control Objectives for Information and Related Technology) adalah sebuah kerangka praktik pengendalian untuk teknologi informasi, keamanan sistem informasi yang umumnya dapat diaplikasikan. 2.1.8.3 Kerangka Kerja CobIT CobIT memberikan arahan (guidelines) yang berorientasi pada bisnis dan karena itu business process owners dan manajer, termasuk juga auditor dan users, diharapkan dapat memanfaatkan guidelines dengan baik. M enurut Gondodiyoto (2007, p279) kerangka kerja CobIT terdiri atas beberapa arahan (guidelines), yakni : 1.
Control Objectives Control Objectives TI adalah pernyataan mengenai hasil atau tujuan yang harus dicapai melalui penerapan prosedur kendali dalam aktivitas TI tertentu. Terdiri atas 4 tujan pengendalian tingkat tinggi (high level control objectives) yang tercermin dalam 4 domain, yaitu : a.
Perencanaan dan Pengorganisasian (Plan and Organise)
52
Domain ini mencakup pembahasan tentang identifikasi dan strategi investasi TI yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Termasuk didalamnya strategi dan taktik yang digunakan TI untuk mencapai sasaran bisnis, perencanaan strategi, strategi komunikasi, strategi manajemen, manajemen resiko, dan manajemen sumber daya yang menjamin bahwa kebutuhan infrastruktur teknologi dan sumber daya manusia berada pada sasaran yang tepat. b.
Akuisisi dan Implementasi (Acquire and Implementation) Untuk merealisasi strategi TI, perlu diatur kebutuhan TI, diidentifikasi, dikembangkan, atau diimplementasikan secara terpadu dalam proses bisnis perusahaan. Di samping itu harus memperhatikan life cycle dari sistem yang telah ada melalui pemeliharaan, peningkatan, dan penyelesaian pada tahap akhir. Proses akuisisi dan implementasi berfokus pada bagaimana cara membawa teknologi ke dalam organisasi dan menggunakannya melalui perubahan manajemen yang tepat dan prosedur instalasi. Tujuan kendali utama dalam cakupan ini meliputi : 1.
Identifikasi solusi TI dan pemeliharaan software dan hardware yang terkait.
2.
M emastikan
dokumentasi
dan
pilihan
tersedia yang mendukung
penggunaan sistem.
c.
3.
Pengelolaan perubahan infrastruktur dan operasi.
4.
Validasi dan akreditasi instalasi sistem yang baru.
Layanan dan Dukungan (Delivery and Support)
53
Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan operasional bisnis (tingkat jasa layanan TI aktual atau service level) dan aspek urutan (prioritas implementasi dan pelatihannya). d.
Pengawasan dan Evaluasi (Monitoring and Evaluation) Semua proses TI membutuhkan penilaian secara berkala agar kualitas dan tujuan dukungan TI tercapai dengan kebutuhan-kebutuhan kontrol.
2.
Audit Guidelines Berisi sebanyak 210 tujuan-tujuan pengendalian rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan saran perbaikan.
3.
Management Guidelines Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut : a.
Sejauh mana TI harus bergerak dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya ?
b.
Apa saja indikator untuk suatu kinerja yang bagus ?
c.
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factor) ?
d.
Bagaiamana dengan perusahaan lainnya, apa yang mereka lakukan?
e.
Bagaimana anda mengukur keberhasilan dan menilainya ?
2.1.8.4 Kriteria Kerja CobIT CobIT mendukung manajemen dalam mengoptimumkan investasi TI-nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi. M anajemen perusahaan harus
54
memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas control individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan. Sumberdaya TI merupakan suatu elemen yang sangat disoroti CobIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan keandalan informasi (effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability). Kriteria kerja CobIT meliputi : Efektivitas
Efisiensi Kerahasiaan Integritas
Keters ediaan Kepatuhan Keakuratan Informasi
Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu. Memfokuskan pada ketentuan informasi m elalui penggunaan sumber daya yang optimal. Memfokuskan prot eksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi. Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis. Berhubungan dengan informasi yang ters edia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang. Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis. Berhubungan dengan ketentuan kecocokan inform asi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggung jawaban.
Tabel 2.2 : Kriteria Kerja CobIT Sumber : (Gondodiyoto 2009, p.164 yang mengutip dari CobIT Framework, 2003) 2.1.8.5 CobIT Domain CobIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk manajemen TI yang mencakup 4 (empat) domain, yaitu : perencanaan & organisasi, akuisis i & implementasi, penyerahan & dukungan TI, dan monitor. 4 domains pada CobIT framework tersebut dirinci menjadi 34 high-level control objectives (dan selanjutnya dirinci ke dalam 215 detail control objectives), sebagai berikut :
55 1
CobIT Domain Plan and Organize
2
Acquire and Implement
]3
Deliver and Support
4
Monitor and Evaluate
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 1. 2. 3. 4. 5. 6. 7. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 1. 2. 3. 4.
High Level Objectives Define a strategic IT Plan and direction Define the information architecture Determine technological direction Define IT processes, organization and relationship Manage the IT investment Communicate management aim and direction Manage IT human resources Manage Quality Assess and manage IT risks Manage projects Identify automated solutions Acquire and maintain application software Acquire and maintain technology infrastructure Enable operation and use Procure IT resources Manage Changes Install and accredit solutions and changes Define and manage service levels Manage third-party services Manage performance and capacity Ensure continuous service Ensure systems security Identify and allocate costs Educate and train users Manage service desk and incidents Manage the configuration Manage problems Manage data Manage the physical environment Manage operations Monitor and evaluate IT processes Monitor and evaluate internal control Ensure relatory compliance Provide IT Governance
Tabel 2.3 : Domain & High Level Controls CobIT Sumber : (Gondodiyoto 2009, p.169-170) 2.1.9 Penentuan Kriteria Pengukuran CobIT 4.1 membedakan pengukuran atau penilaian menjadi 4 bagian, yaitu financial perspective, customer perspective, internal perspective, learning and growth perspective. Dimana dalam kriteria pengukuran customer perspective ini memiliki beberapa business goals yang harus dicapai, yaitu :
56
Rincian Kriteria Pengukuran Customer Perspective
1 2 3 4 5 6
Bussiness Goals Improve customer orientation and service Offer competitive product and services Establish service continuity and availability Create aglity in responding to changing business requirements Achieve cost optimization of service delivery Obtain reliable and useful information for strategic decision making
IT Goals 1 3 5 9
2 4 6 3
11 8
12 5 13 14
7 10
8
4 15 16
Tabel 2.4 Rincian Kriteria Pengukuran Sumber : ITGI-CobIT 4.1 (2007, p169)
Rincian IT Goals No 1
IT Goals Ensure satisfaction of end users with service offerings and service levels
PO 8 AI 4 DS 1 DS 2 DS 7 DS 8
2
Make sure that IT services are available as required
DS 10 DS 13 DS 3 DS 4 DS 8
3
Create IT agility
DS 13 PO 2 PO 4
PO 7 AI 3 4 5 6
Improve IT’s cost-effeciency and its contribution to business profitability Ensure mutual satisfaction of third-party relationships Reduce solution and service delivery defects and rework
PO 5 DS 6 DS 2 PO 8 AI 4 AI 6 AI 7 DS 10
Processes Manage quality Enable operation and use Define and manage service levels Manage third-party services Educate and train users Manage service desk and incidents Manage problem Manage operations Manage performance and capacity Ensure continous service Manage service desk and incidents Manage operations Define the information architecture Define the IT processes, organizations and relationships Manage IT human resources Acquire and maintain technology infrastructure Manage the IT investment Identify the allocate cost Manage third-party services Manage quality Enable operation and use Manage changes Install and accredit solutions and changes Manage problems
57 7
Ensure minimum business impact in the event of an IT service disruption or change
PO 6 AI 6 DS 4 DS 12
8
Respond to governance requirements in line with board direction
PO 1 PO 4
PO 10 ME 1
9
Respond to business requerment in alignment with business strategy
ME 4 PO 1 PO 2 PO 4 PO 10 AI 1 AI 6 AI 7 DS 1 DS 3 ME 1
10 11
Deliver project on time and on budget, meeting quality standarts Acquire and maintain integrated and standardised application systems
PO 8 PO 10 PO 3 AI 2 AI 5 AI 3
12
Acquire and maintain an integrated and standardized IT infrastructure
13
Optimize the use of information
AI 5 PO 2
Ensure transparency and understandinf og IT cost, benefits, strategy, policies and service levels
DS 11 PO 5 PO 6
14
DS 1 DS 2 DS 6 ME 1 ME 4
Communicate management aims and direction Manage changes Ensure continuos service Manage the physicall environtment Define a strategic IT plan Define the IT processes, organization and relationships Manage projects Monitor and evaluate IT performance Provide IT governance Define a strategic IT plan Define the information architecture Define the IT processes, organization and relationship Manage project Identify automated solutions Manage changes Install and accredit solutions and changes Define and manage service levels Manage performance and capacity Monitor and evaluate IT performance Manage quality Manage projects Determine technological direction Acquire and maintain application software Procure IT resources Acquire and maintain technology infrastructure Procure IT resources Define the information architecture Manage data Manage the IT investment Communicate management aims and direction Define and manage service levels Manage third-party services Identify and allocate costs Monitor and evaluate IT performance Provide IT governance
58 15
Ensure that automated business transaction and information exchanges can be trusted
PO 6 AI 7
16
Maintain the integrity of information and processing infrastructure
DS 5 AI 6 DS 5
Communicate management aims and direction Install and accredit solutions and changes Ensure systems security Manage changes Ensure systems security
Tabel 2.5 Rincian IT Goals Sumber : ITGI-CobIT 4.1 (2007, p169)
2.2 Teori Khusus 2.2.1 Pengertian Penjualan M enurut Arif & Wibowo (2008, p.78-79), “Penjualan tunai adalah penjualan barang dagangan dengan menerima pembayaran kas atau tunai secara langsung dari pelanggan pada saat terjadinya penjualan.” Sedangkan “Penjualan kredit adalah penjualan barang dagangan dengan kesepakatan antara pembeli dan penjual pada saat transaksi, yaitu pembayaran akan dilakukan pada waktu yang akan datang.” 2.2.1.1 Perbedaan Penjualan dengan Pemasaran M enurut Alma (2009, p.136), “perbedaan pemasaran dengan penjualan adalah Penjualan : 1.
M enekankan kegiatan produksi;
2.
Perusahaan mula-mula membuat produk, kemudian berusaha menjualnya;
3.
M anajemen disini berorientasi pada bagaimana tercapainya volume penjualan sebesar-besarnya;
4.
Rencananya biasanya berjangka pendek, dengan kata lain produk sekarang harus dipasarkan sekarang;
Sedangkan pemasaran : 1.
M enekankan pada apa yang diinginkan oleh konsumen;
59
2.
Perusahaan mula-mula meneliti keinginan konsumen, kemudian merancan g bagaimana membuat produk tersebut, agar memuaskan selera konsumen;
3.
M anajemen berorientasi pada profit, dalam arti laba total, bukan laba per unit;
4.
Rencana dibuat jangka panjang, dalam arti memikirkan pertumbuhan perusahaan dimasa yang akan datang.”
2.2.2 Jenis – jenis penjualan 2.2.2.1 Penjualan Tunai M enurut M ulyadi (2001, p202.), “Dalam transaksi penjualan secara tunai, barang atau jasa diserahkan kepada pembeli oleh perusahaan ketika perusahaan telah menerima kas dari pembeli. Kegiatan perusahaan secara tunai ini ditangani oleh perusahaan melalui sistem penjualan tunai.” 2.2.2.2 Penjualan Kredit M enurut M ulyadi (2001, p.202), “Dalam transaksi penjualan kredit, jika order dari pelanggan telah dipenuhi dengan pengiriman barang atau penyerahan jasa, untuk jangka waktu tertentu perusahaan memiliki piutang kepada pelanggannya. Kegiatan penjualan secara kredit ini ditangani oleh perusahaan melalui sistem penjualan kredit.” 2.2.2.3 Penjualan Leasing M enurut M uljo (2007, p.257), ”Lease yaitu suatu perjanjian kontrak yang mengalihkan hak untuk menggunakan aktiva dalam periode waktu yang ditentukan.” 2.2.2.3.1 Jenis Leasing M enurut Atmaja (2008, p.329), ”pada dasarnya leasing dibagi menjadi 2 jenis, yaitu : 1.
Operating Lease (Service Lease), umumnya menyediakan pendanaan sekaligus perawatan aktiva tetap. Pemilikan aktiva disebut ”lessor”, sedangkan pengguna
60
disebut ”lesse”. Lessor menyediakan aktiva untuk lesse yang membayar ”leas e payment”. Ciri-ciri operating lease : a.
Tidak teramortisasi secara penuh, artinya total lease payment lebih kecil dari biaya pengadaan aktiva
2.
b.
Usia kontrak lease lebih pendek dari usia ekonomis aktiva yang diperkirakan
c.
Lessor mengharapkan keuntungan dari me-leasing aktivanya beberapa kali
d.
Ada klausul ”cancellation” atau dapat dibatalkan
Financial Lease (Capital Lease) berbeda dari operating lease dalam hal : (1) Tidak menyediakan jasa perawatan, (2) Tidak dapat dibatalkan, dan (3) Teramortisasi secara penuh, yang artinya total lease payment sama dengan biaya pengadaan aktiva plus keuntungan lessor.”
2.2.2.4 Penjualan Bersyarat dan Penjualan Cicilan M enurut M uljo (2007, p.100), ”Kontrak penjualan bersyarat dan penjualan cicilan dapat mempersyaratkan penahanan hak oleh penjual sampai harga jual dibayar seluruhnya. Pihak penjual yang menahan hak tersebut dapat menyajikannya sebagai persediaan dengan dikurangi kekayaan pembelian barang menurut jumlah angsuran yang telah dilakukan. Pihak pembeli melaporkan suatu bagian pemilikan atas barang sesuai dengan pembayaran yang dilakukan.” 2.2.2.5 Penjualan Konsinyasi M enurut M uljo (2007, p.92), ”Penjualan konsinyasi adalah metode akuntansi lain untuk penyerahan harta tetap tanpa pemindahan hak milik dan tanpa suatu kontrak penjualan yang telah diselesaikan. Pihak penjual disebut dengan consignor. Pihak pembeli disebut dengan consignee.”
61
2.2.3 Fungsi yang Terkait M enurut M ulyadi (2001, p.204), Fungsi yang terkait dalam sistem penjualan kredit dengan kartu kredit perusahaan adalah : a.
Fungsi kredit Dalam transaksi penjualan kredit dengan kartu kredit, fungsi ini bertanggung jawab atas pemberian kartu kredit kepada pelanggan terpilih. Sebelum seorang pelanggan diberi kartu kredit, ia harus mengajukan permintaan menjadi anggota kartu kredit perusahaan dengan mengisi formulir permintaan menjadi anggota. Fungsi kredit melakukan pengumpulan informasi tentang kemampuan keuangan calon anggota dengan meminta fotocopy rekening koran bank, keterangan gaji atau pendapatan calon anggota dari perusahaan tempat ia bekerja, dan dari sumber-sumber lain. Dengan demikian pelanggan yang diberi kartu kredit adalah pelanggan yang telah melewati tahap seleksi yang dilakukan oleh fungsi kredit, sehingga kemungkinan tidak tertagihnya piutang kepada pelanggan tersebut dapat dikurangi. Dalam sistem penjualan kredit dengan kartu kredit, fungsi kredit tidak diperlukan lagi otorisasinya, karena otorisasi pemberian kredit sudah tercermin dari kartu kredit yang ditunjukkan oleh pelanggan pada saat melakukan pembelian.
b.
Fungsi penjualan Dalam sistem penjualan dengan kartu kredit ini, fungsi penjualan bertanggun g jawab melayani kebutuhan barang pelanggan. Fungsi penjualan mengisi faktur penjualan kartu kredit untuk memungkinkan fungsi gudang dan fungsi pengiriman melaksanakan penyerahan barang kepada pelanggan.
62
c.
Fungsi gudang Dalam sistem penjualan ini, fungsi gudang menyediakan barang yang diperlukan oleh pelanggan sesuai dengan yang tercantum dalam tembusan faktur penjualan kartu kredit yang diterima dari fungsi penjualan.
d.
Fungsi pengiriman Fungsi ini bertanggung jawab untuk menyerahkan barang yang kuantitas, mutu, dan spesifikasinya sesuai dengan yang tercantum dalam tembusan faktur penjualan kartu kredit yang diterima dari fungsi penjualan. Fungsi ini juga bertanggung jawab untuk memperoleh tanda tangan dai pelanggan di atas faktur penjualan kartu kredit sebagai bukti telah diterimanya barang yang dibeli oleh pelanggan.
e.
Fungsi akuntansi Fungsi ini bertanggung jawab untuk mencatat transaksi bertambahnya piutang kepada pelanggan ke dalam kartu piutang berdasarkan faktur penjualan kartu kredit yang diterima dari fungsi pengiriman. Di samping itu, fungsi akuntansi bertanggun g jawab atas pencatatan transaksi penjualan di dalam jurnal penjualan.
f.
Fungsi penagihan Fungsi ini bertanggung jawab untuk membuat surat tagihan secara periodik kepada pemegang kartu kredit.
2.2.4 Proses atau Prosedur yang Membentuk Sistem Penjualan 2.2.4.1 Prosedur Penjualan Kredit M enurut Hall (2007, p.223), Aktivitas yang membentuk sistem pemrosesan pesanan penjualan. Proses ini dideskripsikan dalam langkah-langkah berikut: 1. Proses penjualan dimulai dari pelanggan menghubungi departemen penjualan. Pelanggan bisa menghubungi perusahaan melalui telepon, surat, atau datang
63
langsung. Departemen penjualan mencatat perincian penting dari peristiwa ini pada pesanan penjualan. Informasi ini memicu beberapa tugas. 2. Langkah pertama dari proses penjualan adalah mengesahkan transaksi dengan meminta persetujuan kredit untuk pelanggan. 3. Saat kredit disetujui, informasi penjualan akan dilanjutkan ke proses penagihan, gudang, dan pengiriman. 4. Langkah selanjutnya adalah mengirim barang, yang harus dilakukan segera setelah persetujuan kredit diperoleh. Jika waktu tunggu terlalu lama, pelanggan kemungkinan akan membatalkan pesanan dan pergi ke tempat lain. Proses pengiriman merekonsiliasi barang yang diterima dari gudang dengan informas i penjualan yang sudah diterima. Rekonsiliasi ini digunakan untuk memastikan bahwa perusahaan mengirimkan barang yang tepat ke pelanggan. Jika terjadi kesalahan, seperti kesalahan dalam pengambilan barang atau kesalahan dalam jumlah barang, masalah tersebut pasti sudah teridentifikasi pada saat ini. Jika semua kondisi sudah sesuai dengan pesanan, barang akan dikemas dan dikirim ke pelanggan melalui perusahaan angkutan yang biasa digunakan. Kemudian informas i pengiriman akan diteruskan ke proses penagihan. 5. Proses penagihan akan mengumpulkan dokumen-dokumen yang relevan mengenai transaksi tersebut (produk, harga, biaya pengurusan, angkutan, pajak, dan ketentuan potongan harga) dan menagih pelanggan. Proses penagihan kemudian mengirim informasi ini ke proses piutang dagang dan proses pengendalian persediaan. 6. Bagian piutang dagang menerima informasi penagihan dan mencatatnya ke dalam akun pelanggan.
64
7. Sama halnya, bagian pengendalian persediaan menggunakan informasi dari bagian penagihan untuk menyesuaikan record persediaan untuk mencerminkan penurunan persediaan. 8. Secara berkala (setelah setiap batch, harian, mingguan, bulanan, dan seterusnya) proses penagihan, piutang dagang, dan pengendalian persediaan mengirim rangkuman informasi ke proses buku besar umum. Hal ini termasuk (1) total penjualan dari penagihan, (2) total kenaikan piutang dagang, dan (3) total penurunan persediaan. Berdasarkan informasi tersebut, buku besar umum memproses ke akun pengendali yang dipengaruhi oleh transaksi penjualan selama periode berjalan. Sebagai tambahan, proses buku besar umum rekonsiliasi rangkuman yang dikompilasi secara independen ini untuk mengidentifikasi kesalahan pencatatan record. Sebagai contoh, jika aktivitas penagihan gagal menagih pelanggan atau piutang dagang mencatat jumlah yang salah, ketidaksesuaian pada angka rangkuman akan dapat ditemukan dalam proses buku besar umum. Namun, jika rangkumannya sudah sesuai, maka secara keseluruhan proses diasumsikan berfungs i dengan benar. 2.2.4.2 Prosedur dalam Sistem Retur Penjualan M enurut Hall (2007, p.235), Dari waktu ke waktu, pelanggan mengembalikan barang yang sudah dibelinya. Hal ini bisa disebabkan oleh beberapa hal sebagai berikut : 1.
Penjual mengirimkan barang yang salah
2.
Barang yang dikirim ternyata rusak/cacat
3.
Barang tersebut rusak pada saat pengiriman
4.
Penjual terlalu terlambat mengirimkan barang atau terjadi keterlambatan karena penundaan saat transit, dan pembeli menolak pengiriman tersebut.
65
M enurut M ulyadi (2001, p234.), Jaringan prosedur dalam sistem retur penjualan adalah sebagai berikut : 1.
Prosedur pembuatan memo kredit Berdasarkan pemberitahuan retur penjualan dari pembeli, dalam prosedur ini fungsi penjualan membuat memo kredit yang memberikan perintah kepada fungsi penerimaan untuk menerima barang dari pembeli tersebut dan kepada fungs i akuntansi untuk mencatat pengurangan piutang kepada pembeli yang bersangkutan.
2.
Prosedur penerimaan barang Dalam prosedur ini fungsi penerimaan menerima dari pembeli berdasarkan perintah dalam memo kredit yang diterima dari fungsi penjualan. Atas penerimaan baran g tersebut fungsi penerimaan membuat laporan penerimaan barang untuk melampiri memo kredit yang dikirim ke fungsi akuntansi.
3.
Prosedur pencatatan retur penjualan Dalam prosedur ini transaksi berkurangnya piutang dagang dan pendapatan penjualan akibat dari transaksi retur penjualan dicatat oleh fungsi akuntansi ke dalam jurnal umum atau jurnal retur penjualan dan ke dalam buku pembantu piutang. Dalam prosedur ini pula berkurangnya harga pokok penjualan dan bertambahnya harga pokok persediaan dicatat oleh fungsi akuntansi ke dalam jurnal umum dan dalam buku pembantu persediaan.
2.2.5 Pengendalian Internal dalam Siklus Pendapatan M enurut Hall (2007, p. 244-249), M endefinisikan enam kelompok aktivitas pengendalian internal yang menjadi petunjuk kita dalam membuat dan mengevaluasi proses pengendalian transaksi. Proses tersebut adalah pemisahan tugas, supervisi, catatan akuntansi, pengendalian akses, dan verifikasi independen.
66
Otorisasi Transaksi Pemeriksaan Kredit. Tujuan otorisasi transaksi adalah untuk memastikan bahwa hanya transaksi yang valid yang akan diproses. Departemen kredit merupakan bagian yang mengotorisasi pemrosesan pesanan penjualan. Departemen ini memastikan bahwa kebijakan kredit perusahaan dilaksanakan dengan benar. Perhatian utamanya adalah kelayakan pemberian kredit kepada pelanggan. Dalam membuat keputusan, departemen kredit bisa menggunakan berbagai macam teknik dan pengujian. Kompleksitas prosedur pemberian kredit bergantung pada organisasi, hubungan perusahaan dengan pelanggan, dan penting tidaknya dari transaksi. Otorisasi khusus yang dibutuhkan dalam keadaan yang sangat khusus (misalnya, untuk pelanggan yang baru pertama kali mengajukan permohonan kredit) akan memerlukan waktu yang agak lama. Namun demikian, keputusan yang bersifat umum yang tidak melebihi kewenangan karyawan (seperti memverifikasi bahwa transaksi yang terjadi tidak melebihi batas kredit pelanggan) dapat diurus dengan cepat. Setelah kredit disetujui, transaksi dapat diproses lebih lanjut. Kebijakan Retur Barang. Departemen kredit mengotorisasi proses retur barang. Penentuan ini didasarkan pada sifat penjualan dan situasi retur. Konsep otoritas khusus dan umum juga mempengaruhi aktivitas ini. Kebanyakan perusahaan mempunyai kebijakan khusus untuk menyetujui pengembalian kas dan kredit untuk akun pelanggan. Pradaftar Kas. Pradaftar kas menyediakan sarana untuk melakukan verifikasi apakah cek dari pelanggan dan permintaan pembayaran sudah benar. Adanya kelebihan pada permintaan pembayaran pada departemen kredit atau kurangnya cek pelanggan pada departemen penerimaan kas akan dapat dideteksi ketika dilakukan pencocokan antara batch dengan daftar tersebut. Jadi, permintaan pembayaran kas mengotorisasi pembukuan permintaan pembayaran ke akun pelanggan.
67
Pemisahan Tugas Pemisahan tugas memastikan bahwa tidak ada satu orang atau departemen pun yang memproses transaksi sendiri secara keseluruhan. Jumlah karyawan dan volume transaksi yang diproses memengaruhi cara pemisahan dilaksanakan. Peraturan 1. Bagian yang mengotorisasi transaksi harus terpisah dengan bagian yang memproses transaksi. Dalam siklus pendapatan, departemen kredit terpisah dari seluruh proses, jadi otorisasi formal untuk transaksi merupakan aktivitas yang independen. Pentingnya pemisahan ini jelas mengingat adanya konflik potensial dalam tujuan antara karyawan pemasaran dengan organisasi. Sering kali kompensasi untuk staf penjualan didasarkan pada jumlah penjualan mereka. Untuk mencapai tujuan pribadi mereka untuk memaksimalkan penjualan, staf pemasaran
mungkin tidak
mempertimbangkan
kelayakan kredit dari calon pelanggan. Departemen kredit, yang bertindak sebagai kelompok otorisasi independen, mendeteksi pelanggan yang berisiko dan menghalangi keputusan penjualan yang tidak mendukung dan tidak bertanggung jawab. Peraturan 2. Pengendalian aktiva harus terpisah dari tugas pembukuan aktiva. Dalam sistem pemrosesan pesanan penjualan, gudang persediaan yang menyimpan aktiva fisik, dan fungsi akuntansi (buku besar umum dan departemen pengendalian persediaan) yang melakukan pencatatan. Pada sistem penerimaan kas, departemen penerimaan kas menyimpan aktiva (kas), dan fungsi akuntansi (buku besar umum dan departemen piutang dagang) menyimpan data akuntansinya. Kasir melapor ke bendahara, yang bertanggung jawab atas aktiva lancar. Fungsi akuntansi adalah tanggung jawab kontroler. Kedua fungsi tersebut tidak boleh digabungkan. Peraturan 3. Perusahaan harus terstruktur sehingga tindak penipuan memerlukan kolusi dua atau lebih individu. Fungsi pembukuan harus dibagi dengan hati-hati. Secara
68
khusus, buku besar pembantu (piutang dagang dan persediaan), jurnal (penjualan dan penerimaan kas), dan buku besar umum harus dipisah. Individu yang mempunyai seluruh tanggung jawab pembukuan dan berkolusi dengan orang yang bertanggung jawab atas pengendalian persediaan, dapat melakukan penipuan yang sulit dideteksi. Dengan memisahkan tugas-tugas tersebut, kolusi harus melibatkan lebih banyak orang,yang akan meningkatkan risiko terdeteksi, sehingga sulit terjadi. Supervisi Beberapa perusahaan mempunyai karyawan yang terlalu sedikit untuk dapat melakukan pemisahan fungsi. Perusahaan seperti ini harus bergantung pada supervise untuk pengendaliannya. Dengan melakukan supervisi kepada karyawan yang mempunyai potensi untuk melakukan sesuatu yang tidak sesuai, perusahaan dapat melakukan antisipasi dalam sistemnya. Supervisi dapat juga memberikan pengendalian pada sistem yang sudah terpisah dengan baik. M isalnya, pada sistem penerimaan kas, bagian penerimaan dokumen merupakan titik rawan bagi semua perusahaan. Individu yang bertugas untuk membuka dokumen memiliki akses ke kas (aktiva) dan dokumen permintaan pembayaran (catatan transaksi). Karyawan yang tidak jujur akan menggunakan
kesempatan
ini
untuk
mencuri
cek,
menguangkannya,
dan
menghancurkan permintaan pembayaran sehingga tidak meninggalkan bukti transaksi. Pada akhirnya, penipuan seperti ini akan terungkap pada saat pelanggan menerima tagihan lainnya dan menanggapinya dengan menolak pembayaran. Akan tetapi, ketika akhirnya perusahaan menyadar permasalahan ini, pelakunya mungkin telah melakukan beberapa kejahatan dan meninggalkan perusahaan. M endeteksi kejahatan yang telah terjadi hanya menyelesaikan sedikit masalah. M encegah merupakan solusi yang terbaik. Supervisi dapat menyediakan pengendalian pencegahan yang efektif.
69
Contoh file yang digunakan pada siklus pendapatan File. Siklus pendapatan menggunakan beberapa file sementara dan permanen untuk menunjang jejak audit. File-file ini merupakan tempat penyimpanan berbagai macam dokumen. Di bawah ini merupakan contoh file dari siklus pendapatan : 1.
File pesanan penjualan terbuka (open sales order file) adalah file pesanan pelanggan yang belum dipenuhi
2.
File referensi data harga (price data reference file) adalah daftar harga setiap barang dagangan.
Staf yang menyiapkan tagihan menggunakan
arsip
ini untuk
mendapatkan harga yang benar untuk ditempatkan pada faktur 3.
File sejarah penjualan (sales history file) adalah file dari transaksi penjualan yang sudah selesai. File ini berisi salinan faktur yang dikirim ke pelanggan, serta dokumen pengiriman.
4.
File laporan pengiriman atau log pengiriman (shipping report file/shipping log) menyebutkan barang-barang yang dikirim untuk periode tertentu
5.
File memo kredit (credit memo file) berisi salinan dari memo kredit yang telah dibukukan kea kun pelanggan
Pengendalian Akses Pengendalian akses mencegah dan mendeteksi akses yang tidak disetujui dan terlarang ke aktiva perusahaan. Aktiva fisik pada siklus pendapatan adalah persediaan dan kas. Pembatasan akses ke aktiva ini meliputi: 1.
Keamanan gudang, seperti pagar, alarm, dan penjaga
2.
Penyetoran kas secara harian ke bank
3.
Penggunaan lemari besi atau kotak deposit yang aman untuk kas
4.
Penguncian laci kas dan lemari besi pada departemen penerimaan kas
70
Pengendalian akses atas informasi mencakup pembatasan akses ke dokumen yang mengendalikan aktiva, yaitu dokumen sumber, jurnal, dan buku besar. Seseorang yang tidak dibatasi aksesnya dapat memanipulasi aktiva perusahaan. Berikut ini merupakan contoh dari risiko yang berkaitan dengan siklus pendapatan: 1.
Seseorang dengan akses ke buku besar piutang dagang dapat menghilangkan akunnya (atau akun orang lain) dari pembukuan. Dengan tidak adanya catatan akun, perusahaan tidak mengirim tagihan bulanan ke pelanggan
2.
Akses ke dokumen pesanan pelanggan memungkinkan seseorang yang tidak mempunyai wewenang untuk melakukan pengiriman barang dagangan
3.
Seseorang dengan akses ke kas dan akun kas buku besar umum dapat menghilangkan kas dari perusahaan dan menutupinya dengan melakukan penyesuaian pada akun kas.
Verifikasi Independen Tujuan verifikasi independen adalah untuk meningkatkan dan memverifikasi kebenaran dan kelengkapan dari prosedur yang dilaksanakan oleh orang lain dalam sistem. Agar efektif, verifikasi independen ini harus terjadi pada poin-poin utama dalam proses di mana kesalahan dapat dideteksi dengan cepat dan benar. Pengendali verifikasi independen dalam siklus pendapatan muncul dalam poin-poin berikut ini: 1. Departemen pengiriman memverifikasi bahwa barang yang dikirim ke pelanggan dari gudang sudah benar dalam hal jenis dan jumlahnya. Sebelum barang tersebut dikirim ke pelanggan, dokumen pengeluaran barang dan dokumen pengiriman dicocokkan
71
2. Departemen penagihan mencocokkan pemberitahuan pengiriman dengan faktur penjualan untuk memastikan bahwa pelanggan ditagih sesuai dengan barang yang dikirimkan 3. Departemen buku besar umum juga memegang peranan penting dalam verifikasi. Staf buku besar umum mencocokkan voucher jurnal yang dibuat oleh berbagai departemen. Departemen penagihan meringkas jurnal penjualan, pengendalian persediaan meringkas penurunan pada buku besar pembantu persediaan, departemen penerimaan kas meringkas jurnal penerimaan kas, dan departemen kredit meringkas buku besar pembantu piutang dagang. Setiap departemen tersebut mengirimkan voucher jurnal dan perhitungan yang lainnya ke departemen buku besar umum, di mana informasi tersebut dicocokkan dan dibukukan ke masing-masing akun pengendali Departemen buku besar umum dapat mendeteksi berbagai jenis kesalahan dari proses transaksi. M isalnya, total dari seluruh penjualan kredit yang dicatat oleh departemen penagihan seharusnya sesuai dengan jumlah total kenaikan buku besar pembantu piutang dagang yang sudah dibukukan. Transaksi penjualan yang dicatat dalam jurnal tetapi tidak dibukukan ke akun pelanggan akan terdeteksi oleh fungsi buku besar umum. Sebab khusus dari ketidakseimbangan saldo tidak dapat ditentukan di sini, tetapi kesalahan sudah dapat dicatat. Untuk menemukan kesalahan mungkin diperlukan pemeriksaan seluruh transaksi yang diproses selama periode tertentu. Hal tersebut sangat membosankan dan memakan banyak waktu. Oleh sebab itu, daripada meringkas seluruh transaksi yang terjadi dalam satu hari dalam satu batch, perusahaan biasanya mengelompokkan transaksi dalam batch kecil yang terdiri atas 50 sampai 100 transaksi.
72
Ini akan memudahkan untuk melakukan prosedur perhitungan akhir hari dengan memisahkan masalah ke batch tertentu. 2.2.6 Overview Acti vity Diagram M enurut Rama dan Jones (2008, p.79), Diagram aktivitas UM L memainkan peran seperti sebuah “peta” dalam memahami proses bisnis dengan menunjukkan urutan aktivitas di dalam proses. M enurut Rama dan Jones (2008, p.79), mengorganisasi diagram aktivitas menjadi dua jenis: 1.
Overview Activity Diagram Overview diagram menyajikan suatu pandangan tingkat tinggi dari proses bisnis dengan mendokumentasikan kejadian-kejadian penting, urutan kejadian-kejadian itu, dan aliran informasi antar kejadian. M enurut Rama, Jones 2008, p.85, langkah-langkah membuat overview activity diagram yaitu: Langkah Pendahuluan : Langkah 1 :
M embaca uraian narasi dan mengidentifikasi kejadian penting
Langkah 2 :
M embubuhi keterangan pada narasi agar lebih jelas menunjukkan batasan kejadian dan nama-nama kejadian
Langkah-langkah untuk M embuat Diagram Aktivitas Langkah 3 :
M enunjukkan agen yang terlibat di dalam proses bisnis dengan menggunakan swimlanes
Langkah 4 :
M embuat diagram untuk masing-masing kejadian. Tunjukkan urutan kejadian ini
73
Langkah 5 :
M enggambar dokumen yang dibuat dan digunakan di dalam proses bisnis. Tunjukkan arus informasi dari kejadian ke dokumen, dan sebaliknya
Langkah 6 :
M enggambar tabel (file) yang dibuat dan digunakan di dalam proses bisnis. Tunjukkan arus informasi dari kejadian ke tabel dan sebaliknya
2.
Detailed Activity Diagram Detailed diagram sama dengan peta dari sebuah kota. Diagram ini menyediakan suatu penyajian yang lebih detail dari aktivitas yang berhubungan dengan satu atau dua kejadian yang ditunjukkan pada overview diagram Rama, Jones 2008, p.81, simbol-simbol yang digunakan dalam diagram aktivitas
adalah : a.
Swimlane Swimlane adalah suatu kolom dalam diagram aktivitas yang memisahkan aktivitas atau kejadian menurut orang atau departemen yang bertanggung jawab atas kejadian atau aktivitas tertentu. Agen-agen di luar organisasi (misalnya, pelanggan) juga diwakili oleh swimlane. Sistem komputer (dalam hal ini register) digunakan untuk mencatat dan memproses data SIA diwakili oleh swimlane.
b.
A solid circle Lingkaran penuh menunjukkan awal dari proses. Lingkaran ini muncul di dalam swimlane agen (di dalam atau di luar organisasi itu) yang memulai proses.
74
c.
Rounded Rectangle Segi empat panjang menunjukkan event, aktivitas, atau pemicu (trigger) yang menyebabkan satu agen di dalam organisasi untuk melaksanakan beberapa tindakan selanjutnya.
d.
Continuous line Garis dengan panah digunakan untuk menunjukkan urutan kejadian.
e.
Document Teks ini menggunakan simbol dokumen untuk menunjukkan dokumen sumber dan laporan.
f.
Dotted line Garis putus-putus dengan panah digunakan untuk menunjukkan aliran informasi antar kejadian.
g.
Table Simbol tabel menunjukkan data mungkin dibaca atau dicatat di dalam file komputer selama kejadian bisnis.
h.
Bull’s-eye Simbol mata banteng menunjukkan akhir dari proses.
