BAB 2 LANDASAN TEORI
2.1
Sistem Informasi Akuntansi 2.1.1
Pengertian Sistem Informasi Akuntansi Menurut Gondodiyoto & Hendarti (2006, p107), sistem informasi akuntansi adalah: ”merupakan struktur yang menyatu dalam suatu entitas, yang menggunakan sumber daya fisik dan komponen lain, untuk merubah data transaksi keuangan/akuntansi menjadi informasi akuntansi dengan tujuan untuk memenuhi kebutuhan informasi bagi para pengguna atau pemakainya (user)”. Romney & Steinbart, (2006) memberikan definisi lain, yang secara garis besar dapat diterjemahkan bahwa sistem informasi akuntansi adalah sebagai suatu sistem yang mengumpulkan, mencatat, menyimpan, dan memproses data untuk menghasilkan informasi bagi para pengambil keputusan. Dalam bukunya Accounting Information Systems (Rama & Jones, 2006) menjelaskan bahwa sistem informasi akuntansi merupakan sebuah subsistem dari sistem informasi manajemen yang menyediakan informasi akuntansi dan keuangan maupun informasi lainnya yang diperoleh dalam proses rutin transaksi akuntansi. Menurut Bodnar dan Hopwood (2004), sistem informasi akuntansi merupakan kumpulan sumber daya seperti orang dan peralatan yang dirancang untuk mengubah data keuangan dan data-data lain menjadi informasi. Informasi ini akan
7
8 Dikomunikasikan secara luas kepada pembuat keputusan. Sistem informasi akuntansi melakukan perubahan baik sistem manual yang sangat utama atau secara terkomputerisasi. Dengan demikian yang dimaksud dengan sistem informasi akuntansi adalah suatu kesatuan sumber daya termasuk teknologi informasi yang terkoordinasi dan dimaksudkan untuk mengelola data transaksi keuangan/akuntansi menjadi informasi keuangan/akuntansi dalam rangka memenuhi kebutuhan informasi para pihak yang berkepentingan.
2.1.2
Tujuan Sistem Informasi Akuntansi Secara umum tujuan penggunaan sistem informasi akuntansi dalam suatu organisasi adalah untuk meningkatkan efisiensi dan efektivitasnya. Romney & Steinbart (2006) mengemukakan beberapa tujuan sistem informasi akuntansi sebagai berikut: (1) meningkatkan kualitas dan mengurangi biaya, (2) meningkatkan efisiensi dengan menyediakan informasi yang diperlukan tepat pada waktunya, (3) meningkatkan pengambilan keputusan, (4) menyebarkan informasi untuk meningkatkan kinerja operasi, (5) meningkatkan efisiensi dan efektivitas supply chain, (6) meningkatkan struktur pengendalian intern. Selain itu juga, tujuan dari sistem informasi akuntansi juga dikemukakan oleh
Rama & Jones
(2006), yang dirangkum sebagai
berikut: (1) menghasilkan laporan eksternal, (2) mendukung aktifitas
9 rutin, (3) mendukung pengambilan keputusan, (4) perencanaan dan pengendalian, (5) implementasi pengendalian internal. Jadi, tujuan dari sistem informasi akuntansi dapat disimpulkan sebagai berikut: 1. Mendukung pengambilan keputusan organisasi. Informasi juga diperlukan oleh aktivitas non rutin, seperti pengambilan keputusan oleh seluruh tingkatan dalam organisasi. Misalnya, untuk mengetahui produk paling laku atau pelanggan yang paling banyak melakukan pembelian. 2. Menghasilkan laporan dalam memenuhi kebutuhan informasi bagi para pihak yang berkepentingan. Menghasilkan laporan yang dapat digunakan organisasi untuk meningkatkan kinerja operasional dan menjadi dasar penilaian bagi para investor, creditor, perpajakan dan sebagainya. 3. Membuat perencanaan dan meningkatkan pengendalian. Informasi tentang anggaran dan biaya standar tersimpan dalam sistem informasi dan laporan didesain untuk membandingkan anggaran yang ada dengan jumlah yang sebenarnya. Informasi yang ada dapat dikelola melalui data meaning (penggunaan software untuk mengetahui large store dari data historikal) untuk menentukan tren-tren terbaru sehingga menghasilkan produkproduk yang berkualitas. Pengendalian internal meliputi rangkaian aturan, prosedur, dan sistem informasi yang digunakan, dalam usaha melindungi aset
10 perusahaan dari penyalahgunaan dan untuk mempertahankan akurasi data keuangan. 4. Meningkatkan efisiensi dengan menyediakan informasi secara cepat. Dengan adanya sistem informasi akuntansi, data-data dapat dikelola dengan baik sehingga informasi dihasilkan dengan cepat. Apabila data-data tidak terkoordinasi dengan baik, misalnya terjadi kehilangan maka organisasi akan sangat dirugikan. 5. Mendukung aktivitas rutin organisasi. Manager memerlukan SIA untuk menangani aktivitas operasi rutin dalam sebuah siklus operasi perusahaan.
2.1.3
Komponen-komponen Sistem Informasi Akuntansi Sistem informasi akuntansi terdiri dari komponen-komponen yang saling berinteraksi satu dengan lainnya dan membentuk satu kesatuan dalam suatu struktur sistem informasi untuk mencapai sasaran. Beberapa komponen sistem informasi akuntansi yang dikemukakan oleh Romney & Steinbart (2006) adalah sebagai berikut: 1. Orang (people), sebagai pengoperasi sistem dan mampu melaksanakan berbagai fungsi. 2. Prosedur (procedures) dan instruksi, dapat dilakukan secara manual maupun otomatis, meliputi pengumpulan, proses, dan penyimpanan data tentang aktivitas organisasi. 3. Data, berisi tentang proses bisnis organisasi.
11 4. Software, digunakan untuk memproses data. 5. Infrastruktur teknologi informasi, meliputi komputer, peripheral devices dan network communications devices yang digunakan untuk mengumpulkan, menyimpan, memproses, dan pengiriman data dan informasi. 6. Pengendalian intern dan ukuran pengamanan yang melindungi data dalam sistem informasi akuntansi.
Sistem informasi yang efektif dapat mendukung perusahaan dalam menciptakan kesuksesan jangka panjang. Tanpa pengawasan terhadap semua event yang ada, tidak ada cara lain untuk mendeterminasi seberapa baik kinerja perusahaan, tidak mungkin diketahui. Setiap perusahaan perlu mengetahui efek yang terjadi dari bermacam-macam event dalam sumber daya yang tidak terkontrol.
2.1.4
Fungsi Sistem Informasi Akuntansi Tiga fungsi dasar yang penting dari suatu sistem informasi akuntansi menurut Romney & steinbart (2006) adalah sebagai berikut : 1. Mengumpulkan dan menyimpan data mengenai aktivitas, sumber daya dan personalia. 2. Mengubah
data
menjadi
informasi
yang
berguna
untuk
pengambilan keputusan sehingga pihak manajemen dapat
12 melakukan perencanaan, menjalankan, mengendalikan, dan mengevaluasi aktivitas sumber daya dan personalia. 3. Menetapkan pengendalian yang cukup untuk menjaga aset organisasi, yang mencakup data itu sendiri, untuk memastikan bahwa aset dan data tersebut tersedia ketika diperlukan dan datanya akurat dan dapat dipercaya.
2.1.5
Siklus Sistem Informasi Akuntansi Secara garis besar siklus sistem informasi akuntansi yang dikemukakan oleh Romney & Steinbart (2006) adalah sebagai berikut: 1. Revenue Cycle Kumpulan aktivitas bisnis dan informasi yang berkaitan dengan proses penyediaan barang dan jasa ke pelanggan, serta penerimaan kas dalam suatu penjualan. 2. Expenditure Cycle Kumpulan aktivitas bisnis dan informasi yang berkaitan dengan proses pembelian barang untuk dijual kembali atau bahan baku untuk produksi. 3. Production Cycle Kumpulan aktivitas bisnis dan informasi yang berkaitan dengan proses pengolahan bahan baku menjadi barang jadi.
13 4. Human Resources Management and Payroll Cycle Kumpulan aktivitas bisnis dan informasi yang berkaitan dengan proses
merekrut,
melatih,
mengganti,
mengevaluasi,
mempromosi, dan penghentian karyawan. 5. Financial Cycle Kumpulan aktivitas bisnis dan informasi dimana perusahaan menjual sebagian dari perusahaan kepada investor, peminjaman dana, pembayaran dividen kepada investor, pembayaran bunga atas pinjaman, dan menyajikan laporan keuangan. Penyajian laporan keuangan tersebut melalui sistem informasi general ledger yang meliputi kegiatan menjurnal, posting, membuat jurnal penyesuaian dan sampai laporan keuangan itu dihasilkan.
2.1.6
Sistem Informasi General Ledger 2.1.6.1 Pengertian Sistem Informasi General Ledger Menurut Romney & Steinbard (2006), General Ledger berisi tentang rangkuman data mengenai setiap aset, kewajiban, ekuitas, penjualan, dan biaya-biaya sebuah organisasi. Kegiatan proses informasi meliputi updating general ledger dan persiapan laporan yang merangkum hasil aktivitas organisasi.
14
Gambar 2.1 Flow Chart Online General Ledger Sumber: Buku Romney & Steinbart (2006, p526)
2.1.6.2 Aktivitas dalam General Ledger dan Sistem Pelaporan Terdapat beberapa aktivitas dalam General Ledger dan sistem pelaporan yang dikemukakan oleh Romney & Steinbart (2006), yaitu: 1. Update General Ledger Update General Ledger terorganisir dari 2 (dua) sumber, yaitu :
15 a. Accounting subsystem, secara teori general ledger bisa
diperbaharui
individual,
namun
untuk pada
tiap-tiap
transaksi
prakteknya,
variasi
subsistem akuntansi biasa memperbaharui general ledger
dengan
rangkuman
jurnal,
yang
menampilkan hasil dari semua transaksi yang terjadi selama periode tertentu. b. Treasurer, bagian treasurer menghasilkan catatan jurnal individual untuk membaharui general ledger bagi transaksi tidak rutin seperti penjualan atau pembelian surat berharga penanaman modal.
2. Post adjusting entries Adjusting entries berasal dari pengendali (controller) setelah trial balance disiapkan. Trial balance adalah laporan yang berisi keseimbangan untuk semua akun general ledger. Terdapat 5 (lima) kategori dasar adjusting entries, yaitu: a. Accruals, mewakili catatan-catatan yang dibuat pada
akhir
periode
akuntansi
untuk
menggambarkan transaksi yang telah terjadi namun kas
belum
diterima
atau
belum
Contohnya pencatatan pendapatan bunga.
dibayar.
16 b. Defferals, mewakili catatan-catatan yang dibuat pada
akhir
periode
akuntansi
untuk
menggambarkan pertukaran dari kas yang dibayar dimuka untuk pelaksanaan dari kejadian yang berhubungan. c. Estimates,
mewakili
catatan-catatan
untuk
menggambarkan bagian dari pengeluaran yang terjadi
diluar
periode
akuntansi.
Contohnya
penyusutan dan biaya piutang tak tertagih. d. Revaluations, mewakili catatan-catatan yang dibuat untuk menggambarkan perbedaan antara nilai sebenarnya dengan nilai yang tercatat dari suatu aset atau perubahan prinsip akuntansi. Contohnya perubahan metode yang digunakan untuk menilai persediaan. e. Corrections, mewakili catatan-catatan yang dibuat untuk mengatasi pengaruh-pengaruh dari kesalahan yang ditemukan dalam general ledger.
3. Prepare financial statements Persiapan laporan keuangan dimulai pertama kali dengan income statement yang datanya diambil dari penjualan nilai biaya pada adjusted trial balance, kemudian dilanjutkan
dengan
balance
sheet.
Kegiatan
ini
17 memerlukan closing entries dengan nilai penjualan dan biaya sama dengan 0 (nol), kemudian dilakukan transfer net income atau loss ke retained earnings.
4. Produce manajerial report Menghasilkan laporan manajerial merupakan kegiatan final dalam general ledger and reporting system. Laporan ini akan digunakan untuk memverifikasi akurasi proses posting.
2.1.6.3 Ancaman dan Pengendalian dalam SI General Ledger Menurut Romney & Steinbart (2006), terdapat beberapa ancaman yang potensial dalam sistem informasi general ledger, yang secara garis besar dapat diterjemahkan sebagai berikut: 1. Kesalahan (error) dalam mengupdate general ledger dan pembuatan laporan keuangan. Kesalahan yang terjadi ketika mengupdate general ledger dapat mempengaruhi pengambilan menyajikan
keputusan informasi
yang yang
tidak keliru
tepat
karena
dalam
laporan
keuangan. Prosedur pengendalian yang dapat diterapkan terhadap ancaman ini adalah dengan input edit and processing controls, reconciliations and control reports dan audit trail.
18 2. Kehilangan, akses tidak berwenang, atau pengubahan terhadap data keuangan. General ledger merupakan komponen kunci dalam sistem informasi akuntansi perusahaan. Akses yang dilakukan oleh pihak yang tidak berwenang
dapat
menyebabkan
kerahasian
data
perusahaan terbongkar yang mungkin akan dimanfaatkan oleh kompetitor yang ada. Pengendalian yang dapat diterapkan untuk mencegah terjadinya akses oleh pihak yang tidak berwenang dapat dilakukan dengan cara penggunaan username dan password. 3. Poor
Performance.
Perusahaan
mesti
menyediakan
informasi kepada banyak pihak eksternal, termasuk pemerintah, investor dan creditor. Perusahaan juga membuat laporan pengendalian untuk digunakan dalam pengelolaan operasi. Merancang ulang proses bisnis memberikan kesempatan tambahan untuk memperbaiki efisiensi dan efektivitas.
2.2
Sistem Pengendalian Intern 2.2.1
Pengertian Sistem Pengendalian Intern Menurut Moeller (2005, p70): “Internal Control comprises the plan of organization and all of the coordinate methods adopted within a business to safeguard its assets, check the accuracy and reliability of its accounting data, promote operational efficiency, and encourage adherence to prescribed managerial policies”.
19 Menurut ISACA (dalam Gondodiyoto & Hendarti, 2006, p156), “Internal Control is the policies, procedures, practic, and organizational structures, designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented, or detected, and corrected”. Rama & Jones (2006), memberikan defisini lain yang dapat diterjemahkan bahwa pengendalian intern adalah aturan, kebijakan, prosedur dan sistem informasi yang digunakan untuk memastikan data keuangan perusahaan akurat dan terpercaya dan untuk memproteksi aset-aset perusahaan dari kerugian atau pencurian. Gondodiyoto & Hendarti (2006, p158) merangkum pengertian-pengertian tersebut dalam suatu definisi pengendalian intern sebagai berikut: “Sistem Pengawasan Internal pada hakekatnya adalah suatu mekanisme yang didesain untuk menjaga (preventif), mendeteksi (detektif), dan memberikan mekanisme pembetulan (korektif) terhadap potensi/kemungkinan terjadinya kesalahan (kekeliruan, kelalaian, error) maupun penyalahgunaan (kecurangan, fraud)”. Jadi, dapat disimpulkan bahwa Sistem Pengendalian Intern (internal controls) merupakan suatu sistem yang dirancang oleh manajemen
(yang
meliputi
tindakan
preventive,
detective,
dan
corrective), untuk memastikan aset-aset perusahaan aman, menghasilkan informasi yang terpercaya dan terdapat efisiensi dalam kegiatan operasional sehingga tujuan-tujuan yang telah ditetapkan dapat tercapai.
Terdapat 3 (tiga) dasar teknik pengendalian yang dikemukan oleh Moller (2005) yang diterjemahkan sebagai berikut:
20 1. Preventive controls dibangun kedalam sistem untuk mencegah kesalahan atau keterjadian yang tidak terdeteksi. Contoh: adanya pemisahan tugas dalam perusahaan atau batasan akses keruangan tertentu. 2. Detective controls dirancang untuk memberitahu manajemen mengenai suatu kesalahan atau masalah yang mungkin terjadi dimasa mendatang. Contoh: Perhitungan kas dan rekonsiliasi pencatatan kas penjualan pada akhir hari atau bunyi alarm ketika sebuah pintu yang terkunci terbuka secara paksa. 3. Corrective controls merupakan tindakan perbaikan atas suatu akibat yang disebabkan oleh kejadian yang tidak diinginkan.
2.2.2
Tujuan Sistem Pengendalian Intern Menurut Gondodiyoto & Hendarti (2006, p158), tujuan didesainnya sistem pengendalian intern bagi sistem berbasis komputer adalah: 1. Meningkatkan pengamanan (improve safeguard) aset dan data/catatan akuntansi (accounting records). 2. Meningkatkan integritas data (improve data integrity). 3. Meningkatkan efektivitas sistem (improve system effectiveness). 4. Meningkatkan efisiensi sistem (system efficiency).
21 2.2.3
Komponen-komponen Pengendalian Intern Dalam bukunya yang berjudul Brink’s Modern Auditing (Moeller, 2005), terdapat 5 (lima) perusahaan audit dan akuntansi yaitu IIA, AICPA, IMA, FEI dan AAA yang mengembangkan suatu laporan pengendalian dengan judul Integrated Control – Integrated Framework. Perusahaan-perusahaan yang memprakarsai laporan tersebut dikontrak oleh sebuah perusahaan akuntansi publik dan memakai banyak sukarelawan untuk melakukan penelitian dan pengembangan pada laporan tersebut dan kemudian rancangan konsep laporan tersebut dirilis pada tahun 1990. Lebih dari 40.000 copy dari konsep laporan tersebut dikirim ke para petinggi perusahaan, auditor internal dan eksternal, legislator, akademik dan pihak-pihak lain yang tertarik. Konsep COSO terakhir dirilis pada September 1992. Dalam beberapa tahun, framework COSO telah diakui sebagai standar dalam membangun pengendalian internal yang efektif di seluruh perusahaan. Adapun komponen-komponen Internal Control dalam COSO, adalah: 1. Control Environment Control environment merupakan dasar bagi komponen-komponen internal control lainnya, yang turut menentukan atmosfer sebuah organisasi,
mempengaruhi
karyawan
akan
pentingnya
pengendalian dan juga menyediakan struktur dan kedisiplinan. Control enviroment mempengaruhi bagaimana suatu aktivitas bisnis dijalankan dan resiko-resiko dinilai dalam organisasi.
22 Control environment membawa pengaruh yang besar pada pencapaian tujuan organisasi, penyelesaian tugas, dan kegiatan operasional. Faktor-faktor control environment meliputi: a. Integritas, nilai etika dan kompetensi sumber daya manusia. b. Filosofi manajemen dan operating style. c. Pelaksanaan
wewenang
dan
tanggung
jawab
dan
mengorganisasikan dan mengembangkan sumber daya manusia. d. Pedoman dan petunjuk yang disediakan dewan direksi. 2. Risk Assessment Setiap entitas menghadapi berbagai resiko baik eksternal maupun internal yang mesti dikaji. Prasyarakat untuk mengkaji resiko adalah pada waktu menetapkan tujuan. Risk assessment merupakan identifikasi dan analisis terhadap resiko yang mungkin timbul pada waktu pencapaian tujuan. Oleh karena itu, diperlukan rumusan dasar bagaimana resiko dapat dikelola. Kondisi ekonomi, industri, aturan dan kegiatan operasi secara berkelanjutan akan berubah, diperlukan mekanisme untuk mengidentifikasi dan memperhitungkan resiko-resiko khusus yang berhubungan dengan perubahan. 3. Control Activities Merupakan kebijakan dan prosedur yang membantu memastikan setiap arahan atau kebijakan manajemen dilakukan. Juga
23 membantu memastikan tindakan apa yang perlu diambil untuk penanganan resiko. Beberapa aktivitas pengendaliannya adalah seperti pemisahan tugas dan fungsi, otorisasi yang memadai, performance review, adanya dokumentasi yang baik dan pengamanan terhadap aset dan catatan akuntansi. COSO dengan Control Activitiesnya membagi pengendalian system informasi menjadi dua bagian, yakni pengendalian umum (general controls) dan pengendalian aplikasi (application controls). 4. Information and Communication Informasi
mesti
teridentifikasi,
terawasi
dan
mampu
menyampaikan suatu pesan dalam bentuk form dan kapan form tersebut dibuat sehingga memungkinkan diketahui siapa yang bertanggung jawab. Sistem informasi menghasilkan laporanlaporan yang membantu pengendalian bisnis. Tidak hanya berisikan data internal tetapi juga informasi eksternal yang membantu penetapan keputusan. Komunikasi yang efektif harus mampu menyampaikan sesuatu yang menglobal, terus menerus, beragam, dan sampai pada organisasi. Setiap personal harus menerima pesan dengan jelas dari top management sehingga terdapat pengendalian yang jelas. 5. Monitoring Sistem pengendalian intern perlu dipantau untuk memastikan proses-proses yang ada melakukan fungsinya dengan baik dan benar.
24
Gambar 2.2 COSO Internal Control Model Sumber: Buku Gondodiyoto & Hendarti (2006, p224)
2.2.4
Sistem Pengendalian Intern pada sistem berbasis komputer 2.2.4.1 Pengendalian Umum (General Controls) Menurut Gondodiyoto & Hendarti (2006, p250), ”Pengendalian umum adalah sistem pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuiah organisasi secara menyeluruh”. 1. Pengendalian Pucuk Pimpinan (Top Level Management Controls) Sistem pengendalian intern yang ada pada suatu organisasi yang mendorong keterlibatan, kepedulian dan tanggung jawab pucuk pimpinan organisasi terhadap kegiatan TI (teknologi informasi) pada organisasi tersebut, berikut semua konsekuensi, dampak dan
25 syarat-syarat yang harus dipenuhi demi berjalannya sistem secara memadai. 2. Pengendalian Manajemen Pengembangan Sistem (System Development Management Controls) Pengendalian manajemen pengembangan sistem diperlukan untuk mencegah dan mendeteksi kemungkinan adanya kesalahan pada waktu pengembangan dan pemeliharaan sistem serta memperoleh keyakinan yang memadai bahwa sistem berbasis teknologi informasi telah dikembangkan dan dipelihara dengan cara yang efisien dan melalui proses otorisasi yang semestinya. 3. Pengendalian Manajemen Sumber Data (Data Resource Management Controls) Pengendalian manajemen sumber data dimaksudkan agar data dalam perusahaan terkoordinasi dengan baik. Data harus disimpan jauh
dari
pihak
yang
tidak
berwenang
mengakses
(confidentiality), data yang dibagikan maupun diterima harus merupakan satu kesatuan (integrity), dan data harus tersedia ketika diperlukan baik waktu maupun isinya (availablility). 4. Pengendalian
Manajemen
Mutu
(Quality
Assurance
Management Controls) Suatu sistem yang terkomputerisasi dirancang untuk menyajikan informasi yang berkualitas dan memberikan efisiensi bagi perusahaan. Penyajian informasi yang berkualitas itu adalah dalam bentuk informasi yang akurat, lengkap dan relevan.
26 5. Pengendalian Manajemen Operasi (Operation Management Controls) Merupakan jenis pengendalian intern yang dirancang untuk menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi dan pembagian tugas yang baik bagi suatu organisasi
yang
menggunakan
sistem
berbasis
teknologi
informasi. 6. Pengendalian Manajemen Keamanan (Security Management Controls) Pengendalian manajemen keamanan (security management controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset-aset tersebut berwujud yang meliputi perangkat mesin dan fasilitas lainnya serta aset tak berwujud yang meliputi data, informasi, dan program aplikasi komputer.
Menurut Weber (1999), terdapat beberapa ancaman utama terhadap keamanan aset sistem informasi yang secara garis besar adalah sebagai berikut: a. Ancaman kebakaran Beberapa pengendalian yang dapat dilakukan yaitu: 1) Memasang
alarm
kebakaran
otomatis
yang
diletakkan pada tempat dimana aset sistem informasi berada.
27 2) Menyediakan tabung kebakaran yang disimpan pada lokasi yang mudah dijangkau. 3) Adanya suatu tombol power utama untuk listrik. 4) Sebaiknya
tempat
penyimpanan
aset
sistem
informasi dibangun dari bahan yang tahan api. 5) Memiliki pintu atau tangga darurat yang diberi tanda dengan jelas. 6) Sebaiknya terdapat suatu sistem yang dapat memberikan
signal
langsung
ke
stasiun
pengendalian yang selalu dijaga oleh staf ketika alarm berbunyi. 7) Memiliki manajemen pemeliharaan gedung yang baik. b. Ancaman banjir Beberapa pengendalian yang dapat dilakukan yaitu: 1) Menggunakan bahan tahan air seperti bagian atap, lantai dan dinding gedung. 2) Sebaiknya alarm dipasang pada tempat yang strategis dimana aset sistem informasi berada. 3) Sebaiknya aset sistem informasi diletakkan di tempat yang tinggi. 4) Menutup peralatan hardware dengan bahan tahan air sewaktu tidak digunakan.
28 c. Perubahan tenaga sumber energi Untuk mengantisipasi perubahan tegangan sumber energi listrik, sebaiknya menggunakan stabilizer atau UPS (Uninteruptable
Power
Supply)
untuk
mengcover
tegangan listrik jika tiba-tiba down. d. Kerusakan struktural Kerusakan struktural yang dimaksud adalah aset sistem informasi rusak akibat terjadinya gempa atau pun badai. Untuk
mengantisipasi
kerusakan
struktural
tersebut
sebaiknya dipilih lokasi perusahaan pada daerah yang tidak rawan gempa dan membangun gedung dengan struktur yang benar dan baik. e. Polusi Beberapa pengendalian yang dapat dilakukan seperti larangan merokok dalam kantor dan adanya sirkulasi udara yang bebas. f. Penyusup Pengendalian untuk mengantisipasi adanya penyusup dapat
dilakukan
dengan
penempatan
penjaga
dan
penggunaan alarm. g. Virus Untuk mengantisipasi masuknya virus kedalam komputer yang mengakibat data-data menjadi rusak, dapat dilakukan dengan tindakan preventif dengan menginstall software
29 Antivirus.
Memastikan
Antivirus
selalu
terupdate,
melakukan scan secara rutin dan memastikan back-up data bebas dari virus. h. Hacking Untuk mengantisipasi serangan-serangan dari para hacker, sistem komputer harus dipasang firewall, menggunakan sistem operasi komputer yang kompeten dan sebaiknya pengiriman data-data dilakukan enkripsi.
2.2.4.2 Pengendalian Aplikasi (Application Controls) Menurut Hall (2001), Pengendalian Aplikasi adalah tindakan atau prosedur manual yang diprogram dalam sebuah aplikasi. Menurut Gondodiyoto & Hendarti (2006, p328): “Pengendalian aplikasi adalah sistem pengendalian intern (internal control) pada sistem informasi berbasis teknologi informasi berkaitan dengan pekerjaan/kegiatan/aplikasi tertentu (setiap aplikasi memiliki karateristik dan kebutuhan pengendalian yang berbeda)”. Dalam pengendalian aplikasi terdapat beberapa pengendalian, yaitu: 1. Pengendalian Batasan (Boundary Controls) Menurut Gondodiyoto & Hendarti (2006) pengendalian batasan merupakan suatu tampilan (interface) yang menghubungkan user dengan sistem sehingga antara user dan sistem dapat berinteraksi.
30 Pengendalian batasan dirancang untuk: a. Mengidentifikasi user, apakah user tersebut terdaftar atau berwenang melakukan akses ke sistem. b. Menjaga sumber daya sistem informasi digunakan oleh user dengan prosedur-prosedur yang telah ditetapkan. c. Membatasi kegiatan user dalam mendapatkan sumber informasi berdasarkan kewenangannya.
Awalnya pengendalian batasan tidak terlalu banyak dipakai, dan jika pun ada hanya sekedar penggunaan password saja. Tetapi seiring dengan perkembangan sistem informasi, meningkatnya sistem jaringan dan semakin banyak input dan output device maka pengendalian batasan dianggap sangat penting. Apalagi dengan muncul e-business dan e-commerce meningkatkan kebutuhan untuk mengidentifikasi user dan menjamin transaksi-transaksi yang terjadi berjalan dengan aman dan terkontrol. Oleh karena itu, terdapat beberapa pengendalian yang sedang berkembang saat ini, mulai banyak diimplementasikan seperti: a. Cryptographic Control adalah pengendalian yang didesain untuk menjaga privasi untuk menghindari akses yang tidak berwenang seperti tindakan mengubah, menambah, atau bahkan menghapus data-data tertentu dengan cara mengubah password atau identitas user lainnya menjadi
31 kode-kode tertentu. Beberapa teknik cryptographic yang digunakan adalah: 1) Transposition Ciphers 2) Substitution Ciphers 3) Product Ciphers b. Access Control adalah pengendalian yang didesain untuk menjamin sumber daya informasi diakses oleh user yang benar. c. Audit Trail adalah berisikan catatan-catatan atau data tertentu yang tersimpan dalam sistem komputer dengan tujuan pelacakan. Misalnya, identitas user, informasi yang diakses, waktu akses atau kegiatan lain yang dilakukan user tertentu.
2. Pengendalian Masukan (Input Controls) Menurut Hall (2001) komponen pengumpulan data dari sistem informasi bertanggung jawab untuk membawa data ke dalam sistem untuk di proses, dalam tahap ini pengendalian input bertugas untuk memastikan bahwa transaksi-transaksi tersebut sah, akurat dan lengkap. Prosedur input data dapat berupa input oleh dokumen sumber (batch) yang memerlukan banyak keterlibatan manusia sehingga membuka peluang terjadinya kesalahan-kesalahan klerikal, atau input langsung (real time). Pengendalian masukan terbagi dalam beberapa kelas, yaitu:
32 a. Pengendalian dokumen sumber Pengendalian dilakukan dengan menggunakan dokumen sumber yang sebelumnya telah diberi nomor urut, dokumen sumber secara berurutan, dan mengaudit dokumen sumber secara berkala. b. Kendali Batch Pengendalian batch merupakan suatu metode efektif untuk menangani data transaksi yang jumlahnya sangat banyak melalui sebuah sistem. Kendali batch bertujuan untuk merekonsiliasi output yang dihasilkan oleh sistem dengan input yang awalnya dimasukkan ke sistem. c. Kontrol Validasi Kontrol validasi bertujuan untuk mendeteksi kesalahan dalam data transaksi sebelum data tersebut diproses. Prosedur validasi merupakan prosedur yang paling efektif jika dilakukan sedekat mungkin dengan sumber transaksi. Terdapat 3 kontrol validasi input, yaitu Interogasi field, Interogasi record dan Interogasi file. d. Perbaikan Kesalahan Input Ketika terdapat kesalahan pada batch, maka kesalahan itu harus segera dikoreksi dan record perlu dimasukkan kembali untuk diproses ulang, hal ini merupakan proses terkontrol untuk memastikan bahwa kesalahan tersebut telah diperiksa dan diperbaiki.
33 3. Pengendalian Proses (Process Controls) Menurut Gondodiyoto & Hendarti (2006), “pengendalian proses ialah pengendalian intern untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses”. Terjadinya error bisa disebabkan adanya kesalahan logika program, salah rumus, salah urutan program, atau kesalahan teknis lainnya.
4. Pengendalian Keluaran (Output Controls) Menurut Gondodiyoto & Hendarti (2006), pengendalian keluaran didesain untuk menjamin agar output yang berupa informasi dapat disajikan secara akurat, lengkap dan didistribusikan kepada orang yang
berhak
secara
cepat
dan
tepat
waktu.
Jenis-jenis
pengendalian keluaran adalah sebagai berikut: a. Pengendalian Output Sistem Batch Sistem batch biasanya menghasilkan output dalam bentuk hardcopy, yang memerlukan keterlibatan perantaraan dari kegiatan produksi ke distribusinya. b. Pengendalian Output Sistem real-time Sistem real-time mengarahkan output langsung ke layar komputer
pemakai,
terminal
atau
printer.
Metode
distribusi ini menghapus banyak perantaraan dalam perjalanan dari pusat ke pemakai. Sehingga mengurangi banyak eksposur, seperti dalam sistem batch. Ancaman
34 dalam sistem real-time adalah tindakan penghentian, gangguan penghancuran atau korupsi terhadap pesan output
pada
waktu
melewati
saluran
komunikasi.
Ancaman ini bersumber pada 2 eksposur, yaitu eksposur dari kegagalan peralatan dan eksposur dari tindakan subversif.
5. Pengendalian Basis Data (Database Controls) Menurut Gondodiyoto & Hendarti (2006) pengendalian ini bertujuan menjaga database dalam sistem komputer diakses oleh pihak yang berwenang. Misalnya menghindari tindakan user tertentu yang melakukan pengubahan, penambahan, atau pun penghapusan datatabase yang berisikan informasi-informasi penting organisasi.
6. Pengendalian Komunikasi (Communication Controls) Pada era informasi ini, kebutuhan informasi menjadi sangat penting dan informasi dapat diperoleh dengan cepat melalui berbagai teknologi yang ada sekarang ini misalnya internet. Informasi yang disajikan di internet dapat diakses oleh siapa saja sehingga memberi peluang bagi pihak-pihak tertentu untuk melakukan tindakan yang baik maupun yang jahat. Tindakantindakan jahatlah yang menjadi persoalan, dimana setiap kali seorang user melakukan interaksi keluar baik melalui internet
35 maupun jaringan lainnya selalu memberikan status atau informasi tertentu, yang bisa saja dimanfaatkan oleh pihak-pihak tertentu untuk melakukan serangan kedalam sistem komputer. Serangan yang sering kali terjadi saat ini adalah berupa modifikasi terhadap data, penghapusan data, pencurian data, spamming, penyisipan virus-virus dan lain sebagainya. Oleh karena itu manajemen perusahaan harus bijak dalam penggunaan hardware, software dan berbagai fasilitas lainnya khususnya yang berhubungan dengan komunikasi ke pihak luar.
2.3
Audit Sistem Informasi 2.3.1
Pengertian Audit Sistem Informasi Menurut
ISACA
(2005),
audit
sistem
informasi
dapat
diterjemahkan sebagai proses pengumpulan dan evaluasi bukti untuk menentukan apakah sistem informasi dan sumber daya yang berhubungan dapat melindungi aset, memelihara data dan integritas sistem, menyediakan informasi yang relevan dan layak, mencapai tujuan organisasi secara efektif, penggunaan sumber daya yang efisien dan memiliki pengendalian intern yang memberikan jaminan bisnis, operasional dan tujuan pengendalian akan tercapai, dan kejadian undersired akan dicegah, atau terdeteksi dan diperbaiki, secara periodik. Weber (1999) memberikan pengertian audit sistem informasi yang secara garis besar dapat diterjemahkan sebagai proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem komputer dapat
36 melindungi aset kekayaan, memelihara integritas data, memungkinkan tujuan organisasi untuk dicapai secara efektif dan menggunakan sumber daya yang efisien. Gondodiyoto & Hendarti (2006, p384), menyimpulkan batasan-batasan audit sistem informasi sebagai berikut: “suatu evaluasi untuk mengetahui tingkat kesesuian antara sistem informasi dengan prosedur yang telah ditetapkan (atau kebutuhan pengguna, user needs), dan untuk mengetahui apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai.” Jadi, audit sistem informasi adalah suatu evaluasi yang dilakukan oleh pihak yang independent dengan mengumpulkan bukti-bukti untuk menilai tingkat kesesuaian antara sistem informasi yang berjalan dengan prosedur yang telah ditetapkan organisasi agar tercapai efisiensi dan efektifitas sistem informasi, pengamanan aset serta integritas data.
2.3.2
Tujuan Audit Sistem Informasi Tujuan
audit
sistem
informasi
menurut
Weber
(dalam
Gondodiyoto & Hendarti, 2006) adalah untuk memastikan sejauhmana (1) pengamanan aset-aset perusahaan, (2) efektifitas sistem, (3) efisiensi sistem, dan (4) integritas data perusahaan. Sedangkan menurut ISACA (dalam Gondodiyoto & Hendarti, 2006, p400) bahwa audit objectives dalam audit terhadap IT Governance adalah
“effectiveness,
confidentiality,
efficiency, dan realibility”.
data
integrity,
availability,
37 Jadi, tujuan audit sistem informasi adalah untuk menentukan apakah sistem komputer dapat: 1. Mendorong pencapaian tujuan perusahaan secara efektif. Efektivitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan benar (doing the right thing), telah sesuai dengan kebutuhan user. Informasi yang dibutuhkan para manajer dapat dipenuhi dengan baik. 2. Mencapai efisiensi sumber daya. Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal (doing thing right). 3. Memelihara integritas data. Integritas dan karahasiaan data adalah konsep dasar sistem informasi. Data memiliki atribut-atribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data dan kerahasiaan data tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki informasi atau laporan yang benar, bahkan perusahaan dapat menderita kerugian karena pengawasan tidak tepat atau
38 keputusan-keputusan yang salah. Dengan adanya integritas dan kerahasiaan data yang terpelihara maka perusahaan mampu menyajikan informasi yang layak. 4. Mengamankan aset-aset perusahaan. Aset informasi suatu perusahaan seperti hardware, software sumber daya manusia, file atau data dan fasilitas lain harus dijaga dengan sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.
2.3.3
Resiko Audit 2.3.3.1 Pengertian Resiko Audit Resiko audit adalah resiko bahwa hasil pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya.
Resiko
audit
juga
disebabkan
adanya
kemungkinan auditor ekstern memberikan opini yang salah terhadap fairness laporan keuangan auditee, atau temuan dan rekomendasi yang salah pada laporan hasil pemeriksaan auditor intern. ISACA (2005) memberikan definisi lain bahwa resiko audit adalah resiko dalam memberikan pendapat audit yang salah.
39 2.3.3.2 Jenis-jenis Resiko Audit Dalam bukunya CISA: CISA Review Manual 2006 (ISACA, 2005) mengelompokkan jenis-jenis resiko audit sebagai berikut: a. Inherent Risk, kelemahan dari area audit sehingga menimbulkan error yang dapat berupa material, individu atau kombinasi dari error lainnya, diasumsikan tidak berhubungan dengan pengendalian intern. b. Control Risk, resiko terjadi error dalam area audit, yang dapat berupa material, individu, atau kombinasi kesalahan lainnya, tidak akan dapat dicegah atau terdeteksi dan diperbaiki secara periodik oleh sistem pengendalian internal. c. Detection Risk, resiko yang timbul karena prosedur substantif yang dilakukan auditor sistem informasi tidak akan dapat mendeteksi adanya error yang dapat berupa material, individu atau kombinasi dengan kesalahan lainnya.
Semakin banyak perusahaan yang beralih ke pendekatan audit yang didasarkan pada resiko yang biasanya disesuaikan untuk membangun dan memperbaiki kelangsungan proses bisnis.
Pendekatan ini digunakan
untuk menilai resiko dan membantu keputusan auditor SI
40 untuk
melakukan
pelaksanaan
tiap
pengujian
pengujian substantif. Dalam pendekatan audit
dan yang
didasarkan pada resiko, auditor SI tidak mempercayai sepenuhnya pengendalian
resiko,
mereka
internal
dan
juga
mempercayai
operasional
maupun
pemahaman terhadap perusahaan atau bisnis.
2.3.3.3 Metrik Penilaian Resiko Metrik
penilaian
resiko
adalah
suatu
cara
untuk
menganalisa seberapa besar pengaruh dan hubungan antara tingkat resiko (dampak) terhadap tingkat keterjadian dari resiko tersebut. Besarnya tingkatan dampak dan keterjadian dinyatakan dengan : 1. L atau Low diberi nilai -1 2. M atau Medium diberi nilai -2 3. H atau High diberi nilai -3
Teknik perhitungan dalam metrik penilaian resiko menggunakan fungsi perkalian antara dampak dengan keterjadian. Kriteria penilaian dalam metrik resiko terdiri dari: 1. Resiko kecil (Low) nilainya berkisar antara -1 dan -2, seperti :
41 a. Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai resiko adalah -1. Artinya nilai resiko dari dampak dan keterjadian adalah kecil. b. Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai resiko adalah -2. Artinya nilai resiko dari dampak dan keterjadian adalah kecil. c. Jika dampak Medium (-2) dan keterjadian Low (1), maka nilai resiko adalah -2. Artinya nilai resiko dari dampak dan keterjadian adalah kecil.
2. Resiko sedang (Medium) nilainya antara -3 dan -4, seperti : a. Jika dampak Low (-1) dan keterjadian High (-3), maka nilai resiko adalah -3. Artinya nilai resiko dari dampak dan keterjadian adalah sedang. b. Jika dampak Medium (-2) dan keterjadian Medium (-2), maka nilai resiko adalah -4. Artinya nilai resiko dari dampak dan keterjadian adalah sedang. c. Jika dampak High (-3) dan keterjadian Low (-1), maka nilai resiko adalah -3. Artinya nilai resiko dari dampak dan keterjadian adalah sedang.
42 3. Resiko tinggi (High) nilainya antara -6 dan -9, seperti : a. Jika dampak Medium (-2) dan keterjadian High (3), maka nilai resiko adalah -6. Artinya nilai resiko dari dampak dan keterjadian adalah tinggi. b. Jika dampak High (-3) dan keterjadian Medium (2), maka nilai resiko adalah -6. Artinya nilai resiko dari dampak dan keterjadian adalah tinggi. c. Jika dampak High (-3) dan keterjadian High (-3), maka nilai resiko adalah -9. Artinya nilai resiko dari dampak dan keterjadian adalah tinggi.
Dampak
-3H
-2 M
-3
-6
-9
-2
-4
-6
-1
-2
-3
-1 L
L -1
M -2 Keterjadian
H -3
Gambar 2.3 Metrik Penilaian Resiko Sumber: The Essential Handbook of Internal Auditing (IIA, 2005)
43 2.3.3.4 Metrik Penilaian Pengendalian Metrik penilaian pengendalian adalah suatu cara untuk menganalisa seberapa besar pengaruh dan hubungan antara tingkat efektifitas dengan desain (rancangan) dari pengendalian resiko.
Besarnya tingkatan efektifitas dan desain (rancangan)
dinyatakan dengan : 1. L atau Low diberi nilai 1 2. M atau Medium diberi nilai 2 3. H atau High diberi nilai 3
Teknik perhitungan dalam metrik penilaian pengendalian menggunakan fungsi perkalian antara efektifitas dengan desain (rancangan). Kriteria penilaian dalam metrik pengendalian terdiri dari: 1. Pengendalian kecil (Low) nilainya berkisar antara 1
dan
2, seperti : a. Jika efektifitas Low (1) dan desain Low (1), maka nilai
pengendalian
adalah
1.
Artinya
nilai
pengendalian dari efektifitas dan desain adalah kecil. b. Jika efektifitas Low (1) dan desain Medium (2), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.
44 c. Jika efektifitas Medium (2) dan desain Low (1), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.
2. Pengendalian sedang (Medium) nilainya antara 3 dan 4, seperti : a. Jika efektifitas Low (1) dan desain High (3), maka nilai
pengendalian
adalah
3.
Artinya
nilai
pengendalian dari efektifitas dan desain adalah sedang. b. Jika efektifitas Medium (2) dan desain Medium (2), maka nilai pengendalian adalah 4. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang. c. Jika efektifitas High (3) dan desain Low (1), maka nilai
pengendalian
adalah
3.
Artinya
nilai
pengendalian dari efektifitas dan desain adalah sedang.
3. Pengendalian tinggi (High) nilainya antara 6 dan 9, seperti: a. Jika efektifitas Medium (2) dan desain High (3), maka nilai pengendalian adalah 6. Artinya nilai
45 pengendalian dari efektifitas dan desain adalah tinggi. b. Jika efektifitas High (3) dan desain Medium (2), maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi. c. Jika efektifitas High (3) dan desain High (3), maka nilai
pengendalian
adalah
9.
Artinya
nilai
pengendalian dari efektifitas dan desain adalah tinggi.
Efektifitas
3H
3
6
9
2
4
6
1
2
3
2M
1L
L 1
M 2
H 3
Desain
Gambar 2.4 Metrik Penilaian Pengendalian Sumber: The EssentialHandbook of Internal Auditing (IIA, 2005)
46 Penetapan tingkat efektifitas antara resiko dan pengendalian adalah sebagai berikut : 1. Jika jumlah penilaian resiko dan pengendalian 0, maka tingkat pengendalian dan resiko adalah standar, artinya setiap resiko yang terjadi dapat ditanggulangi (di-cover) oleh pengendalian yang ada. 2. Jika jumlah penilaian resiko dan pengendalian positif, maka pengendalian adalah baik. Tetapi jika nilai pengendalian terlalu tinggi dibanding resiko, maka kemungkinan akan terjadi kelebihan pengendalian (over control) yang menyebabkan terjadinya pemborosan dalam operasional. 3. Jika jumlah penilaian resiko dan pengendalian negatif, maka pengendalian adalah buruk. Sehingga perlu dilakukan peningkatan terhadap pengendalian karena resiko yang dihadapi besar.
2.3.4
Bukti-bukti Audit Menurut Gondodiyoto & Hendarti (2006, p440): “bukti audit ialah data utama (substansi), data pendukung dan semua informasi penguat (informasi lain) yang tersedia bagi auditor dari kegiatan pemeriksaannya yang dapat dipakai sebagai dasar yang layak untuk menyatakan opini atau memberikan rekomendasinya”.
2.3.4.1 Jenis-jenis Bukti Audit Bukti audit dapat dikategorikan dalam beberapa cara, antara lain:
47 1. Bukti Langsung dan Bukti Tidak Langsung Bukti langsung adalah bukti audit bersifat fakta atau dokumen sah yang langsung terkait dengan kegiatan pemeriksaan, sedangkan bukti tidak langsung ialah bukti yang harus disimpulkan sendiri oleh auditor berdasarkan bahan bukti tertentu. 2. Bukti Utama (primer) dan Bukti Sekunder Bukti utama adalah bukti audit bersifat fakta atau dokumen sah yang terkait dengan timbulnya suatu keterjadian atau transaksi, sedangkan bukti sekunder adalah bentuk copy dari dokumen asli. 3. Fakta/bukti hasil analisis Fakta/bukti hasil analisis adalah kesimpulan auditor berdasarkan bukti audit yang berasal dari hasil pemikiran dengan kenyataan atau fakta yang relevant. 4. Record/testimonial evidence Record evidence adalah bukti audit yang berwujud dokumentasi atau catatan, sedangkan testimonial evidence adalah informasi yang diperoleh dari pihak atau orangorang tertentu dalam bentuk tertulis atau tulisan yang dapat diperoleh dengan beberapa cara yaitu: wawancara, surat atau konfirmasi dari pihak lain, bukti audit dari pengamatan auditor (observation evidence), bukti audit dari hasil analisis auditor (analitical evidence).
48 2.3.4.2 Kualitas Bukti Audit Mutu atau kualitas bukti audit merupakan ukuran dapat atau tidaknya suatu bukti digunakan sebagai bahan untuk menarik kesimpulan guna pernyataan pendapat atau rekomendasi oleh auditor. Adapun bebarapa faktor yang menentukan kualitas bukti auditor adalah: 1. Relevansi (relevancy), bukti audit yang relevan berarti bukti tersebut terkait dengan tujuan audit. 2. Nilai
penting
(materiality),
didalam
audit
laporan
keuangan kesalahan diukur dengan material atau tidaknya kesalahan itu. Materialitas bersifat relatif, karena jenis kesalahan dan besar kecilnya bukti akan mempengaruhi sikap auditor dalam mengambil kesimpulan. 3. Kompetensi bukti audit (Competency) sangat dipengaruhi oleh sumber bukti audit dan sah atau tidaknya bukti audit. 4. Kecukupan atau kelengkapan bukti, pengukuran dan kecukupan bukti bersifat subjektif berdasarkan auditor masing-masing. 5. Tepat
waktu
(timeliness),
menunjukkan
bukti-bukti
tersebut dikumpulkan sesuai dengan periode yang dicakup audit.
49 2.3.4.3 Instrumen Audit Instrumen audit merupakan teknik pemeriksaan yang diterapkan dalam melaksanakan audit. Beberapa instrumen audit yang lazim digunakan dalam audit menurut Gondodiyoto & Hendarti (2006), adalah sebagai berikut: 1. Pengamatan (Observation) Mengadakan pengamatan fisik dan meninjau kegiatan perusahaan secara langsung untuk memperoleh gambaran nyata yang berhubungan dengan permasalahan yang sedang diteliti. 2. Wawancara (Interview) Mengadakan tanya jawab secara langsung kepada pihak yang
berwenang
yang
mengetahui
tentang
objek
permasalahan yang dibahas oleh penulis guna memperoleh informasi yang lebih jelas dan akurat. 3. Kuesioner (Questionnaire) Kuesioner dilakukan agar dapat memperoleh jawaban yang lebih terarah dan jujur dari auditee. Daftar pertanyaan ini dibuat untuk mempermudah dalam pengumpulan data dan agar data yang diperoleh sesuai dengan keadaan laporan. 4. Konfirmasi Konfirmasi informasi
merupakan atau
upaya
penegasan
dari
untuk sumber
memperoleh lain
yang
50 independen, baik secara lisan maupun tertulis dalam rangka pembuktian pemeriksaan. 5. Inspeksi Fisik Inspeksi fisik merupakan cara memeriksa bukti-bukti secara langsung dengan memakai panca indera terutama mata, untuk memperoleh bukti atas suatu keadaan atau suatu masalah pada saat tertentu dan pemeriksa sendiri harus berada ditempat dimana keadaan atau masalah tersebut ingin dibuktikan. 6. Prosedur Analisis Prosedur analisis adalah salah satu teknik pemeriksaan dimana pemeriksa menguraikan suatu keadaan atau masalah ke dalam beberapa bagian atau elemen dan memisahkan bagian tersebut untuk digabungkan dengan keseluruhan atau dibandingkan dengan yang lain. 7. Perbandingan Perbandingan adalah usaha untuk mencari persamaan dan perbedaan antara dua atau lebih gejala atau keadaan. Misalnya membandingkan realisasi penerimaan atau pengeluaran dengan jumlah menurut anggaran. 8. Studi Dokumentasi Studi dokumentasi dilakukan untuk mendukung dalam pengevaluasian pengendalian aplikasi untuk segmen
51 pengendalian masukan (Input Controls) dan pengendalian keluaran (Output Controls).
2.3.5
Jenis-jenis Audit Mengacu pada pendapat Gondodiyoto & Hendarti (2006), audit dapat diklasifikasikan dalam beberapa jenis audit, yaitu: 1. Audit Keuangan (General Financial Audit) a. Memeriksa ada/tidaknya salah-saji materialitas terhadap seluruh
informasi
keuangan
perusahaan
(financial
statements), yaitu: 1) Posisi harta saat tertentu (neraca/balance). 2) Laporan
Laba/rugi
periode
tertentu
(Income
Statement). 3) Laporan Arus Kas (Cash-flow). 4) Laporan
perubahan
ekuitas/modal
(Retained
Earning). 5) Risalah atau catatan tentang laporan keuangan tersebut. b. Kesesuaian dengan Standard Akuntansi Keuangan. c. Laporan
audit
bentuk
baku
dan
dengan
opini
akuntan/auditor. d. Pemakai laporan dari pihak ekstern & intern. e. Periode audit segera setelah tahun buku berakhir, frekwensi 1 kali/tahun.
52 f. Untuk perusahaan PT. Tbk (go public) ditentukan oleh peraturan. g. Data aktual lazimnya historis (ada juga yang prospektif). h. Lazimnya
dilakukan
oleh
akuntan/auditor
eksternal
independen.
2. Audit Ketaatan (Compliance Audit) a. Audit atas kepatuhan terhadap peraturan, penelitian upah untuk menentukan kesesuaiannya dengan peraturan upah minimum, memeriksa surat perjanjian kredit bank dengan nasabahnya, dan sebagainya. b. Dilakukan oleh orang kompeten/independen. c. Penilaian terhadap kesesuaian antara pelaksanaan dengan kriteria yang diterapkan. d. Kesimpulan/temuan, rekomendasi/usul/saran perbaikan.
3. Audit Operasional (Operational/Management Audit) a. Dilakukan oleh orang kompeten/independen terhadap operasionalisasi entitas/segmen/divisi tertentu. b. Efektif/efisien/ekonomis tidaknya suatu operasionalisasi entitas. c. Lebih berorientasi pemeriksaan kinerja. d. Laporan pemeriksaan tidak baku.
53 e. Laporan dipakai pihak intern saja, khususnya atasan langsung. f. Pelaksanaan & frekwensi tergantung kebutuhan/kemauan pimpinan organisasi. g. Data potensial atau kecenderungan kedepan yang mungkin terjadi. h. Laporan
audit
bersifat
kesimpulan/temuan
dan
rekomendasi/usul/saran perbaikan.
Dalam perkembangannya juga dikenal jenis audit yang lain, yaitu : 1. Audit Forensik (Forensic Audit) Menurut Edwar Nurdin (dalam Gondodiyoto & Hendarti 2006) audit forensik adalah audit yang dilaksanakan dalam kaitannya sebagai dukungan dalam proses litigasi dan investigasi. 2. Audit terhadap kecurangan (Fraud audit) Menurut Karyono (dalam Gondodiyoto & Hendarti 2006) merupakan proses audit yang memfokuskan pada keanehan atau keganjilan objek yang perlu dilakukan audit untuk mencegah terjadinya kecurangan (preventing fraud), mendeteksi (detctive) maupun pemeriksaan kecurangan (investigating fraud).
54 3. Audit e-commerce Menurut Gondodiyoto & Hendarti (2006, p61), audit terhadap ecommerce merupakan bidang yang spesifik, karena berbeda dengan audit teknologi lain yang bersifat “ back-office system”. Karena besarnya resiko yang ada pada e-bussines/e-commerce sangat beragam, antara lain seperti perlunya pengungkapan praktek
bisnis,
keyakinan
atas
keandalan
transaksi,
dan
perlindungan atas informasi. Sebagai jawaban atas permasalahan tersebut, maka dikembangkan suatu program yang disebut webtrust. Webtrust adalah program yang memberikan jaminan menyeluruh terhadap bisnis yang berbasis e-bussines/e-commerce dengan membangun kepercayaan dan keandalan website tersebut.
Sedangkan dilihat dari organisasi audit dapat dikelompokan menjadi: 1. Audit Internal Menurut Gondodiyoto & Hendarti (2006, p48), audit yang dilakukan auditor yang berasal dari lingkungan perusahaan itu sendiri disebut pemeriksaan intern (internal audit). 2. Audit Eksternal Menurut HEFCE (Higher Education Funding Council for England, 2003), audit eksternal adalah fungsi audit independen yang memberikan keyakinan memadai bahwa laporan keuangan
55 yang telah diaudit dan diterbitkan bebas dari salah saji material dan sesuai dengan standar akuntansi yang legal dan relevan. http://www.hefce.ac.uk/finance/assurance/intext/external.asp 3. Audit Pemerintah Menurut Gondodiyoto & Hendarti (2006), audit pemerintah adalah audit intern yang dilakukan terhadap unit-unit satuan kantor dan proyek-proyek milik pemerintah yang dilakukan oleh BPKP
(Badan
Pemeriksa
Keuangan
dan
Pembangunan),
sedangkan sebagai auditor eksternal independen terhadap pemerntah adalah BPK (Badan Pemeriksa Keuangan).
2.3.6
Standar Audit 2.3.6.1 Standar Audit Akuntan Publik (IAI) Standar Profesional Akuntan Publik (SPAP) menurut IAI (Ikatan Akuntan Indonesia) dalam (Gondodiyoto & Hendarti, 2006), secara garis besar adalah sebagai berikut: 1. Standar Umum a. Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki keahlian dan pelatihan teknis cukup sebagai auditor. b. Dalam semua hal yang berhubungan dengan penugasan, independensi sikap mental harus dipertahankan oleh auditor. c. Kemahiran profesional, cermat, dan seksama.
56 2. Standar Pekerja Lapangan a. Jika digunakan asisten harus disupervisi dengan sebaik-baiknya. b. Kewajiban
auditor
memahami
struktur
pengendalian intern sistem klien. c. Harus diperoleh bahan bukti kompeten dan cukup.
3. Standar Pelaporan a. Pendapat
tentang
kesesuaian
dengan
standard/prinsip akuntansi umum. b. Konsistensi sistem akuntansi. c. Pengungkapan informatif laporan keuangan harus cukup memadai. d. Pernyataan pendapat auditor.
2.3.6.2 ISACA Standar Audit Sistem Informasi menurut ISACA: S1 Audit Charter 1. Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis. 2. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.
57 S2 Independence 3. Professional Independence Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee baik dalam sikap maupun penampilan. 4. Organisational Independence Fungsi audit sistem informasi harus independen terhadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan.
S3 Professional Ethics and Standards 5. Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit. 6. Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai, dalam melakukan tugas audit.
S4 Professional Competence 7. Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit. 8. Auditor sistem informasi harus mempertahankan kompentensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.
58 S5 Planning 9. Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku. 10. Audit
sistem
informasi
harus
membangun
dan
mendokumentasikan resiko yang didasarkan pada pendekatan audit.
S6 Performance of Audit Work 11. Pengawasan – staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada. 12. Bukti – Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relavan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada. 13. Dokumentasi – Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.
S7 Reporting 14. Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.
59 15. Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan. 16. Laporan
audit
harus
berisikan
temuan,
kesimpulan
dan
rekomendasi serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit. 17. Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.
S10 IT Governance 18. Auditor sistem informasi harus meninjau dan menilai apakah fungsi sistem informasi sesuai dengan misi organisasi, visi, nilai, objektif dan strategi. 19. Auditor sistem informasi harus meninjau apakah fungsi sistem infomasi mempunyai pernyataan yang jelas mengenai kinerja yang diharapkan dari bisnis (efektif dan efisiensi) dan menilai pencapaiaan yang diperoleh. 20. Auditor sistem informasi harus meninjau dan menilai efektivitas dari sumber sistem informasi dan kinerja proses manajemen. 21. Auditor sistem informasi harus meninjau dan menilai pelaksanaan yang legal/sah, lingkungan dan kualitas informasi dan fiduciary dan persyaratan keamanan. 22. Pendekatan secara resiko harus digunakan oleh auditor sistem informasi untuk menilai fungsi sistem informasi.
60 23. Auditor sistem informasi harus meninjau dan menilai control environment dari organisasi. 24. Auditor sistem informasi harus meninjau dan menilai resiko yang mungkin merugikan pengaruh dari lingkungan sistem informasi.
S11 Use of Risk Assessment in Audit Planning 25. Auditor sistem informasi harus menggunakan teknik penilaian resiko yang tepat atau pendekatan dalam mengembangkan perencanaan audit sistem informasi secara keseluruhan dan dalam prioritas determinasi untuk alokasi yang efektif dari sumber audit sistem informasi. 26. Ketika planning individual reviews, auditor sistem informasi harus mengidentifikasi dan menilai resiko yang berkaitan dengan area yang ditinjau.
S14 Audit Evidence 27. Auditor sistem informasi harus memperoleh bukti audit yang cukup dan tepat untuk menarik kesimpulan yang masuk akal berdasarkan hasil audit. 28. Auditor sistem informasi harus memeriksa kecukupan bukti audit yang diperoleh selama audit. http://www.isaca.org
61 2.3.6
Prosedur Audit Menurut Gondodiyoto & Hendarti (2006) langkah-langkah dalam melaksanakan audit sistem informasi pada garis besarnya mencakup lima tahap, yaitu: 1. Perencanaan audit (Audit Planning) Langkah pertama dalam perencanaan audit adalah untuk menetapkan ruang lingkup dan tujuan pemeriksaan. Hal ini tergantung pada untuk siapa pemeriksaan ini dilakukan dan jenis pemeriksaan apa yang dikehendaki. 2. Pemahaman sistem dan struktur pengendalian internnya. 3. Pengumpulan bukti audit. Bukti pemeriksaan dikumpulkan dengan jalan dengan sejumlah pengujian (test) dan prosedur yang bermacam-macam jenisnya. Hal ini meliputi: a. Observasi atas kegiatan operasional perusahaan b. Pemeriksaan fisik atas kuantitas dan atau kondisi aktiva berwujud seperti peralatan, persediaan barang atau uang kas. c. Pertanyaan yang ditujukan kepada bagian perusahaan yang bersangkutan d. Pemeriksaan bukti atau pemeriksaan ketelitian dokumendokumen dan catatan-catatan.
62 4. Evaluasi Bukti Pemeriksaan Setelah
bukti-bukti
audit
dikumpulkan,
auditor
harus
mengevaluasi seluruh isi dari bukti-bukti tersebut sesuai dengan tujuan audit dan kemudian: a. Dilakukan
tests
of
control
yang
bertujuan
untuk
mengetahui apakah pengendalian yang ada telah dilakukan sesuai dengan prosedur yang telah ditetapkan. b. Dilakukan substantive test, yang terdiri dari: 1) Tests of transactions yang bertujuan untuk mengevaluasi apakah terdapat kekeliruan atau kesalahan di dalam pemrosesan transaksi yang menyebabkan ketidakakuratan informasi keuangan. 2) Tests of balances or overall results yang bertujuan untuk menjamin laporan yang dihasilkan adalah benar dan akurat. 5. Komunikasi hasil pemeriksaan Setelah pekerjaan pemeriksaan diselesaikan dan kesimpulan akhir telah dicapai, pemeriksa menyiapkan suatu laporan mengenai temuan-temuan dan rekomendasi-rekomendasinya. Laporan ini disampaikan kepada pihak manajemen dan pihak-pihak lainnya yang berkepentingan. Setelah melakukan komunikasi terhadap hasil-hasil pemeriksaan, sebaiknya pemeriksa melaksanakan suatu studi tindak lanjut untuk meyakinkan bahwa rekomendasinya telah dilaksanakan.