BAB 2 LANDASAN TEORI
2.1 Teori Umum 2.1.1
Pengertian Sistem Informasi Sistem
adalah
sekelompok
komponen-komponen
yang
saling
berhubungan dan saling berkaitan satu sama lain untuk mencapai suatu tujuan tertentu. Hal ini sesuai dengan pendapat O’Brien (2005, p29), Sistem dapat didefinisikan secara sederhana sebagai sekelompok elemen yang saling berhubungan atau berinteraksi hingga membentuk satu kesatuan. M enurut Brian dan S tacey (2005, p457), Sistem merupakan suatu kumpulan dari komponenkomponen yang saling berhubungan yang saling berinteraksi untuk menjalankan suatu tugas di dalam mencapai suatu tujuan yang dikehendaki. Informasi adalah suatu hasil dari pemrosesan data yang telah disimpulkan sehingga memiliki arti dan dapat digunakan dalam pengambilan suatu keputusan. Hal ini didukung oleh pendapat Brian dan S tacey (2005, p12), Informasi merupakan suatu data yang telah disimpulkan atau dengan kata lain yang telah dimanipulasi untuk digunakan di dalam melakukan pengambilan suatu keputusan. M enurut McLeod (2001, p15), Informasi adalah data yang telah diproses atau data yang memiliki arti. Sistem informasi adalah suatu kesatuan komponen yang terdiri dari people, hardware, software, network, dan sumber daya lainnya yang diproses untuk menghasilkan informasi bagi suatu organisasi. Pengertian ini didukung
8
9 teori yang dikemukakan oleh O’Brien (2005, p5), Sebuah sistem informasi dapat berupa orang, hardware, software, jaringan komunikasi, dan sumber data yang diperoleh melalui pengumpulan data, diproses sehingga menjadi informasi bagi organisasi tersebut. Selain itu menurut Brian dan S tacey (2005, p447), Sistem Informasi merupakan suatu kombinasi orang (user), hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan suatu informasi di dalam suatu organisasi.
2.1.2
Audit
2.1.2.1 Auditing Auditing adalah proses pengumpulan dan pengevaluasian bukti dengan tujuan untuk mengetahui tingkat kesesuaian antara bukti-bukti yang didapat dengan kriteria yang telah ditetapkan serta menyampaikan hasilnya pada pihak yang berkepentingan. Pengertian ini didukung teori yang dikemukakan oleh Arens dan Loebbecke yang diterjemahkan oleh Jusuf (2003, p1), Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan kriteria-kriteria yang telah ditetapkan. Selain itu menurut Mulyadi (2002, p7), Auditing adalah suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara obyektif mengenai pernyataan pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan
10 kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.
2.1.2.2 Jenis-jenis Audit M enurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf (2003, p4), berdasarkan bidang yang diperiksa, audit terdiri dari 3 jenis audit yaitu : 1. Financial Statement Audit (Audit Laporan Keuangan ) Bertujuan untuk menentukan apakah laporan keuangan secara keseluruhan (informasi akan diverifikasi) telah disajikan sesuai dengan kriteria-kriteria tertentu. 2. Operational Audit (Audit Operasional) Bertujuan untuk menelaah atas tujuan manapun dari prosedur dan metode operasi suatu organisasi untuk menilai efisiensi dan efektivitasnya. 3. Compliance Audit (Audit Ketaatan) Bertujuan untuk mempertimbangkan apakah auditee (klien) telah mengikuti prosedur atau aturan tertentu yang telah ditetapkan pihak yang memiliki otoritas lebih tinggi.
2.1.2.3 Pengertian Laporan Au dit Laporan audit adalah laporan yang berisi tentang hasil-hasil penemuan dari kegiatan audit yang dilakukan oleh auditor dan juga berisi pendapatpendapat dari auditor. Pengertian ini didukung teori yang dikemukakan oleh Arens & Loebbecke (2003, p36), Laporan audit adalah tahap terakhir dari
11 prosedur audit yang merupakan komunikasi dari penemuan auditor untuk user. Dan menurut Mulyadi (2002, p10), Laporan audit adalah media yang dipakai oleh auditor dalam berkomunikasi dengan masyarakat lingkungannya dan media untuk menyatakan pendapatnya mengenai kewajaran laporan keuangan.
2.1.3
Metodologi Pengumpulan Data M enurut Indriantoro & S upomo (2002, p152) Ada tiga teknik pengumpulan data dalam metode survei yaitu : 1. Wawancara Wawancara merupakan teknik pengumpulan data dalam metode survei yang menggunakan pertanyaan secara lisan kepada subyek penelitian. Teknik wawancara dilakukan jika peneliti memerlukan komunikasi atau hubungan dengan responden. Teknik wawancara dapat dilakukan dengan dua cara yaitu : a. Wawancara tatap muka (Personal atau face-to-face interview) M etode pengumpulan data primer dapat dilakukan dengan cara komunikasi secara langsung (tatap muka) antara pewawancara yang mengajukan pertanyaan secara lisan dengan responden yang menjawab pertanyaan secara lisan. Teknik wawancara tatap muka mempunyai kelebihan dibandingkan wawancara melalui telepon dan
teknik
mengajukan
kuesioner. banyak
Teknik
pertanyaan
ini dan
memungkinkan memungkinkan
untuk bagi
pewawancara untuk memahami kompleksitas masalah dan menjelaskan maksud penelitian kepada responden.
12 b. Wawancara dengan telepon (Telephone Interviews) Teknik ini dapat mengatasi kelemahan wawancara tatap muka karena dapat mengumpulkan data dari responden yang letak geografisnya terpencar dengan biaya yang lebih murah dan diperoleh dengan waktu yang relatif cepat. Kelemahannya, pewawancara tidak dapat mengamati ekspresi wajah responden ketika menjawab
pertanyaan
yang pada kondisi tertentu
diperlukan untuk menyakinkan apakah responden menjawab pertanyaan sesuai dengan fakta. 2. Observasi Proses pencatatan pola perilaku subyek (orang), obyek (benda) atau kejadian yang sistematik tanpa adanya pertanyaan atau komunikasi dengan individu-individu yang diteliti. M etode observasi dapat menghasilkan data yang lebih rinci mengenai perilaku (subyek), benda atau kejadian (obyek) dibandingkan dengan metode survei lainnya. Teknik observasi dalam penelitian bisnis dapat dilakukan dengan 2 cara: a. Observasi langsung (Direct observation) Tipe observasi yang dilakukan langsung oleh peneliti, terutama untuk subyek atau obyek penelitian yang sulit diprediksi. b. Observasi mekanik (Mechanical observation) Teknik observasi yang dilakukan dengan bantuan peralatan mekanik, antara lain: kamera foto dan mesin penghitung. Observasi mekanik umumnya diterapkan pada penelitian terhadap
13 perilaku atau kejadian yang bersifat rutin, berulang-ulang dan telah terprogram sebelumnya. 3. Pengujian sistem Penelitian ini dilakukan dengan melakukan pengujian terhadap program yang dipakai pada perusahaan.
2.1.4
Diagram Aliran Data (DAD)
2.1.4.1 Pengertian DAD Diagram aliran data adalah uraian model yang menggambarkan aliran data suatu perusahaan dan proses untuk mengolah data dalam suatu sistem. Pengertian ini didukung teori yang dikemukakan oleh Romney dan S teinbart (2003, p155), Diagram aliran data adalah uraian secara grafis dari sumber dan uraian data yang memperlihatkan aliran data dalam suatu perusahaan, proses data dan bagaimana data disimpan. Selain itu menurut Mulyadi (2001, p57), Bagan alir data adalah suatu model yang menggambarkan aliran data dan proses untuk mengolah data dalam suatu sistem.
2.1.4.2 Tingkatan DAD M enurut Romney dan Steinbart (2003, p161), dalam diagram aliran data terdapat tingkatan-tingkatan yang masing-masing tingkatan menggambarkan isi dari sistem, yaitu : • Diagram hubungan / Diagram konteks Diagram konteks merupakan proses tunggal. Digram ini menggambarkan hubungan sistem data flow dan external entity.
14 • Diagram nol M enggambarkan subsistem dari diagram hubungan yang diperoleh dengan memecahkan proses pada diagram hubungan atau konteks. • Diagram rinci M erupakan uraian dari diagram nol yang berisi proses-proses yang menggambarkan bab dari subsistem pada diagram nol.
2.1.4.3 Komponen DAD M enurut Romney dan S teinbart (2003, p158), Diagram aliran data terdiri dari 4 komponen dasar sebagai berikut : a. Entitas Nama entitas digunakan untuk menggambarkan elemen-elemen lingkungan, yang menandai titik berakhirnya sistem. Entitas dapat berupa orang seperti manajer yang menerima laporan dari sistem organisasi seperti departemen lain dalam perusahaan atau perusahaan lain, atau sistem yang lainnya yang berada pada lingkungan luarnya yang akan memberikan input dan menerima output dari sistem. Tiap simbol entitas diberi label nama elemen lingkungan suatu entitas dapat disimbolkan dengan suatu notasi kotak (lihat L1). b. Proses Proses adalah sesuatu yang mengubah input menjadi output. Tiap simbol proses diidentifikasikan dengan label. Teknik pembuatan label yang paling umum adalah dengan menggunakan kata kerja dan
15 obyek, tetapi dapat juga menggunakan nama sistem atau program komputer. Proses ditunjukkan dengan simbol lingkaran, (lihat L1). c. Aliran Data Arus data terdiri dari sekelompok elemen data yang berhubungan secara logis yang bergerak dari satu titik atau proses ke titik atau proses yang lain. Arus data di DAD diberi simbol suatu panah (lihat L1) yang mengalir di antara proses, data store dan entitas. Arus data ini menunjukkan arus dari data yang berupa masukan untuk sistem atau hasil dari proses sistem. d. Data store M erupakan tempat penyimpanan data dapat berbentuk file, database ataupun arsip, (lihat L1). Arus data yang menuju ke data store dari suatu proses menunjukkan suatu update data yang dapat berupa : 1. M enambah atau menyimpan record baru atau dokumen baru ke dalam data store. 2. M enghapus record atau mengambil dokumen dari data store. 3. M erubah nilai data di suatu record atau di suatu dokumen yang ada di data store.
2.2 Teori Khusus 2.2.1
Pengertian Evaluasi Evaluasi merupakan teknik penilaian suatu implementasi sistem atau suatu kegiatan tertentu apakah telah sesuai dengan yang diharapkan dan telah mencapai tujuan yang telah ditetapkan sebelumnya dengan menggunakan standar
16 yang berlaku, yang dilakukan secara berkala melalui metode yang tepat. Pengertian ini didukung dengan teori yang dijabarkan menurut Kamus Besar Bahasa Indonesia (2008), Evaluasi adalah proses penilaian yang sistematis, mencakup
pemberian nilai, atribut, apresiasi, pengenalan masalah, dan
pemberian solusi atas permasalahan yang ditemukan. M enurut Umar (2005, p36), Evaluasi adalah suatu proses untuk menyediakan informasi tentang sejauh mana suatu kegiatan tertentu telah dicapai, bagaimana perbedaan pencapaian itu dengan suatu standar tertentu untuk mengetahui apakah ada selisih di antara keduanya, serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan yang ingin diperoleh.
2.2.2
Sistem Informasi Penjualan
2.2.2.1 Pengertian Sistem Informasi Penjualan Pendapatan sebuah perusahaan dagang dihasilkan dari penjualan persediaan barang dagangannya. Pendapatan dari penjualan barang dagangan itu biasanya disebut penjualan. Dalam proses akuntansi, aktivitas penjualan termasuk dalam siklus pendapatan atau revenue cycle. M enurut Romney dan S teinbart (2003, p359) “Revenue cycle is a recurring set of business activities and related information processing operations associated with providing goods and services to cutomers and collecting cash in payment for those sales.” Dapat diartikan bahwa, siklus pendapatan atau revenue cycle yaitu kumpulan aktivitas bisnis dan berhubungan dengan proses informasi dalam hal penyediaan barang dan jasa kepada pelanggan dan mengumpulkan pembayaran atas penjualan tersebut.
17
2.2.2.2 Prosedur Sistem Informasi Penjualan Tunai M enurut Mulyadi (2001, p470), Prosedur yang membentuk sistem penerimaan kas dari penjualan tunai adalah sebagai berikut : 1. Prosedur Order Penjualan Dalam prosedur ini fungs i penjualan menerima order dari pembeli dan membuat faktur penjualan tunai untuk meningkatkan pembeli melakukan pembayaran harga barang ke fungsi kas dan untuk memungkinkan fungsi gudang dan fungsi pengiriman menyiapkan barang yang akan diserahkan kepada pembeli. 2. Prosedur Penerimaan Kas Dalam prosedur ini fungsi kas menerima pembayaran harga barang dari pembeli dan memberikan tanda pembayaran (Berupa Pita register kas dan Cap “LUNAS” pada faktur penjualan tunai) kepada pembeli untuk memungkinkan pembeli tersebut melakukan pengambilan barang yang dibelinya dari fungsi pengiriman. 3. Prosedur Penyerahan Barang Dalam prosedur ini fungsi pengiriman menyerahkan barang kepada pembeli. 4. Prosedur Pencatatan Penjualan Tunai Dalam prosedur ini, fungsi akuntansi melakukan pencatatan transaksi penjualan tunai dalam jurnal penjualan dan jurnal penerimaan kas, selain itu fungsi akuntansi juga mencatat berkurangnya persediaan barang yang dijual dalam kartu persediaan. 5. Prosedur Penyetoran Kas ke Bank
18 Sistem pengendalian intern terhadap kas mengharuskan penyetoran dengan segera ke bank semua kas yang diterima pada suatu hari. 6. Prosedur Pencatatan Penerimaan Kas Dalam prosedur ini, fungsi akuntansi mencatat penerimaan kas ke dalam jurnal penerimaan kas berdasarkan bukti setor bank yang diterima dari bank melalui fungsi kas. 7. Prosedur Pencatatan Harga Pokok Penjualan Dalam prosedur ini, fungsi akuntansi membuat rekapitulasi harga pokok penjualan berdasarkan data yang dicatat dalam kartu persediaan.
2.2.3
Pengendalian dan Risiko Sistem Informasi
2.2.3.1 Pengertian Pengendalian Internal Pengendalian internal merupakan metode, ukuran-ukuran, dan prosedur yang dikembangkan untuk mengurangi resiko, menjaga kekayaan organisasi, mengecek ketelitian dan keandalan akuntansi dan untuk menjamin kelayakan tujuan organisasi agar dapat tercapai dan mencegah, mendeteksi serta memperbaiki resiko berdasarkan ketaatan kepada manajemen. Hal ini didukung teori yang dikemukakan Mulyadi (2001, p163), Sistem pengendalian internal meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan dan akuntansi, manajemen.
mendorong efisiensi dan
mendorong dipatuhinya kebijakan
19 2.2.3.2 Tujuan Sistem Pengendalian Internal Tujuan dari sistem pengendalian internal Mulyadi (2001, p188), adalah untuk mengurangi resiko atau mengurangi pengaruh yang sifatnya merugikan akibat suatu kejadian. Berdasarkan pengertian di atas maka pengendalian dikelompokkan menjadi 3 bagian yaitu : a) Preventive Control Pengendalian ini digunakan untuk mencegah masalah-masalah sebelum masalah tersebut muncul. b) Detective Control Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian segera setelah masalah tersebut muncul. c) Corrective Control Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada Detective Control. Pengendalian ini mencakup prosedur untuk menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi sistem proses. Dengan demikian bisa mencegah kejadian yang sama di masa mendatang.
M enurut Mulyadi (2001, p 163), tujuan sistem pengendalian internal terdiri dari : 1. M enjaga kekayaan organisasi 2. M engecek ketelitian dan keandalan data akuntansi 3. M endorong efisiensi 4. M endorong dipatuhinya kebijakan manajemen
20 Tujuan pengendalian internal harus dipandang dalam kaitannya dengan individu yang menjalankan sistem pengendalian tersebut. Sistem harus dirancang sedemikian rupa sehingga para pegawai merasakannya sendiri dan yakin bahwa pengendalian
bertujuan
mengurangi
kesulitan-kesulitan
dalam
operasi,
melindungi organisasi, merupakan persyaratan tercapainya tujuan, dan dengan demikian mendorong terpenuhinya kebijakan manajemen yang telah digariskan.
2.2.3.3 Komponen Pengendalian Internal Lima komponen model pengendalian intern yang disajikan dalam buku Rama dan Jones (2006, p104), adalah : 1. Lingkungan Pengendalian Inti dari bisnis apapun adalah orang-orangnya, ciri perorangan, termasuk integritas, nilai-nilai etika, dan kompetensi serta lingkungan tempat beroperasi. M ereka adalah mesin yang mengemudikan organisasi dan dasar tempat segala hal terletak. 2. Aktivitas pengendalian Kebijakan dan prosedur pengendalian harus dibuat dan dilaksanakan untuk membantu memastikan bahwa tindakan yang diidentifikasikan oleh pihak manajemen untuk mengatasi resiko pencapain tujuan organisasi, secara efektif dijalankan. 3. Penilaian resiko Organisasi harus sadar akan dan berurusan dengan resiko yang dihadapinya. Organisasi harus menempatkan tujuan, produksi, pemasaran, keuangan, dan kegiatan
lainnya, agar organisasi
21 beroperasi secara otomatis.
Organisasi juga harus
membuat
mekanisme untuk mengidentifikasi, menganalisis, dan mengelola risiko yang terkait. 4. Informasi dan komunikasi Di sekitar aktivitas pengendalian terdapat sistem informasi dan komunikasi. M ereka memungkinkan orang-orang dalam organisassi untuk mendapat dan bertukar informasi yang dibutuhkan untuk melaksanakan, mengelola, dan mengendalikan operasinya. 5. Pengawasan Seluruh proses harus diawasi, dan perubahan dilakukan sesuai dengan kebutuhan. M elalui cara ini, sistem dapat beraksi secara dinamis, berubah sesuai tuntutan keadaan.
2.2.3.4 Unsur-unsur Sistem Pengendalian Internal M enurut pendapat Mulyadi (2001, p164-172), beberapa unsur yang terdapat di dalam suatu sistem pengendalian intern adalah sebagai berikut : a. Struktur organisasi yang memisahkan tanggung jawab fungsional secara tegas. Struktur organisasi merupakan kerangka (framework) pembagian tanggung jawab fungsional kepada unit-unit organisasi yang dibentuk untuk melaksanakan kegiatan-kegiatan pokok perusahaan. b. Sistem wewenang dan prosedur pencatatan yang memberikan perlindungan yang cukup terhadap kekayaan, utang, pendapatan dan biaya.
22 Dalam organisasi, setiap transaksi hanya terjadi atas dasar otorisasi dari pejabat yang memiliki wewenang untuk menyetujui terjadinya transaksi tersebut. c. Praktik yang sehat dalam melaksanakan tugas dan fungsi setiap unit organisasi. Pembagian tanggung jawab fungsional dan sistem wewenang dan prosedur pencatatan yang telah ditetapkan tidak akan terlaksana dengan baik jika tidak diciptakan cara-cara untuk menjamin praktik yang sehat dalam pelaksanaannya. d. Karyawan yang mutunya sesuai dengan tanggung jawabnya. Bagaimanapun baiknya struktur organisasi, sistem otorisasi dan prosedur pencatatan, serta berbagai cara yang diciptakan untuk mendorong praktik yang sehat, semuanya sangat tergantung kepada manusia yang melaksanakannya.
Unsur-unsur sistem pengendalian intern sangat penting karena sistem mempunyai beberapa unsur dan sifat-sifat tertentu yang dapat meningkatkan kemungkinan
dapat
dipercayainya
data-data
akuntansi
serta
tindakan
pengamanan terhadap aktiva dan catatan perusahaan.
2.2.3.5 Jenis-jenis Sistem Pengendalian Internal 2.2.3.5.1
Pengendalian Umum Pengendalian umum ialah sistem pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi
23 secara menyeluruh. Artinya ketentuan-ketentuan yang diatur dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi pada organisasi/perusahaan tersebut. M enurut James A. Hall (2002, p352), Pengendalian umum diterapkan pada serangkaian eksposur yang secara sistematis mengancam integritas semua aplikasi yang diproses dalam lingkungan sistem informasi yang berbasiskan komputer. M enurut Romney dan
S teinbart
(2003,
p251),
Pengendalian
umum
adalah
sistem
pengendalian yang memastikan bahwa lingkungan pengendalian perusahaan stabil dan teratur dengan baik untuk meningkatkan keefektifan pengendalian aplikasi. M enurut James A. Hall (2002, p352), Kontrol atau Pengendalian umum terdiri dari: 1) Pengendalian sistem operasi 2) Pengendalian manajemen data 3) Pengembangan struktur organisasi 4) Pengendalian pengembangan sistem 5) Pengendalian pemeliharaan sistem 6) Keamanan dan pengendalian pusat komputer 7) Pengendalian internet dan intranet 8) Pengendalian pertukaran data elektronik 9) Pengendalian komputer personal Berdasarkan
pada ruang
lingkup
audit,
maka penekanan
pada
pengendalian umum menyangkut pengendalian sistem operasi dan pengendalian manajemen data.
24 2.2.3.5.1.1 Pengendalian Sistem Operasi M enurut James A. Hall (2002, p352), Sistem operasi merupakan program kontrol yang dimiliki komputer. Sistem ini memungkinkan para pemakai dan aplikasi-aplikasi mereka untuk bersama-sama menggunakan dan mengakses sumber daya komputer, seperti prosesor, memori utama, database, dan printer. Jika integritas sistem operasi dirusak, kontrol-kontrol di antara aplikasi akuntansi individual dapat diakali atau dilumpuhkan. Karena sistem operasi dikenal baik oleh semua pemakai, maka semakin besar fasilitas komputer, semakin besar skala potensi kerusakannya. Jadi, dengan semakin banyaknya sumber daya komputer yang digunakan secara bersama-sama oleh komunitas pemakai yang selalu meluas, keamanan sistem operasi menjadi salah satu masalah kontrol yang penting. Untuk dapat menjaga integritas sistem operasi, terdapat beberapa macam teknik pengendalian seperti : 1. Pengendalian hak istimewa dalam mengakses Privilese atau hak istimewa akses untuk pemakai diberikan kepada individu atau seluruh kelompok kerja yang diotorisasi untuk menggunakan sistem. Privilese ini menentukan direktori, file-file, aplikasi-aplikasi dan sumber daya lainnya yang dapat diakses
oleh
individu
atau
kelompok.
Keamanan
sistem
keseluruhan dipengaruhi oleh cara privilese atau hak istimewa akses diberikan. Oleh karena itu, privilese-privilese tersebut harus diadministrasikan dengan hati-hati dan diawasi secara ketat agat
25 sesuai dengan kebijakan organisasi dan prinsip-prinsip kontrol internal. 2. Pengendalian kata sandi atau password Password merupakan sebuah kode rahasia yang dimasukkan oleh pemakai agar dapat mengakses sistem, aplikasi-aplikasi, file-file data, atau server jaringan. Jika pemakai tidak dapat memasukkan password dengan benar, maka sistem operasi akan menolak akses tersebut. Walaupun password dapat memberikan pengamanan, jika diberikan kepada pemakai yang tidak menganggap penting sistem ini, prosedur dapat menimbulkan perilaku pemakai akhir yang nantinya justru melanggar keamanan. Bentuk perilaku kontra keamanan yang biasa terjadi adalah : -
Lupa password dan terkunci dari sistem.
-
Gagal mengubah password secara berkala.
-
Sindrom post-it, yaitu password ditulis dan ditampilkan di layar sehingga yang lainnya dapat melihat.
-
Password yang terlalu sederhana sehingga mudah diantisipasi oleh seorang kriminal komputer.
M etode yang paling umum digunakan untuk kontrol password adalah password yang dapat dipakai berulang kali, yang bisa dikatakan bahwa pemakai cukup satu kali menetapkan password ke sistem dan kemudian memakainya kembali untuk akses di masa-masa mendatang. Kualitas keamanan yang diberikan oleh password yang dapat dipakai berulang kali bergantung pada
26 kualitas
password
itu
sendiri.
Oleh
karena
itu,
untuk
meningkatkan kontrol akses, sebaiknya pihak manajemen tidak menggunakan password yang “lemah”. 3. Pengendalian terhadap virus dan program-program destruktif lainnya Virus
merupakan
program
yang bersifat
merusak
yang
melekatkan dirinya ke program yang sah untuk mengacaukan sistem operasi. Virus menghancurkan program-program aplikasi, file-file data, dan sistem operasi dalam beberapa cara. Ancaman dari program-program yang destruktif dapat dikurangi secara substantial melalui kombinasi kontrol teknologi dan prosedur administratif. M isalnya dengan menggunakan perangkat lunak Anti Virus yang secara otomatis memeriksa aplikasi dan programprogram sistem operasi dari ada atau tidaknya virus dan membersihkannya dari program tersebut, dan juga disertai aktivitas update dari perangkat lunak Anti Virus itu sendiri. 4. Pengendalian atas jejak audit (audit trail) Audit trail merupakan catatan harian (logs) yang dapat didesain untuk mencatat aktivitas pada sistem, aplikasi, dan pada tingkat pemakai. Ketika diimplementasikan dengan benar, jejak audit menjadi kontrol deteksi yang penting untuk membantu pencapaian tujuan dari kebijakan keamanan sistem. Biasanya jejak audit terdiri dari dua jenis catatan audit: (1) catatan rinci tentang keystroke individual dan (2) catatan yang berorientasi peristiwa.
27 Pengawasan keystroke melibatkan pencatatan keystroke pemakai sekaligus tanggapan-tanggapan sistem. Bentuk catatan ini dapat digunakan setelah fakta untuk merekonstruksi rincian peristiwa atau
sebagai kontrol real-time untuk
mengawasi bentuk
penyusupan yang tidak sah. Pengawasan peristiwa merangkumkan aktivitas-aktivitas kunci yang berkaitan dengan pemakai, aplikasi dan sumber daya sistem. Catatan harian
peristiwa biasanya mencatat nomor-nomor
identitas semua pemakai yang mengakses sistem; waktu dan lamanya sesi pemakai; program-program yang dijalankan selama sesi tersebut; file-file, database, printer dan sumber daya lain yang diakses. 5. Pengendalian toleransi kesalahan (fault tolerance) Fault tolerance adalah kemampuan sistem untuk melanjutkan operasi ketika sebagian sistem gagal karena kegagalan hardware, kesalahan
program
aplikasi,
atau
kesalahan
operator.
Implementasi pengendalian fault tolerance ini memastikan bahwa tidak ada satu pun potensi terjadinya kegagalan sistem. Kegagalan sistem total dapat terjadi hanya ketika terjadi kegagalan banyak komponen.
2.2.3.5.1.2 Pengendalian Manajemen Data M enurut James A. Hall (2002, p363), Pengendalian manajemen data memiliki dua kategori umum: pengendalian akses (access control) dan
28 pengendalian pendukung (backup). Pengendalian akses dirancang untuk mencegah individu yang tidak memiliki otorisasi memeriksa, mengambil, merusak, atau mengkorupsi data organisasi. Pengendalian pendukung (backup) memastikan bahwa dalam peristiwa hilangnya data karena akses yang tidak sah, kerusakan peralatan, atau bencana fis ik yang dialami organisasi dapat dikembalikan dalam database, organisasi harus menerapkan kebijakan, prosedur dan teknik yang sistematis dan rutin untuk melakukan backup copies terhadap file-file yang penting. 1. Pengendalian Akses (access controls) Pengguna sistem mempertahankan kepemilikan yang eksklusif terhadap data-data mereka. Selain masalah integritas data yang berkaitan dengan model ini, sistem ini menciptakan lingkungan di mana akses-akses yang tidak sah dapat dikendalikan dengan efektif. Pengendalian akses terhadap data dapat berupa : -
Tanggung jawab atas tabel otoritas dan subskemanya Tabel otorisasi database berisi peraturan-peratuan yang membatasi tindakan-tindakan para user. Teknik ini mirip dengan daftar kontrol akses yang digunakan dalam sistem operasi. Setiap user diberikan privilese tertentu yang memiliki kode di dalam tabel yang digunakan untuk memverifikasi permintaan tindakan user.
-
Enkripsi data Enkripsi adalah konversi data menjadi kode rahasia untuk disimpan dalam database dan ditransmisikan melalui jaringan.
29 Banyak sistem database menggunakan prosedur enkripsi untuk melindungi data yang sangat sensitif, seperti data keuangan, file-file password dan lainnya. Enkripsi data menggunakan algoritma, sehingga tidak dapat dibaca oleh orang yang tidak berkepentingan. -
Inference control Salah satu keunggulan dari kapabilitas pertanyaan database adalah bahwa sistem ini menyediakan rangkuman dan data statistik untuk pengambilan keputusan. Untuk menjaga kerahasiaan dan integritas database, kontrol inferensi ini harus ditempatkan untuk mencegah pemakai menarik kesimpulan nilai-nilai data spesifik jika ternyata pemakai tersebut sebenarnya tidak memiliki otoritas untuk mengakses.
2. Pengendalian Pendukung (backup controls) Teknik backup yang digunakan tergantung pada media dan struktur file.
File sekuensial yang menggunakan
teknik
pendukung disebut grandparent-parent-child (GPC), teknik backup ini merupakan bagian integral dari proses memperbarui file induk. Di sisi lain, file-file akses langsung, memerlukan prosedur pendukung terpisah. Backup controls terhadap sumber data terdiri atas backup terhadap file dan terhadap sumber data tersebut.
30 2.2.3.5.2
Pengendalian Aplikasi M enurut James A. Hall (2002, p428), Pengendalian aplikasi berkenaan
dengan
eksposur-eksposur
dalam aplikasi tertentu.
Jadi,
pengendalian aplikasi adalah sistem pengendalian intern pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan, kegiatan dan aplikasi tertentu. Pengendalian aplikasi, yang dapat berupa tindakan atau prosedur manual yang diprogram dalam sebuah aplikasi, dikelompokkan ke dalam tiga kategori yaitu : 1) Pengendalian input 2) Pengendalian proses 3) Pengendalian output Berdasarkan pada ruang lingkup audit, maka penekanan pada pengendalian aplikasi yaitu mengenai pengendalian input, proses dan output.
2.2.3.5.2.1 Pengendalian Input M enurut James A. Hall (2002, p428), Pengendalian input adalah pengendalian yang didesain oleh perusahaan untuk memastikan informasi yang diproses oleh komputer telah diotorisasi, akurat dan lengkap. Pengendalian input yang dibahas meliputi : 1. Source Document Control Source Document Control adalah dokumer sumber yang pertama kali digunakan untuk mencatat transaksi yang terjadi. Contoh dari dokumen sumber yang perlu dikendalikan dalam sistem penjualan
31 adalah Faktur Penjualan. Tujuan dilakukan source document control adalah : -
M engurangi kecenderungan kesalahan pencatatan data
-
M emudahkan pencatatan data pada source document
Untuk mengendalikan eksposur terhadap source document, organisasi harus mengimplementasikan prosedur kontrol terhadap dokumen-dokumen sumber dengan memperhatikan beberapa hal seperti : -
Dokumen tersebut mempunyai pre-numbered, artinya ialah dokumen yang tercetak harus diberi nomor urut. Sebaiknya penomoran tercetak secara otomatis. Fungsi dari prenumbered adalah untuk meminimalisasi transaksi yang fiktif dan memudahkan
pencarian
dokumen
jika dibutuhkan
sewaktu-waktu. -
Dokumen sumber digunakan secara berurutan, artinya ialah dokumen sumber harus didistribusikan ke pemakai dan digunakan secara berurutan. Hal ini memerlukan pengamanan fisik yang memadai terhadap persediaan dokumen sumber di tempat pemakai. Ketika tidak digunakan, dokumen-dokumen ini harus disimpan di tempat yang aman. Setiap kali, akses ke dokumen-dokumen sumber ini harus dibatasi hanya pada orang-orang yang memiliki otoritas saja.
-
Dokumen sumber yang diaudit secara berkala. Hilangnya dokumen
sumber
harus
bisa
diidentifikasi
dengan
32 merekonsiliasi nomor-nomor urutan dokumen. Secara berkala, auditor harus membandingkan nomor-nomor dokumen yang digunakan sampai saat ini dengan nomor dokumen yang tersisa dalam persediaan ditambah dengan dokumen yang salah atau sudah jatuh tempo. Dokumen yang tidak dihitung harus dilaporkan kepada manajemen. 2. Data Coding Control Pengendalian pengkodean data (data coding control) merupakan pemeriksaan terhadap integritas kode-kode data yang digunakan dalam pemrosesan. Ada beberapa jenis kesalahan yang dapat mengkorupsi kode data dan menyebabkan kesalahan dalam pemrosesan, antara lain : -
Transcription errors Terdapat 3 jenis transcription errors, yaitu : •
Kesalahan tambahan yang terjadi ketika sebuah digit atau karakter ekstra ditambahkan.
•
Kesalahan pembulatan terjadi ketika sebuah digit atau karakter dipindahkan atau dihilangkan.
•
Kesalahan substitusi adalah penggantian satu digit dalam sebuah kode dengan digit lainnya.
-
Transpositions errors Terdapat dua jenis kesalahan ini, yaitu:
33 •
Single transposition errors, kesalahan yang terjadi karena karakter yang berdekatan atau ketika terdapat dua digit yang berdampingan dicatat secara terbalik.
•
Multiple (double) transposition errors, kesalahan yang terjadi
ketika
digit-digit
yang
letaknya
tidak
berdampingan ditukar posisinya. 3. Validation Control Pengendalian Validasi (Validation Control) bertujuan untuk mendeteksi kesalahan dalam data transaksi sebelum data tersebut diproses. Pengendalian validasi terdiri dari : -
Field Interrogation Field Interrogation melibatkan prosedur yang terprogram yang memeriksa karakteristik data dalam sebuah field. Berikut ini adalah beberapa tipe umum dari field interrogation : •
Missing data checks M emeriksa isi dari field untuk memastikan data-data penting tetap terisi atau tidak ada field yang kosong.
•
Numeric-alphabetic data checks M enentukan apakah data yang telah diinput sesuai dengan ketentuan. M isalnya, saldo rekening pelanggan seharusnya tidak berisikan data alphabetic.
•
Zero-value cheks
34 Digunakan untuk memverifikasi bahwa untuk field yang bertipe data numeric/ currency, jika tidak diisi tetap dapat disimpan, dengan asumsi data tersebut dianggap bernilai 0 (nol). •
Limit checks M enentukan apakah nilai dalam field melampaui batasan yang sudah ditetapkan. M isalnya, asumsikan kebijakan perusahaan adalah tidak ada karyawan yang bekerja lebih dari 44 jam per minggu, program validasi sistem pembayaran gaji dapat menginterogasi field jam kerja dalam record pembayaran gaji mingguan untuk nilai yang lebih besar dari 44.
•
Range checks M enetapkan batas atas dan bawah untuk nilai-nilai data yang dapat diterima dalam pengisian tipe data currency/numeric.
•
Validity checks M embandingkan nilai aktual dari field dengan nilai field
lainnya.
Kontrol
ini
digunakan
untuk
memverifikasi hal-hal seperti kode transaksi. Jika nilai dalam field tidak sesuai dengan nilai-nilai yang dapat diterima, record tersebut dinyatakan salah. •
Check digit
35 M engidentifikasi kesalahan-kesalahan keystroke dalam field kunci dengan menguji validitas internal dari sebuah kode. -
Record Interrogation Dalam mengotorisasi seluruh record dengan memeriksa relasi di antara nilai-nilai field, sebagian pengujian yang biasa dilakukan sebagai berikut: •
Reasonableness checks M enguji apakah nilai dari sebuah field wajar, jika dibandingkan dengan field lainnya dalam record yang terkait dengan field tersebut.
•
Sign checks M erupakan tes untuk menguji apakah tanda pada field sudah benar untuk tipe data tersebut. Biasanya digunakan untuk operasional perhitungan, dilihat apakah data yang dimasukkan boleh negatif atau tidak.
•
Sequence checks Digunakan untuk memastikan apakan ada record yang tidak pada tempatnya. Oleh karena itu, sebelum setiap record transaksi diproses, urutannya diverifikasi relatif dengan record sebelumnya yang diproses.
-
File Interrogation
36 Untuk memastikan bahwa file yang benar yang akan diproses oleh
sistem.
Dalam File Interrogation ada beberapa
pengendalian yang diuji yaitu : •
Internal label checks M emverifikasi bahwa file yang diproses adalah file yang memang dipanggil oleh program. Hal ini dilakukan dengan
memastikan bahwa file yang
diproses adalah file yang benar. •
Version checks Digunakan untuk memverifikasi bahwa versi file yang sedang diproses adalah benar.
•
Expiration date checks M encegah dihapusnya sebuah file sebelum melewati batas dan file tersebut masih dibutuhkan.
4. Input Error Correction Tujuan dari pengendalian ini adalah mendeteksi terjadinya error atau kesalahan sehingga dapat dilakukan perubahan dengan segera dan diproses ulang. Terdapat 3 teknik untuk menangani error yaitu : -
Immediate correction Jika sistem menggunakan pendekatan direct data validation maka pendeteksian dan perbaikan error dapat juga dilakukan selama pemasukan data.
37 -
Create an error file Ketika validitas keterlambatan digunakan seperti dalam sistem batch dengan sequential files, error yang terjadi akan ditandai untuk melindungi dari pemrosesan. Kemudian pada akhir prosedur validitas, record yang ditandai sebagai error akan dipindahkan dari batch dan diletakkan dalam suatu tempat temporary untuk menampung file-file yang error sampai error dapat diinvestigasi.
-
Reject the batch Yaitu dengan menghentikan pemrosesan dan mengembalikan keseluruhan batch ke kontrol data untuk dievaluasi, dikoreksi, dan diproses ulang.
2.2.3.5.2.2 Pengendalian Proses M enurut James A. Hall (2002, p444), Pengendalian proses bertujuan untuk mencegah kesalahan-kesalahan yang terjadi selama proses pengolahan data yang dilakukan setelah data dimasukkan ke dalam sistem komputer. Kesalahan pengolahan dapat terjadi karena program aplikasi yang digunakan untuk mengolah data mengandung kesalahan. Kesalahan-kesalahan yang terjadi selama tahap pengolahan dapat dikendalikan dengan mengecek proses dari program. Program dari komputer harus dibuat sedemikian rupa sehingga kesalahan yang terjadi selama proses pengolahan dapat dideteksi. Pengendalian proses dibagi menjadi tiga kategori : 1. Run-to-run control
38 Digunakan untuk memastikan bahwa setiap program prosedur dalam sistem telah memproses input batch dengan benar dan lengkap. Run-torun control dapat diuraikan secara spesifik seperti : -
Recalculate control totals, yaitu melakukan perhitungan jumlah total record.
-
Transaction codes, kode transaksi dari setiap record dalam sebuah batch dibandingkan dengan kode transaksi yang terdapat dalam record kontrol. Ini memastikan bahwa hanya jenis transaksi yang benar saja yang diproses.
-
Sequence checks, dalam sistem yang menggunakan file induk sekuensial, urutan record transaksi dalam suatu batch merupakan hal penting bagi pemrosesan yang benar dan lengkap. Kontrol sequence checks membandingkan urutan setiap record dalam batch dengan record sebelumnya untuk memastikan telah dilakukan proses pernyortiran yang benar.
2. Operator intervention control Kadang-kadang sistem membutuhkan operator intervention untuk memulai beberapa aksi. Operator intervention meningkatkan potensial kesalahan manusia. Sistem membatasi operator intervention melalui operator intervention controls. 3. Audit trail control Pemeliharaan audit trail merupakan tujuan penting dari pengendalian proses. Dalam sistem akuntansi, setiap transaksi harus ditelusuri melalui
39 tahap pemrosesan dari bukti ekonomi sampai laporan keuangan. Teknikteknik yang digunakan untuk mengamanakan audit trail : -
Transaction log Transaction log seharusnya hanya berisi transaksi yang berhasil yang berpengaruh terhadap saldo account. Transaksi yang tidak berhasil seharusnya ditempatkan di error file.
-
Log of automatic transactions Untuk menjaga audit trail, semua transaksi yang dihasilkan secara internal harus ditempatkan di transaction log.
-
Listing of automatic transactions Untuk menjaga kontrol atas automatic transaction yang diproses oleh sistem, seharusnya end user bertanggung jawab menerima detail daftar semua transaksi yang dihasilkan secara internal.
-
Unique transaction identifiers Setiap transaksi yang diproses oleh sistem harus secara unik diidentifikasi dengan transaction number.
-
Error listing Daftar semua catatan error seharusnya diberikan pada user yang tepat untuk mendukung koreksi error.
2.2.3.5.2.3 Pengendalian Output M enurut James A. Hall (2002, p448), Pengendalian output adalah pengendalian yang dilakukan untuk mengontrol distribusi output kepada
40 siapa data output tersebut dapat dibaca. Pengendalian output bertujuan untuk memastikan agar suatu output dari sistem tidak hilang, diarahkan ke arah yang salah atau dimanipulasi, dan agar kerahasiaannya tidak dilanggar. Eksposur untuk jenis ini dapat menimbulkan suatu gangguan yang serius bagi kegiatan operasi dan membuat perusahaan merugi dari sudut keuangan. M isalnya, jika cek-cek yang dihasilkan oleh sistem pengeluaran kas perusahaan ternyata hilang, atau dihancurkan, akun-akun perdagangan dan tagihan lainnya tidak akan bisa ditagih. Pengendalian yang digunakan untuk melindungi output sistem dipengaruhi oleh jenis metode pemrosesan yang digunakan. Pengendalian output sistem batch biasanya menghasilkan output dalam bentuk hard copy, yang biasanya memerlukan keterlibatan perantara dalam kegiatan produksi dan
distribusinya.
Sedangkan
pengendalian output sistem real-time
mengarahkan output langsung ke layar komputer pemakai, terminal, atau printer. Pada umumnya, sistem batch lebih sensitif terhadap eksposur dan memerlukan tingkat pengendalian yang lebih besar dibandingkan dengan sistem real-time. Pengendalian output yang dibahas adalah pengendalian output sistem batch (controlling batch systems output). Teknik-teknik untuk mengontrol tiap fase dalam proses output adalah sebagai berikut: 1. Output spooling, yaitu program yang dijalankan oleh printer agar lalu lintas proses print berjalan lancar. 2. Print programs, menghasilkan output berupa hard copy dari file output. Dalam mencetak output, biasanya membutuhkan campur
41 tangan operator. Kontrol print programs didesain berhubungan dengan dua jenis masalah yang mungkin timbul yaitu: (1) produksi pencetakan output yang tidak terotorisasi dan (2) karyawan yang membuka atau melihat data yang sensitif. 3. Bursting, memisahkan dokumen sesuai dengan user-nya. 4. Waste, berarti memusnahkan dokumen yang salah agar tidak dibaca oleh user yang tidak bertanggung jawab. 5. Data control, untuk memastikan keakuratan output sebelum didistribusikan pada user. 6. Report distribution, metode pendistribusian report pada user. Dapat dilakukan dengan cara report ditempatkan pada kotak surat yang aman dan hanya user yang memiliki kuncinya, user hadir sendiri saat penyampaian report dan menandatangani report tersebut, dan menempatkan penjaga keamanan atau kurir khusus untuk menyampaikan report kepada user. 7. End user controls, merupakan pengendalian yang dilakukan oleh user atas report atau laporan yang diterimanya. Hal ini dilakukan antara lain dengan mengecek jumlah halaman report yang diterima user, memastikan bahwa report diterima dalam keadaan baik dan sebagainya.
2.2.3.6 Penetapan Penilaian Resiko M enurut Maiwald (2003, p 150), level atau tingkatan dari resiko digolongkan sebagai berikut :
42 -
Resiko Kecil (low) Tingkat kerentanan dari suatu sistem yang dapat berakibat kecil bagi perusahaan, biasanya resiko ini jarang terjadi atau muncul. Tindakan yang dapat menghilangkan resiko ini perlu diambil jika mungkin, tetapi biaya yang dikeluarkan harus sebanding dengan pengurangan akibat dari resiko ini.
-
Resiko Sedang (medium) Tingkat kerentanan dari suatu sistem yang dapat mengancam kerahasiaan, integritas, ketersediaan, dan atau kehandalan dari sistem informasi di suatu perusahaan, ataupun aset perusahaan yang bersifat fisik. Adanya kemungkinan bahwa resiko ini akan muncul sewaktu-waktu. Tindakan untuk menghilangkan resiko ini sangat disarankan.
-
Resiko tinggi (high) Tingkat kerentanan yang dapat mengakibatkan bahaya yang tinggi bagi kerahasiaan, integritas, ketersediaan, dan atau kehandalan dari sistem informasi di suatu perusahaan, ataupun aset perusahaan yang bersifat fisik. Tindakan untuk menanggulangi resiko ini harus sesegera mungkin diambil.
2.2.4
Audit Sistem Informasi
2.2.4.1 Pengertian Audit Sistem Informasi Audit sistem informasi sebagai suatu proses pengumpulan dan pengevaluasian bukti-bukti audit oleh seorang yang kompeten dan independen untuk menentukan apakah sistem informasi yang dijalankan telah sesuai dengan
43 kriteria yang ditentukan dalam rangka mencapai tujuan perusahaan, yaitu: melindungi aset perusahaan, meningkatkan efektifitas dan efisiensi organisasi serta meningkatkan integritas data. Pengertian ini didukung teori yang dikemukakan oleh Weber (1999, p10), Audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk memutuskan apakah dengan adanya sistem pengamanan asset yang berbasis komputer dan pemeliharaan integritas data, data dapat mendukung perusahaan untuk mencapai tujuannya secara efektif dan penggunaan sumber daya secara efisien serta mengetahui apakah suatu perusahaan memiliki pengendalian internal yang memadai. Selain itu menurut Romney dan S teinbart (2003, p321), Audit sistem informasi mengkaji ulang pengendalian sistem informasi akuntansi untuk menilai pemenuhannya dengan kebijakan dan prosedur pengendalian intern dan keefektifan perlindungan terhadap asset.
2.2.4.2 Tujuan Audit Sistem Informasi M enurut Romney dan S teinbart (2003, p325), tujuan Audit Sistem Informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi : 1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran. 2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
44 3. M odifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen. 4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap. 5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasikan dan ditangani sesuai dengan kebijakan manajerial yang telah di tetapkan. 6. File data komputer telah akurat, lengkap dan dijaga kerahasiaanya.
2.2.4.3 Tahapan Audit Sistem Informasi M enurut Weber (1999, p47-55), ada 5 tahap audit sistem informasi, yaitu: 1. Planning the Audit (Perencanaan Audit) Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini berarti melakukan investigasi terhadap klien untuk mengetahui apakah penugasan audit (audit engagement) dapat diterima, menempatkan staf audit, mendapatkan surat penugasan, mendapatkan informasi mengenai latar belakang klien, memahami informasi mengenai kewajiban hukum klien dan melakukan analisa terhadap prosedur yang ada untuk memahami bisnis klien dan mengidentifikasi area-area yang berisiko. Pada tahap ini auditor juga harus memahami pengendalian intern organisasi lalu menentukan tingkat resiko pengendalian yang berhubungan dengan setiap segmen audit. 2. Tests of Controls (Pengujian Pengendalian)
45 Auditor melakukan test of controls ketika mereka menilai bahwa tingkat resiko pengendalian berada pada level kurang dari maksimum (pengendalian masih dapat dipercaya). Test of controls diarahkan kepada efektifitas pengendalian intern perusahaan, baik dalam rancangan maupun operasinya (pelaksanaannya). Tahap
ini diawali dengan fokus pada pengendalian
manajemen (management controls), jika pengendalian manajemen dinilai beroperasi secara tidak handal, maka auditor hanya akan melakukan sedikit pengujian pada pengendalian aplikasi (application controls). Namun jika auditor menemukan kelemahan yang serius pada pengendalian manajemen maka auditor akan memberikan opini tidak wajar (adverse opinion) terhadap pengendalian yang ada di dalam perusahaan atau melakukan pengujian substantif (substantive test) atas transaksi dan pengujian keseimbangan dan hasil keseluruhan (balances or overall result). Jika auditor menyatakan pengendalian manajemen beroperasi secara memadai, maka auditor akan melakukan evaluasi terhadap keandalan pengendalian aplikasi dengan menelusuri jenis-jenis materialitas dari transaksi melalui
masing-masing pengendalian
yang dijalankan
pada
subsistem
pengendalian aplikasi. 3. Tests of Transaction (Pengujian Transaksi) Auditor menggunakan test ini untuk mengevaluasi apakah kesalahankesalahan atau pemrosesan yang keliru terhadap transaksi telah mengarah pada kesalahan yang material pada pernyataan laporan keuangan. Tes pembuktian ini mencakup penelusuran terhadap jurnal hingga ke dokumen sumbernya, menguji kebenaran file,
menguji akurasi perhitungan. Jika hasil tes transaksi
mengindikasikan terjadi kehilangan atau kesalahan pencatatan yang material
46 maka auditor dapat mengembangkan tingkat pengujiannya dengan melakukan test of balances or overall result untuk mendapatkan estimasi yang lebih baik terhadap kehilangan/ kesalahan pencatatan. 4. Tests of Balances or Overall Results Auditor melakukan tes ini untuk memperoleh bukti yang cukup dalam membuat penilaian akhir (final judgment) mengenai tingkat kehilangan atau kesalahan pencatatan yang terjadi ketika fungsi sistem informasi gagal melindungi aset, memelihara integritas data, mencapai efektifitas dan efisiensi sistem informasi. 5. Completion of the Audit Tahap ini merupakan tahap akhir dari tahapan audit sistem informasi. Pada tahap ini auditor merumuskan opininya terhadap kehilangan material dan kesalahan pencatatan yang terjadi sekaligus membuat rekomendasi untuk manajemen yang nantinya disajikan pada laporan audit.
Adapun jenis-jenis opini yang berlaku umum adalah : a.
Unqualified Opinion (Wajar Tanpa Pengecualian) Auditor menyatakan bahwa laporan keuangan disajikan secara wajar.
b. Qualified Opinion (Wajar Dengan Pengecualian) Auditor menyatakan bahwa laporan keuangan disajikan secara wajar, kecuali pada pos tertentu. c. Adverse Opinion (Pendapat Tidak Wajar) Auditor merasa yakin bahwa keseluruhan laporan keuangan yang disajikan memuat salah saji yang material atau menyesatkan sehingga tidak
47 menyajikan secara wajar posisi keuangan perusahaan sesuai dengan prinsip akuntansi berlaku umum. d. Disclaimer of Opinion (Tidak M emberikan Pendapat) Auditor menolak memberikan pendapat dikarenakan beberapa kondisi antara lain: pembatasan lingkup audit, hubungan yang tidak independen antara auditor dan klien, dsb.
2.2.4.4 S tandar Audit Gondodiyoto dan Hendarti (2007, p197-198) menyajikan standar audit yang termuat dalam standar profesional akuntan publik (Ikatan Akuntasi Indonesia, 2001) terdiri dari standar umum, standar pekerjaan lapangan dan standar pelaporan : b. Standar Umum 1) Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki keahlian dan pelatihan teknis cukup sebagai auditor. 2) Dalam semua hal yang berhubungan dengan penugasan, independensi sikap mental harus dipertahankan oleh auditor. 3) Dalam pelaksaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan seksama. c. Standar Pekerjaan Lapangan 1) Pekerjaan harus dilaksanankan sebaik-baiknya dan jika digunakan asisten harus disupervisi dengan semestinya.
48 2) Pemahaman yang memadai atas struktur pengendalian intern harus diperoleh untuk merencanakan audit dan menentukan sifat, saat dan lingkup pengujian yang harus dilakukan. 3) Bukti audit yang kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan, pengajuan pertanyaan dan konfirmasi sebagai dasar yang memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit. d. Standar pelaporan 1) Laporan audit harus menyatakan apakah laporan keuangan telah disusun dengan prinsip akuntansi yang berlaku umum. 2) Laporan audit harus menunjukkan keadaan yang ada didalamnya prinsip akuntansi tidak secara konsisten diterapkan dalam penyusunan laporan keuangan periode berjalan dalam hubungannya dengan prinsip akuntansi yang diterapkan dalam periode sebelumnya. 3) Pengungkapan informatif dalam laporan keuangan harus dipandang memadai, kecuali dinyatakan lain dalam laporan audit.
2.2.4.5 Alasan Perlunya S tandard Audit S I M enurut Gondodiyoto dan Hendarti (2007, p203), standar Audit SI diperlukan karena : a)
Audit SI memerlukan standar, karena Audit SI memiliki ciri-ciri khas dan untuk dapat melaksanakan
tugas
itu dibutuhkan pengetahuan
dan
keterampilan khusus dalam audit SI b)
Salah satu tujuan ISACA ialah melakukan globalisasi (menduniakan) standar audit SI, oleh karena itu pengembangan dan distribusi standar Audit SI
49 adalah
merupakan
salah
satu
konstribusi penting ISACA
kepada
komunitas/profesi audit SI. S1
Audit Chapter (per 1 Januari 2005) Perlunya dibuat Audit Charter atau Letter of Engagement dalam penugasan audit sistem informasi. Hal yang diatur tentang perlunya audit charter bagi audit internal (atau letter of engagement untuk auditor eksternal), mencakup Responsibility, Authority and Accountability, yaitu meliputi tanggung jawab, otoritas dan accountability dari fungsi audit sistem informasi pada suatu organisasi (perlu didokumentasikan dalam suatu surat keputusan pimpinan atau perjanjian).
S2
Independence (per 1 Januari 2005) •
Professional independence Dalam permasalahan yang berkaitan dengan audit, auditor sistem informasi harus bersikap independen dalam tingkah laku dan tindakannya. Auditor atau Unit/Fungsi Audit harus mempunyai posisi independen terhadap pihak-pihak yang berkaitan dalam audit (untuk menjaga agar tidak terjadi conflict of interest).
•
Organiational Relationship Fungsi audit sistem informasi harus berada independen dari area yang diaudit untuk mencapai tujuan obyektivitas dari suatu proses audit.
S3
Professional Ethics and Standards (per 1 Januari 2005)
50 Audit harus selalu
mempedomani profesional ethics dan
standards. •
Code of Professional Ethics Auditor dari sistem informsi harus menghormati dan menaati etika profesional dari Information System Audit and Control Association.
•
Due Professional Care Standard auditing profesional harus diterapkan dalam segala aspek dalam pekerjaan yang dilakukan oleh auditor sistem informasi
S4
Professional Competence (per 1 Januari 2005) Auditor harus memiliki kompetensi yang dibutuhkan untuk melaksanakan
tugasnya.
Auditor
sistem
informasi
harus
memaintain kompetensi teknikal melalui pendidikan profesional berkelanjutan (Continuing Professional Education) S5
Audit Planning (per 1 Januari 2005) Auditor sistem informasi harus merencanakan kegiatan audit, agar tujuan
audit
tercapai
sesuai
standar
profesional
audit.
Perencanaan audit (audit planning) diperlukan dalam tiap pelaksaan suatu penugasan audit. S6
Performance of Audit Work (per 1 Januari 2005) •
Supervision
51 Staf dari audit sistem informasi harus tepat untuk dapat menjamin tujuan dari audit dijalankan dan standar profesional auditing dapat terpenuhi •
Evidence Selama masa pekerjaan audit auditor sistem informasi harus mendapatkan bukti yang tepat, dapat dipercaya, relevan, dan berguna untuk mencapai tujuan objektif dari suatu audit.
S7
Reporting (per 1 Januari 2005) Report Content and Form, auditor sistem informasi harus menyediakan report dalam bentuk yang tepat pada saat penyelesaian tugas audit. Laporan Audit berupa lingkup, tujuan, periode, audit, dan lingkungan dimana audit dijalankan. Laporan audit harus mengindetifikasikan permasalahan yang terjadi dalam jangka waktu audit.
Laporan audit juga untuk memberikan
rekomendasi dari layanan atau kualifikasi yang diberikan auditor terhadap tugas audit yang dijalankan S8
Follow Up Activities (per 1 Januari 2005) Tindak-lanjut atas rekomendasi temuan audit, auditor sistem informasi harus meminta dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu dan rekomendasi yang dihasilkan pada periode audit terdahulu untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan dalam satu periode waktu.
S9
Irregularities of Audit Work (per 1 September 2005)
52 Hal-hal yang berkaitan dengan ketidakwajaran dan penyimpangan (irregularities and illegal acts). S10
IT Governance (per 1 September 2005) Hal-hal yang berkaitan dengan tata kelola teknologi informasi pada suatu organisasi/perusahaan, agar TI dikelola secara efektif, efisien, ekonomis, terjamin integrity, security, availability, realibility, dan continuity.
S11
Use of Risks Assessment in Audit Planning (per 1 Nopember 2005) Teknik-teknik penaksiran risiko dalam perencanaan audit.
S12
Audit Materaility (per 1 Juli 2006) Konsep materailitas dalam audit (khusus audit sistem informasi).
S13
Using the Work of Other expert (per 1 Juli 2006) Penggunaan hasil audit lain (expert lainnya) dalam pelaksanaan audit.
S14
Audit Evidence (per 1 Juli 2006) Hal-hal yang berkaitan dengan bukti audit.
Selain kode etik dan standar, auditor wajib mengikuti panduan (guideliness) dan pedoman prosedur audit (procedures) yang dikeluarkan ISACA. Jadi selain kode etik, aturan ISACA terdiri dari beberapa level: Information Systems Auditing Standards, Guidelines, dan Procedures. Information Systems Auditing Guidelines (ISACA, 2007) antara lain terdiri dari :
53 1) Pelaksanaan tugas audit bila menggunakan bahan bukti yang berasal dari pekerjaan auditor atau ahli lainnya. 2) Bahan bukti audit. 3) Penggunaan alat bantu software audit (computer assisted audit techniques). 4) Pemeriksaan pada sistem informasi yang dioutsourcing ke organisasi lain. 5) Hal-hal yang berkaitan dengan audit charter/letter of engagement. 6) Konsep materialist. 7) Pelaksanaan tugas dengan penuh kehati-hatian (seksama). 8) Dokumentasi dalam audit. 9) Pertimbangan-pertimbangan yang berkaitan dengan irregulatities. 10) Audit sampling. 11) Dampak pervasive IS controls (kontrol internal yang tersebar). 12) Keterkaitan dan Independensi. 13) Penaksiran risiko dalam perencanaan (program) audit. 14) Review sistem aplikasi. 15) Planning dalam Audit. 16) Dampak organization’s IT controls oleh pihak ketiga. 17) Independensi dan peranan auditor dalam bidang non-audit. 18) Tatakelola TI (IT Governance). 19) Irregularities dan illegal acts. 20) Reporting. 21) Enterprise resources planning (ERP).
54 22) Review terhadap B2C e-Commerce. 23) Review Pengembangan Sistem Aplikasi. 24) Internet Banking. 25) Review terhadap Virtual Private Network. 26) Review terhadap Business Process Reengineering (BPR). 27) Mobile Computing. 28) Computer Forensic. 29) Post Implementation Review. 30) Kompetensi. 31) Privacy. 32) Review Business Continuity Plan dari Perspektif TI. 33) General Considerations on Using Internet. 34) Responsibility, authority, and accountability. 35) Follow-up Activities. 36) Biometric Controls. Sedangkan Informations Systems Auditing Procedures berisi prosedur untuk : 1) IS Risks Assessment. 2) Digital Signatures. 3) Intrusion Detection. 4) Viruses and Other Malicious Code. 5) Control Risks Self-assessment. 6) Firewalls. 7) Irregularities and Illegal Acts.
55 8) Security
Assessment –
PenetrationTesting
and
Vulnerability
Analysis. 9) Evaluation
of
Management
Controls
Methodologies. 10) Business Application Change Control. 11) Electronics Fund Transfer (EFT).
Over
Encryption
