10 BAB 2 LANDASAN TEORI
TEORI UMUM 2.1
Sistem Informasi
2.1.1
Definisi Sistem Informasi Hall dalam bukunya yang diterjemahkan oleh Amir Abadi Jusuf (2001, h7) mendefinisikan “Sistem informasi sebagai sebuah rangkaian prosedur formal dimana data dikelompokkan, diproses menjadi informasi, dan didistribusikan kepada pemakai”. Gondodiyoto dan Idris (2003, h23) mendefinisikan “Sistem Informasi sebagai suatu interaksi antar komponen-komponen di dalam suatu kesatuan terpadu untuk mengolah data menjadi informasi sesuai dengan kebutuhannya”. James O’Brien (2003, p7) mendefinisikan, “Information system can be any organized combination of people, hardware, software, communication networks, and data resource that collect, transform, disseminates information in an organization”. Intinya adalah “Sistem informasi adalah suatu kesatuan yang terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer, dan sumber daya data yang mengumpulkan, mentransformasikan dan mendistribusikan informasi didalam suatu organisasi”. Berdasarkan asumsi para pakar tersebut diatas, penulis menyimpulkan bahwa sistem informasi adalah suatu rangkaian prosedur dan kumpulan dari komponen sistem informasi seperti hardware, software, database, brainware, dan perangkat pengendalian yang saling berinteraksi untuk mengolah data
11 menjadi informasi lalu mendistribusikannya kepada pemakai dalam rangka mencapai tujuan perusahaan.
2.1.2
Karakteristik Informasi Yang Berkualitas Menurut Mcleod, Jr. dalam bukunya yang berjudul Management Information System yang diterjemahkan oleh Teguh (2001, h145) terdapat empat dimensi dasar kualitas informasi yang harus dipertimbangkan manajemen, dimensi-dimensi ini memberi kontribusi pada nilai informasi. Empat dimensi tersebut adalah : 1) Relevansi Informasi yang berkualitas haruslah memiliki relevansi (keterkaitan) langsung dengan masalah atau kebutuhan si pengguna informasi. 2) Akurasi Informasi yang disajikan harus benar dan terbebas dari kesalahan. 3) Timeliness Informasi harus tersedia tepat pada waktu dibutuhkan khususnya ketika memecahkan masalah yang penting sebelum situasi krisis menjadi tak terkendali atau hilangnya kesempatan. 4) Completeness Informasi harus dapat menyajikan gambaran lengkap dari suatu permasalahan
atau
menenggelamkan
penyelesaian.
si
(information overload).
pengguna
Namun,
informasi
informasi dalam
tidak
lautan
boleh
informasi
12 Sedangkan menurut Mukhtar yang dikutip Gondodiyoto (2003, h22), terdapat lima karakteristik informasi yang berkualitas, yakni : 1) Reliable (Dapat Dipercaya) Informasi haruslah akurat (benar), terbebas dari kesalahan dalam mempresentasikan suatu kejadian atau kegiatan dari organisasi. 2) Relevan (Sesuai) Informasi yang relevan harus memberikan arti kepada pembuatan keputusan. Informasi ini bisa mengurangi ketidakpastian dan bisa meningkatkan nilai dari suatu kepastian. 3) Timely (Tepat Waktu) Informasi yang disajikan tepat pada saat dibutuhkan dan bisa mempengaruhi proses pengambilan keputusan. 4) Complete (Lengkap) Informasi yang disajikan termasuk didalamnya semua data-data yang relevan dan tidak mengabaikan kepentingan yang diharapkan oleh pembuat keputusan. 5) Understandable (Dimengerti) Informasi yang disajikan hendaknya dalam bentuk yang mudah dipahami oleh si pembuat keputusan.
13 2.2
Audit
2.2.1
Definisi Audit Menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf (1997, h1), “Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti audit tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan”. Auditing juga didefinisikan Mulyadi (2001, h7) sebagai “Suatu proses sistematis untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kejadian ekonomi dengan tujuan-tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan”. The American Accounting Association Commitee on Basic Auditing yang dikutip Gondodiyoto (2003, h53) menyatakan bahwa, “Auditing is the process by which a competent, independent person accumulate and evaluates evidence about quantifiable information related to a spesific economic entity for the purpose of determining and reporting on the degree of correspondence between the quantifiable information and established criteria ”. Inti dari definisi tersebut, auditing dapat didefinisikan sebagai suatu proses yang dilakukan seseorang yang kompeten dan independen yang menghimpun dan mengevaluasi bukti-bukti dari informasi terukur dari suatu kesatuan ekonomi dengan tujuan untuk mempertimbangkan dan melaporkan tingkat kesesuaian dari keterangan terukur
14 yang diperoleh dari pemeriksaannya tersebut dengan kriteria-kriteria yang telah ditetapkan”. Berdasarkan pendapat para ahli tersebut diatas, penulis menyimpulkan definisi auditing sebagai berikut : − Auditing adalah suatu pemeriksaan yang dilakukan terhadap suatu entitas/fungsi/segmen tertentu dari suatu organisasi. − Dilakukan oleh orang yang kompeten dan independen. − Mendapatkan dan mengevaluasi bahan bukti dan informasi/keterangan yang cukup dan relevan, lalu membandingkan informasi dari bahan bukti tersebut dengan kriteria (standard) yang ditetapkan dan melaporkan tingkat
kesesuaian
hal-hal
tersebut
kepada
pihak-pihak
yang
berkepentingan.
2.2.2
Hal Yang Mendasari Kebutuhan Auditing Karena kondisi dunia bisnis yang semakin kompleks, maka kemungkinan bahwa para pembuat keputusan (decision maker) akan memperoleh informasi yang tidak dapat dipercaya dan tidak dapat diandalkan pun akan semakin besar pula. Hal ini yang disebut dengan resiko informasi, penyebabnya antara lain : − Hubungan Yang Tidak Dekat Antara Penerima dan Pemberi Informasi Informasi yang tidak diperoleh langsung dari pihak pertama, baik sengaja ataupun tidak, cenderung tidak tepat. Hal ini dikarenakan sulitnya decision maker memperoleh informasi dari mitra usaha secara langsung.
15 − Sikap Memihak dan Motif Lain Yang Melatarbelakangi Pemberian Informasi Jikalau informasi yang disajikan oleh pihak yang mempunyai tujuan yang berbeda dengan tujuan si pengambil keputusan, maka informasi tersebut akan cenderung menguntungkan penyaji informasi. − Data Yang Berlebihan Bertambah
besarnya
organisasi
menyebabkan
bertambah
banyaknya
transaksi usaha yang dialaminya. Hal ini juga memperbesar kemungkinan tercatatnya informasi yang tidak tepat di dalam pembukuan. − Transaksi Pertukaran Yang Kompleks Transaksi-transaksi usaha antar perusahaan telah berkembang semakin kompleks, sehingga makin sulit untuk dicatat dengan baik. Berdasarkan pertimbangan resiko informasi inilah, auditing sangat diperlukan untuk melindungi publik dari penyajian informasi yang menyesatkan.
2.2.3
Jenis-Jenis Audit Pada umumnya kegiatan audit dapat diklasifikasikan di dalam beberapa jenis audit. Menurut Mulyadi (1998, h28) terdapat tiga jenis audit, yaitu: 1) Audit Laporan Keuangan (General Financial Statement Audit) Audit yang dilakukan oleh auditor eksternal independen terhadap laporan keuangan yang disajikan oleh kliennya untuk menyatakan pendapat mengenai kewajaran laporan keuangan tersebut serta kesesuaiannya dengan standard akuntansi keuangan.
16 2) Audit Kepatuhan (Compliance Audit) Audit yang tujuannya untuk menentukan apakah objek yang diaudit telah sesuai dengan kondisi atau peraturan tertentu. 3) Audit Operasional/Manajemen (Operational/Management Audit) Review secara sistematik kegiatan organisasi, atau bagian daripadanya, dalam hubungannya dengan tujuan tertentu, lazimnya menyangkut efektifitas, efisiensi, dan ekonomis tidaknya operasi suatu organisasi. Menurut Gondodiyoto (2003, h63) sesungguhnya, selain yang disebutkan diatas, dikenal juga jenis audit yang lain, yakni : 1) Audit Forensik (Forensic Audit) Menurut Edwar Nurdin (2002, hh1-10), audit forensik adalah audit yang dilaksanakan
dalam
kaitannya
sebagai
dukungan
dalam
proses
investigasi. Adapun pengguna jasa akuntan/audit forensik tersebut adalah para pengacara, kepolisian, perusahaan asuransi, bank, atau pemerintah. Kegiatannya antara lain mencakup pemberian dukungan dalam opini sebagai saksi ahli dalam proses legal (hukum). 2) Audit Terhadap Kecurangan (Fraud Audit) Menurut Karyono (2002, hh1-14) fraud audit : − Merupakan
proses
audit
yang
memfokuskan
pada
keanehan/keganjilan objek yang perlu dilakukan audit. − Mencegah terjadinya kecurangan (preventing fraud) mendeteksi maupun pemeriksaan kecurangan (investigating fraud).
17 3) Audit Keuangan Yang Lebih Rinci Audit yang tidak hanya dilakukan terhadap laporan keuangan, melainkan yang sudah bersifat lebih mendalam (special assignment), atau pemeriksaan bersifat investigasi (investigasi audit).
2.2.4
Bahan Bukti Audit Arens and Loebbecke (1997, pp153-161) berpendapat bahwa, “Dalam menentukan prosedur audit mana yang akan digunakan, ada tujuh kategori bahan bukti audit yang dapat dipilih auditor yaitu : 1) Pemeriksaan Fisik Merupakan penghitungan secara fisik atas aktiva berwujud seperti uang tunai, inventory, dll. 2) Konfirmasi Konfirmasi digambarkan sebagai penerimaan jawaban tertulis maupun lisan dari pihak ketiga yang independen dalam memverifikasi akurasi informasi yang telah diminta oleh auditor. 3) Dokumentasi (Pemeriksaan Dokumen/Voucing) Merupakan pemeriksaan auditor atas dokumentasi dan catatan klien untuk menyokong informasi yang ada atau seharusnya ada dalam laporan keuangan. 4) Pengamatan Adalah penggunaan panca indera untuk menilai/menetapkan suatu aktivitas tertentu.
18 5) Tanya Jawab Dengan Klien Yaitu mendapatkan informasi tertulis atau lisan dari klien dengan menjawab pertanyaan dari auditor. 6) Pelaksanaan Ulang (Reperformance) Mencakup
pengecekan
ulang
suatu
sampel
penghitungan
dan
perpindahan informasi yang dilakukan klien selama periode yang diaudit. Pengecekan ulang penghitungan berisi pengujian akurasi aritmatik klien. Sedangkan pengecekan ulang atas perpindahan informasi berisi penelusuran jumlah untuk meyakinkan bahwa kalau informasi yang sama dimasukkan ke tempat yang lebih dari satu, akan dicatat dengan jumlah yang sama pada waktu yang berbeda. 7) Prosedur Analitis Adalah prosedur yang menggunakan perbandingan dan hubungan untuk menentukan apakah saldo akun tersaji secara layak”.
2.3
Sistem Pengendalian Internal (SPI)
2.3.1
Definisi Sistem Pengendalian Internal Menurut The Information System Control and Audit Association (ISACA) yang dikutip oleh Cangemi dan Singleton dalam bukunya Managing the Audit Function (2003, p65), “Internal control system is the policies, procedures, practices, and organizational structures, designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented, or detected and corrected.” Maksud dari pernyataan tersebut adalah bahwa sistem pengendalian internal merupakan kebijakan, prosedur,
19 praktik-praktik, dan struktur organisasi yang didesain untuk memberikan jaminan yang layak pada upaya pencapaian tujuan bisnis yang akan dicapai dan memastikan kejadian-kejadian yang tidak diinginkan akan dicegah, atau dideteksi dan dikoreksi. Organisasi profesi internasional lainnya, Committee On Sponsoring Organizations
(COSO)
(Cangemi
dan
Singleton,
2003,
p65)
juga
mendefinisikan, “Internal control as a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in (1) the effectiveness and efficiency of operations, (2) the reliability of financial reporting and (3) the compliance of applicable laws and regulations.” Intinya, sistem pengendalian internal adalah suatu proses yang dipengaruhi oleh entitas organisasi seperti jajaran direktur, manajemen dan personel lainnya, yang didesain untuk memberikan jaminan yang layak dalam mencapai tujuan : (1) Efektifitas dan efisiensi operasi, (2) Keandalan laporan keuangan, (3) Pemenuhan atau ketaatan terhadap hukum dan regulasi yang berlaku.
20
Information and communication component connections Internal control is
Definition
a management process
Objectives categories
Categories
Effectiveness
Reliable financial
Compliance with
and efficiency
reporting
laws and regulations
of operations
Objectives
Various business, Reliable financial
Compliance with
company specific annual and interim
ones that apply
report (e.g., GAAP) to the company Components Control environment Control environment
Control environment
Risk assessment
Risk Assessment
Risk Assessment
Control activities
Control activities
Control activities
Monitoring
Monitoring
Monitoring
Information and
Information and
Information and
communication
communication
communication
Gambar 2.1 COSO Model Sumber: Cangemi dan Singleton(2003, p73) Menurut Weber (1999, p35), “A control is a system that prevents, detects, or correct unlawful events”. Intinya menurut weber, pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan mengkoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien.
21 Berdasarkan definisi di atas, maka pengendalian dikelompokkan menjadi tiga bagian, yaitu : a. Preventive Controls Instruksi (perintah) yang ditempatkan pada dokumen sumber untuk mencegah/menjaga terjadinya kesalahan dalam pengisiannya. b. Detective Controls Pengendalian ini digunakan untuk menemukan/mengetahui bila terjadi kesalahan data yang diinput di dalam sistem. c. Corrective Controls Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada detective control. Pengendalian ini terdiri dari program yang menggunakan kode khusus yang dapat memperbaiki data yang rusak/error karena kesalahan pada komunikasi on line. Berdasarkan definisi-definisi tersebut di atas penulis menyimpulkan bahwa sistem pengendalian internal adalah suatu sistem yang dipengaruhi entitas organisasi yang dirancang untuk mencegah, mengendalikan dan melindungi seluruh aktivitas organisasi dari penyimpangan-penyimpangan atau undesirable event lainnya yang dapat merugikan perusahaan sekaligus bertujuan untuk memastikan kepatuhan entitas terhadap peraturan dan kebijakan perusahaan, menciptakan keandalan laporan keuangan, meningkatkan efektifitas dan efisiensi operasi perusahaan, dan menjaga aset/kekayaan organisasi.
22 2.3.2
Tujuan dan Manfaat Sistem Pengendalian Internal Menurut sebuah organisasi profesi internasional Committee On Sponsoring Organizations (COSO) (Cangemi, p65), sistem pengendalian internal memiliki tiga tujuan utama, yaitu : 1) Efektifitas dan Efisiensi Operasi (Effectiveness and Efficiency of Operations). 2) Keandalan Laporan Keuangan (Reliability of Financial Reporting). 3) Ketaatan/Kepatuhan Terhadap Hukum dan Regulasi Yang Berlaku (Compliance With Applicable Laws and Regulations). Hall (2001, p150) berpendapat bahwa sistem pengendalian internal memiliki empat tujuan utama, yaitu untuk : 1) Mengamankan aktiva organisasi. 2) Memastikan akurasi dan keandalan dari catatan dan informasi akuntansi. 3) Mempromosikan efisiensi operasi perusahaan. 4) Mengukur kesesuaian dengan kebijakan dan prosedur yang telah ditetapkan manajemen. Gondodiyoto dan Idris (2003, h75) berpendapat bahwa tujuan utama dari sistem pengendalian internal adalah : 1) Mengamankan aset organisasi. 2) Memperoleh informasi yang akurat dan dapat dipercaya. 3) Meningkatkan efektifitas dan efisiensi kegiatan. 4) Mendorong
kepatuhan
organisasi/pimpinan.
pelaksanaan
terhadap
kebijaksanaan
23 Berdasarkan pendapat-pendapat diatas, penulis menyimpulkan bahwa tujuan utama dari sistem pengendalian intern adalah untuk menjaga kekayaan perusahaan, meningkatkan efektifitas dan efisiensi operasi perusahaan, mendorong
dipatuhinya
kebijakan
manajemen,
mencegah
tindakan
penyimpangan, dan memperkecil kesalahan.
2.3.3
Komponen Sistem Pengendalian Internal Menurut COSO (Committee On Sponsoring Organizations) yang terdapat dalam buku Cangemi (2003, p49), sistem pengendalian internal terdiri dari 5 (lima) komponen yang saling terintegrasi, yaitu : 1) Control Environment (Lingkungan Pengendalian) Komponen ini berperan dalam menyediakan atmosfer bagi entitas organisasi dalam menjalankan aktivitasnya dan tanggung jawab control mereka. Komponen ini juga berperan sebagai fondasi bagi komponenkomponen COSO yang lain. Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian wewenang dan tanggung jawab yang harus dilakukan, cara komite audit berfungsi dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja. Sub komponen Control Environment : − Integritas dan Nilai Etika Manajemen. Meliputi tindakan manajemen untuk menghilangkan atau mengurangi intensif dan godaan yang menyebabkan pegawai bertindak tidak jujur, melanggar hukum, atau tidak etis.
24 − Kompetensi Personil. Meliputi pertimbangan manajemen terhadap tingkat kompetensi dari pekerjaan tertentu dan bagaimana tingkatan tersebut berubah menjadi keterampilan dan pengetahuan yang diisyaratkan. − Struktur Organisasi Yang Memadai. Struktur organisasi suatu satuan usaha membatasi garis tanggung jawab dan wewenang yang ada dan juga menghubungkan garis arus komunikasi. − Pembagian Tugas dan Delegasi Wewenang. − Kebijakan dan Praktek Sumber Daya Manusia. Merupakan kebijakan yang mengatur bagaimana metode perekrutan karyawan, bagaimana karyawan digaji, dan dievaluasi agar karyawan memiliki kompetensi dan dapat dipercaya. Karena aspek paling penting adalah karyawan. Artinya jika pegawai kompeten dan dapat dipercaya maka pengendalian tidak perlu banyak dan laporan keuangan yang andal tetap akan dihasilkan. Begitupun sebaliknya, meskipun terdapat banyak pengendalian, orang yang tidak jujur dan tidak kompeten tetap akan dapat mengacaukan sistem. − Filosofi dan Gaya Operasi Manajemen. Manajemen melalui aktivitasnya memberikan tanda yang jelas kepada pegawai tentang pentingnya pengendalian.
25 2) Risk Assessment (Penaksiran Resiko) Komponen ini meliputi pengidentifikasian dan penilaian resiko yang berhubungan dengan pencapaian tujuan manajemen serta menentukan cara
bagaimana
resiko
tersebut
ditangani.
COSO
mengarahkan
manajemen untuk melakukan pengidentifikasian resiko terhadap resiko internal dan eksternal dari aktivitas suatu entity atau individu. Pada tahap risk
assessment
terdapat
cost-benefit
consideration
yang
memperhitungkan cost dan benefit yang akan dihasilkan dari suatu penerapan control. 3) Control Activities (Aktivitas Pengendalian) Merupakan kebijakan dan prosedur yang dibuat untuk memastikan dilaksanakannya kebijakan manajemen. Elemen ini juga membantu memastikan bahwa tindakan yang diperlukan untuk penanganan resiko telah dilakukan sesuai dengan apa yang telah direncanakan. Komponen ini juga beroperasi untuk memastikan transaksi telah terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan aset dan record, pengecekan kinerja, dan penilaian dari jumlah record yang terjadi. 4) Information and Communication (Informasi dan Komunikasi) Komponen ini menjelaskan mengenai kebutuhan terhadap pemerolehan informasi eksternal dan internal, dan sistem yang terintegrasi (integrated systems), dan kebutuhan terhadap kualitas data.
26 Sistem informasi harus dapat memberikan data yang memiliki karakteristik sebagai berikut : –
Accurate and in Sufficient Detail (Akurat dan Memiliki Detail Yang Cukup).
–
Relative to Established Objectives (Berhubungan Dengan Tujuan).
–
Understandable and in An Usable Form (Mudah Dipahami dan Digunakan).
Komunikasi membahas mengenai penyampaian segala sesuatu yang harus disampaikan dengan jelas kepada berbagai pihak : manajemen, personil, dan entitas organisasi lainnya. Contoh komunikasi : kewajiban dan
tanggung
jawab
karyawan
terhadap
pengendalian
harus
dikomunikasikan dengan jelas. 5) Monitoring (Pengawasan) Adalah komponen yang memastikan keandalan sistem pengendalian internal beroperasi secara dinamis sepanjang waktu yang dilakukan dengan cara melakukan aktivitas monitoring dan evaluasi secara terpisah.
TEORI KHUSUS 2.4
Audit Sistem Informasi
2.4.1
Definisi Audit Sistem Informasi Menurut Weber (1999, p10), ”Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”. Intinya audit sistem
27 informasi adalah proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem komputer dapat melindungi aset, memelihara integritas data, memungkinkan pencapaian tujuan organisasi secara efektif dan penggunaan sumber daya secara efisien. Menurut Cangemi (2003, p48) dalam bukunya yang berjudul Managing the Audit Function, “Information systems auditing is defined as any audit that encompass the review and evaluation of all aspects (or any portion) of automated information processing systems, including related non-automated processes, and the interfaces between them ”. Inti dari pernyataan tersebut adalah “Audit sistem informasi didefinisikan sebagai proses audit yang terdiri dari review dan pengevaluasian seluruh aspek dari sistem pemrosesan informasi otomatis termasuk juga proses non-otomatis dan juga interface diantara keduanya”. Gondodiyoto (2003, h151) berpendapat bahwa “Audit sistem informasi merupakan suatu pengevaluasian untuk mengetahui bagaimana tingkat kesesuaian antara aplikasi sistem informasi dengan prosedur yang telah ditetapkan dan mengetahui apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset yang memadai, serta menjamin integritas data yang memadai”. Dari
berbagai
pendapat
tersebut
diatas
penulis
definisi audit sistem informasi sebagai suatu proses pengevaluasian independen dijalankan
bukti-bukti untuk
telah
audit
menentukan
oleh apakah
orang
menyimpulkan
pengumpulan dan
yang
sistem
sesuai dengan kriteria yang ditentukan
kompeten informasi
dan yang
dalam rangka
28 mencapai tujuan perusahaan, yaitu : melindungi aset perusahaan, meningkatkan efektifitas dan efisiensi organisasi, meningkatkan integritas data.
2.4.2
Tujuan Audit Sistem Informasi Menurut Weber yang disimpulkan oleh penulis (1999, pp11-13), tujuan dari audit sistem informasi dapat diklasifikasikan menjadi empat jenis, yaitu: 1. Meningkatkan Perlindungan Terhadap Aset-Aset Perusahaan Aset informasi suatu perusahaan seperti hardware, software, data harus dijaga oleh suatu sistem pengendalian internal yang baik. Untuk memastikan keamanan tersebut maka perlu dilakukan audit agar perusahaan dapat mengetahui celah-celah kelemahan perusahaan dan sesegera
mungkin
melakukan
perbaikan
guna
meningkatkan
perlindungan terhadap aset perusahaan. 2. Meningkatkan Integritas Data Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti : kelengkapan, dan keakuratan. Jika tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki laporan yang akurat dan cepat. 3. Meningkatkan Efektifitas Sistem Efektifitas sistem perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan pengguna (doing thing right). Dengan audit sistem informasi maka kinerja sistem pun dapat lebih dioptimalkan dan diefektifkan, karena dengan audit kita dapat
29 mengetahui
penyebab
dari
inefektifitas
kinerja
sistem
beserta
rekomendasi yang harus diterapkan guna menanggulangi permasalahan tersebut. 4. Meningkatkan Efisiensi Sistem Sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan cara yang baik dan sumber daya informasi yang minimal (doing right thing). Dengan audit sistem informasi, perusahaan dapat mengetahui cara yang paling efektif dan efisien dalam mencapai tujuan perusahaan.
INFORMATION SYSTEMS AUDITING
ORGANIZATIONS
Improved Safeguarding of assets
Improved data integrity
Improved System Effectiveness
Improved System Efficiency
Gambar 2.2 Impact of The Information Systems Audit On Organizations Sumber: Weber (1999, p11)
Gondodiyoto dan Idris (2003, h153) menyimpulkan tujuan audit sistem informasi sebagai berikut : 1) Pengamanan Aset Aset informasi suatu perusahaan seperti hardware, software, sumber daya manusia (brainware), file data harus dijaga oleh suatu sistem pengendalian
30 internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal fundamental yang sangat penting yang harus dipenuhi oleh perusahaan. 2) Menjaga Integritas Data Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti : kelengkapan, dan keakuratan. Jika tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki informasi atau laporan yang benar bahkan perusahaan dapat menderita kerugian dari kesalahan dalam membuat atau mengambil keputusan. 3) Efektifitas Sistem Efektifitas sistem perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user. 4) Efisiensi Sistem Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal. 5) Ekonomis Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisien berarti sumber daya
31 Dari berbagai definisi diatas penulis menyimpulkan bahwa tujuan utama audit sistem informasi adalah untuk mengetahui dan menentukan apakah suatu sistem informasi yang berbasis komputer telah : 1) Memberikan perlindungan terhadap aset perusahaan. 2) Meningkatkan integritas data. 3) Meningkatkan efektifitas perusahaan dalam mencapai tujuannya. 4) Memungkinkan perusahaan menggunakan sumberdayanya secara efisien.
2.4.3
Jenis Pengendalian Sistem Informasi Menurut Weber (1999, p38) ada dua jenis pengendalian yang perlu diterapkan pada sistem informasi, yaitu : 1. Pengendalian Manajemen (Management Controls) Pengendalian
manajemen
(management
controls)
adalah
sistem
pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Apabila pengendalian ini tidak dilakukan ataupun pengendaliannya lemah maka akan dapat berdampak negatif terhadap aplikasi (kegiatan komputer). Weber (1999, p39) membagi pengendalian manajemen menjadi tujuh sub sistem pengendalian, yaitu : a. Pengendalian Manajemen Puncak (Top Management Controls) Pengendalian yang dilakukan terhadap top management (manajemen puncak) perusahaan untuk memastikan bahwa fungsi sistem informasi
32 telah berjalan dengan baik, tanggung jawab utama mereka adalah untuk membuat keputusan jangka panjang terhadap bagaimana cara pemakaian sistem informasi pada organisasinya. b. Pengendalian Manajemen Sistem Informasi (Information System Management Controls) Pengendalian yang mengontrol pembuatan sistem program baru dan pemeliharaan program lama serta penyediaan software yang mendukung sistem informasi. Pengendalian ini bertujuan untuk pengembangan software yang bermutu tinggi, dimulai dari fase program development life cycle sampai terakhir pada spesial kontrol masalah. c. Pengendalian
Manajemen
Pengembangan
Sistem
(System
Development Management Controls) Pengendalian manajemen pengembangan sistem berfungsi untuk mengontrol alternatif dari model proses pengembangan sistem informasi sehingga dapat digunakan sebagai dasar pengumpulan dan pengevaluasian bertanggung
bukti. jawab
Manajemen dalam
pengembangan
perancangan,
sistem
pengembangan,
pengimplementasian dan pemeliharaan sistem aplikasi. d. Pengendalian Manajemen Sumber Data (Data Resource Management Controls) Yaitu pengendalian yang dilakukan pada sumber data untuk memastikan independensi data, integrity data, dan pengendalian akes dapat dikelola dengan lebih baik.
33 e. Pengendalian
Manajemen
Keamanan
(Security
Management
Controls) Menurut Weber (1999, pp257-266), dapat disimpulkan bahwa pengendalian terhadap manajemen keamanan secara garis besar bertanggung jawab atau bertujuan untuk menjamin aset sistem informasi tetap aman dari berbagai ancaman. Adapun kategori dari ancaman dapat diklasifikasikan sebagai berikut: − Types of Assets. Aset berwujud (physical assets) dan tidak berwujud (logical assets). − Nature of Threat. Disengaja (deliberate) dan tidak disengaja (accidental). − Source of Threat. Eksternal dan internal perusahaan. Aset dapat dikatakan aman bila kemungkinan kehilangan yang dapat timbul berada pada level yang dapat diterima oleh manajemen. Ancaman utama terhadap Security Management Controls perusahaan adalah : a) Ancaman Kebakaran Beberapa pelaksanaan pengamanan untuk ancaman kebakaran adalah: − Memiliki alarm kebakaran otomatis yang diletakkan pada tempat dimana aset-aset informasi berada. − Memiliki tabung pemadam kebakaran yang diletakkan pada lokasi yang mudah dijangkau.
34 − Memiliki tombol power utama (termasuk AC). − Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan tahan api. − Memiliki pintu/tangga darurat yang diberi tanda yang jelas sehingga mempermudah karyawan dalam penggunaannya. − Ketika alarm kebakaran berbunyi sinyal langsung dikirimkan ke stasiun pengendalian yang selalu dijaga oleh staff. − Prosedur pemeliharaan gedung yang baik menjamin tingkat polusi rendah disekitar aset informasi yang bernilai tinggi. Contoh : ruang komputer dibersihkan secara teratur dan kertas untuk printer diletakkan di ruang yang terpisah. − Untuk
mengantisipasi
ancaman
kebakaran
diperlukan
pengawasan rutin dan pengujian terhadap sistem perlindungan kebakaran untuk dapat memastikan bahwa segala sesuatunya telah dirawat baik. b) Ancaman Banjir Beberapa pelaksanaan pengamanan untuk ancaman banjir : − Usahakan bahan untuk atap, dinding dan lantai yang tahan air. − Semua aset sistem informasi ditaruh ditempat yang tinggi. − Menutup peralatan hardware dengan bahan yang tahan air ketika tidak digunakan. c) Perubahan Tegangan Sumber Energi
35 dan uninterruptable power supply (UPS) yang memadai yang mampu mengcover masalah tegangan listrik. d) Kerusakan Struktural (Structural Damage) Beberapa
pelaksanaan
pengamanan
untuk
mengantisipasi
kerusakan struktural (disebabkan bencana alam) misalnya adalah memilih lokasi perusahaan yang strategis dan aman. e) Polusi Beberapa pelaksanaan pengamanan untuk mengatasi polusi, misalnya
situasi
kantor
yang
bebas
debu
dan
tidak
memperbolehkan siapa saja membawa binatang peliharaan. f) Penyusup (Unauthorized Intrusion) Penyusupan yang dapat dilakukan terdiri dari dua jenis, yaitu : (1) Secara fisik masuk ke perusahaan dan mengambil harta sistem informasi atau melakukan pengerusakan. (2) Tidak masuk secara fisik ke perusahaan tetapi menggunakan cara lain seperti melakukan penyadapan. g) Virus dan Worm Pelaksanaan pengamanan untuk mengantisipasi virus meliputi : Tipe kontrol Preventif
Contoh − Hanya
menggunakan
software
yang
bersih dan asli. − Menginstall antivirus. − Melakukan
update
berkala dan rutin.
antivirus
secara
36 − Jangan
menggunakan
shareware
software. − Melakukan scan file secara rutin ketika akan digunakan. − Download software atau file hanya dari website yang sudah terkenal bersih. − Lakukan
akses
read-only
terhadap
software. − Berikan pengertian kepada user tentang bahaya virus dan perlunya tindakan pencegahan. − Secara berkala menjalankan program anti
Detective
virus untuk mendeteksi virus. − Pastikan ada backup yang bersih.
Corrective
− Jalankan program antivirus untuk meremove/merecovery file yang terinfeksi. Tabel 2.1 Tindakan Pengamanan Virus Sumber : Weber (1999, p263) h) Hacking Beberapa tindakan pengamanan untuk mengantisipasi hacking : − Penggunaan kontrol logika seperti penggunaan password yang sulit ditebak. − Petugas keamanan secara teratur memonitor sistem yang digunakan.
Control of Last Resort (Pengendalian Akhir) Walaupun segala cara telah diterapkan guna mengantisipasi ancaman, tetapi masih ada saja kemungkinan terjadi bencana ataupun undesriable
37 event lainnya. Untuk itulah diperlukan pengendalian akhir (Controls of Last Resort) guna mengurangi kerugian dan merecovery operasional : 1) Disaster Recovery Plan (Rencana Pemulihan Bencana) a) Emergency Plan (Rencana Darurat) Rencana emergency ini merupakan tindakan khusus yang akan dilakukan segera setelah terjadinya bencana. Rencana ini juga menjelaskan
siapa
melakukan
apa
dan
bagaimana
melakukannya. b) Backup Plan (Rencana Backup) Rencana yang berisi jangka waktu backup dilakukan, prosedur untuk melakukan backup, letak perlengkapan backup, karyawan yang bertanggung jawab untuk melakukan kegiatan backup. c) Recovery Plan (Rencana Pemulihan) Rencana recovery berisi prosedur apa yang harus dilakukan untuk kembali beroperasi pada keadaan sebelum terjadi kerusakan (tidak mengulang lagi proses yang sudah dikerjakan). Rencana recovery merupakan kelanjutan dari rencana backup karena recovery adalah kegiatan yang dilakukan agar sistem informasi dapat berjalan seperti biasa. d) Test Plan (Rencana Pengujian) Berfungsi untuk memastikan bahwa ketiga rencana diatas berjalan dengan baik atau layak.
38 2) Asuransi Suatu
bentuk
pengendalian
yang
dilakukan
dengan
mengasuransikan aset sistem informasi sehingga ketika terjadi bencana maka akan membantu meringankan beban perusahaan dalam
rangka
pengadaan
aset
sistem
informasi.
Perlu
dipertimbangkan cost and benefit dalam memilih asuransi untuk peralatan, fasilitas, dan elemen sistem informasi lainnya. f. Pengendalian
Manajemen
Operasi
(Operations
Management
Controls) Menurut Weber (1999, p288), manajemen operasi bertanggung jawab atas berjalannya fasilitas hardware dan software sehari-hari sehingga: a. Sistem aplikasi dapat menyempurnakan kerja mereka. b. Staff development dapat mendesain, mengimplementasikan, dan memaintain sistem aplikasi. Manajemen operasi khusus mengontrol fungsi-fungsi sebagai berikut: 1) Pengoperasian Komputer (Computer Operations) Kontrol operasi komputer mengatur aktivitas-aktivitas yang secara langsung mendukung keseharian pelaksanaan dari sistem aplikasi pada platform hardware/software yang tersedia. 2) Pengoperasian Jaringan (Network Operations) Manajer operasi bertanggung jawab atas aktivitas operasi jaringan baik jaringan area lokal (Local Area Network) maupun jaringan area luas (Wide Area Network) yang digunakan perusahaan dalam mendukung
operasional.
Untuk
melaksanakan
tugasnya,
39 manajemen operasi harus memulai dan menghentikan aktivitas jaringan serta memonitor kinerja channel komunikasi jaringan, peralatan jaringan, file-file dan program jaringan. 3) Persiapan dan Pengentrian Data (Preparation and Data Entry) Secara umum, semua sumber data untuk sistem aplikasi dikirim ke bagian persiapan data untuk diketik dan diverifikasi sebelum dimasukkan ke dalam komputer. Faktor-faktor yang harus dipertimbangkan untuk persiapan dan pengentrian data : − Penerangan pada tempat pengetikan harus memadai. − Lingkungan kerja haruslah tidak berisik dan juga tidak terlalu sepi. − Tata ruang dari tempat kerja harus rapi untuk memudahkan arus kerja. 4) Pengendalian Produksi (Production Controls) Fungsi-fungsi yang harus dilakukan pada pengendalian produksi adalah : − Penerimaan dan pengiriman input dan output. − Penjadwalan kerja. − Peningkatan pemanfaatan komputer. 5) Perpustakaan File (File Library) Fungsi File Library pada bagian operasional adalah bertanggung jawab untuk mengelola manajemen penyimpanan data.
40 •
Storage
of
Storage
Media
(Penyimpanan
Media
Penyimpanan) Karena media penyimpanan file sangat penting maka media tersebut harus disimpan dengan sangat aman. •
Use of Storage Media (Penggunaan Media Penyimpanan) Penggunaan media penyimpanan harus dikontrol dengan baik, bagian kepustakaan harus mengeluarkan media penyimpanan hanya kepada orang yang memiliki wewenang dan sesuai dengan skedul yang telah ditetapkan.
•
Location of Storage Media (Lokasi Media Penyimpanan) Penyimpanan media penyimpanan dapat berada diluar di lokasi ruang komputer, hal itu tergantung kepada tingkat pemakaian
media
penyimpanan
tersebut,
bila
media
penyimpanan sering digunakan maka harus berada di ruangan komputer sedangkan bila media penyimpan hanya merupakan backup maka dapat diletakkan diluar ruangan komputer. •
Maintenance and Disposal of Storage Media (Pemeliharaan dan Penghentian Pemakaian Dokumen) Media penyimpanan dapat digunakan untuk jangka waktu yang lama tetapi secara umum kemampuannya menurun seiring dengan meningkatnya umur media penyimpanan tersebut sehingga dapat menimbulkan resiko bagi perusahaan.
41 Hal-hal yang harus diperhatikan dalam File Library adalah :
Media penyimpanan seharusnya tidak dibiarkan tidak terpakai dalam jangka waktu yang lama.
Apabila media penyimpanan menjadi tidak dapat diandalkan, biasanya jalan terbaik adalah dengan membuang mereka dan memastikan semua data yang sensitif sudah dipindahkan.
Apabila media penyimpanan harus dikirim keluar organisasi atau diperbaiki, maka harus dipastikan bahwa data sensitif harus dihapus dari media penyimpanan tersebut.
6) Dokumentasi dan Perpustakaan Program (Documentation and Program Library) Dokumentasi librarian bertanggung jawab untuk mengatur dokumentasi yang mendukung fungsi sistem informasi. Fungsi itu meliputi : 1) Memastikan dokumentasi disimpan dengan aman. 2) Memastikan hanya yang berwenang yang dapat mengakses. 3) Memastikan dokumentasi selalu up to date. 4) Memastikan jalannya backup cukup untuk dokumentasi. Dokumentasi librarian juga harus bertanggung jawab untuk mengatur persediaan software organisasi atau izin software untuk mencegah masalah berikut : –
Terlalu banyak copy software yang beredar.
–
Software hilang atau dicuri.
42 –
Beredarnya software ilegal.
–
Penggunaan software tidak sesuai dengan izin yang diajukan.
–
Software tidak mempunyai backup.
7) Help Desk/Technical Support Ada 2 (dua) fungsi utama help desk/technical support yaitu : − Membantu end user dalam menggunakan hardware dan software seperti microcomputer, database. − Menyediakan technical support untuk menyelesaikan masalah yang berhubungan dengan hardware, software, dan database. 8) Perencanaan Kapasitas dan Pengawasan Kinerja (Capacity Planning and Performance Monitoring) Tujuan utama dari fungsi sistem informasi adalah mencapai tujuan-tujuan dari user dengan memuaskan pada tingkat biaya terendah. Manajemen operasi harus secara kontinyu mengawasi tampilan dari platform hardware/software untuk menjamin bahwa sistem dilaksanakan secara efektif, waktu respon dapat diterima.
9) Management of Outsourced Operations Manajemen operasi harus fokus pada 4 jenis pengendalian dalam hal memonitoring kegiatan outsource antara lain : − Mengevaluasi outsourcing vendor (dilihat dari segi keuangan). − Memastikan ketaatan dari kontrak outsourcing.
43 − Memastikan bahwa operasi dari outsourcing vendor dapat dijalankan dengan baik. − Memelihara prosedur-prosedur untuk pemulihan bencana dengan outsourcing vendor. g. Quality Assurance Management Controls Pengendalian
manajemen
jaminan
kualitas
bertugas
untuk
meyakinkan bahwa pengembangan, pelaksanaan, pengoperasian dan pemeliharaan dari sistem informasi sesuai standard kualitas. 2. Pengendalian Aplikasi (Application Controls) Menurut Bodnar dan Hopwood yang diterjemahkan oleh Jusuf dan Tambunan (2000, h186) “Pengendalian Aplikasi berpengaruh khusus terhadap aplikasi-aplikasi individual”. Pengendalian Gondodiyoto
Aplikasi
(Application
Controls)
menurut
adalah, “Sistem pengendalian intern komputer yang
berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan (setiap aplikasi berbeda karakteristik dan kebutuhan pengendaliannya)”. Weber (1999, pp39-40) membagi pengendalian aplikasi menjadi 6 jenis yaitu : 1) Pengendalian Batasan (Boundary Controls) Menurut Weber (1999, p370) “The boundary subsystem establishes the interface between the would be user of a computer system and the computer system itself ”. Inti dari pernyataan tersebut
44 adalah subsistem batasan (boundary) membangun suatu hubungan (interface) antara pengguna (user) komputer dengan sistem komputer itu sendiri melalui suatu tampilan. Menurut Gondodiyoto (2003, h140) Boundary Control adalah bahwa dalam suatu sistem aplikasi komputer harus jelas desainnya, mencakup hal-hal : − Ruang Lingkup Sistem Suatu sistem komputerisasi harus jelas ruang lingkupnya : apa dokumen inputnya, dari mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya (user), siapa sponsornya (pemegang kewenangan). − Subsistem dan Keterkaitan Sistem terdiri dari subsistem, modul program, dan perlu kejelasan ruang lingkupnya (boundary control), dan keterkaitan (interface) antar subsistem-subsistem atau modul-modul. Tiga tujuan pengendalian subsistem boundary adalah sebagai berikut : − Untuk menetapkan identitas dan kewenangan user dari sistem komputer. − Untuk menetapkan identitas dan kewenangan dari sumber daya yang digunakan user. − Membatasi tindakan-tindakan yang dilakukan oleh user yang menggunakan sumber daya komputer terhadap tindakan-tindakan yang tidak terotorisasi.
45 Jenis-jenis pengendalian dalam subsistem boundary, yaitu : a) Pengendalian Kriptografi Kriptografi merupakan suatu teknik mentransformasikan data menjadi kode/sandi rahasia (cryptograms) sehingga tidak memiliki arti bagi orang yang tidak memiliki kemampuan untuk mengubah kembali data tersebut. b) Pengendalian Akses (Access Control) Berfungsi untuk membatasi dan mengatur penggunaan sumber daya sistem informasi dari unauthorized user, membatasi dan memastikan user mendapatkan sumber daya yang dibutuhkannya. Mekanisme pengendalian akses terdiri dari tiga tahap, yaitu : (1) Identifikasi Suatu mekanisme yang mengharuskan user mengidentifikasi dirinya kepada sistem sebagai tanda pengenal. Misalnya dengan menggunakan user name. (2) Autentifikasi Mekanisme yang membawa user pada identifikasi tingkat tinggi untuk membuktikan hak akses user dengan cara menyediakan : − Something user know. Sesuatu yang user ketahui, contohnya password. − Something user has. Sesuatu yang dimiliki user (kartu).
46 − Something user is. Sesuatu yang merupakan karakteristik user (sidik jari, retina). (3) Otorisasi Suatu mekanisme yang mengatur seberapa luas hak akses yang dimiliki user sekaligus membatasi user dari aktivitasaktivitas diluar wewenangnya. c) PIN (Personal Identification Number) PIN adalah teknik yang sering digunakan untuk mengautentifikasi seseorang. PIN adalah jenis password yang sederhana yang biasanya berupa nomor rahasia yang diberikan pada seseorang dengan tujuan untuk memverifikasi keotentikan seseorang. Tiga macam penciptaan PIN : -
Derived PIN. Penciptaan PIN berdasarkan pada Account Number Customer (nomor rekening pelanggan). Nomor rekening itu akan dirubah dengan menggunakan algoritma kriptografi dan kunci kriptografi untuk menghasilkan sebuah PIN yang bersifat sementara.
-
Random PIN. Institusi membuat PIN berdasarkan nomor acak dengan panjang tertentu. Keuntungan metode ini adalah PIN tidak terhubung dengan nomor account sehingga dapat diganti tanpa merubah nomor account. Kelemahannya : nomor PIN harus disimpan pada database pembuat PIN sehingga harus dapat diamankan dari pihak yang tidak berwenang.
47 -
Customer-selected PIN. Konsumen memilih sendiri nomor PINnya. Keuntungannya adalah mereka dapat memilih sendiri PIN yang memudahkan mereka untuk mengingatnya, tapi hal ini juga merupakan kelemahan karena konsumen sering memilih nomor yang berhubungan dengan mereka seperti tanggal lahir, nama pasangan,PIN ini juga harus disimpan pada database.
d) Digital Signature Ketika surat dibuat dalam bentuk formulir elektronik, tanda tangan yang biasa dilakukan secara manual tidak dapat dilakukan lagi. Untuk mengantisipasi hal tersebut maka diperlukan tanda tangan digital (digital signature) untuk mengautentikasi seseorang yang berhak mengakses surat tersebut. e) Plastic Card Plastic Card dimaksudkan untuk mengidentifikasi individu yang akan melakukan akses terhadap sistem. f) Audit Trail Control Audit Trail akan merekam semua kejadian yang terjadi pada subsistem
boundary.
Audit
Trail
juga
digunakan
untuk
menganalisa bukti-bukti yang berkaitan dengan penggunaan sumberdaya. g) Existence Control Ketika subsistem boundary mengalami kegagalan, existence control tidak akan berupaya melakukan perbaikan pada kerusakan
48 tersebut. Existence Control akan meminta user untuk melakukan prosedur sign on ulang. Hal ini melindungi situasi dimana original user meninggalkan terminal dan digantikan user lain. 2) Pengendalian Input (Input Controls) Weber (1999, p420) berpendapat, “Components in the input subsystem are responsible for bringing both data and instructions into an application controls”. Intinya adalah komponen dalam subsistem input bertanggung jawab untuk memasukkan data dan instruksi ke dalam sistem aplikasi. Kedua jenis input tersebut harus divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol sehingga input yang dimasukkan akurat, lengkap, dan tepat waktu. Tiga alasan pentingnya Input Controls, yaitu : (1) Pada sistem informasi kontrol yang besar jumlahnya adalah pada subsistem input, sehingga auditor harus memberikan perhatian yang lebih kepada keandalan input kontrol yang ada. (2) Kegiatan subsistem input melibatkan jumlah kegiatan yang besar dan rutin dan merupakan kegiatan yang monoton sehingga dapat menyebabkan terjadinya kesalahan. (3) Subsistem input seringkali merupakan target dari fraud, banyak kegiatan yang tidak seharusnya dilakukan seperti penambahan, penghapusan, dsb.
49 Menurut Standard IAI yang dinyatakan dalam buku Anies Basalamah (2003, hh220-222) pengendalian input (input controls) dirancang untuk memberikan keyakinan yang memadai bahwa : 1. Transaksi diotorisasi sebagaimana mestinya sebelum diolah dengan komputer. 2. Transaksi diubah dengan cermat ke dalam bentuk yang dapat dibaca mesin dan dicatat dalam file data komputer. 3. Transaksi tidak hilang, ditambah, digandakan, atau diubah dengan tidak semestinya. 4. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan kembali secara tepat waktu. Jenis-jenis pengendalian input (Input Controls) menurut IAI dalam buku Anies Basalamah (2003, hh221-230) : 1. Pengendalian Otorisasi Masukan (Input Authorization Controls) Pengendalian yang baik tidak memperbolehkan suatu transaksi diproses apabila transaksi tersebut tidak disertai dengan otorisasi dari pejabat yang berwenang. Jenis-jenis pengendalian yang termasuk dalam pengendalian otorisasi masukan adalah : (1) Prosedur-Prosedur Persetujuan Prosedur ini menjelaskan mengenai bagaimana dan oleh siapa data akan diinput ke dalam dokumen input.
50 (2) Formulir Yang Diberi Nomor Urut Penggunaan formulir dengan nomor urut dimaksudkan untuk mencegah
terjadinya
dokumen
yang
hilang
dan
mempermudah penelusuran dokumen. (3) Sistem Pengawasan Pencatatan Aktivitas (Transaction Log) Dengan cara ini semua terminal yang digunakan dicatat dalam tape atau disk sehingga dapat diketahui frekuensi kesalahan dalam terminal serta adanya undesirable event lainnya.
2. Pengendalian Validasi Masukan (Input Validation Controls) Pengendalian ini telah terprogram di dalam sistem yang dimaksudkan untuk memperoleh keyakinan bahwa semua data inputan
adalah
akurat,
lengkap,
dan
memadai
(logis).
Pengendalian ini memiliki beberapa fungsi : 1) Untuk mendeteksi kehilangan data. 2) Untuk menguji perhitungan matematis. 3) Untuk menjamin adanya pembukuan transaksi secara benar. Jenis-jenis pengendalian yang termasuk dalam Input Validation: 1) Numeric and Alphabetic Check Pengujian angka huruf ini berfungsi dengan cara menetapkan bahwa field tertentu misalnya harus berbentuk angka (numeric) sedangkan field lainnya harus berbentuk huruf (alphabetic).
Jika
tidak
memberikan error message.
sesuai
maka
komputer
akan
51 2) Logic Check Pengendalian
ini
membandingkan
dimaksudkan
suatu
logic
untuk
tertentu
menilai
dengan
dan
keadaan
sebenarnya. Contoh logic : jurnal penyusutan akan dianggap tidak logis oleh komputer jika kreditnya adalah kas. 3) Sign Check Membandingkan apakah suatu angka dalam field tertentu harus positif (dalam data akuntansi berarti didebet) sedangkan angka lainnya harus kredit (negatif). 4) Valid Field Size Check Pengujian ini menyerupai sign check, hanya saja bukan berisi tanda positif atau negatif, melainkan suatu field harus mempunyai besar tertentu. Misalnya PIN harus sepuluh digit. 5) Limit Check Pengendalian ini menguji apakah suatu field transaksi masukan (input) tertentu berada dalam suatu batasan yang sebelumnya ditetapkan. 6) Valid Code Check Pengendalian ini menguji apakah suatu transaksi masukan tertentu memiliki kode yang sama dengan yang ada di dalam komputer. Kode ini bisa berupa nomor akun, kata sandi.
52 7) Sequence Check Pengendalian ini menguji urutan-urutan suatu field tertentu, misalnya
untuk
mengurutkan
apakah
order
penjualan
berurutan atau ada yang hilang. 3. Transmisi Data Tujuan dari pengendalian transmisi data adalah untuk mencegah agar data yang akan diproses tersebut tidak hilang, tidak ditambah, atau tidak diubah. Teknik-teknik pengendalian di dalam pengendalian transmisi data: 1) Batches Logging and Tracking Meliputi penghitungan batch control totals, penggunaan nomor urut batch, nomor lembar transmisi serta pencatatan arus transaksi. 2) Program-Program Aplikasi Pengendalian ini digunakan untuk melakukan verifikasi terhadap batch totals dan run-to-run total. Pengendalian total run-to-run
menggunakan
jumlah-jumlah
(total)
dalam
pengendalian keluaran yang berasal dari satu proses sebagai jumlah-jumlah
(total)
pengendalian
masukan
dalam
pemrosesan berikutnya. Dengan kata lain total run-to-run adalah total pengendalian (control totals) dari penyelesaian suatu pengolahan (pemrosesan) yang akan digunakan sebagai total pengendalian untuk pemrosesan berikutnya. Jumlah dari
53 suatu pelaksanaan pemrosesan di tambah dengan total masukan dalam pemrosesan yang kedua harus sama dengan jumlah (total) yang dihasilkan setelah pemrosesan yang kedua tersebut. 3) Teknik-Teknik Verifikasi Dalam Transmisi Online Jenis-jenis pengendalian yang ada pada teknik ini : √ Echo Check. √ Redudancy Check. √ Completeness Test. 4. Konversi Data Teknik-teknik pengendalian dalam konversi data antara lain adalah sebagai berikut : 1) Verifikasi Fisik Dalam teknik pengendalian ini departemen pemakai harus menelaah atau secara visual melakukan verifikasi terhadap transaksi pada waktu transaksi tersebut dikelompokkan (batched). Selain itu, terminal komputer dapat pula dilengkapi dengan fasilitas feedback yang secara otomatis akan menunjukkan suatu tanda yang dapat digunakan sebagai pengujian visual oleh pemakainya. 2) Penggunaan Cek Digit Penggunaan cek digit ini dimaksudkan untuk memeriksa atau menguji validitas angka. Apabila angka tersebut tidak sesuai
54 dengan angka asalnya, maka nomor angka akun yang diproses tersebut akan dimunculkan sebagai hal yang salah. 3) Penggunaan Batch Control Total Teknik ini biasanya terdiri dari batch total (seperti nilai total piutang dan sebagainya); hash total seperti total nomor pelanggan, atau jumlah transaksi yang diproses. Bukti-bukti asal dikelompokkan di departemen pemakai dan control group mencatat nomor batch dan batch control pada lembar pengendalian masukan batch. Setelah diproses control group membandingkan total batch keluaran dengan total batch semula, menyelidiki dan meyelesaikan perbedaan-perbedaan yang timbul. 5. Penanganan Kesalahan Pengendalian ini mencakup : 1) Identifikasi atas sebab-sebab penolakan serta penelaahan terhadap sebab-sebab penolakan tersebut. 2) Penelaahan dan persetujuan perbaikannya. 3) Memproses kembali (re-entry) sesegera mungkin ke sistem. Yang termasuk dalam pengendalian ini adalah : 1) Error Log Control group membuat catatan mengenai kesalahan input yang terjadi (error log) dan semua data input yang ditolak sekaligus menyelidiki dan memperbaiki kesalahan tersebut.
55 2) Suspended File Teknik ini menunda file yang error untuk diproses hingga file tersebut diperbaiki untuk menjamin bahwa kesalahan yang terjadi telah dikoreksi dan diserahkan kembali ke bagian EDP untuk diproses ulang. 3) Laporan Kesalahan Bertujuan untuk mengidentifikasi mengenai catatan yang ada, kesalahan data beserta penyebabnya. 3) Pengendalian Output (Output Controls) Gondodiyoto (2003, h145) berpendapat bahwa “Pengendalian output merupakan pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak up-to-date (mutakhir) datanya, atau didistribusikan kepada orang-orang yang tidak berwenang”. Berdasarkan sifatnya metode output controls terdiri dari tiga jenis, yaitu : − Preventive Objective. Misalnya dengan menggunakan tabel laporan yang terdiri dari jenis laporan, periode laporan, tanda terima konfirmasi, siapa penggunanya, prosedur permintaan laporan. − Detection Objective. Misalnya perlunya dibuat nilai-nilai subtotal dan total yang dapat diperbandingkan untuk mengevaluasi keakurasian laporan.
56 − Corrective Objective. Misalnya tersedianya help desk dan contact person. Yang termasuk pengendalian output (Output Controls): a) Rekonsiliasi Output Dengan Input Dengan melakukan rekonsiliasi maka akan diperoleh jaminan bahwa input telah diproses dengan benar sehingga hasilnya benar. b) Pendistribusian Output Pengendalian ini mencakup : − Output hanya didistribusikan kepada user yang berwenang. − Pendistribusian output harus dilakukan secara tepat waktu. − Hanya output yang diperlukan saja yang didistribusikan. − Tanggal penerimaan dan nama penerima hendaknya dicatat secara reguler setiap kali output didistribusikan. c) Pengawasan Terhadap Catatan (Record Retention) − Menjaga jangka waktu pencatatan tertentu untuk menjaga keamanan output. − Menghindari rekonstruksi yang tidak perlu terhadap file. − Mengendalikan output-output yang sudah tidak diperlukan lagi (dihancurkan). 4) Pengendalian Proses (Process Controls) Menurut Gondodiyoto (2003, h144) “Pengendalian proses (process controls) adalah pengendalian intern untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid)
57 menjadi error karena adanya kesalahan proses. Kemungkinan penyebab terjadinya error adalah kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan antara subsistem ataupun kesalahan teknis lainnya”. 5) Pengendalian Komunikasi (Communication Controls) Weber (1999, p474) berpendapat bahwa “The communication subsystem is responsible for transporting data among all the other subsystems within a system and for transporting data to or receiving data from another system “. Intinya adalah subsistem komunikasi bertanggung jawab untuk pengiriman data ke subsistem yang lain pada suatu sistem dan untuk pengiriman data ke penerima data dari sistem yang lain. 6) Pengendalian Basis Data (Database Controls) Weber (1999, h563) berpendapat bahwa “The database subsystem provides function to define, create, modify, delete, and read data in an information system”. Intinya adalah bahwa subsistem database menyediakan fungsi-fungsi untuk mendefinisikan, menciptakan, memodifikasi, menghapus, dan membaca data di dalam suatu sistem informasi.
2.4.4
Pentingnya Audit dan Control Terhadap Sistem Informasi Menurut Weber (1999, p5) ada tujuh faktor yang mempengaruhi kebutuhan perusahaan terhadap audit dan control, yakni :
58 1) Organizational Cost of Data Loss (Biaya Yang Harus Dikeluarkan Karena Kehilangan Data) Data merupakan salah satu aset penting perusahaan, kehilangan data merupakan suatu hal yang paling dihindari perusahaan karena selain dapat menghambat dan mengacaukan kinerja perusahaan, kehilangan data juga memerlukan biaya yang sangat mahal. Salah satu faktor inilah yang mendasari perusahaan untuk melakukan audit dan control guna memastikan keamanan data dari kehilangan ataupun sabotase lainnya. 2) Cost of Incorrect Decision Making (Biaya Dari Pengambilan Keputusan Yang Salah/Keliru) Kesalahan atau kekeliruan dalam decision making biasanya disebabkan karena penyajian informasi yang tidak memenuhi dimensi informasi yang berkualitas (akurat, lengkap, relevan, tepat waktu). Untuk itulah agar informasi yang disajikan selalu terjaga keakuratan dan integritasnya maka perlu dilakukan audit dan control guna memastikan sistem selalu andal dalam menyajikan informasi sehingga informasi yang dihasilkan tidak lagi menyesatkan si pengguna informasi dalam membuat keputusan. 3) Cost of Computer Abuse (Biaya Yang Harus Dikeluarkan Karena Penyalahgunaan Komputer) Salah satu hal utama yang mendasari pentingnya audit dan control terhadap sistem informasi adalah cost of computer abuse (biaya yang harus dikeluarkan
karena
penyalahgunaan
komputer/sistem).
Selain
dapat
mengakibatkan gangguan atau kerusakan (pencurian, pengungkapan ilegal, penghancuran) yang fatal atau luar biasa pada sistem informasi perusahaan,
59 penyalahgunaan komputer memerlukan biaya yang sangat besar dalam penanggulangan
dan
perbaikannya,
untuk
itu
guna
mengantisipasi
penyalahgunaan itu maka perlu dilakukan audit dan control agar perusahaan dapat mencegah dan menekan tingkat penyalahgunaan komputer. 4) Value of Hardware, Software, Personnel (Nilai dari Hardware, Software, Personil) Disamping data, hardware, software, dan personil juga merupakan sumber daya yang sangat kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengganggu jalannya kegiatan organisasi. Jika software rusak akan mengganggu jalannya operasional dan bila software dicuri orang maka informasi yang rahasia dapat dijual kepada kompetitor. Personil adalah sumber daya yang paling berharga, mereka harus dididik dengan baik agar menjadi tenaga di bidang komputer yang profesional. 5) High Cost of Computer Error (Biaya Tinggi dari Kesalahan Komputer) Saat ini pemakaian komputer sudah sangat luas dan dilakukan juga terhadap fungsi kritis pada kehidupan kita. Oleh karena itu kesalahan komputer dapat menimbulkan dampak yang luar biasa. Misalnya error komputer yang menyebabkan jatuhnya pesawat di Antartika yang menyebabkan 257 orang meninggal. Untuk itulah audit dan control diperlukan guna menekan error komputer hingga tingkat yang bisa diterima.
60 6) Maintenance of Privacy (Pemeliharaan Privacy) Banyak data tentang kita yang saat ini dapat diperoleh dengan cepat, dengan adanya komputerisasi maka data seseorang dapat diketahui termasuk hal-hal pribadi yang seharusnya menjadi rahasia pribadi seseorang. Pemakaian data komputer yang tidak seharusnya dapat mengakibatkan orang-orang kehilangan hak privacynya. 7) Controlled Evolution of Computer Use (Evolusi Control dari Penggunaan Komputer) Jangan sampai suatu organisasi melakukan komputerisasi secara tidak terkendali sehingga terjadi pemborosan-pemborosan atau tingkat keamanan yang kurang memadai dan malah sebaliknya hanya akan menimbulkan dampak sosial yang besar, misalnya komputerisasi yang berlebihan malah akan meningkatkan jumlah pengangguran.
2.4.5
Metode Audit Sistem Informasi Menurut Weber (1999, pp55-57) ada dua jenis metode audit sistem informasi, yaitu : 1. Audit Around The Computer Merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai black box, artinya metode ini tidak menguji langkah-langkah proses secara langsung tetapi hanya berfokus pada masukan (input) dan keluaran (output) dari sistem komputer. Diasumsikan bahwa jika masukan (input) benar maka akan diwujudkan pada keluaran (output) yang benar pula. Keunggulan dari metode Audit Around The Computer, yaitu:
61 1) Pelaksanaan audit lebih sederhana. 2) Memungkinkan auditor yang kurang mahir di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit. 3) Hanya memerlukan biaya yang murah. Kelemahan dari metode Audit Around The Computer adalah : 1) Tidak menciptakan sarana bagi auditor untuk memahami dan mendalami liku-liku sistem komputer. 2) Kemampuan komputer sebagai fasilitas pendukung pelaksanaan audit menjadi sia-sia. 3) Cara ini membatasi auditor untuk mengetahui kelemahan yang terdapat pada sistem. 2. Audit Through The Computer Suatu metode audit yang tidak hanya berorientasi pada input dan output semata melainkan juga membuka black box, artinya secara langsung berfokus pada operasi pemrosesan komputer. Auditor biasanya menggunakan teknik ini untuk menguji proses logika dan pengendalian dalam sistem. Metode audit ini juga umumnya mencakup pemeriksaan keandalan atau kelayakan proses dan akurasi program atau aplikasi. Dengan asumsi apabila pemrosesan tidak memadai maka output yang dihasilkan belum tentu akurat meskipun input yang dimasukkan benar. Keunggulan dari metode Audit Through The Computer : 1) Dapat meningkatkan kualitas audit sistem informasi menjadi lebih efektif, hal ini dikarenakan ruang lingkup dan kemampuan dari pengujian
62 menjadi
lebih
komprehensif
sehingga
tingkat
reliabilitas
dari
pengumpulan dan pengevaluasian bukti dapat lebih ditingkatkan. 2) Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya. 3) Auditor dapat menilai kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan. Kelemahan dari metode Audit Through the Computer adalah : 1) Metode ini membutuhkan biaya yang relatif tinggi karena memerlukan jam kerja yang lebih banyak untuk dapat lebih memahami pengendalian internal dari sistem aplikasi. 2) Metode ini memerlukan tenaga ahli terampil yang memiliki keahlian khusus dan teknik mendalam dalam bidang komputer untuk memahami cara kerja sistem sehingga proses audit hanya dapat dilakukan oleh auditor yang sangat berkompeten dalam sistem aplikasi. Gondodiyoto dan Idris (2003, hh155-158) berpendapat bahwa ada tiga metode audit sistem informasi antara lain : 1. Audit Around the Computer Untuk menerapkan metode ini, auditor pertama kali harus menelusuri dan menguji pengendalian masukan, kemudian menghitung hasil yang diperkirakan dari proses transaksi, lalu auditor membandingkan hasil sesungguhnya dengan hasil yang dihitung secara manual. Disamping masalah minimnya pengetahuan auditor mengenai aspek teknis komputer atau keterbatasan lain, metode audit around the computer cocok untuk dilaksanakan pada situasi sebagai berikut :
63 1) Dokumen sumber tersedia dalam bentuk kertas (bahasa non mesin), artinya masih kasat mata dan dilihat secara visual. 2) Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan. 3) Keluaran (output) dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada output dan sebaliknya. 4) Sistem komputer yang diterapkan masih sederhana. 5) Sistem komputer yang diterapkan masih menggunakan software yang umum digunakan, dan telah diakui, serta digunakan secara massal. 2. Audit Through the Computer Pada metode ini, auditor tidak hanya melakukan pengujian pada input dan output melainkan juga pemeriksaan secara langsung terhadap pemrosesan komputer melalui pemeriksaan logika dan akurasi program meliputi koding program, desain aplikasi, serta hal lain yang berkaitan dengan program aplikasinya. Pendekatan audit langsung ke sistem komputerisasi cocok dalam kondisi : 1) Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya. 2) Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan. 3) Sistem logika komputer sangat kompleks dan memiliki banyak fasilitas pendukung.
64 4) Adanya jurang yang besar dalam melaksanakan audit secara visual, sehingga memerlukan pertimbangan antara biaya dan manfaatnya. 3. Audit With the Computer Pada metode ini audit dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Metode ini sangat bermanfaat dalam pengujian substantif atas file dan record perusahaan. Salah satu software audit yang dapat digunakan adalah GAS (Generalized Audit Software) dan SAS (Specialized Audit Software).
2.4.6
Tahapan Audit Sistem Informasi Menurut Weber (1999, pp47-55), ada 5 tahap audit sistem informasi, yaitu : 1). Planning the Audit (Perencanaan Audit) Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini berarti melakukan investigasi terhadap klien untuk mengetahui apakah penugasan audit (audit engagement) dapat diterima, menempatkan staff audit, mendapatkan surat penugasan, mendapatkan informasi mengenai latar belakang klien, memahami informasi mengenai kewajiban hukum klien dan melakukan analisa terhadap prosedur yang ada untuk memahami bisnis klien dan mengidentifikasi area-area yang berisiko. Pada tahap ini auditor juga harus memahami pengendalian intern organisasi lalu menentukan tingkat resiko pengendalian yang berhubungan dengan setiap segmen audit.
65 2). Tests of Controls (Pengujian Pengendalian) Auditor melakukan test of controls ketika mereka menilai bahwa tingkat resiko pengendalian berada pada level kurang dari maksimum (pengendalian masih dapat dipercaya). Test of controls diarahkan kepada efektifitas pengendalian intern perusahaan, baik dalam rancangan maupun operasinya (pelaksanaannya). Tahap ini diawali dengan fokus pada pengendalian manajemen (management controls), jika pengendalian manajemen dinilai beroperasi secara tidak andal, maka auditor hanya akan melakukan sedikit pengujian pada pengendalian aplikasi (application controls). Namun jika auditor menemukan kelemahan yang serius pada pengendalian manajemen maka auditor akan memberikan opini tidak wajar (adverse opinion) terhadap pengendalian yang ada di dalam perusahaan atau melakukan pengujian substantif (substantive test) atas transaksi dan pengujian keseimbangan dan hasil keseluruhan (balances or overall result). Jika auditor menyatakan pengendalian manajemen beroperasi secara memadai, maka auditor akan melakukan evaluasi terhadap keandalan pengendalian aplikasi dengan menelusuri jenis-jenis materialitas dari transaksi melalui masing-masing pengendalian yang dijalankan pada subsistem pengendalian aplikasi. 3). Tests of Transaction (Pengujian Transaksi) Auditor menggunakan test ini untuk mengevaluasi apakah kesalahankesalahan atau pemrosesan yang keliru terhadap transaksi telah mengarah pada kesalahan yang material pada pernyataan laporan keuangan. Tes
66 pembuktian ini mencakup penelusuran terhadap jurnal hingga ke dokumen sumbernya, menguji kebenaran file, menguji akurasi perhitungan. Jika hasil tes transaksi mengindikasikan terjadi kehilangan atau kesalahan pencatatan yang material maka auditor dapat mengembangkan tingkat pengujiannya dengan melakukan test of balances or overall result untuk mendapatkan estimasi yang lebih baik terhadap kehilangan/kesalahan pencatatan. 4). Tests of Balances or Overall Results Auditor melakukan tes ini untuk memperoleh bukti yang cukup dalam membuat penilaian akhir (final judgment) mengenai tingkat kehilangan atau kesalahan pencatatan yang terjadi ketika fungsi sistem informasi gagal melindungi aset, memelihara integritas data, mencapai efektifitas dan efisiensi sistem informasi. 5). Completion of the Audit Tahap ini merupakan tahap akhir dari tahapan audit sistem informasi. Pada tahap ini auditor merumuskan opininya terhadap kehilangan material dan kesalahan pencatatan yang terjadi sekaligus membuat rekomendasi untuk manajemen yang nantinya disajikan pada laporan audit. Adapun jenis-jenis opini yang berlaku umum adalah : a. Unqualified Opinion (Wajar Tanpa Pengecualian) Auditor menyatakan bahwa laporan keuangan disajikan secara wajar. b. Qualified Opinion (Wajar Dengan Pengecualian) Auditor menyatakan bahwa laporan keuangan disajikan secara wajar, kecuali pada pos tertentu.
67 c. Adverse Opinion (Pendapat Tidak Wajar) Auditor merasa yakin bahwa keseluruhan laporan keuangan yang disajikan memuat salah saji yang material atau menyesatkan sehingga tidak menyajikan secara wajar posisi keuangan perusahaan sesuai dengan prinsip akuntansi berlaku umum. d. Disclaimer of Opinion (Tidak Memberikan Pendapat) Auditor menolak memberikan pendapat dikarenakan beberapa kondisi antara lain : pembatasan lingkup audit, hubungan yang tidak independen antara auditor dan klien, dsb.
2.5
Persediaan
2.5.1
Definisi Persediaan Mulyadi (2001, h112) berpendapat bahwa, “inventory atau persediaan terdiri dari barang dagangan yang dimaksudkan untuk diperjualbelikan serta bahan baku dan bahan pembantu yang dipakai dalam proses produksi barang yang akan dijual”. Menurut Puradiredja (1998, h134), persediaan adalah barang yang tersedia untuk dijual dalam kasus bisnis normal dan dalam kasus produksi barang dalam produksi atau yang ditempatkan dalam produksi. Berdasarkan pendapat diatas, penulis menyimpulkan bahwa persediaan adalah barang atau material yang dapat berupa bahan baku, bahan setengah jadi dan bahan jadi yang tersedia di gudang yang dapat digunakan untuk mendukung perusahaan dalam mencapai tujuannya.
68 2.5.2
Jenis Persediaan Menurut Mulyadi (2001, h114), kita dapat membagi jenis persediaan kedalam lima bentuk yaitu : 1. Persediaan Bahan Baku. 2. Persediaan Suku Cadang. 3. Persediaan Bahan Penolong. 4. Persediaan Produk Dalam Proses. 5. Persediaan Produk Jadi.
2.5.3
Metode Pencatatan Persediaan Menurut Mulyadi (2002, h126), ada dua macam metode pencatatan persediaan, yaitu : –
Metode Mutasi Persediaan (Perpetual Inventory Method) Dalam metode mutasi persediaan, setiap mutasi persediaan dicatat dalam kartu persediaan.
–
Metode Persediaan Fisik (Physical Inventory Method) Dalam metode persediaan fisik, hanya tambahan persediaan dari pembelian saja yang dicatat, sedangkan mutasi berkurangnya persediaan karena pemakaian tidak dicatat dalam kartu persediaan.
2.5.4
Metode Penilaian Persediaan Menurut Skousen (2001, h524), ada tiga metode dalam melakukan penilaian persediaan, yaitu :
69 1. Metode FIFO (First In First Out) Metode ini didasarkan asumsi bahwa harga yang sudah terjual, dinilai menurut harga pembelian barang yang terdahulu (pertama) masuk. Dengan demikian, persediaan akhir dinilai menurut harga pembelian barang yang terakhir masuk. 2. Metode LIFO (Last In First Out) Metode ini didasarkan atas asumsi bahwa harga yang telah terjual dinilai menurut harga pembelian barang yang terakhir masuk sehingga persediaan yang masih ada dinilai berdasarkan harga pembelian barang yang terdahulu. 3. Metode Rata-Rata (Weight Average Method) Metode ini didasarkan atas harga rata-rata, dimana harga tersebut dipengaruhi jumlah barang yang diperoleh pada masing-masing harganya. Dengan demikian persediaan dinilai berdasarkan harga rata-rata.
2.5.5
Fungsi Persediaan Menurut Mulyadi (2002, h242), ada 5 fungsi dari persediaan, yaitu: 1. Untuk melakukan pembatasan terhadap inflasi dan perubahan harga. 2. Untuk menghindari dari kekurangan stok yang dapat terjadi karena cuaca, kekurangan pasokan, masalah mutu, atau pengiriman yang tidak tepat. 3. Untuk memberikan suatu stok barang-barang agar dapat memenuhi permintaan yang diantisipasi akan timbul dari konsumen. 4. Untuk mengambil keuntungan dari potongan jumlah, karena pembelian dalam jumlah besar dapat secara substansial menurunkan biaya produk.
70 5. Untuk memasangkan produksi dengan distribusi. Misalnya, bila permintaan produknya tinggi hanya pada musim panas, suatu perusahaan dapat membentuk stok selama musim dingin, sehingga biaya kekurangan stok dan kehabisan stok dapat dihindari.
2.5.6
Pengendalian Internal atas Persediaan Menurut Render dan Heizer (2001, p318) elemen yang harus ada untuk mendukung pengendalian internal yang baik atas persediaan adalah : 1. Pengendalian yang efektif atas semua barang yang keluar dari fasilitas. 2. Pengendalian yang ketat atas barang yang datang melalui sistem kode barang (bar code) 3. Pemilihan karyawan, pelatihan dan disiplin yang baik. Hal ini tidak pernah dilakukan, tetapi sangat penting dalam bisnis makanan, perdagangan besar, dan operasi bisnis eceran dimana karyawannya mempunyai akses kepada barang-barang yang langsung dikonsumsi.
2.6
Sistem Informasi Persediaan
2.6.1
Definisi Sistem Informasi Persediaan Berdasarkan definisi sistem informasi dan persediaan, penulis menyimpulkan definisi sistem informasi persediaan sebagai “suatu pengorganisasian peralatan yang saling berinteraksi untuk mengumpulkan, menginput, memproses, menyimpan, mengatur, mengontrol, dan melaporkan informasi yang berkaitan dengan persediaan perusahaan dalam rangka mendukung perusahaan dalam mengelola persediaannya”.
71 2.7
Audit Sistem Informasi Persediaan
2.7.1
Definisi Audit Sistem Informasi Persediaan Berdasarkan
definisi
auditing
dan
sistem
informasi
persediaan
yang
dikemukakan oleh para ahli, penulis menyimpulkan bahwa definisi dari audit sistem
informasi
persediaan
adalah
suatu
proses
pengumpulan
dan
pengevaluasian bukti-bukti yang dilakukan oleh orang yang kompeten dan independen terhadap sistem informasi persediaan suatu perusahaan untuk mengetahui apakah sistem informasi persediaan tersebut telah dapat memberikan perlindungan terhadap aset perusahaan (persediaan), meningkatkan integritas data, meningkatkan efektifitas dan efisiensi kinerja perusahaan dalam mengelola persediaannya.
2.7.2
Pentingnya Audit Persediaan Menurut Mulyadi (2001, h135), persediaan umumnya mendapat perhatian yang lebih besar dari auditor didalam auditnya karena berbagai alasan berikut ini: 1. Umumnya persediaan merupakan komponen aktiva lancar yang jumlahnya cukup material dan merupakan objek manipulasi serta tempat terjadinya kesalahan-kesalahan besar. 2. Penentuan besarnya nilai persediaan secara langsung mempengaruhi biaya barang yang dijual (cost of good sales) sehingga berpengaruh pula terhadap perhitungan laba tahun yang bersangkutan. 3. Verifikasi kuantitas, kondisi, dan nilai persediaan merupakan tugas yang lebih kompleks dan sulit dibandingkan dengan verifikasi sebagian besar unsur laporan keuangan yang lain.
72 4. Seringkali persediaan disimpan di berbagai tempat sehingga menyulitkan pengawasan dan perhitungan fisiknya. 5. Adanya berbagai macam persediaan menimbulkan kesulitan bagi auditor dalam melaksanakan auditnya.
2.7.3
Tujuan Audit Persediaan Menurut Mulyadi (2001, h146), ada 6 tujuan audit terhadap persediaan : 1. Memperoleh
keyakinan
tentang
keandalan
catatan
akuntansi
yang
bersangkutan dengan persediaan. 2. Membuktikan asersi keberadaan persediaan yang dicantumkan di neraca dan keterjadian transaksi yang berkaitan dengan persediaan. 3. Membuktikan asersi kelengkapan transaksi yang berkaitan dengan persediaan yang dicatat dalam catatan akuntansi dan kelengkapan saldo persediaan yang disajikan di neraca. 4. Membuktikan
asersi
hak
kepemilikan
klien
atas
persediaan
yang
dicantumkan di neraca. 5. Membuktikan asersi penilaian persediaan yang dicantumkan di neraca. 6. Membuktikan asersi penyajian dan pengungkapan persediaan di neraca.
2.7.4
Matriks Penetapan Penilaian Resiko dan Pengendalian pada Sistem Informasi Persediaan Setelah memperoleh bukti audit yang berkualitas dan cukup beserta temuannya dengan menggunakan instrumen pengumpulan bukti, auditor menggunakan metode Matriks Penetapan Penilaian Resiko dan Pengendalian
73 guna merumuskan dan mempertajam analisa terhadap bukti audit dan temuan agar dapat merumuskan dan menyimpulkan opini yang andal dengan melakukan perbandingan dan penilaian terhadap tingkat resiko dan control yang ada. Metode Penetapan Penilaian Resiko dan Pengendalian ini didasari oleh teori Pickett yang dinyatakan dalam bukunya yang berjudul The Essential Handbook of Internal Auditing (2005, pp56-60) yang sebagian dari esensi buku ini juga didukung oleh Thomas R. Peltier dalam bukunya yang berjudul Information Security Risk Analysis (2001, pp60-63). 1. Matriks Penilaian Resiko Matriks penilaian resiko adalah suatu cara untuk menganalisa seberapa besar resiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan cara menganalisa pengaruh dan korelasi antara tingkat impact (dampak) yang
ditimbulkan
dari
suatu
resiko
dengan
tingkat
likelihood
(keterjadian) dari resiko tersebut. Besarnya tingkatan dampak dan keterjadiaan suatu resiko dinyatakan sebagai berikut : − L atau Low diberi nilai -1 − M atau Medium diberi nilai -2 − H atau High diberi nilai -3 Nilai negatif (-) hanya menyimbolkan bahwa nilai tersebut merupakan nilai dari resiko(karakteristik resiko yang bersifat negatif). Teknik perhitungan dalam matriks penilaian resiko menggunakan fungsi perkalian antara dampak (impact) dengan keterjadian (likelihood). Adapun kriteria dari hasil penilaian dari matriks resiko terdiri dari :
74 a. Resiko kecil (Low) nilainya berkisar antara -1 dan -2, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini : − Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai resiko adalah -1. − Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai resiko adalah -2. − Jika dampak Medium (-2) dan keterjadian Low (-1), maka nilai resiko adalah -2. Artinya nilai resiko dari dampak dan keterjadian adalah kecil. b. Resiko sedang (Medium) nilainya berkisar antara -3 dan -4, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini : − Jika dampak Low (-1) dan keterjadian High (-3), maka nilai resiko adalah -3. − Jika dampak Medium (-2) dan keterjadian Medium (-2), maka nilai resiko adalah -4. − Jika dampak High (-3) dan keterjadian Low (-1), maka nilai resiko adalah -3. Artinya nilai resiko dari dampak dan keterjadian adalah sedang. c. Resiko tinggi (High) nilainya berkisar antara -6 dan -9, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini : − Jika dampak Medium (-2) dan keterjadian High (-3), maka nilai resiko adalah -6.
75 − Jika dampak High (-3) dan keterjadian Medium (-2), maka nilai resiko adalah -6. − Jika dampak High (-3) dan keterjadian High (-3), maka nilai resiko adalah -9. Artinya nilai resiko dari dampak dan keterjadian adalah tinggi.
I -3 H M P -2 M A C T -1 L
-3
-6
-9
-2
-4
-6
-1
-2
-3
L -1
M -2
H -3
LIKELIHOOD Gambar 2.3 Matriks Penilaian Resiko Sumber : Dikembangkan Penulis Berdasarkan Landasan Teori 2. Matriks Penilaian Pengendalian Matriks penilaian pengendalian adalah suatu cara untuk menganalisa seberapa efektif dan efisiennya suatu pengendalian yang ada dalam mengcover suatu resiko atau ancaman. Hal ini dilakukan dengan cara menganalisa pengaruh dan korelasi antara tingkat efektifitas pengendalian dengan desain dari pengendalian tersebut. Desain pengendalian mencerminkan seberapa baikkah control yang ada atau yang dimiliki perusahaan dalam mengcover resiko sedangkan untuk efektifitas
76 mencerminkan seberapa besar tingkat ketaatan/komitmen karyawan dalam menjalankan control yang ada. Besarnya tingkatan efektifitas dan desain suatu pengendalian yang dimiliki perusahaan dinyatakan sebagai berikut : − L atau Low diberi nilai 1 − M atau Medium diberi nilai 2 − H atau High diberi nilai 3 Teknik perhitungan dalam matriks penilaian pengendalian menggunakan fungsi perkalian antara efektifitas (ketaatan penerapan control) dengan desain (keandalan konsep control). Adapun kriteria dari hasil penilaian dalam matriks pengendalian terdiri dari : a. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini : − Jika efektifitas Low (1) dan desain Low (1), maka nilai pengendalian adalah 1. − Jika efektifitas Low (1) dan desain Medium (2), maka nilai pengendalian adalah 2. − Jika efektifitas Medium (2) dan desain Low (1), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil. b. Pengendalian sedang (Medium) nilainya berkisar antara 3 dan 4, seperti:
77 − Jika efektifitas Low (1) dan desain High (3), maka nilai pengendalian adalah 3. − Jika efektifitas Medium (2) dan desain Medium (2), maka nilai pengendalian adalah 4. − Jika efektifitas High (3) dan desain Low (1), maka nilai pengendalian adalah 3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang. c. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9, seperti: − Jika efektifitas Medium (2) dan desain High (3), maka nilai pengendalian adalah 6. − Jika efektifitas High (3) dan desain Medium (2), maka nilai pengendalian adalah 6. − Jika efektifitas High (3) dan desain High (3), maka nilai pengendalian adalah 9. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.
E F 3H E T I 2M F I T 1L A S
3
6
9
2
4
6
1
2
3
L 1
M 2
H 3
DESAIN Gambar 2.4 Matriks Penilaian Pengendalian Sumber : Dikembangkan Penulis Berdasarkan Landasan Teori
78 Penetapan tingkat efektifitas pengendalian terhadap resiko adalah sebagai berikut: − Jika hasil akumulasi antara resiko dan pengendalian adalah 0, maka tingkat pengendalian dan resiko adalah standard, artinya pengendalian yang ada masih dapat diandalkan untuk mengcover resiko, namun perlu dilakukan pengawasan secara berkelanjutan agar resiko tidak dapat melampaui pengendalian di kemudian hari. − Jika hasil akumulasi antara resiko dan pengendalian adalah positif, maka pengendalian adalah baik. Artinya pengendalian yang ada dapat sepenuhnya diandalkan untuk mengcover resiko yang ada. Namun perlu diperhatikan bahwa jika hasil akumulasi antara resiko dan pengendalian terlalu tinggi (bernilai positif) maka ada kemungkinan telah terjadi over control yang dapat menyebabkan terjadinya inefisiensi. − Jika hasil akumulasi antara resiko dan pengendalian adalah negatif, maka pengendalian adalah buruk. Artinya pengendalian yang ada tidak dapat mengcover resiko sepenuhnya (tidak dapat diandalkan) sehingga perlu dilakukan perubahan/peningkatan pengendalian guna mengendalikan dan menghindari resiko yang lebih besar. Namun perlu diperhatikan bahwa semakin tinggi hasil akumulasi antara resiko dan pengendalian (bernilai negatif) maka semakin tinggi tingkat resiko yang
akan
dihadapi
perusahaan
sehingga
memerlukan
peningkatan/pengembangan pengendalian untuk mengendalikan/menghindari resiko yang lebih besar.
