BAB 2 LANDASAN TEORI
2.1
Pengertian Sistem Informasi Penjualan Penjualan merupakan faktor penting dalam kemajuan dan perkembangan perusahaan, karena dari penjualan diperoleh pendapatan untuk membiayai kelangsungan perusahaan, terlebih dalam menghasilkan keuntungan. Oleh sebab itu, wajar jika perusahaan mempertimbangkan pentingnya peranan pengendalian intern atas transaksi penjualan yang berkaitan dengan fungsifungsi lainnya dalam perusahaan. Berdasarkan penjelasan di atas, maka dapat disimpulkan bahwa sistem informasi penjualan adalah sistem yang mengalirkan barang dan jasa ke konsumen dengan struktur interaksi yang disusun untuk mencapai tujuan tertentu yang berhubungan dengan kegiatan penjualan.
2.2
Audit
2.2.1
Pengertian Audit Secara Umum Menurut pendapat Mulyadi (1998, p7), auditing adalah suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara obyektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataanpernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.
7
8 Menurut pendapat Arens dan Loebbecke (1996, p1), auditing adalah proses pengumpulan bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan oleh seseorang yang berkompeten dan independent untuk dapat menentukan dan melaporkan kesesuaian informasi yang dimaksud dengan kriteria yang telah ditetapkan. Auditing seharusnya dilakukan oleh seorang yang independent dan kompeten.
2.2.2
Jenis-Jenis Audit Mengacu pada pendapat Arens dan Loebbecke (1996, pp4-5), audit dibagi menjadi tiga jenis, yaitu : -
Audit Laporan Keuangan (Financial Statement Audit) Bertujuan menentukan apakah laporan keuangan secara keseluruhan telah disajikan sesuai dengan kriteria-kriteria tertentu. Kriteria ini pada umumnya adalah prinsip akuntansi yang berlaku umum yang terdapat dalam standar akuntansi keuangan.
-
Audit Operasional (Operational Audit) Audit operasional adalah penelaahan atas prosedur dan metode operasi suatu organisasi untuk menilai efisiensi dan efektivitasnya. Biasanya setelah audit operasional selesai dilakukan, auditor akan memberikan sejumlah saran kepada manajemen untuk memperbaiki jalannya operasi perusahaan.
-
Audit Ketaatan (Compliance Audit) Bertujuan mempertimbangkan apakah klien telah mengikuti prosedur atau aturan yang telah ditetapkan pihak yang memiliki otoritas lebih tinggi,
9 misalnya pemeriksaan surat perjanjian dengan banyak dan atau kreditor lain untuk memastikan bahwa perusahaan tersebut telah memenuhi ketentuan hukum yang berlaku.
2.3
Audit Sistem Informasi
2.3.1
Pengertian Audit Sistem Informasi Menurut Weber (1999, p10), Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem komputer dapat melindungi aset kekayaan, memelihara integritas data, memungkinkan
tujuan
organisasi
untuk
dicapai
secara
efektif
dan
menggunakan sumber daya yang efisien. Dapat disimpulkan pengertian audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti oleh orang yang kompeten dan independent untuk menentukan apakah sistem yang dijalankan sesuai dengan kriteria yang ditentukan.
2.3.2
Tujuan Audit Sistem Informasi Tujuan audit sistem informasi menurut Weber (1999, p11), dapat disimpulkan bahwa secara garis besar dapat terbagi menjadi 4 antara lain : 1) Meningkatkan keamanan aset-aset perusahaan. 2) Meningkat integritas data. 3) Meningkatkan efektifitas sistem. 4) Meningkatkan efisiensi.
10 Sedangkan faktor yang mendorong pentingnya kontrol dan audit sistem informasi, Weber (1999, p6) berpendapat yang secara garis besarnya dapat disimpulkan bahwa audit dilakukan untuk : 1) Mendeteksi resiko kehilangan data. 2) Mendeteksi resiko pengambilan keputusan yang salah. 3) Mendeteksi resiko penyalahgunaan komputer. 4) Menjaga aset perusahaan karena nilai hardware, software dan personil yang lazimnya tinggi. 5) Mendeteksi resiko error komputer. 6) Menjaga kerahasian. 7) Meningkatkan pengendalian evolusi penggunaan komputer. Dapat disimpulkan tujuan audit sistem informasi adalah untuk menjaga dan meningkatkan keamanan aset-aset perusahaan serta meningkatkan keandalan, efektifitas, dan efisiesi sistem.
2.3.3
Metode Audit Menurut Weber (1999, p55), metode audit yang digunakan, dibagi menjadi : 1) Metode auditing around the computer Auditing around the computer terlibat dengan penerimaan pendapat audit selama memeriksa dan mengevaluasi kontrol manajemen dan kemudian input dan output hanya untuk sistem aplikasi. Berdasarkan dari kualitas pemrosesan sistem aplikasi. Pemrosesan sistem aplikasi tidak diperiksa secara langsung. Selain itu auditor memandang komputer sebagai
11 black box. Auditor hanya bisa melakukan metode ini untuk mendapatkan biaya termurah untuk melakukan audit. Keadaan dapat dipulihkan kembali jika sistem aplikasi mempunyai 3 karakteristik : o Pertama, sistem harus sederhana dan berorientasi pada sistem batch. Pada
umumnya
sistem
batch
komputer
merupakan
suatu
pengembangan langsung dari sistem manual. Sistem batch ini harus mempunyai kriteria sebagai berikut : •
Resiko
yang
dikelompokkan
ada
harus
dengan
rendah. subject
Resiko
ini
kesalahan
tidak
material
dapat akibat
ketidakberesan dari ketidakefisienan dan ketidakefektifan dalam beroperasi. •
Logika sistem harus tepat sasaran. Tidak ada rutinitas yang dikembangkan untuk mengizinkan komputer untuk memproses data.
•
Transaksi input dilakukan dengan sistem batch, dan kontrol dipelihara dengan menggunakan metode tradisional.
•
Proses
utama
terdiri
dari
penyeleksian
input
data
dan
memperbaharui file master secara terus menerus. •
Adanya jejak audit yang jelas. Laporan terperinci dipersiapkan pada kunci pokok dalam sistem.
•
Jadwal
pekerjaan
dimodifikasi.
relatif
sangat
stabil
dan
sistem
jarang
12 o Kedua, seringkali keefektifan biaya dalam metode auditing around the computer pada saat aplikasi yang digunakan untuk keseragaman kemasan dalam program software. o Ketiga, auditor harus menggunakan metode auditing around the computer pada User lebih tinggi daripada sistem kontrol komputer untuk menjaga perawatan keintegrasian data dan mencapai tujuan keefektifan dan keefisienan dari sistem. Biasanya metode auditing around the computer adalah pendekatan sederhana yang berhubungan dengan audit dan dapat dipraktekkan oleh auditor yang mempunyai pengetahuan teknik yang sedikit tentang komputer. 2) Metode auditing through the computer Untuk banyak bagian, auditor terlibat dalam metode auditing through the computer harus digunakan dalam kasus proses logik dan adanya kontrol di dalam sistem. Catatan dari sistem yang dibuat metode auditing through the computer harus digunakan dalam kasus di bawah ini : ¾ Resiko yang ada pada sistem aplikasi sangat tinggi ¾ Input dari proses sistem aplikasi dalam volume besar dan output yang dihasilkan dalam volume yang sangat besar dan luas. Pengecekan langsung dari sistem input dan output sulit dikerjakan ¾ Bagian yang penting dari sistem kontrol internal ditambahkan ke dalam sistem komputer ¾ Proses logik yang ditambahkan dalam sistem aplikasi adalah kompleks ¾ Karena adanya pertimbangan keuntungan biaya, jarak yang banyak dalam uji coba penampakan audit adalah biasa dalam suatu sistem.
13 2.3.4
Dimensi Audit Audit sistem informasi sesungguhnya mempunyai beberapa dimensi yaitu : 1. Audit laporan keuangan Audit ini dilakukan untuk mengetahui tingkat kewajaran atas laporan keuangan yang disajikan oleh perusahaan 2. Audit operasional terhadap manajemen sumber daya informasi yaitu efektivitas, efisiensi dan ekonomis tidaknya unit fungsional sistem informasi pada suatu perusahaan. 3. Audit terhadap keandalan sistem aplikasi komputer dengan cara : a. Concurrent Audit (audit secara bersama-sama) Auditor menjadi anggota dalam tim pengembangan sistem. Dalam audit ini auditor bukan anggota dari tim pengembangan sistem, tetapi membantu tim untuk meningkatkan kualitas dari sistem yang mereka rancang dan implementasikan. Auditor mewakili pimpinan proyek dan manajemen. b. Post Implementation Audit (audit setelah implementasi) Auditor memeriksa apakah sistem aplikasi sistem komputer telah diimplementasikan
oleh
perusahaan
sesuai
dengan
kebutuhan
penggunanya dan telah dijalankan oleh sumber daya manusia yang optimal.
14 2.3.5
Tahap Audit Sistem Informasi Menurut Weber (1999, p47), audit terdiri dari lima tahap yaitu : 1. Planning the Audit Selama tahap awal ini, auditor harus memutuskan level materiil permulaan yang akan diaudit. Auditor juga harus membuat keputusan akan resiko yang diinginkan. Level dari sifat resiko akan bervariasi dalam setiap bagian dari audit. 2. Test of Control Tahap berfokus pada kontrol manajemen. Jika testing menunjukkan bahwa kontrol manajemen tidak beroperasi sebagaimana mestinya, baru setelah itu dilanjutkan dengan testing kontrol aplikasi. 3. Test of Transaction Auditor menggunakn test of transaction untuk mengevaluasi apakah kesalahan atau proyek yang tidak sesuai dengan ketentuan telah mengarah pada kesalahan material dari informasi keuangan. Biasanya test of transaction meliputi jurnal masukan sampai pada dokumen sumber, memeriksa daftar harga dan pengujian keakuratan perhitungan. 4. Test of Balance or Overall Result Auditor melakukan test of balance or overall untuk mendapatkan bukti yang cukup untuk membuat dan menyampaikan keputusan akhir dari kehilangan atau kesalahan pernyataan laporan yang muncul ketika fungsi sistem informasi gagal untuk menjaga aset-aset, menjaga integritas data, dan mencapai keefisienan dan keefektifan.
15 5. Completion of the Audit Pada tahap akhir, auditor kemudian harus merumuskan sebuah opini tentang apakah kehilangan material dan kesalahan pernyataan laporan muncul dan membuat sebuah laporan. Standar opini yang berlaku di beberapa negara terdiri dari empat jenis opini yaitu : a. Disclaimer of opinion Setelah selesai melakukan audit, auditor tidak dapat memberikan sebuah opini. b. Adverse opinion Auditor menyimpulkan bahwa kehilangan material telah muncul atau laporan keuangan telah dinyatakan salah secara materiil. c. Qualified opinion Auditor menyimpulkan bahwa kehilangan telah muncul atau kesalahan laporan secara materiil telah ada tapi tidak besar atau material. d. Unqualified opinion Auditor percaya bahwa tidak ada kehilangan material atau laporan yang salah.
2.4
Pengendalian Internal
2.4.1
Pengertian Pengendalian Internal Menurut Weber (1999, p35), pengendalian adalah suatu sistem untuk mencegah, mendeteksi dan mengoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien. Dengan
16 demikian, tujuan dari pengendalian adalah untuk mengurangi resiko atau mengurangi pengaruh yang sifatnya merugikan akibat suatu kejadian (penyebab). Berdasarkan pengertian di atas maka pengendalian dikelompokkan menjadi tiga bagian : 1. Preventive Control Pengendalian ini digunakan untuk mencegah masalah sebelum masalah itu muncul. 2. Detective Control Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian segera setelah masalah tersebut muncul. 3. Corrective Control Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada pengendalian detective. Pengendalian ini mencakup prosedur untuk menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi sistem proses. Dengan demikian bisa mencegah kejadian yang sama di masa mendatang. Menurut Muchtar (1999, pp41-42), pengendalian internal merupakan perencanaan
organisasi
guna
mengkoordinasikan
metode
atau
cara
pengendalian dalam suatu perusahaan untuk menjaga aset perusahaan guna meningkatkan tingkat kepercayaan dan akurasi data, serta menjalankan operasional perusahaan secara efisien. Jadi, pengendalian internal secara normal meliputi prosedur pengendalian yang dirancang untuk menyediakan manajemen dengan tingkat jaminan bahwa
17 informasi yang disajikan oleh sistem informasi dapat dipercaya dan disajikan tepat waktu. Ada dua kategori prosedur pengendalian internal : prosedur pengendalian khusus dan prosedur pengendalian umum. Pengendalian khusus merupakan pengendalian yang menyediakan manajemen jaminan atas aspek khusus sistem informasi. Pengendalian umum merupakan pengendalian yang menyediakan dukungan untuk pengendalian khusus dan menyediakan manajemen dengan jaminan yang berhubungan dengan aspek dari sistem informasi. Sebagai catatan jika auditor merencanakan keandalan pada pengendalian umum atau pengendalian khusus, maka auditor mengumpulkan bukti yang menyangkut keefektifan operasional atas prosedur pengendalian.
2.4.2
Komponen Pengendalian Internal Menurut Weber (1999, p49), pengendalian internal terdiri dari lima komponen yang saling terintegrasi, antara lain : 1. Control Environment Komponen
ini
diwujudkan
dalam
cara
pengoperasian,
cara
pembagian wewenang dan tanggung jawab yang harus dilakukan, cara komite audit berfungsi, dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja. 2. Risk Assessment Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi oleh perusahaan dan cara-cara untuk menghadapi resiko tersebut.
18 3. Control Activities Komponen yang beroperasi untuk memastikan transaksi telah terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan aset dan record, pengecekan kinerja, dan penilaian dari jumlah record yang terjadi. 4. Information and Communication Komponen dimana informasi digunakan untuk mengidentifikasi, mendapatkan dan menukarkan data yang dibutuhkan untuk mengendalikan dan mengatur operasi perusahaan. 5. Monitoring Komponen yang memastikan pengendalian internal beroperasi secara dinamis.
2.4.3
Jenis Pengendalian Menurut Weber (1999, pp67-648), ruang lingkup pengendalian dibedakan atas dua jenis, yaitu management control framework (pengendalian manajemen) dan application control framework (pengendalian aplikasi).
2.4.3.1
Pengendalian Manajemen Pengendalian
manajemen
(management
control)
ialah
sistem
pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Artinya ketentuan-
19 ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Pengendalian ini berguna untuk menyediakan infrastruktur yang stabil sehingga sistem informasi dapat dibangun, dioperasikan, dan dipelihara secara berkesinambungan.
2.4.3.1.1 Pengendalian Top Manajemen (Top Level Management Control) Mengendalikan peranan manajemen dalam perencanaan kepemimpinan dan pengawasan fungsi sistem.
2.4.3.1.2 Pengendalian
Manajemen
Sistem
Informasi
(Information
System
Management Control) Mengendalikan alternatif dari model pengembangan proses sistem informasi sehingga dapat digunakan sebagai dasar pengumpulan dan pengevaluasian bukti.
2.4.3.1.3 Pengendalian Manajemen Pengembangan Sistem (System Development Management Control) Mengendalikan tahapan utama dari daur hidup program dan pelaksanaan dari tiap tahap.
20 2.4.3.1.4 Pengendalian Manajemen Sumber Data (Data Resource Management Control) Mengendalikan peranan dan fungsi dari data administrator atau database administrator.
2.4.3.1.5 Pengendalian
Manajemen
Jaminan
Kualitas
(Quality
Assurance
Management Control) Mengendalikan fungsi utama yang harus dilakukan oleh Quality Assurance
Management
untuk
meyakinkan
bahwa
pengembangan,
pelaksanaan, pengoperasian, dan pemeliharaan dari sistem informasi sesuai dengan standar kualitas.
2.4.3.1.6 Pengendalian Manajemen Keamanan (Security Management Control) Menurut
Weber
(1999,
pp257-266),
dapat
disimpulkan
bahwa
pengendalian terhadap manajemen keamanan secara garis besar bertanggung jawab dalam menjamin aset sistem informasi tetap aman. Ancaman utama terhadap keamanan aset sistem informasi : a. Ancaman kebakaran Beberapa pelaksanaan pengamanan untuk ancaman kebakaran : •
Memiliki alarm kebakaran otomatis yang diletakkan pada tempat di mana aset-aset sistem informasi berada.
•
Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah diambil.
21 •
Memiliki tombol power utama (termasuk AC).
•
Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan tahan api.
•
Memiliki pintu / tangga darurat yang diberi tanda dengan jelas sehingga karyawan dengan mudah menggunakannya.
•
Ketika
alarm
berbunyi,
signal
langsung
dikirim
ke
stasiun
pengendalian yang selalu dijaga oleh staf. •
Prosedur pemeliharaan gedung yang baik menjamin tingkat polusi rendah di sekitar aset sistem informasi yang bernilai tinggi. Contoh: ruang komputer dibersihkan secara teratur dan kertas untuk printer diletakkan di ruang yang terpisah. Untuk mengantisipasi ancaman kebakaran diperlukan pengawasan rutin dan pengujian terhadap sistem perlindungan kebakaran untuk dapat memastikan bahwa segala sesuatunya telah dirawat dengan baik.
b. Ancaman banjir Beberapa pelaksanaan pengamanan untuk ancaman banjir : •
Usahakan bahan untuk atap, dinding dan lantai yang tahan air.
•
Menyediakan alarm pada titik strategis dimana material aset sistem informasi diletakkan.
•
Semua material aset sistem informasi diletakkan di tempat yang tinggi.
•
Menutup peralatan hardware dengan bahan yang tahan air sewaktu tidak digunakan.
22 c. Perubahan tenaga sumber energi Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan sumber
energi
listrik,
misalnya
menggunakan
stabilizer
ataupun
Uninteruptable Power Supply (UPS) yang memadai yang mampu mengcover tegangan listrik jika tiba-tiba turun. d. Kerusakan struktural Pelaksanaan struktural terhadap aset sistem informasi dapat terjadi karena adanya gempa, angin, dan salju. Beberapa pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural misalnya adalah memilih lokasi perusahaan yang jarang terjadi gempa dan angin ribut. e. Polusi Beberapa pelaksanaan pengamanan untuk mengantisipasi polusi, misalnya situasi kantor yang bebas debu dan tidak memperbolehkan membawa binatang peliharaan. Atau dengan melarang karyawan membawa / meletakkan minuman di dekat peralatan komputer. f. Penyusup Pelaksanaan pengamanan untuk mengantisipasi penyusup dapat dilakukan dengan penempatan penjaga dan penggunaan alarm. g. Virus Pelaksanaan pengamanan untuk mengantisipasi virus meliputi tindakan : •
Preventive, seperti menginstall anti virus dan mengupdate secara rutin, melakukan scan file yang akan digunakan.
•
Detective, seperti melakukan scan secara rutin.
23 •
Corrective, seperti memastikan back up data bebas virus, pemakaian anti virus terhadap file yang terinfeksi.
h. Hacking Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking : •
Penggunaan kontrol logikal seperti penggunaan password yang sulit untuk ditebak.
•
Petugas keamanan secara teratur memonitor sistem yang digunakan. Pengendalian akhir bila ancaman keamanan terjadi :
♦ Rencana pemulihan bencana Terdiri dari empat bagian yaitu : 1. Rencana Darurat (Emergency Plan) 2. Rencana Back up (Back up Plan) 3. Rencana Pemulihan (Recovery Plan) 4. Rencana Pengujian (Test Plan) ♦ Asuransi Memiliki asuransi untuk fasilitas peralatan, media penyimpanan, biaya tambahan, gangguan bisnis, dokumen dan kertas yang berharga, dan media transportasi.
2.4.3.1.7 Pengendalian Manajemen Operasi (Operations Management Control) Menurut Weber (1999, pp293-320), secara garis besar pengendalian manajemen operasi (Operations Management Controls) bertanggung jawab terhadap hal-hal sebagai berikut :
24 a. Pengoperasian komputer (Computer Operations) Tipe pengendalian yang harus dilakukan : •
Menentukan fungsi-fungsi yang harus dilakukan operator komputer maupun fasilitas operasi otomatis.
•
Menentukan penjadwalan kerja pada pemakaian hardware atau software.
•
Menentukan perawatan terhadap hardware agar dapat berjalan baik.
•
Pengendalian perangkat keras berupa hardware controls dari produsen untuk deteksi hardware malfunction.
b. Pengoperasian jaringan (Network Operation) Pengendalian yang dilakukan ialah memonitor dan memelihara jaringan dan pencegahan terhadap akses oleh pihak yang tidak berwenang. Pengendalian sistem komunikasi data antara lain adalah : •
Jalur komunikasi
•
Hardware
•
Cryptology
•
Software
c. Persiapan dan pengentrian data (Preparation and Entry Data) Fasilitas-fasilitas yang ada harus dirancang untuk memiliki kecepatan dan keakuratan data serta telah dilakukan terhadap pengentrian data.
25 d. Pengendalian Produksi (Production Control) Fungsi yang harus dilakukan untuk pengendalian produksi adalah : •
Penerimaan dan pengiriman input dan output.
•
Penjadwalan kerja
•
Manajemen pelayanan
•
Peningkatan pemanfaatan komputer
e. File Library Fungsi yang harus dilakukan untuk file library adalah : •
Penyimpanan media penyimpanan (storage of storage media)
•
Penggunaan media penyimpanan (use of strorage media)
•
Pemeliharaan dan penempatan media penyimpanan (maintenance and disposal of storage media)
•
Lokasi media penyimpanan (location of storage media)
f. Documentation and Program Library Orang yang bertanggungjawab atas dokumentasi mempunyai beberapa fungsi yang harus dilakukan yaitu : •
Memastikan bahwa semua dokumentasi disimpan secara aman
•
Memastikan bahwa hanya orang yang mempunyai otorisasi saja yang bisa mengakses dokumentasi
•
Memastikan bahwa dokumentasi tersebut selalu up-to-date
26 •
Memastikan bahwa adanya backup yang cukup untuk dokumentasi yang ada
g. Help Desk/Technical Support Ada 2 (dua) fungsi utama help desk/technical support yaitu : •
Membantu end user dalam menggunakan hardware dan software yang berhubungan dengan end user seperti microcomputer, spreadsheet packages, database management packages, dan local area networks.
•
Menyediakan technical support untuk sistem produksi dengan dilengkapi suatu penyelesaian masalah yang berhubungan dengan hardware, software dan database.
h. Capacity Planning and Performance Monitoring Tujuan utama dari fungsi sistem informasi ini adalah untuk mencapai tujuan dari penggunaan sistem informasi dengan biaya yang serendah mungkin. i. Management of Outsourced Operations Saat ini banyak organisasi yang melakukan outsource terhadap beberapa fungsi dari sistem informasi mereka. Alasan utama dilakukannya outsource karena mereka ingin menfokuskan pada fungsi inti bisnis mereka. Manajemen operasi harus menfokuskan pada 4 (empat) jenis pengendalian dalam hal memonitoring kegiatan outsource antara lain : •
Mengevaluasi outsourcing vendor yang dilihat dari segi keuangan.
27 •
Memastikan ketaatan dari kontrak outsourcing yang telah disepakati
•
Memastikan bahwa operasi dari outsourcing vendor dapat dijalankan.
•
Memelihara prosedur-prosedur untuk pemulihan bencana dengan outsourcing vendor
2.4.3.2 Pengendalian Aplikasi 2.4.3.2.1 Pengendalian Boundary (Boundary Control) Mengendalikan sifat dan fungsi pengendalian akses, penggunaan pengkodean dalam pengendalian akses, nomor identifikasi personal (PIN), digital signatures dan plastic cards. Tujuan dari boundary control adalah : a. Untuk menetapkan identitas dan otoritas User terhadap sistem komputer. b. Untuk menetapkan identitas dan kebenaran sumber informasi yang digunakan User. c. Untuk membatasi kegiatan User dalam mendapat sumber informasi berdasarkan kewenangan. Jenis-jenis pengendalian dalam subsistem boundary, yaitu : a) Pengendalian Kriptografi Kriptografi merupakan sistem untuk mentransformasikan data menjadi kode (cryptograms) sehingga tidak memiliki arti bagi orang yang tidak memiliki sistem untuk mengubah kembali data tersebut. Tujuannya untuk menjaga kerahasiaan informasi dengan mengacak data.
28 b) Pengendalian Akses Pengendalian akses berfungsi untuk membatasi penggunaan sumber daya
sistem
komputer,
membatasi
dan
memastikan
User
untuk
mendapatkan sumber daya yang mereka butuhkan. Langkah-langkah umum untuk menunjang fungsi tersebut, yaitu : 1. Mengesahkan User yang telah mengidentifikasikan dirinya ke sistem; 2. Mengesahkan sumber daya yang diminta oleh User, serta 3. Membatasi aktivitas yang dilakukan oleh User terhadap sistem.
♦ Fungsi mekanisme pengendalian akses Mekanisme pengendalian akses memproses permintaan User melalui tiga tahap yaitu : (1) User mengidentifikasikan dirinya untuk mengidentifikasikan bahwa User sungguh-sungguh melakukan permintaan terhadap sistem; (2) User mengautentifikasikan dirinya, begitu juga dengan mekanisme; Terdapat dua cara proses autentifikasi; mekanisme harus yakin terhadap User dan User pun harus yakin terhadap mekanisme. (3) User meminta sumber daya khusus.
29 Data Access Control
User X
Name, account number Mekanisme access controls
User X
Identifikasi Data Otentikasi Data Otorisasi Data
Identifikasi User a. Proses Identifikasi Data Access Control Remembered information possessed objects personal characteristic Mekanisme access controls
User X
User X Identifikasi Data Otentikasi Data Otorisasi Data
valid / invalid User b. Proses Otentikasi Data Access Control object resources
User X
action request
User X
Mekanisme access controls
Identifikasi Data Otentikasi Data Otorisasi Data
permitted / denied User c. Proses Otorisasi
Gambar 2.1 Tahapan Mekanisme Pengendalian Akses Sumber : Weber (1999, p379)
30 (1) Identifikasi dan Otentikasi User mengidentifikasi dirinya pada mekanisme pengendalian akses dengan memberi informasi seperti nama atau nomor rekening. Informasi tersebut memungkinkan mekanisme untuk menentukan bahwa data yang masuk sesuai dengan informasi pada file otentikasi. Terdapat tiga bagian yang dapat diisi oleh User untuk informasi otentikasi.
PEMBAGIAN INFORMASI Informasi yang mudah diingat
CONTOH Nama, tanggal lahir, account number, password, PIN.
Benda-benda yang dimiliki
Badge, plastic card, kunci, cincin.
Karakteristik pribadi
Sidik jari, suara, ukuran tangan, tanda tangan, pola retina.
Setiap bagian memiliki kelemahan masing-masing. Permasalahan pada bagian informasi yang mudah diingat User adalah lupa, akibatnya kebanyakan User memilih informasi yang mudah ditebak atau mencatatnya di suatu tempat yang kurang aman.
31 Beberapa masalah sehubungan dengan password dapat dilihat pada tabel 2.1 di bawah ini :
1.
Untuk mengingat password, biasanya User mencatatnya di dekat komputer;
2.
User memilih password yang mudah untuk ditebak, seperti nama keluarga atau bulan kelahiran;
3.
User tidak mengganti password pada jangka waktu yang lama;
4.
User kurang menyadari pentingnya password;
5.
User memberitahu passwordnya kepada teman atau teman kerjanya;
6.
Beberapa mekanisme pengendalian akses meminta User untuk mengingat beberapa password;
7.
Beberapa mekanisme pengendalian akses tidak menyimpan password dengan menggunakan enkripsi;
8.
Password tidak diganti ketika User keluar dari organisasi;
9.
Password ditransmisikan melalui jalur komunikasi dalam bentuk clear text.
Tabel 2.1 Permasalahan Pada Password Sumber : Weber (1999, p381) The U.S. National Bureau of Standards (1985) dan the U.S. Department of Defense (1985), sebagaimana dikutip oleh Weber (1999, p382) mengusulkan langkah-langkah untuk menggenerasikan password.
32 Prinsip mengatur password dengan baik dapat dilihat pada tabel 2.2 di bawah ini : 1.
Jumlah password yang ada seharusnya dapat diterima oleh mekanisme pengendalian akses;
2.
Mekanisme pengendalian akses tidak menyetujui apabila panjang password kurang dari minimum;
3.
Mekanisme pengendalian akses tidak memperbolehkan User menggunakan password yang kata-katanya mudah dicari di kamus;
4.
User diharuskan mengganti password secara periodik;
5.
User tidak diperbolehkan menggunakan kembali password yang usianya lebih dari 12 bulan;
6.
Password harus dienkripsi ketika akan disimpan atau ditransmisikan;
7.
User harus diberi penjelasan mengenai pentingnya keamanan password , prosedur yang dapat digunakan untuk memilih password yang aman, dan prosedur untuk menjaga keamanan password;
8.
Password harus segera diganti, apabila terdapat indikasi bahwa password telah dikompromikan;
9.
Mekanisme pengendalian akses membatasi User untuk memasukkan password yang salah.
Tabel 2.2 Prinsip-Prinsip Mengatur Password Sumber : Weber (1999, p382)
33 Contoh identifikasi dan otentikasi yang dapat dilakukan oleh User ketika mengakses sistem di antaranya, yaitu : a. Personal Identification Numbers (PIN) PIN adalah suatu informasi yang mudah diingat dan digunakan untuk mengotentikasi User pada sistem transfer data elektronik. b. Plastic Card Plastic Card dimaksudkan untuk mengidentifikasikan setiap individu yang akan menggunakan sistem komputer. c. Password Password adalah sekelompok karakter yang kita berikan untuk menverifikasi bahwa yang mengakses sistem komputer adalah kita sendiri. (2) Sumber Daya Objek Sumber daya yang digunakan oleh User untuk bekerja pada lingkungan sistem informasi berbasiskan komputer dapat dibagi menjadi empat yaitu :
Klasifikasi Sumber Daya
Contoh
Hardware
Terminal, printer, prosesor, disk, jalur komunikasi
Software
Program sistem aplikasi, generalisasi software sistem
Komoditi
Kecepatan prosesor, tempat penyimpanan
Data
File, grup, data item (termasuk gambar dan suara)
34 Setiap sumber daya harus diberi nama karena secara umum mekanisme
pengendalian
akses
harus
menyesuaikannya
dengan
permintaan User. (3) Action Privileges (Hak Istimewa) Action Privileges diberikan kepada User berdasarkan pada tingkatan kewenangan User dan jenis sumber daya yang akan digunakan.
♦ Kebijakan Pengendalian Akses Mekanisme pengendalian akses digunakan untuk menghasilkan kebijakan pengendalian akses, yaitu : 1. Discretionary Access Control Apabila sebuah organisasi menggunakan jenis ini, User diizinkan untuk menentukan kepada siapakah mekanisme pengendalian akses memberikan akses atas filenya. Dengan demikian User dapat memilih apakah digunakan sendiri atau berbagi dengan User lainnya. 2. Mandatory Access Control Pada jenis ini baik User maupun sumber daya menggunakan keamanan atribut yang tetap. Mekanisme pengendalian akses menggunakan atribut tersebut untuk menentukan User manakah yang dapat mengkases sumber daya tertentu. Hanya system administrator yang dapat mengubah keamanan atribut User dan sumber daya. 3. Audit Trail Audit trail merekam semua kejadian yang berhubungan dengan boundary system. Audit trail dapat digunakan untuk menganalisa suatu
35 kesalahan, selain itu dapat dijadikan bukti ketidakefisienan dan ketidakefektifan penggunaan sumber daya.
2.4.3.2.2 Pengendalian Input (Input Control) Menurut Weber (1999, pp420-450), komponen pada subsistem input bertanggung jawab dalam mengirimkan data dan instruksi ke dalam sistem aplikasi di mana kedua tipe atribut tersebut haruslah divalidasi, selain itu banyaknya kesalahan yang terdeteksi harus dikontrol sehingga input yang dihasilkan akurat, lengkap, unik dan tepat waktu. Pengendalian input merupakan hal yang kritis didasarkan 3 alasan, yaitu jumlah pengendalian yang paling besar pada sistem informasi terhadap kehandalan subsistem input, aktivitas pada subsistem input, yang bersifat rutin, dalam jumlah besar dan campur tangan ini dapat mengalami kebosanan sehingga cenderung mengalami error, subsistem input sering menjadi target dari fraud. Banyak ketidakberesan yang ditemukan dengan cara penambahan, penghapusan, atau pengubahan transaksi input.
36 Komponen pengendalian input ada 8 yaitu mencakup : a) Metode Data Input
State / Event
Key Boarding
PC
Direct Reading
Point of sales device, ATM, Image Reader
Perekam Media
Direct Entry
Touch screen, Mice, Joystick Video, Sound, Voice
b) Perancangan Dokumen Sumber Menurut sudut pandang pengendalian, perancangan dokumen sumber yang baik memiliki beberapa tujuan : 1. Mengurangi kemungkinan perekaman data yang error 2. Meningkatkan kecepatan perekaman data 3. Mengendalikan alur kerja 4. Memfasilitasi pemasukan data ke dalam sistem komputer 5. Dapat meningkatkan kecepatan dan keakuratan pembacaan data 6. Memfasilitasi pengecekan referensi berikutnya Auditor harus memahami fundamanetal perancangan dokumen sumber yang baik. Perancangan dokumen sumber dinilai setelah melakukan analisis, di mana analisis dokumen sumber menentukan data apa yang akan diambil, bagaimana data dipersiapkan dan dimasukkan
ke
dalam
sistem
komputer,
juga
penanganan
37 penyimpanan, dan pengarsipan dokumen. Adapun dasar-dasar yang perlu diperhatikan untuk penilaian perancangan dokumen sumber yang baik adalah : 1. Karakteristik media kertas yang digunakan untuk dokumen sumber, meliputi seleksi panjang dan lebar kertas, kualitas kertas. 2. Tampilan dan style yang digunakan sebagai dokumen sumber. Secara garis besar, hal penting dalam perancangan dokumen sumber terdiri : (a) Penggunaan preprint (b) Menyediakan judul (mengidentifikasikan tujuan dokumen sumber), headings (memisahkan dokumen ke dalam seksi logis), catatan dan instruksi (membantu User dalam melengkapi dokumen) (c) Penggunaan teknik untuk perhatian dan perbedaan-perbedaan yang penting (d) Menyusun field yang mudah dalam penggunaannya, urutan field-field menurut alur kerja (e) Penggunaan pendekatan “caption above fill-in area” untuk judul halaman dan field data (f) Menyediakan pilihan ganda untuk pertanyaan-pertanyaan untuk menghindari kehilangan data (g) Penggunaaan
tanda
tick
atau
nilai
mengidentifikasikan field-size errors (h) Kombinasi instruksi dengan pertanyaan
indicator
untuk
38 (i) Ruang item yang tepat dalam formulir (j) Prenumber dokumen sumber (k) Merancang untuk kemudahan keying (l) Memenuhi standar organisasional c) Perancangan Layar Data Entry Jika data yang dikey masuk ke sistem melalui terminal, rancangan layar dengan kulitas tinggi sangat penting untuk meminimumkan
error
input
dan
mencapai
keefektifan
dan
keefisienan subsistem input. Auditor harus mampu memeriksa layanan data entry pada sistem aplikasi dan memberikan penilaian terhadap frekuensi error input yang kemungkinan dibuat dan perluasan perancangan layar yang meningkatkan atau mengurangi keefektifan dan keefisienan. Penilaian ini akan mempengaruhi cara memutuskan untuk mengadakan audit yang masih tersisa. Subseksi berikut ini menjelaskan pengenalan perancangan layar dengan singkat dan terutama berdasarkan Galitz (1993), Weinschenk dan Yeo (1998), Mullet dan Sano (1995), dan Herton (1994). Prinsip perancangan yang jelas ditujukan untuk semua jenis layar data entry. Lainnya berbeda-beda, tetapi berdasarkan saat layar digunakan untuk direct-entry input atau saat input pengambilan data melalui dokumen sumber. Salah satu daya tariknya adalah perbedaan penulis sering menimbulkan konflik terhadap rekomendasi yang merupakan perancangan layar yang baik. Contohnya, adanya rekomendasi bahwa kotak ditempatkan disekitar data-entry fields, sedangkan yang lainnya
39 merekomendasikan penggunaan karakter underscore. Demikian pula ada yang merekomendasikan judul halaman selalu diletakkan di leftaligned, sedangkan yang lainnya merekomendasikan judul halaman diletakkan di right-aligned jika ukuran judul halaman terdapat perbedaaan yang sangat mencolok. Pada akhirnya auditor harus membuat penilaian terhadap kualitas perancangan layar data entry. Macam-macam bagian dalam perancangan layar data entry (1) Organisasi Layar Layar seharusnya diorganisasikan dengan rapi dan simetris. Elemen data seharusnya diorganisasikan ke dalam grup-grup berdasarkan fungsinya jika jumlah baris, point alignment vertical, dan elemen data pada layar meningkat, maka kekompleksitasan layar juga meningkat. Tujuan yang penting pada perancangan layar adalah ketepatan User mengembangkan fasilitas dengan desain khusus. Oleh karenanya, perancangan ini kemungkinan dapat digunakan kapan pun melalui aplikasi berulang kali. Sebagai contoh, bagian khusus dari layar seharusnya digunakan untuk menampilkan instruksi untuk kelengkapan layar, pesan error, instruksi untuk pengaturan layar, dan pesan status. (2) Perancangan Judul Halaman Judul dimasukkan
halaman ke
mengidentifikasikan
dalam
field
pada
sifat
layar.
data
Yang
yang perlu
dipertimbangkan dalam perancangan meliputi struktur, ukuran,
40 jenis huruf, intensitas tampilan, format, penjajaran, justification dan spacing. Faktor utama yang mempengaruhi perancangan judul halaman yaitu : (a) Memilih apakah screen digunakan untuk direct-entry input data atau output data yang siap diambil dari dokumen sumber. (b) Judul halaman harus lengkap dieja. (c) Jika layar digunakan untuk direct entry data maka layar memberikan petunjuk selama proses data capture. (d) Maksud dari judul halaman tidak boleh ambigu. (e) Jika data yang dimasukkan berdasarkan dokumen sumber, judul halaman dapat disingkat. (f) Judul halaman dapat dibedakan dengan jelas dari asosiasi field data entry. (g) Memiliki intensitas tampilan yang lebih tinggi daripada data yang dimasukkan oleh User. (h) Secara alternatif, judul halaman dan judul field dapat ditampilkan dengan perbedaan warna. (i) Judul halaman harus selalu mendahului asosiasi field data entry kecuali saat field data entry banyak berhubungan dengan judul halaman yang sama.
41 (3) Perancangan Field Data-Entry (a) Field data entry harus mengikuti asosiasi field data entry judul halaman pada baris yang sama atau jika field berulangulang, beberapa baris dibawah judul halaman. (b) Ukuran field seharusnya diindikasikan dengan penggunaan karakter underscore atau karakter lainnya. (c) Jika masing-masing karakter baru dimasukkan ke dalam field maka karakter yang ada diganti. (d) Secara alternatif ukuran field dapat diindikasikan dengan penggunaan sebuah lined box filled dengan warna atau background yang kontras. (e) Adanya bantuan penyelesaian untuk mengurangi keying error. (f) Radio buttons dan check boxes hanya digunakan saat satu atau sedikit pilihan yang ada, list boxes untuk daftar pilihan yang panjang, dan spin boxes digunakan untuk siklus terhadap batasan pilihan dengan jumlah terbatas. (4) Tabbing dan Skipping Skipping otomatis untuk field baru seharusnya dihindari dalam perancangan layar data entry, karena dua alasan. Pertama, ciri dari skip otomatis, yakni operator keyboard membuat kesalahan ukuran field yang tidak terdeteksi karena kursor dengan mudah melompat ke field baru. Kedua, dalam banyak field data entry sering tidak diisi, sehingga operator keyboard masih harus
42 tab ke field berikutnya. Meskipun tab membutuhkan key-stroke tambahan tetapi rhythm pada operator keying dipelihara. (5) Warna Warna dapat digunakan khusus untuk membantu dalam pengalokasian judul halaman atau data item yang khusus, untuk memisahkan area pada tampilan, atau mengindikasikan perubahan status (seperti situasi error). Munculnya warna untuk mengurangi waktu untuk pencarian untuk item pada layar dan memotivasi User karena layar lebih menarik. (6) Waktu Respon Waktu respon merupakan interval yang berlalu antara pemasukan item data dan indikasi sistem yang siap menerima item data baru. Pada transaksi, waktu respon seharusnya cepat tanggap kira-kira 2 sampai 4 detik. Waktu respon yang cepat dibutuhkan jika data dikey dari dokumen sumber. (7) Tingkat Tampilan Tingkat tampilan merupakan tingkat saat karakter atau image pada layar ditampilkan. Hal ini merupakan fungsi kecepatan saat data dikomunikasikan antara terminal dengan komputer (bound rate). Jika tingkat display lambat atau variabel, maka tingkat kesalahan pemasukan data yang muncul lebih tinggi. (8) Fasilitas Prompting dan Help Fasilitas prompting menyediakan petunjuk atau informasi tentang aksi User yang seharusnya digunakan saat mereka bekerja
43 dengan layar data entry saat itu juga. Sebuah prompt sering menggunakan bentuk pop-up window yang memuat pesan instruksional
yang
muncul
secara
otomatis
saat
User
memindahkan cursor ke field khusus. Petunjuk informasi yang disediakan harus singkat dan mudah dipahami. Fasilitas help menyediakan petunjuk atau informasi yang dicari tentang aksi User yang seharusnya digunakan saat mereka bekerja dengan layar data entry. Fasilitas prompting dan help berguna saat memasukkan data tidak berdasarkan dokumen sumber yang ditujukan serta berguna untuk User baru atau User yang jarang melakukan tugas memasukkan data. d) Pengendalian Kode Data Tujuan kode data yang unik yaitu untuk mengidentifikasikan entitas sebagai anggota dalam suatu grup atau set, dan lebih rapi dalam menyusun informasi yang dapat mempengaruhi tujuan integritas data, keefektifan serta keefisienan. (1) Kesalahan dalam pengkodean data Ada lima jenis kesalahan dalam pengkodean data, yaitu: 1. Addition (penambahan), sebuah karakter ekstra ditambahkan pada kode, contoh 87942 dikode menjadi 879142. 2. Transaction (pemotongan), sebuah karakter dihilangkan dari kode, contoh 87942 dikode menjadi 8792. 3. Transcription (perekaman), sebuah karakter yang salah direkam, contoh 87942 dikode menjadi 81942.
44 4. Transposition (perubahan), karakter yang berdekatan pada kode dibalik, contoh 87942 dikode menjadi 78942. 5. Double Transposition, karakter dipisahkan oleh satu atau lebih karakter yang dibalik, contoh 87942 dikode menjadi 84972. Lima faktor yang mempengaruhi terjadinya kesalahan dalam pengkodean adalah : 1. Panjang kode yang cenderung menyebabkan kesalahan. 2. Gabungan alfabet dengan numerik. 3. Pilihan karakter. 4. Gabungan huruf besar dengan huruf kecil. 5. Kemampuan prediksi dari karakter berurutan. (2) Jenis sistem pengkodean Kode spesifik dipilih dalam konteks sistem pengkodean. Dalam teori, sistem pengkodean mencapai lima tujuan, yaitu : 1. Fleksibilitas, suatu kode seharusnya menginginkan tambahan item atau kategori baru dengan mudah. 2. Keberartian,
jika
mungkin
kode
seharusnya
mengidentifikasikan nilai atribut dari entitas. 3. Kepadatan, suatu kode seharusnya menyampaikan informasi maksimal yang disampaikan dengan jumlah karakter yang minimum. 4. Kesesuaian, suatu kode seharusnya mudah encode, decode, dan key
45 5. Kemampuan, jika mungkin suatu kode dapat diadaptasi dengan perubahan syarat-syarat berkembang User. Tipe-Tipe dari Sistem Pengkodean : 1. Serial Codes Memberikan urutan nomor atau alfabet sebagai suatu obyek, terlepas dari kelompok obyek tersebut. Maka, dapat dikatakan bahwa serial codes secara unik mengidentifikasikan suatu obyek. Keuntungan utama dari pengkodean ini adalah kemudahan untuk menambahkan item baru dan juga pengkodean ini ringkas dan padat. 2. Block Sequence Codes Pengkodean dengan block sequence memberikan satu blok dari nomor-nomor sebagai suatu kategori khusus dari sebuah obyek. Kelompok utama dari obyek dalam suatu kategori harus ditentukan dan disertai dengan satu blok dari nomor-nomor untuk masing-masing nilai dari kelompok tersebut. Keuntungan dari pengkodean ini adalah dalam memberikan nilai mnemonik (mudah diingat). Kesulitan yang dihadapi adalah dalam menentukan ukuran atau panjang dari kode. 3. Hierarchical Codes Hierarchical
codes
membutuhkan
pemeliharaan
serangkaian nilai kelompok dari suatu obyek yang akan dikodekan dan diurutkan berdasarkan tingkat kepentingannya.
46 Hierarchical codes lebih berarti dibanding serial atau block sequence karena pengkodean ini mendeskripsikan lebih banyak kelompok dari obyek. 4. Association Codes Dengan Association codes, kelompok dari obyek akan diberi kode dipilih, dan kode yang unik diberikan untuk masing-masing nilai dari kelompok tersebut. Kode tersebut dapat berupa numerik, alfabet, atau alfanumerik. Association codes mempunyai nilai mnemonik yang tinggi. Pengkodean ini lebih cenderung salah jika tidak ringkas atau terdiri dari banyak gabungan alfabet atau karakter numerik. e) Cek Digit Cek digit digunakan sebagai peralatan untuk mendeteksi kesalahan dalam banyak aplikasi, sebagai contoh : tiket pesawat, proses kartu kredit, proses rekening bank, proses pengumpulan item bank dan proses lisensi mengemudi. (1) Sifat cek digit Cek digit digunakan untuk menentukan apakah User memasukkan cek digit atau mengkalkulasikan cek digit yang sama. Jika sama, kemungkinan kode dikoreksi. Jika berbeda, kemungkinan terjadi kesalahan kode. (2) Mengkalkulasikan cek digit Ada beberapa cara mengkalkulasi cek digit. Cara yang sederhana dengan menjumlahkan digit dalam suatu angka dan
47 menentukan hasilnya menjadi karakter suffix. Sebagai contoh jika kode 2148 maka cek digitnya 2+1+4+8 = 15. Keluarkan digit puluhan, maka cek digit menjadi 5 sehingga kode 21485. Cek digit tidak mendeteksi jenis yang sangat biasa dari kesalahan pengkodean yakni kesalahan transparansi. Kode yang salah 2814 tetap menghasilkan cek digit yang dikoreksi. f) Pengendalian Batch Batching
merupakan
proses
pengelompokkan
transaksi
bersama-sama yang menghasilkan beberapa jenis hubungan antara yang satu dengan lainnya. Pengendalian yang bermacam-macam dapat digunakan pada batch untuk mencegah atau mendeteksi error atau kesalahan. Ada dua jenis batch yang digunakan yaitu batch fisik dan batch logis. Physical batches merupakan grup transaksi yang menjalankan unit fisik. Logical batches merupakan grup transaksi yang dikelompokkan bersama berdasarkan logis. Penilaian terhadap pengendalian batch dapat dilakukan dengan mengacu pada : (1) Batch Cover Sheet Batch cover sheet memuat jenis informasi seperti, angka batch yang unik, total kontrol untuk batch, data umum untuk berbagai transaksi pada batch, tanggal saat batch disiapkan, kesalahan informasi yang terdeteksi pada batch dan tanda tangan personalia yang menangani batch dalam berbagai cara.
48 (2) Batch Register Control Batch register control mencatat perpindahan physical batches antara berbagai lokasi dalam suatu organisasi. g) Validasi Input Data Jenis pengecekan validasi input data : (1) Field Checks Test validasi dapat diaplikasikan pada field yang tidak bergantung pada field lainnya dalam laporan input. (2) Record Checks Test validasi dapat diaplikasikan ke field berdasarkan hubungan timbal balik yang logis dari suatu field dengan field lainnya dalam laporan. (3) Batch Checks Test validasi memeriksa apakah karakteristik laporan batch yang dimasukkan sama dengan rumusan karakteristik batch. (4) File Checks Test validasi menguji apakah karakteristik penggunaan file selama pemasukkan data sama dengan rumusan karakteristik file. h) Instruksi Input Dalam memasukkan instruksi ke dalam sistem aplikasi sering terjadi kesalahan karena adanya instruksi yang bermacam-macam dan kompleks. Karena itu perlu menampilkan pesan kesalahan. Pesan kesalahan yang ditampilkan harus dikomunikasikan pada User dengan lengkap dan jelas.
49 Ada enam cara untuk memasukkan instruksi ke dalam sistem informasi : (1) Menu Driven Languages Cara yang paling sederhana untuk User dalam menyediakan instruksi ke dalam sistem aplikasi adalah melalui sebuah menu. Sistem tersebut memfasilitasi User dengan suatu daftar pilihan dan User dapat menentukan pilihan dalam beberapa cara, yaitu dengan mengetik angka atau huruf, memposisikan kursor kemudian menekan tombol enter atau dengan mengklik mouse, menggunakan light pen atau touch screen. (2) Question-Answer Dialogs Digunakan untuk menghasilkan input data. Sistem aplikasi memberikan pertanyaan tentang item data dan User meresponnya. Question-answer
dialog
juga
dapat
digunakan
untuk
menghasilkan instruksi input bersama dengan data input. (3) Command Languages Memerlukan User untuk memberikan perintah tertentu dengan meminta beberapa proses dan sekumpulan argumen yang secara spesifik memberitahukan bagaimana proses tersebut seharusnya dijalankan. (4) Form-Based Languages Memerlukan User memberikan perintah dan data tertentu yang terdapat dalam konteks beberapa format keluaran atau masukan.
50 (5) Natural Languages Mengijikan User untuk memberikan instruksi kepada sistem aplikasi melalui recognition device. (6) Driver Manipulation Languages User memberikan instruksi pada sistem aplikasi melalui manipulasi langsung pada objek layar.
2.4.3.2.3 Pengendalian Proses (Process Control) Menurut Porter dan Perry (terjemahan Widjajanto, Nugroho,1996,p200), pengendalian
proses
mencakup
pengendalian
terhadap
kemungkinan
kehilangan data atau tidak diprosesnya data, perhitungan aritmatik, dan keakuratan pemrograman. 1. Kemungkinan kehilangan data atau tidak diprosesnya data. Pengendalian yang dilakukan untuk mendeteksi kehilangan atau tidak diprosesnya data terdiri dari : a) Perhitungan record Perhitungan record adalah jumlah record yang diproses oleh komputer kemudian total yang dihasilkan dibandingkan dengan suatu perhitungan manual yang telah ditetapkan sebelumnya. Setiap saat file diproses, record dihitung kembali dan jumlahnya disamakan dengan total awal atau total yang telah disesuaikan. b) Total pengendali (control total) Dilakukan terhadap field kuantitas atau yang mengandung perhitungan jumlah dalam satu kelompok record yang kemudian hasil
51 perhitungan tersebut digunakan untuk mengecek pengendalian yang ditetapkan dalam manual atau pemrosesan komputer sebelumnya atau berikutnya. c) Hash total Bentuk lain dari total pengendali yang dibuat dari data dalam suatu field non kuantitas di dalam suatu kelompok record. 2. Perhitungan aritmatik Pengendalian yang dilakukan untuk perhitungan atau kalkulasi aritmatik terdiri dari : a) Cek-cek batas (limit checks) Dilakukan dengan mengetes hasil-hasil kalkulasi terhadap batasbatas yang telah ditetapkan terlebih dahulu. b) Cek-cek saldo jumlah mendatar (cross-footing balance check) Dilakukan terhadap field-field yang mempunyai hubungan satu sama lain dan hasil penjumlahannya dicocokkan pada akhir proses. c) Tes melimpah (overflow test) Merupakan suatu tes yang digunakan secara luas untuk menentukan apakah ukuran suatu hasil perhitungan melampaui alokasi ukuran yang telah terdaftar dan disimpan. 3. Memastikan keakuratan pemrograman Pengendalian
yang
pemrograman berupa:
dilakukan
untuk
memastikan
keakuratan
52 a) Dokumentasi yang tepat Dokumentasi
yang
baik
akan
menempatkan
kesalahan
pemrograman dan akan memudahkan koreksi. b) Prosedur pengetesan program yang ekstensif Akan
mengurangi
kemungkinan
gangguan
program
dan
memudahkan pengoperasian sistem yang lancar.
2.4.3.2.4 Pengendalian Output (Output Control) Pengendalian output digunakan untuk memastikan bahwa data yang diproses tidak mengalami perubahan yang tidak sah oleh personil operasi komputer dan memastikan hanya personil yang berwenang saja yang menerima output. Pengendalian output yang dilakukan berupa : 1) Mencocokkan data output dengan total pengendali sebelumnya yang telah ditetapkan yang diperoleh dalam tahap input dari siklus pemrosesan. 2) Mereview data output untuk melihat format yang tepat. Format yang tepat terdiri dari : a. Page heading b. Judul laporan c. Tanggal dan waktu pencetakan d. Banyaknya copy laporan untuk masing-masing pihak yang berwenang e. Periode laporan
53 f. Nama program (termasuk versinya yang menghasilkan laporan) g. Nama personil yang bertanggungjawab atas dikeluarkannya laporan tersebut h. Masa berlaku laporan i. Nomor halaman j. Tanda akhir halaman 3) Mengendalikan data input yang ditolak oleh komputer selama pemrosesan dan mendistribusikan data yang ditolak tersebut ke personil yang tepat. 4) Mendistribusikan laporan-laporan output ke departemen pemakai tepat pada waktunya.
2.4.3.2.5 Pengendalian Database (Database Control) Menurut Porter dan Perry (1996,p204), pengendalian database digunakan untuk menjaga integritas data dalam suatu database. Pengendalian yang dilakukan mencakup pengendalian terhadap pelaporan kemacetan, sistem kamus data, sistem kamus data yang terintegrasi, tanggungjawab unsur data, pengendalian data bersama dan pemecahan hambatan.
2.4.3.2.6 Pengendalian Komunikasi (Communication Control) Menurut Weber (1999,p474) Pengendalian komunikasi digunakan untuk mengendalikan pendistribusian pembukaan komunikasi subsistem, komponen fisik, kesalahan jalur komunikasi, aliran dan hubungan, pengendalian topologi, pengendalian akses hubungan, pengendalian atas ancaman subversif, pengendalian internetworking, dan pengendalian arsitektur komunikasi.
54 2.5
Sistem Pengendalian Intern (SPI)
2.5.1
Definisi SPI Menurut Mulyadi (2001, p163) mendefinisikan, sistem pengendalian intern meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi dan mengecek ketelitian dan kehandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhnya kebijakan manajemen. Menurut Gondodiyoto (2003, p78) mendefinisikan bahwa, “sistem pengendalian intern meliputi metode dan kebijakan yang terkoordinasi di dalam perusahaan untuk mengamankan kekayaan perusahaan, menguji ketepatan, ketelitian dan kehandalan catatan atau data akuntansi serta untuk mendorong ditaatinya kebijakan manajemen”. Berdasarkan definisi-definisi di atas dapat disimpulkan bahwa sistem pengendalian intern merupakan sebuah sistem yang dirancang oleh pihak manajemen sebuah organisasi untuk mengendalikan dan mengawasi seluruh kegiatan organisasi tersebut untuk menjaga aset perusahaan dan menjamin dipatuhinya kebijakan manajemen.
2.5.2
Tujuan SPI Menurut Mulyadi (2001, p163) mengungkapkan empat tujuan SPI, yaitu untuk : a. Menjaga kekayaan organisasi. b. Mengecek ketelitian dan kehandalan data akuntansi. c. Meningkatkan efisiensi usaha.
55 d. Mendorong dipatuhinya kebijakan manajemen Sedangkan menurut Gondodiyoto (2003, p75) Sistem Pengawasan Intern dijalankan bertujuan untuk : a. Mengamankan aset organisasi. b. Memperoleh informasi yang akurat dan dapat dipercaya. c. Meningkatkan efektifitas dan efisiensi kegiatan. d. Mendorong kepatuhan pelaksanaan terhadap kebijaksanaan organisasi.
