BAB 2 LANDAS AN TEORI
2.1
Sistem Informasi 2.1.1
Pengertian Sistem M enurut M ulyadi (2001, p2), sistem merupakan kelompok unsur yang erat berhubungan satu dengan yang lainnya, yang berfungsi bersamasama untuk mencapai tujuan tertentu. Suatu sistem terdiri dari struktur dan proses, dimana struktur sistem merupakan unsur-unsur yang membentuk sistem tersebut, sedangkan proses sistem menjelaskan cara kerja setiap unsur sistem tersebut dalam mencapai tujuan sistem. Setiap sistem merupakan bagian dari sistem lain yang lebih besar dan terdiri dari berbagai sistem yang lebih kecil, yang disebut sebagai suatu subsistem. M enurut
O’Brien
(2005, p714),
sistem merupakan
sekelompok
komponen yang bekerja bersama menuju tujuan yang bersama dengan menerima input serta menghasilkan output dalam proses transformasi yang teratur. M enurut M cLeod (2001, p11), sistem adalah sekelompok elemen yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan. Dari pendapat-pendapat di atas maka dapat disimpulkan bahwa “sistem” adalah sekelompok elemen yang saling berkaitan dan membentuk kesatuan serta bekerja bersama dalam mencapai tujuan tertentu.
8
9 2.1.2
Pengertian Sistem Informasi M enurut O’Brien (2005, p5), sistem informasi dapat merupakan kombinasi teratur apapun dari orang–orang, hardware, software, jaringan komunikasi dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi. M enurut Hall (2001, p7), sistem informasi diartikan sebagai rangkaian prosedur formal dimana data dikumpulkan, diproses menjadi informasi dan didistribusikan kepada para pemakai. M aka dapat disimpulkan sistem informasi merupakan kumpulan dari orang-orang, hardware, software, jaringan komunikasi, sumber daya data yang berinteraksi untuk mengumpulkan, memproses, menyimpan dan menyediakan sebagai output informasi yang diperlukan untuk mendukung sebuah organisasi.
2.2
Evaluasi 2.2.1
Pengertian Evaluasi M enurut Suharsimi Arikunto (2004), evaluasi adalah kegiatan untuk mengumpulkan informasi tentang bekerjanya sesuatu, yang selanjutnya informasi tersebut digunakan untuk menentukan alternatif yang tepat dalam mengambil keputusan. M enurut Arikunto (1999), evaluasi adalah suatu rangkaian kegiatan yang dilakukan dengan sengaja untuk melihat keberhasilan program. Dari pengertian-pengertian tentang evaluasi yang telah dijabarkan diatas, maka dapat disimpulkan bahwa evaluasi merupakan alat bantu bagi
10 pimpinan suatu organisasi dalam membuat suatu keputusan. Evaluasi merupakan sebuah proses yang dilakukan oleh seseorang untuk mencari informasi tentang prosedur tertentu dan sejauh mana keberhasilan program yang digunakan oleh suatu organisasi dalam mendukung operasional bisnisnya.
2.3
Sistem Informasi Akuntansi 2.3.1
Pengertian Sistem Informasi Akuntansi M enurut Jones dan Rama (2003, p4), sistem informasi akuntansi merupakan kumpulan kegiatan yang mendukung aktivitas sistem informasi manajemen, dimana sistem informasi manajemen merupakan sistem yang menangkap data organisasi, menyimpan dan memelihara data tersebut dan menyediakan
informasi
yang bermanfaat
untuk
fungsi produksi,
pemasaran, sumber daya manusia, akuntansi dan keuangan. M enurut Bodnar dan Hopwood (2001, p1), sistem informasi akuntansi adalah kumpulan dari sumber daya, seperti manusia dan peralatan yang diatur untuk mengubah data keuangan dan data lainnya menjadi informasi. M enurut Romney dan Steinbart (2003, p691), sistem informasi akuntansi adalah manusia dan sumber daya di dalam sebuah organisasi yang bertanggung jawab untuk mempersiapkan informasi keuangan dan informasi yang diperoleh dengan mengumpulkan dan memproses transaksitransaksi perusahaan.
11 Dari beberapa pengertian di atas maka dapat disimpulkan bahwa sistem informasi akuntansi merupakan proses pengolahan data yang hasilnya berguna untuk membuat laporan keuangan untuk fungsi-fungsi yang ada dalam organisasi sehingga dapat mendukung aktivitas sistem informasi manajemen. M enurut Romney dan Steinbart (2003, p2), Komponen dalam sistem informasi akuntansi terdiri dari lima, antara lain: a.
People Orang yang menjalankan sistem dan berbagai fungsi.
b. Procedures and Instructions Keduanya manual dan
otomatis, terlibat dalam pengumpulan,
pengolahan, dan penyimpanan data mengenai aktivitas organisasi. c. Data Data mengenai proses bisnis organisasi. d. Software Software digunakan untuk memproses data organisasi. e. Information Technology Infrastructure Information Technology Infrastructure termasuk komputer, perangkatperangkat lainnya, dan perangkat jaringan komunikasi yang digunakan untuk mengumpulkan, menyimpan, mengolah, dan mengirimkan data dan informasi.
12 2.3.2
Tujuan Pengembangan Sistem Informasi Akuntansi M enurut Jones dan Rama (2003, p6), tujuan sistem informasi akuntansi adalah : a. Producting External Report Bisnis menggunakan sistem informasi manajemen untuk menghasilkan laporan-laporan khusus untuk kepuasan kebutuhan investor, kreditor, tax collector, regulatory, agencies, dan lain-lain. b. Supporting Routine Activities M anager memerlukan sistem informasi manajemen untuk menangani kegiatan operasi rutin perusahaan selama masa operasi perusahaan. c. Decision Support Informasi juga dibutuhkan untuk mengambil keputusan non rutin pada sebuah tingkat dalam organisasi. d. Planning and Control Sistem informasi diperlukan
untuk
aktivitas perencanaan
dan
pengendalian yang baik. e.
Implementating Internal Control Yang termasuk dalam internal control adalah kebijakan, prosedur, dan sistem informasi yang digunakan untuk melindungi asset perusahaan dari kehilangan dan memelihara keakuratan data finansial.
2.4
13 Sistem Informasi Penjualan 2.4.1
Pengertian Sistem informasi Penjualan M enurut M ulyadi (2001, p202), kegiatan penjualan barang dan jasa dapat dibedakan menjadi dua jenis yaitu : a. Sistem Penjualan Tunai Penjualan secara tunai dilakukan perusahaan dengan cara mewajibkan pembeli melakukan pembayaran terlebih dahulu sebelum barang diserahkan. Setelah uang diterima oleh perusahaan, barang kemudian diserahkan kepada pembeli. b. Sistem Penjualan Kredit Penjualan secara kredit dilaksanakan dengan cara mengirim barang dahulu kepada pembeli berdasarkan pesanan, dengan pembayaran ditagih dalam jangka waktu tertentu.
2.4.2
Sistem Penjualan Kredit 2.4.2.1 Fungsi-Fungsi yang Terkait Dalam Sistem Penjualan Kredit M enurut M ulyadi (2001, p211), fungsi-fungsi yang terkait dalam sistem penjualan kredit adalah sebagai berikut : a.
Fungsi Penjualan Fungsi ini bertanggung jawab untuk menerima surat order dari pembeli,
mengedit
order
dari pelanggan
untuk
menambahkan informasi yang belum ada pada surat order tersebut (seperti spesifikasi barang dan rute pengiriman), meminta organisasi kredit, menentukan tanggal pengiriman,
14 dan dari gudang mana barang akan dikirim, serta mengisi surat order pengiriman. b.
Fungsi Kredit Fungsi ini bertanggung jawab untuk meneliti status kredit pelanggan dan memberikan otorisasi pemberian kredit kepada pelanggan. Sebelum order dari pelanggan dipenuhi, harus terlebih dahulu diperoleh otorisasi penjualan kredit dari fungsi kredit. Pengecekan status kredit perlu dilakukan sebelum fungsi penjualan mengisi surat order penjualan.
c.
Fungsi Gudang Fungsi ini bertanggung jawab untuk menyimpan barang dan menyiapkan barang yang dipesan oleh pelanggan, serta menyerahkan barang ke fungsi pengiriman.
d.
Fungsi Pengiriman Fungsi ini bertanggung jawab untuk menyerahkan barang atas surat order pengiriman yang diterimanya dari fungsi penjualan. Selain itu bertanggung jawab untuk menjamin bahwa tidak ada barang yang keluar dari perusahaan tanpa ada otorisasi dari yang berwenang.
e.
Fungsi Penagihan Fungsi
ini
bertanggung
jawab
untuk
membuat
dan
mengirimkan faktur penjualan kepada pelanggan, serta menyediakan copy faktur bagi kepentingan catatan transaksi penjualan oleh fungsi akuntansi.
15 f.
Fungsi akuntansi Fungsi ini bertanggung jawab untuk mencatat piutang dari transaksi penjualan kredit, membuat dan mengirimkan pernyataan piutang kepada para debitur, serta membuat laporan penjualan. Selain itu bertanggung jawab untuk mencatat harga pokok persediaan yang dijual ke dalam persediaan.
2.4.2.2 Prosedur Sistem Penjualan Kredit M enurut
M ulyadi
(2001,
p210),
penjualan
kredit
dilaksanakan oleh perusahaan dengan cara mengirimkan baran g sesuai dengan order yang diterima dari pembeli dan untuk jangka waktu tertentu perusahaan mempunyai tagihan kepada pembeli tersebut. M enurut M ulyadi (2001, p219), jaringan prosedur yang membentuk sistem penjualan kredit adalah sebagai berikut : a.
Prosedur Order Penjualan Dalam prosedur ini, fungsi penjualan menerima order dari pembeli dan menambahkan informasi penting pada surat order dari pembeli. Fungsi penjualan kemudian membuat surat order pengiriman dan mengirimkannya kepada berbagai fungsi lain yang memungkinkan fungsi tersebut memberikan kontribusi dalam melayani order dari pembeli.
16 b.
Prosedur Persetujuan Kredit Dalam prosedur ini, fungsi penjualan meminta persetujuan kredit kepada pembeli tertentu dari fungsi kredit.
c.
Prosedur Pengiriman Dalam prosedur ini, fungsi pengiriman mengirimkan barang kepada pembeli sesuai dengan informasi yang tercantum dalam surat order pengiriman yang diterima dari fungsi pengiriman.
d.
Prosedur Penagihan Dalam prosedur ini, fungsi penagihan membuat faktur penjualan dan mengirimkannya kepada pembeli. Dalam metode tertentu faktur penjualan dibuat oleh fungsi penjualan sebagai tembusan pada waktu bagian ini membuat surat order pengiriman.
e. Prosedur Pencatatan Piutang Dalam prosedur ini, fungsi akuntansi mencatat tembusan faktur penjualan kedalam kartu piutang atau dalam metode pencatatan
tertentu
mengarsipkan
dokumen
tembusan
menurut abjad yang berfungsi sebagai catatan piutang. f. Prosedur Distribusi Penjualan Dalam prosedur ini, fungsi akuntansi mendistribusikan data penjualan manajemen.
menurut
informasi
yang
diperlukan
oleh
17 g. Prosedur Pencatatan Harga Pokok Penjualan Dalam prosedur ini, fungsi akuntansi mencatat secara periodik total harga pokok produk yang dijual dalam periode akuntansi tertentu.
2.4.2.3 Dokumen Penjualan M enurut M ulyadi (2001, p214), dokumen yang digunakan dalam penjualan meliputi: a.
Surat Order Pengiriman dan Tembusannya Surat Order Pengiriman yang memberikan otorisasi kepada fungsi pengiriman untuk mengirimkan jenis barang dan jumlah barang yang tertera dalam dokumen.
b.
Faktur dan Tembusannya Faktur penjualan diserahkan kepada pelanggan serta tanda bukti bahwa barang telah diterima pelanggan dan perusahaan menggunakannya untuk menagih kepada pelanggan dan dipakai sebagai dasar pencatatan timbulnya piutang.
c.
Rekapitulasi Harga Pokok Penjualan Dokumen yang digunakan untuk menghitung total HPP ( Harga Pokok Penjualan ) yang dijual dalam periode tertentu.
d.
Bukti M emorial Dokumen sumber untuk dasar pendapatan ke dalam jurnal umum. Pada penjualan kredit, bukti memorial ini merupakan
18 dokumen sumber untuk mencatat HPP ( Harga Pokok Penjualan ) yang dijual dalam periode tertentu.
2.5
Audit 2.5.1
Pengertian Audit M enurut Arens dan Loebbecke yang diterjemahkan Jusuf (2003, p 1), auditing adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan kriteria-kriteria yang telah ditetapkan. M enurut James A. Hall (2001, p42), auditing adalah salah satu bentuk pengujian independen yang dilakukan oleh seorang auditor yang menunjukkan pendapatnya tentang kejujuran laporan keuangan. Jadi dapat disimpulkan bahwa pengertian audit adalah kegiatan memperoleh dan mengevaluasi bukti audit oleh auditor berdasarkan standar atau kinerja yang telah ditetapkan untuk menghasilkan laporan keuangan yang jujur.
2.5.2
Jenis – Jenis Audit Pada umumnya kegiatan audit
dapat
diklasifikasikan di dalam
beberapa jenis audit. M enurut Aren & Loebbecke (2003, p4), terdapat tiga jenis audit yaitu :
19 1.
Audit Laporan Keuangan (Financial Statement Audit) Audit laporan keuangan bertujuan untuk menentukan apakah laporan keuangan secara keseluruhan yang merupakan informasi terukur yang akan diverifikasi telah disajikan sesuai dengan kriteria-kriteria tertentu.
2.
Audit Ketaatan (Compliance Audit) Audit ketaatan bertujuan umtuk mempertimbangkan apakah audit telah mengikuti prosedur atau aturan yang telah ditetapkan pihak yang memiliki otoritas lebih tinggi.
3.
Audit Operasional (Operational Audit) Audit operasional merupakan penelahaan atas bagian manapun dari prosedur dan metode operasional untuk menilai efisiensi dan efektivitasnya.
2.6
Audit Sistem Informasi 2.6.1
Pengertian Audit Sistem informasi M enurut Arens dan Loebbecke (2003, p1), untuk melakasanakan audit diperlukan informasi yang dapat diverifikasi dan sejumlah standar atau kriteria yang dapat digunakan sebagai penangananan pengevaluasian informasi tersebut. Supaya dapat diverifikasi, informasi harus dapat diukur. M enurut Weber (1999, p10), audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sistem komputer dapat melindungi aktiva-aktiva, menjaga integritas data,
20 mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien. Dapat disimpulkan bahwa pengertian audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti oleh orang yang kompeten dan independen untuk menetapkan apakah sistem yang dijalankan sesuai dengan kriteria yang telah ditetapkan.
2.6.2
Tujuan Audit Sistem informasi M enurut Gondodiyoto (2007, p474-475), tujuan audit sistem informasi adalah : a.
Pengamanan Aset Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, dan file/data harus dijaga dengan sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan.
b.
Efektifitas Sistem Efektifitas sistem informasi perusahaan memiliki peranan dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan benar, telah sesuai dengan kebutuhan user.
c.
Efisiensi Sistem Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih
21 memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal. d.
Ketersediaan (Avaibility) Berhubungan
dengan
ketersediaan
dukungan/layanan
teknologi
informasi (TI). TI hendaknya dapat mendukung secara kontinyu terhadap proses bisnis (kegiatan perusahaan). M akin sering terjadi gangguan (system down) maka berarti tingkat ketersediaan sistem rendah. e.
Kerahasiaan (Confidentiality) Fokusnya ialah pada proteksi terhadap informasi dan supaya terlindungi dari akses dari pihak-pihak yang tidak berwenang.
f.
Kehandalan (Realibilty) Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organisasi, pelaporan dan pertanggungjawaban.
g.
M enjaga integritas data Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi.
Data
memiliki
atribut-atribut
seperti: kelengkapan,
kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki informasi/laporan yang benar,
bahkan
perusahaan
dapat
menderita
kerugian
pengawasan tidak tepat atau keputusan-keputusan yang salah.
karena
22 2.6.3
Tahapan Audit Sistem Informasi M enurut Gondodiyoto ( 2007, p487 ), tahapan audit terdiri dari : 1.
Subjek Audit Tentukan/identifikasi unit/lokasi yang diaudit
2.
Sasaran Audit Tentukan sistem secara spesifik, fungsi atau unit organisasi yang akan diperiksa.
3.
Jangkauan Audit Identifikasi sistem secara spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan.
4.
Rencana Pre-audit a. Identifikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit. b. Identifikasi sumber bukti untuk tes atau review seperti fungsi flow chart, kebijakan, standard prosedur dan kertas kerja audit sebelumnya.
5.
Prosedur Audit dan Langkah-Langkah Pengumpulan Bukti Audit a. Identifikasi dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian intern. b. Identifikasi daftar individu untuk interview. c. Identifikasi dan menghasilkan kebijakan yang berhubungan dengan bagian, standard dan pedoman untuk interview. d. M engembangkan instrument audit dan metodologi pengujian dan pemeriksaan control internal.
23 6.
Prosedur Untuk Evaluasi a. Organisasikan sesuai kondisi dan situasi b. Identifikasi prosedur evaluasi atas tes efektifitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijakan dan prosedur yang diaudit.
7.
Pelaporan Hasil Audit Siapkan laporan yang obyektif, konstruktif (bersifat membangun) dan menampung penjelasan auditee.
2.6.4
Standard Audit M enurut Gondodiyoto dan Hendarti (2007, p197), Standard Audit yang termuat dalam Standar Profesional Akuntan Publik (Ikatan Akuntan Indonesia, 2001) terdiri dari : 1.
Standard Umum a.
Audit harus dilaksanakan oleh seorang atau lebih yang memiliki keahlian dan pelatihan teknis cukup sebagai auditor.
b.
Dalam semua hal yang berhubungan
dengan
penugasan,
independensi dalam sikap mental harus dipertahankan oleh auditor. c.
Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan seksama.
24 2.
Standard Pekerjaan Lapangan a.
Pekerjaan harus direncanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi dengan semestinya.
b.
Pemahaman yang memadai atas struktur pengendalian intern harus diperoleh untuk merencanakan audit dan menentukan sifat, saat dan lingkup pengujian yang akan dilakukan.
c.
Bahan bukti kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan, pengajuan pertanyaan, dan konfirmasi sebagai dasar yang memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit.
3.
Standard Pelaporan a.
Laporan audit harus menyatakan apakah laporan keuangan telah disusun sesuai dengan prinsip akuntansi berterima umum.
b.
Laporan audit harus menunjukkan keadaan yang di dalamya prinsip akuntansi tidak secara konsisten diterapkan dalam penyusunan
laporan
keuangan
periode
berjalan
dalam
hubungannya dengan prinsip akuntansi yang diterapkan dalam periode sebelumnya. c.
Pengungkapan
informatif
dalam
laporan
keuangan
harus
dipandang memadai, kecuali dinyatakan lain dalam laporan audit. d.
Laporan audit harus memuat suatu pernyataan pendapat mengenai laporan keuangan secara keseluruhan tidak dapat diberikan, maka alasannya harus dinyatakan.
25 2.6.5
Metode Audit Sistem Informasi M enurut Gondodiyoto (2007, p451-454), ada 3 metode Audit Sistem Informasi yang dapat dilakukan oleh auditor, sebagai berikut : 1.
Audit Around the computer Auditor tidak perlu menguji pengendalian SI berbasis teknologi informasi klien (file program/pengendalian atas file/data di komputer), melainkan cukup terhadap input (dokumen) serta output (laporan) sistem aplikasi saja. Dari penilaian terhadap kualitas dan kesesuaian antara input dengan output sistem aplikasi ini, auditor dapat mengambil kesimpulan tentang kualitas pemrosesan data yang dilakukan
klien
(meskipun
proses/program komputernya tidak
diperiksa) dan memberikan opini. Auditor yang memiliki pengetahuan minimal di bidang
komputer dapat dilatih dengan mudah untuk
melaksanakan audit.
2.
Audit Through the Computer Dalam pendekatan audit ke sistem komputer (audit through the computer)
auditor
melakukan
pemeriksaan
langsung terhadap
program-program dan file-file komputer pada audit SI berbasis TI. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem komputer. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.
26 Audit through the computer memerlukan tenaga ahli auditor yang terampil dalam pengetahuan teknologi informasi, dan mungkin perlu biaya yang besar pula.
3.
Audit With the Computer Audit With the Computer merupkan suatu pendekatan audit dengan bantuan komputer, M enggunakan komputer sebagai alat bantu dalam audit,
menyangkut
pengujian
program,
file
atau
data yang
dipergunakan dan dimiliki oleh perusahaan (sebagai software bantuan audit). M etode ini merupakan pendekatan audit yang dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit.
2.7
Sistem Pengendalian Internal 2.7.1
Pengertian Sistem Pengendalian Internal M enurut M ulyadi (2001, p163), sistem pengendalian internal meliputi
struktur
organisasi,
metode,
dan
ukuran-ukuran
yang
dikoordinasikan untuk menjaga kekayaan organisasi dan mengecek ketelitian dan kehandalan data akuntansi, mendorong efisiensi, dan mendorong dipatuhinya kebijakan manajemen. M enurut Romney (2003, p195), sistem pengendalian internal adalah suatu rencana dari organisasi dan metode sebuah bisnis yang digunakan untuk melindungi asset, mendukung akurasi dan kebenaran informasi,
27 menyebarkan dan menambah efisiensi operasional serta meningkatkan ketepatan dalam pengambilan keputusan manajerial. Berdasarkan definisi di atas dapat disimpulkan bahwa sistem pengendalian internal merupakan sebuah sistem yang dirancang oleh pihak manajemen sebuah organisasi untuk mengendalikan dan mengawasi seluruh kegiatan organisasi tersebut dalam rangka menjaga asset perusahaan, menjamin dipatuhinya kebijakan manajemen, meningkatkan efisiensi operasional serta ketepatan pengambilan keputusan.
2.7.2
Tujuan Sistem Pengendalian Internal M enurut M ulyadi (2001,
p163), mengungkapkan empat tujuan
sistem pengendalian internal, yaitu untuk: a.
M enjaga kekayaan organisasi.
b.
M engecek ketelitian dan kehandalan data akuntansi.
c.
M eningkatkan efisiensi usaha.
d.
M endorong dipatuhinya kebijakan manajemen.
Sedangkan menurut Gondodiyoto (2007, p260), sistem pengendalian internal dijalankan bertujuan untuk: a.
M eningkatkan pengamanan ( improve safeguard ) asset informasi dan data atau catatan akuntansi ( accounting records ).
b.
M eningkatkan integritas data ( improve data integrity ) sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar.
28
2.7.3
c.
M eningkatkan efektivitas sistem (improve system effectiveness).
d.
M eningkatkan efesiensi sistem ( improve system efficiency ).
Komponen S istem Pengendalian Internal M enurut Weber (1999, p49), pengendalian internal terdiri dari lima komponen yang saling terintegrasi, antara lain: a.
Lingkungan pengendalian ( Control Environment ) Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian wewenang dan tanggung jawab yang harus dilakukan, cara komite audit
berfungsi,
dan
metode-metode
yang
digunakan
untuk
merencanakan dan memonitor kinerja. b.
Penaksiran Resiko ( Risk Assesment ) M encakup tentang identifikasi resiko, analisa resiko, dan cara pengendalian resiko.
c.
Aktivitas pengendalian ( Control Activities ) Aktivitas pengendalian resiko meliputi otorisasi, pengendalian fisik, pemeriksaan independen, dokumentasi yang memadai, pemisahan tugas dan fungsi.
d.
Pemrosesan
informasi
dan
komunikasi
(Information
and
Communication) Komponen utama informasi digunakan untuk mengidentifikasikan, mendapatkan,
dan
menukarkan
data yang dibutuhkan
mengendalikan dan mengatur operasi perusahaan.
untuk
29 e.
Pemantauan M emastikan pengendalian internal beroperasi dengan baik sepanjang waktu.
2.8
Sistem Pengendalian Intern Pada S istem Berbasis Komputer M enurut Weber (1999, p 38), struktur pengendalian internal yang perlu dilakukan pada sistem berbasis komputer adalah sebagai berikut: 1.
Pengendalian umum.
2.
Pengendalian aplikasi.
2.8.1
Pengendalian Umum Pengendalian yang berlaku umum, artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di dalam pengendalian tersebut. Apabila tidak dilakukan pengendalian ini atau pengendaliannya lemah maka berakibat negatif terhadap pengendalian aplikasi. Pengendalian umum terdiri dari: 1.
Pengendalian Top M anajemen ( Top Level Management Control ). M engendalikan
peranan
manajemen
dalam
perencanaan
kepemimpinan dan pengawasan fungsi sistem. 2.
Pengendalian M anajemen Sistem Informasi (Information System Management Control ).
30 M engendalikan alternatif dari model pengembangan proses informasi sehingga
dapat
digunakan
sebagai
dasar
pengumpulan
dan
pengevaluasian bukti. 3.
Pengendalian
M anajemen
Pengembangan
Sistem
(System
Development Management Control ). M engendalikan tahapan utama dari daur hidup program dan pelaksanaan dari tiap tahap. 4.
Pengendalian M anajemen Sumber Data (Data Resource Management Control). M engendalikan peranan dan fungsi dari data administrator atau database
5.
administrator.
Pengendalian M anajemen Jaminan Kualitas (Quality Assurance Management Control). M engendalikan fungsi utama yang harus dilakukan oleh Quality Assurance Management untuk meyakinkan bahwa pengembangan, pelaksanaan, dan pengoperasian, dan pemeliharaan dari sistem informasi sesuai dengan standar kualitas.
6.
Pengendalian M anajemen Keamanan ( Security Management Control ) M enurut Weber (1999, p257-266), dapat disimpulkan bahwa pengendalian terhadap manajemen keamanan secara garis besar bertanggung jawab dalam menjamin asset sistem informasi tetap aman. Ancaman utama terhadap keamanan asset sistem informasi adalah:
31 a. Ancaman kebakaran Beberapa pelaksanaan kemananan untuk ancaman kebakaran: 1. M emiliki alarm kebakaran otomatis yang diletakan pada tempat di mana asset-asset sistem informasi berada. 2. M emiliki tabung kebakaran yang diletakkan pada lokasi yang mudah diambil. 3. M emiliki tombol utama ( termasuk AC ). 4. Gedung tempat penyimpanan asset sistem informasi dibangun dari bahan tahan api. 5. M emiliki pintu / tangga darurat yang diberi tanda dengan jelas sehingga karyawan mudah menggunakannya. 6. Ketika alarm berbunyi, signal langsung dikirim ke stasiun pengendalian yang selalu dijaga oleh staff. 7. Prosedur pemeliharaan gudang yang baik menjamin tingkat polusi sesuatunya telah dirawat dengan baik. b. Ancaman banjir Beberapa pelaksanaan keamanan untuk ancaman banjir: 1. Usahakan bahan untuk atap, dinding, dan lantai tahan air. 2. M enyediakan alarm pada titik strategis dimana material asset sistem informasi dilakukan. 3. Semua material asset sistem informasi diletakkan di tempat yang tinggi. 4. M enutup peralatan hardware dengan bahan yang tahan air sewaktu tidak digunakan.
32 c.
Perubahan tenaga sumber energi Pelaksanaan
pengamanan
untuk
mengantisipasi
perubahan
tegangan sumber energi listrik, misalnya menggunakan stabilizer ataupun Uninteruptable Power Supply ( UPS ) yang memadai dan mampu meng-cover tegangan listrik jika tiba-tiba turun. d.
Kerusakan struktural Pelaksanaan struktural terhadap asset sistem informasi dapat terjadi karena adanya gempa, angin, dan salju. Beberapa pelaksanaan pengamanan untuk mengantisipasi
kerusakan
struktural misalnya adalah memiliki lokasi perusahaan yang jaran g terjadi gempa dan angin ribut. e.
Polusi Beberapa pelaksanaan pengamanan untuk mengantisipasi polusi, misalnya situasi kantor yang bebas debu dan tidak diperbolehkan membawa binatang peliharaan atau melarang karyawan membaw a atau meletakkan minuman di dekat peralatan komputer.
f.
Penyusup Pelaksanaan pengamanan untuk mengantisipasi penyusup, dapat dilakukan dengan penempatan penjaga dan penggunaan alarm .
g.
Virus Pelaksanaan keamanan untuk mengantisipasi virus meliputi tindakan: 1.
Preventive, seperti meng-install anti virus dan meng-update secara rutin, melakukan scan file yang digunakan.
33 2.
Detective, seperti melakukan scan secara rutin.
3.
Corrective, seperti memastikan back up data bebas virus, pemakaian anti virus terhadap file yang terinfeksi.
h.
Hacking Beberapa
pelaksanaan
pengamanan
untuk
mengantisipasi
hacking: 1.
Penggunaan control logical seperti penggunaan password yang sulit untuk ditebak.
2.
Petugas keamanan secara teratur memonitor sistem yang digunakan.
7.
Pengendalian M anajemen Operasi ( Operations Management Control ) M enurut Weber (1999, p 293-320), secara garis besar pengendalian manajemen Operasi ( Operations Management Control ) bertanggung jawab pada hal-hal sebagai berikut: a.
Pengoperasian komputer ( Computer Operations ) Tipe pengendalian yang harus dilakukan: 1. M enentukan fungsi-fungsi yang harus dilakukan operator komputer maupun fasilitas operasi otomatis. 2. M enentukkan penjadwalan kerja pada pemakaian hardware atau software. 3. M enentukan perawatan terhadap hardware agar dapat berjalan baik. 4. Pengendalian perangkat keras berupa hardware control dari produsen untuk deteksi hardware malfunction.
34 b.
Pengoperasian Jaringan ( Network Operations ) Pengendalian yang dilakukan ialah memonitor dan memelihara jaringan dan pencegahan terhadap akses oleh pihak yang tidak berwenang. Pengendalian sistem komunikasi data antara lain jalur komunikasi, hardware, cryptology, software.
c.
Persiapan dan Pengentrian Data ( Preparation and Entry Data ) Fasilitas-fasilitas yang ada harus dirancang untuk memiliki kecepatan dan keakuratan data serta telah dilakukan terhadap pengentrian data.
d.
Pengendalian Produksi ( Production Control ) Fungsi yang harus dilakukan untuk pengendalian produksi adalah: 1. Penerimaan dan pengiriman input dan output. 2. Penjadwalan kerja. 3. M anajemen pelayanan. 4. Peningkatan pemanfaatan komputer.
e.
File Library Fungsi yang harus dilakukan pada file library adalah: 1. Penyimpanan media penyimpanan ( storage of storage media ) 2. Penggunaan media penyimpanan ( use of storage media ). 3. Pemeliharaan dan penempatan media penyimpanan ( maintainance and disposal of storage media ). 4. Lokasi media penyimpanan ( location of storage media ).
35 f.
Documentation and Program Library Orang yang bertanggung jawab atas dokumentasi mempunyai beberapa fungsi yang harus dilakukan yaitu: 1. M emastikan bahwa semua dokumentasi disimpan secara aman. 2. M emastikan bahwa hanya orang yang memiliki otorisasi saja yang bisa mengakses dokumentasi. 3. M emastikan bahwa dokumentasi tersebut selalu up to date. 4. M emastikan adanya back up yang cukup untuk dokumentasi yang ada.
g.
Help Desk / Technnical Support Ada dua fungsi utama help desk atau technical support yaitu : 1.
M embantu end user dalam menggunakan hardware dan software yang berhubungan dengan end user seperti microcomputer, spreadsheet packages, database management packages, dan local area networks.
2.
M enyediakan technical support untuk sistem produksi dengan dilengkapi suatu penyelesaian masalah yang berhubungan dengan hardware, software,dan database.
h.
Capacity Planning dan Performance Monitoring Tujuan utama dari fungsi sistem informasi ini adalah untuk mencapai tujuan dari penggunaan sistem informasi dengan biaya serendah mungkin.
36 i.
Management of Outsourced Operations Saat ini banyak organisasi yang melakukan outsource terhadap beberapa fungsi dari sistem informasi mereka. Alasan utama dilakukannya outsource karena mereka ingin memfokuskan pada fungsi inti bisnis mereka.
2.8.2
Pengendalian Aplikasi 2.8.2.1 Pengendalian Boundary (Boundary Control) Pengendalian Boundary menentukan hubungan antara pemakai komputer dengan sistem komputer itu sendiri, ketika pemakai menggunakan komputer maka fungsi boundary berjalan. a.
Pengendalian Kriptografi (Cryptographic Control) Pengendalian Kriptografi dirancang untuk mengamankan data pribadi dan untuk menjaga modifikasi data oleh orang yang tidak berwenang, cara ini dilakukan dengan mengacak data sehingga tidak memiliki arti bagi orang yang tidak dapat menguraikan data tersebut.
b.
Pengendalian Akses (Access Control) Pengendalian Akses berfungsi untuk membatasi penggunaan sumber daya sistem komputer, membatasi dan memastikan user untuk mendapatkan sumber daya yang mereka butuhkan.
37 M enurut Weber (1999, p380-383), mekanisme pengendalian akses terdiri dari : 1.
Identifikasi
dan
Otentifikasi
(Identification
and
Authentification) User mengidentifikasi dirinya pada mekanisme pengendalian akses dengan memberi informasi seperti nama atau nomor rekening. Informasi tersebut memungkinkan mekanisme untuk menentukan bahwa data yang masuk sesuai dengan informasi pada file otentifikasi. Terdapat tiga bagian yang dapat diisi oleh user untuk informasi otentifikasi yaitu : a. Informasi yang mudah diingat, contohnya : nama, tanggal lahir, nomor account, password, PIN dan lain – lain. b. Objek yang berwujud yang dimiliki, contohnya : Badge, plastic card, kunci, cincin. c. Karakter pribadi, contohnya : sidik jari, ukuran tangan, suara, tanda tangan, pola retina mata. 2.
Sumber Daya Objek Sumber Daya yang digunakan oleh user berdasarkan sistem informasi berbasis komputer dapat dibagi menjadi empat jenis yaitu: a. Hardware, contohnya : terminal, printer, prossesor, disk. b. Software, contohnya : program sistem aplikasi, storage space. c. Komoditi, contohnya : Processor time, storage space
38 d. Data, contohnya : files, groups, data item ( termasuk images dan sound ). 3.
Hak istimewa (Action Privilages) Hak istimewa diberikan kepada user berdasarkan pada tingkatan kewenangan user dan jenis sumber daya yang diperlukan oleh user. Contoh hak istimewa ini adalah user hanya dapat melakukan akses berupa membaca tetapi tidak bisa mengubah atau menambah (dikenal dengan istilah read only), atau user hanya memiliki fasilitas menambah data tetapi tidak bisa mengubah atau menghapus data.
2.8.2.2 Pengendalian Input M enurut
Weber
(1999,
p420-450).
Komponen pada
subsistem input, bertanggung jawab untuk memasukkan data dan intruksi pada sistem aplikasi. Kedua jenis input tersebut harus divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol sehingga input yang dimasukkan akurat, lengkap, unik dan tepat waktu.
2.8.2.3 Pengendalian Output M enurut Weber (1999, p615 – 646), subsistem output menyediakan fungsi-fungsi yang menentukan isi dari data yang akan disediakan bagi pengguna, cara dimana data dapat diformat
39 dan dipersembahkan bagi pengguna, dan cara dimana data dapat diperbaiki dan dikeluarkan untuk pengguna. Tipe pengendalian yang berhubungan dengan pengendalian Output : a.
Inference Control Pengendalian model akses memperbolehkan atau menolak akses terhadap item data berdasarkan nama dari data item, isi dari data item atau beberapa karakteristik dari serangkaian data yang terdapat pada data item.
b.
Batch Output and Distribution Control Batch Output adalah output yang dihasilkan pada beberapa fasilitas operasi dan setelah itu dikirim atau disimpan oleh pemakai output tersebut. Output ini menggunakan banyak formulir,
contohnya
:
keluaran
laporan
pengendalian
manajeman berisi tabel, grafik, atau image. Pengendalian terhadap batch
output dilakukan dengan tujuan untuk
memastikan bahwa laporan tersebut akurat, lengkap dan tepat waktu yang akan dikirim atau diserahkan kepada pemakai yang berhak. c.
Batch Report Design Controls Elemen penting untuk melihat pengendalian efektivitas pelaksanaan terhadap produksi, distribusi, laporan keluaran batch adalah dengan melihat kualitas dari desainnya. Desain
40 laporan yang baik akan membuat pemakai mudah untuk membaca output yang dihasilkan. d.
Online Output Production and Distribution Control Pengendalian terhadap produksi dan distribusi atas output yang dilakukan melalui online secara garis lurus, tujuan utama adalah untuk memastikan bahwa hanya bagian yang memiliki wewenangan saja dapat melihat output online tersebut.
e.
Audit Trail Controls Pengendalian jejak audit pada subsistem output dilakukan untuk menjaga kronologi kejadian yang terjadi dari saat output diterima
sampai pemakai melakukan penghapusan
output tersebut karena sudah tidak dipakai atau disimpan lagi. f.
Existence Controls Output dapat hilang atau rusak karena berbagai alasan, seperti invoice hilang, online output terkirim pada alamat yang salah, output terbakar
karena kebakaran.
Recovery terhadap
subsistem output secara akurat, lengkap dan tepat merupakan hal yang sangat membantu kelangsungan hidup banyak organisasi.
2.9
41 Teknik Penilaian Resiko M enurut Peltier (2001, p74), resiko dibagi menjadi tiga tingkatan yaitu: 1.
High Vulnerability Kelemahan yang sangat besar didalam sistem atau rutinitas operasi di mana dampak potensial pada bisnis adalah penting untuk itu harus ada pengendalian yang ditingkatkan.
2.
Medium Vulnerability Beberapa kelemahan yang terdapat pada sistem dan dimana dampak potensial pada bisnis adalah penting, untuk itu akan ada pengendalian yang perlu ditingkatkan.
3.
Low Vulnerability Sistem telah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada penambahan pengendalian yang diperlukan untuk mengurangi kelemahan (vulnerability).
2.10 Standard IS ACA (Information Systems Audit and Control Association) M enurut buku Audit Sistem Informasi + Pendekatan CobIT, Gondodiyoto (2007, p85-86), standar untuk audit sistem informasi adalah :
1.
Audit Chapter 1.1
Responsibility, Authority, and Accountability
Perlunya dibuat Audit Charter atau Letter of Engagement dalam penugasan audit sistem informasi. Hal yang diatur tentang perlunya audit charter bagi audit internal (letter of engagement untuk auditor ekstern), mencakup
42 Responsibility, Authority, and Accountability, yaitu meliputi tanggung jawab, otoritas dan accountability dari fungsi audit sistem informasi pada suatu organisasi (perlu didokumentasikan dalam suatu surat keputusan pimpinan atau perjanjian).
2.
Independence 2.1
Profesional Independence
Dalam permasalahan yang berkaitan dengan audit, auditor sistem informasi harus bersikap independen dalam tingkah laku dan tindakannya. Auditor atau unit / fungsi audit harus mempunyai posisi independen terhadap pihakpihak yang terkait dalam audit (untuk menjaga agar tidak terjadi conflict of interest). 2.2
Organizational Relationship
Fungsi audit sistem informasi harus berada independen dari area yang diaudit untuk mencapai tujuan objektivitas dari suatu proses audit.
3.
Profesional Ethics and Standards 3.1
Code of Profesional Ethics
Auditor dari sistem informasi harus menghormati dan menaati etika profesional dari Information System Audit and Control Association. 3.2
Due Profesional Care
Standard auditing profesional harus diterapkan dalam segala aspek pekerjaan yang dilakukan oleh auditor sistem informasi.
43 4.
Competence 4.1
Continuing Professional Education
Auditor harus memiliki kompetensi yang dibutuhkan untuk melaksanakan tugasnya. Auditor sistem informasi harus me-maintain kompetensi teknikal melalui pendidikan profesional berkelanjutan.
5.
Planning 5.1
Audit Planning
Auditor sistem informasi harus merencanakan kegiatan audit, agar tujuan audit tercapai sesuai dengan standar profesional audit. Perencanaan audit atau audit planning diperlukan dalam tiap pelaksanaan suatu penugasan audit.
6.
Performance of Audit Work 6.1
Supervision
Staf dari audit sistem informasi harus tepat untuk dapat menjamin tujuan dari audit dijalankan dan standar profesional auditing dapat terpenuhi. 6.2
Evidence
Selama masa pekerjaan audit, auditor sistem informasi harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan objektif dari suatu audit.
44 7.
Reporting 7.1
Report Content and Form
Auditor sistem informasi harus menyediakan report dalam bentuk yang tepat pada saat penyelesaian tugas audit. Laporan Audit berupa lingkup, tujuan, periode audit, dan lingkungan dimana audit dijalankan. Laporan audit harus mengidentifikasikan permasalahan yang terjadi dalam jangka waktu audit. Laporan audit juga untuk memberikan rekomendasi dari layanan atau kualisifikas i yang diberikan auditor terhadap tugas audit yang dijalankan.
8.
Follow Up Activities 8.1
Follow Up
Tindak lanjut atas rekomendasi temuan audit, auditor sistem informasi harus meminta dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu dan rekomendasi yang dihasilkan pada periode audit terdahulu untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan dalam satu periode waktu.
