8 Bab 2 LANDASAN TEORI
2.1.
Sistem Informasi
2.1.1
Definisi Sistem Informasi Sistem adalah jaringan prosedur dan interaksi sekompok elemen yang saling terkoordinasi untuk mencapai tujuan tertentu.
Menurut Mulyadi (2001, h5)
”Sistem adalah suatu jaringan prosedur yang dibuat menurut pola yang terpadu untuk melaksanakan kegiatan pokok perusahaan”. Sedangkan menurut Mcleod, Jr. (2001, h11) ”Sistem adalah sekelompok elemen-elemen yang berintegrasi dengan maksud yang sama untuk mencapai suatu tujuan”. Alter mendefinisikan (1999, h37) “Sistem adalah sekumpulan komponen yang saling mempengaruhi yang bersama-sama mengusahakan untuk mencapai suatu tujuan”. Sedangkan menurut Mukhtar yang dikutip oleh Gondodiyoto (2003, h18) “Sistem adalah suatu entity yang terdiri dari dua atau lebih komponen yang saling berinteraksi untuk mencapai tujuan“. Adapun pendapat menurut James Hall dalam bukunya yang diterjemahkan oleh Jusuf yang dikutip oleh Gondodiyoto (2003, h18) “Sistem adalah sekelompok dua atau lebih komponen-komponen yang saling berkaitan (inter-related) atau subsistem-subsistem yang bersatu untuk mencapai tujuan yang sama (common purpose)“. Informasi adalah sekumpulan data yang telah diolah atau diproses menjadi bentuk yang berguna atau yang memiliki arti bagi penggunanya. Mcleod, Jr. (2001, h15) mendefinisikan “Informasi adalah data yang telah diproses, atau data yang memiliki arti”. Sedangkan menurut Gondodiyoto (2003, h21) “Informasi
9 adalah data yang sudah diolah menjadi bentuk yang lebih berguna dan lebih berarti bagi penerimanya, menggambarkan suatu kejadian dan kesatuan nyata yang dapat dipahami dan dapat digunakan untuk pengambilan keputusan, sekarang maupun untuk masa depan”.
Adapun pendapat menurut Wilkinson
(1997, p5) “Information is intelligence that is meaningful and useful to persons for whom it is intended”, definisi tersebut secara umum menyatakan bahwa informasi adalah data yang telah diproses sehingga bentuknya berubah dan nilainya semakin tinggi, oleh karena itu dapat dinyatakan bahwa data bahan baku dan informasi sebagai barang jadi. Pada pengertian sistem di atas, sistem didesain untuk mencapai tujuan tertentu. Sedangkan informasi adalah data yang diolah menjadi berguna atau memiliki arti bagi penggunanya. mempunyai
tujuan
untuk
Jadi, sistem informasi adalah sistem yang
mengolah
data
menjadi
informasi.
Menurut
Gondodiyoto (2003, h8) ”Sistem Informasi adalah interaksi antara sumber daya (komponen-komponen) di dalam suatu kesatuan terpadu untuk mengolah data menjadi informasi sesuai kebutuhan penggunanya. Sistem informasi terdiri dari sub-subsistem, sistem informasi akuntansi adalah salah satu subset sistem informasi tersebut”. Sedangkan menurut Hall (1995, p6) ”The information system is the set of formal procedures by which data are collected, processed into information, and distributed to users”.
Definisi tersebut secara umum
menyatakan bahwa sistem informasi adalah suatu prosedur formal dimana data dikumpulkan, diproses menjadi informasi dan didistribusikan kepada pemakai informasi tersebut.
10 Situs
web
http://id.wikipedia.org/wiki/Ilmu_Komputer#Sistem_Informasi
mendefinisikan “Sistem Informasi adalah aplikasi komputer untuk mendukung operasi dari suatu organisasi: operasi, instalasi, dan perawatan komputer, perangkat
lunak,
dan
data”.
Dan
pada
situs
web
http://members.tripod.com/kamii_yogyakarta/SI.htm, menurut Irawan ”Sistem adalah sekumpulan dari elemen-elemen yang berinteraksi untuk mencapai suatu tujuan tertentu”. Mulyadi berpendapat (2001, h11) “Sistem Informasi terdiri dari blok-blok bangunan yang membentuk sistem tersebut.
Komponen bangunan sistem
informasi terdiri dari enam blok (disebut dengan Information System Building Block) : masukan, model, keluaran, teknologi, basis data, dan pengendalian.” Bodnar dan Hopwood dalam bukunya Accounting Information System (2001, p4) menyatakan bahwa ”A computer-based information system is a collection of computer hardware and software designed to transform data into useful information”. Definisinya secara garis besar adalah sistem informasi berbasis komputer merupakan sekelompok perangkat keras dan perangkat lunak yang dirancang merubah data menjadi informasi yang bermanfaat. INFORMATION SYSTEMS
Electronic Data Processing System (EDP) Data Processing System (DP) Management Information System (MIS) Decision Support System (DSS) Expert System (ES) Executive Information System (EIS) Accounting Information System (AIS) Gambar 2.1 Types of Information System Sumber: Accounting Information System (Bodnar dan Hopwood, 2001)
11 Jadi, dapat disimpulkan bahwa sistem informasi adalah sumber daya yang saling berhubungan dan bekerja sama untuk mengumpulkan, mengolah, dan menyebarkan informasi yang dapat dipercaya, sesuai, tepat waktu, lengkap, ringkas dan dapat dimengerti, untuk mendukung pengambilan keputusan dalam suatu organisasi dan menyebarkannya ke pihak yang berkepentingan.
2.1.2
Mutu Informasi Menurut Hall dalam bukunya Accounting Information System (1995, pp14-15) yang dapat diterjemahkan secara umum bahwa suatu informasi dapat berguna haruslah memiliki beberapa karakteristik berikut ini : 1) Relevance (cocok atau sesuai) Isi dari sebuah laporan atau dokumen harus sesuai dengan tujuannya. 2) Timeliness (tepat waktu) Umur dari sebuah informasi adalah faktor yang kritis dalam menentukan kegunaannya. Informasi harus yang terbaru berdasarkan pada waktu dimana informasi tersebut akan digunakan. 3) Accuracy (akurat) Informasi harus bebas dari kesalahan. 4) Completeness (lengkap) Tidak satu pun data yang diperlukan dalam pengambilan keputusan terdapat kekurangan atau kehilangan. 5) Summarization (keringkasan) Sistem informasi harus menyajikan informasi ringkas, dan tepat yang sesuai dengan kebutuhan pemakai.
12 Sedangkan menurut Mukhtar yang dikutip oleh Gondodiyoto (2003, h22), suatu informasi bisa berguna haruslah memiliki beberapa karakteristik berikut ini: 1) Reliable (dapat dipercaya) Informasi haruslah bebas dari kesalahan dan haruslah akurat dalam mempresentasikan suatu kejadian atau kegiatan dari suatu organisasi. 2) Relevan (cocok atau sesuai) Informasi yang relevan harus memberikan arti kepada pembuat keputusan. Informasi ini bisa mengurangi ketidakpastian dan bisa meningkatkan nilai dari suatu kepastian. 3) Timely (tepat waktu) Informasi yang disajikan tepat pada saat dibutuhkan dan bisa mempengaruhi proses pengambilan keputusan. 4) Complete (lengkap) Informasi yang disajikan termasuk didalamnya semua data-data yang relevan dan tidak mengabaikan kepentingan yang diharapkan oleh pembuat keputusan. 5) Understandable (dimengerti) Informasi yang disajikan hendaknya dalam bentuk yang mudah dimengerti oleh si pembuat keputusan.
Menurut James Hall yang dikutip oleh Gondodiyoto (2003, hh22-23) ada tiga syarat yang harus dipenuhi agar suatu informasi dapat dikatakan mempunyai kualitas yang tinggi, yaitu :
13 1) Akurat, berarti informasi harus bebas dari kesalahan-kesalahan dan tidak menyesatkan para penggunanya. Akurat juga berarti informasi harus jelas mencerminkan maksudnya. 2) Tepat pada waktunya, berarti informasi yang datang pada penerimanya tidak boleh terlambat. Informasi yang sudah usang tidak mempunyai nilai lagi karena informasi yang digunakan sebagai dasar untuk pengambilan keputusan harus tepat waktu. Informasi yang terlambat dapat berakibat terlambatnya pengambilan keputusan atau keputusan tersebut salah karena data untuk dasar pengambilan keputusan sudah out-of-date. 3) Relevan, berarti informasi tersebut mempunyai manfaat bagi usernya (pemakainya).
Relevansi untuk tiap-tiap pihak berbeda tergantung dari
kepentingan masing-masing.
Menurut Gondodiyoto (2003, h23), ”Bahwa dalam usaha meningkatkan kualitas informasi paling tidak terdapat dua pertimbangan, yaitu : manfaat dan biaya untuk mendapatkannya. Suatu informasi dikatakan bernilai apabila manfaat dari informasi tersebut lebih efektif dibandingkan dengan biaya untuk mendapatkannya”.
2.1.3
Perlunya Evaluasi Investasi di Bidang Teknologi Informasi Pengevaluasian teknologi informasi merupakan suatu proses yang sulit dan seringkali memakan biaya yang sangat besar. Suatu teknologi informasi perlu dilakukan evaluasi, karena untuk menentukan atau memastikan efisiensi dan efektifitas suatu sistem informasi. Menurut Remenyi, Money, Smith dan Irani
14 (2000, pp162-163) untuk menentukan atau memastikan keefektifan suatu sistem informasi dapat ditinjau dari dua puluh empat (24) atribut, yaitu: 1) Kemudahan akses bagi pengguna terhadap fasilitas komputer. 2) Keupdatean perangkat keras. 3) Keupdatean perangkat lunak. 4) Akses ke database eksternal melalui sistem. 5) Persentase yang rendah terhadap kerusakan perangkat keras dan perangkat lunak. 6) Kompetensi teknis tingkat tinggi dari sistem yang mendukung staf. 7) Kepercayaan pengguna terhadap sistem. 8) Tingkat pengendalian personel pada sistem. 9) Tanggung jawab sistem dalam merubah kebutuhan pengguna. 10) Keamanan dan kerahasiaan data. 11) Waktu respon dari sistem. 12) Tingkat pelatihan pengguna. 13) Kecepatan menanggapi dalam mendukung staf menangani masalah. 14) Partisipasi dalam perencanaan kebutuhan sistem. 15) Fleksibilitas dari sistem dalam menghasilkan laporan profesional. 16) Sikap positif dan pemahanan pengguna atas sistem. 17) Pengguna mengerti mengenai sistem. 18) Keefektifan biaya secara keseluruhan terhadap sistem informasi. 19) Kemampuan sistem meningkatkan produktifitas personal. 20) Kemampuan sistem mempertinggi pengalaman belajar dari pelajar. 21) Standarisasi perangkat keras.
15 22) Dokumentasi untuk mendukung pelatihan. 23) Bantuan dengan pengembangan sistem. 24) Kemampuan komputer berhubungan dengan cabang lain.
Oleh karena itu, pelaksanaan audit sangat penting dilakukan, khususnya audit operasional yang bertujuan untuk mengevaluasi dan menilai efektifitas, efisiensi, dan ekonomisnya suatu kegiatan operasional dalam perusahaan.
2.1.4
Komponen-komponen Sistem Pada awalnya data diubah menjadi informasi melalui tahap masukan, pemrosesan, dan keluaran. Namun, setelah perkembangannya data yang diubah menjadi informasi dibagi menjadi tahap pengumpulan data (data collection), pemeliharaan data (data maintenance), pengolahan data (data management), pengendalian data (data control) termasuk keamanan, dan information generation. Yang mana
memiliki hubungan dengan subsistem yang saling berkaitan.
Komponen-komponen tersebut antara lain: 1) Data Collection (Pengumpulan Data) Komponen data collection atau pengumpulan data (yang merupakan tahap masukan) meliputi langkah-langkah seperti perolehan data transaksi, mencatat data kedalam formulir, serta mevalidasi dan mengedit data untuk memastikan ketelitian dan kelengakapannya. 2) Data Maintenance (Pemeliharaan Data) Komponen pemeliharaan data atau data maintenance (yang termasuk dalam tahap pemrosesan) meliputi langkah-langkah sebagai berikut :
16 9 Pengklasifikasian, atau penetapan pengumpulan data untuk kategori sebelum pembentukan. 9 Pencatatan/perekaman atau pengkopian/peniruan data pada dokumen lain atau dokumen perantara. 9 Mengurutkan, atau menyusun elemen data berdasarkan satu atau lebih karakter. 9 Batching atau mengumpulkan sekelompok transaksi yang sama. 9 Menggabungkan atau mengkombinasikan dua atau lebih sekumpulan data atau file. 9 Menghitung, atau melakukan penjumlahan, perkalian, pengurangan, dan pembagian. 9 Meringkas, atau mengumpulkan elemen data kuantitatif. 9 Membandingkan, atau memeriksa item-item dari sekumpulan data yang terpisah atau file untuk menemukan perbedaan yang ada. 3) Data Management (Pengolahan data) Komponen data management atau pengolahan data terdiri dari tiga langkah, yang meliputi: 9 Penyimpanan (Storing), meliputi penempatan data ke dalam tempat penyimpanan yang disebut basis data. 9 Pemeliharaan (Maintaining), meliputi pengaturan penyimpanan data untuk menanggapi kejadian baru, operasi dan keputusan. 9 Mendapatkan kembali (Retrieving), terdiri dari memasukan dan menyaring data untuk proses selanjutnya atau untuk melaporkan ke user.
17 4) Data Control (Pengendalian Data) Komponen pengendalian data atau data control, yang mempunyai dua tujuan dasar, yaitu: 9 Melindungi dan mengamankan asset perusahaan termasuk data 9 Untuk memastikan ketelitian dan kelengkapan serta proses yang benar dari data yang dihasilkan 5) Information Generation Komponen information generation penginterpretasian,
pelaporan,
dan
meliputi langkah-langkah seperti penyampaian
informasi.
mendukung keluaran dari proses transaksi dan informasi.
Sources of data
Data Collection
Data Maintenance
Information Generation
Users
Data Management Input
output Security and Control
Gambar 2.2 Fungsi dari Sistem Informasi Akuntansi Sumber: Accounting Information Systems (Wilkinson, Cerullo, Raval, dan Wong-On-Wing, 2000)
Hal
ini
18 2.1.5
Penjadwalan Perkuliahan Pada umumnya, teori di atas membahas mengenai sistem informasi bisnis, namun masih ada sistem informasi lainnya misalnya Sistem Informasi Penjadwalan Perkuliahan pada suatu universitas, sistem penjadwalan ujian, dan lain-lain.
Di UBiNus terdapat beberapa sistem informasi yang mendukung
kegiatan operasional, antara lain : Sistem Informasi Dukungan Pengajaran, Sistem Informasi Digital Library, Sistem Informasi Data Dosen, Sistem Informasi Penjadwalan Perkuliahan, Sistem Informasi Tugas Akhir dan Skripsi, Sistem Informasi Ujian S1, Sistem Informasi Layanan Keuangan, Sistem Informasi Layanan S1, Sistem Informasi Honor, Sistem Informasi Perkuliahan, Sistem Informasi IKAD Dosen, Sistem Informasi Mahasiswa, Sistem Informasi Nilai, Sistem Informasi Building Manajemen dan Sistem Informasi Admisi. Penjadwalan kuliah adalah suatu proses pengaturan dan penyusunan waktu, kelas, sistem kredit semester (SKS) dan matakuliah serta jadwal dosen agar tidak terjadi kerancuan dalam proses pelaksanaan kuliah. http://www.robertsetiadi.net/articles/snkk.htm
Pada situs web
mengatakan bahwa inti dari
penjadwalan kuliah adalah ”Bagaimana menjadwalkan sejumlah komponen yang terdiri atas mahasiswa, dosen, ruang, dan waktu dengan sejumlah batasan dan syarat (constraint) tertentu”. Berdasarkan definisi-definisi di atas penjadwalan perkuliahan dapat disimpulkan sebagai suatu proses pengalokasian, penyusunan dan pengaturan sejumlah komponen yang terdiri dari mahasiswa, dosen, ruang, sistem kredit semester (SKS) dan waktu sehingga tidak terjadi kerancuan (bentrok) dalam proses pelaksanaan kuliah.
19
2.2
Sistem Pengendalian Intern (SPI)
2.2.1
Definisi Sistem Pengendalian Intern Sistem pengendalian intern adalah
suatu prosedur yang mengatur dan
mengkoordinasi masalah-masalah intern perusahaan, khususnya hal-hal yang berhubungan dengan masalah pengendalian keuangan, produksi, dan pemasaran. Menurut Gondodiyoto (2003, h78) mendefinisikan bahwa, “Sistem pengendalian intern meliputi metode dan kebijakan yang terkoordinasi di dalam perusahaan untuk mengamankan kekayaan perusahaan, menguji ketepatan, ketelitian dan kehandalan catatan atau data akuntansi serta untuk mendorong ditaatinya kebijakan manajemen”.
Sedangkan menurut Mulyadi (2001, h163) “Sistem
pengendalian intern meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi dan mengecek ketelitian dan kehandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen”. Berdasarkan definisi-definisi di atas dapat disimpulkan bahwa sistem pengendalian intern merupakan sebuah sistem yang dirancang oleh pihak manajemen sebuah organisasi untuk mengendalikan dan mengawasi seluruh kegiatan organisasi untuk menjaga harta perusahaan serta untuk menjamin terlaksananya peraturan-peraturan dan hukum yang berlaku.
20 2.2.2
Tujuan Sistem Pengendalian Intern Tujuan pengendalian intern adalah untuk menjaga dan mengendalikan harta perusahaan secara baik berdasarkan peraturan serta hukum yang berlaku. Menurut Mulyadi (2001, h163) tujuan sistem pengendalian intern adalah: 1) Menjaga kekayaan organisasi. 2) Mengecek ketelitian dan kehandalan data akuntansi. 3) Meningkatkan efisiensi usaha. 4) Mendorong dipatuhinya kebijakan manajemen.
Menurut Hall (1995, p96) “The internal control system is comprised on policies, practices, and procedures employed by the organization to achieve four broad objectives : 1) To safeguard assets of the firm. 2) To ensure the accuracy and reliability of accounting records and information. 3) To promote effeciency in the firm’s operation. 4) To measure compliance with management’s prescribed policies and procedures.”
Maksudnya secara umum adalah sistem pengendalian intern terdiri dari kebijakan, praktek, dan prosedur yang digunakan oleh organisasi untuk mencapai 4 tujuan umum, yaitu : 1) Untuk mengamankan aset perusahaan. 2) Untuk menjamin keakuratan dan dapat dipercayanya catatan akuntansi dan informasi.
21 3) Untuk meningkatkan efektifitas kegiatan perusahaan. 4) Untuk memenuhi pelaksanaan kebijakan dan prosedur yang telah ditentukan oleh manajemen.
Menurut Gondodiyoto (2003, h75) sistem pengawasan intern dijalankan bertujuan untuk : 1) Mengamankan aset organisasi. 2) Memperoleh informasi yang akurat dan dapat dipercaya. 3) Meningkatkan efektifitas dan efisiensi kegiatan. 4) Mendorong kepatuhan pelaksanaan terhadap kebijakan organisasi.
Gondodiyoto (2003, h86) menyimpulkan bahwa pengendalian intern yang baik dalam perusahaan akan memberikan keuntungan, antara lain: 1) Dapat memperkecil kesalahan-kesalahan dalam penyajian data akuntansi, sehingga akan menghasilkan laporan yang benar. 2) Melindungi atau membatasi kemungkinan terjadinya kecurangan dan penggelapan-penggelapan. 3) Menghasilkan pekerjaan yang efisien. 4) Mendorong dipatuhinya kebijakan pimpinan. 5) Tidak memerlukan detail audit dalam bentuk pengujian substantif atas bahan bukti atau data perusahaan yang cukup besar oleh akuntan publik.
Dari pendapat di atas dapat disimpulkan bahwa tujuan sistem pengendalian intern adalah untuk menjaga kekayaan perusahaan, memperoleh informasi yang
22 akurat dan dapat dipercaya, meningkatkan efektifitas dan efisiensi kegiatan, dan mendorong dipatuhinya kebijakan manajemen.
2.2.3
Elemen Sistem Pengendalian Intern Elemen Sistem Pengendalian Intern terdiri dari lingkungan pengendalian, penafsiran resiko, komunikasi dan informasi perusahaan, dan pemantauan. Menurut Arens dan Loebbecke yang diterjemahkan oleh Amir Abadi Yusuf (1996, hh270-271) menyatakan bahwa elemen sistem pengendalian intern terdiri dari : 1) Lingkungan Pengendalian. Yaitu tindakan, kebijakan, dan prosedur yang mencerminkan sikap manajemen puncak yang harmonis, sikap manajemen dan pemilik satu entitas mengenai arti pentingnya suatu sistem pengendalian intern. 2) Penetapan Resiko oleh Manajemen. Merupakan identifikasi atau analisa oleh manajemen atas resiko yang relevan terhadap penyiapan laporan keuangan agar sesuai dengan prinsip akuntansi yang berlaku umum. 3) Sistem Komunikasi dan Informasi dan Informasi Akuntansi. Merupakan metode yang digunakan untuk mengidentifikasi, menggabungkan, menyusun klasifikasi, mencatat, dan melaporkan transaksi satu entitas untuk menjamin akuntabilitas aktiva yang terkait. 4) Aktivitas Pengendalian. Merupakan kebijakan dan prosedur yang ditetapkan menajemen untuk memenuhi tujuannya di dalam pelaporan keuangan.
23 5) Pemantauan. Adalah penilaian efektifitas rancangan operasi struktur pengendalian intern secara periodik dan terus menerus oleh manajemen untuk melihat apakah manajemen telah dilaksanakan dengan semestinya dan telah diperbaiki sesuai dengan keadaan.
Gondodiyoto (2003, hh80-81) menyimpulkan elemen pengendalian intern menjadi tiga bagian, yaitu : 1) Lingkungan pengendalian 9 Nilai integritas dan etika. 9 Komitmen terhadap kompetensi. 9 Dewan komisaris dan komite audit. 9 Filosofi dan gaya operasi manajemen. 9 Struktur organisasi yang memadai. 9 Pembagian tugas dan delegasi wewenang. 9 Kebijakan dan praktek sumber daya manusia. 2) Informasi, komunikasi dan resiko 9 Sistem dan prosedur (dalam hal ini khususnya sistem akuntansi) efektif dan memberikan keyakinan yang memadai dalam penyajian informasi. 9 Segala sesuatunya lebih dikomunikasikan kepada berbagai pihak: manajemen, personil dan lain-lainnya. 9 Adanya resiko yang mungkin akan timbul bila : ada bidang baru, perubahan sistem, teknologi baru, hukum dan sebagainya.
24 3) Aktivitas pengendalian 9 Pemisahan tugas dan fungsi. 9 Otorisasi yang memadai. 9 Adanya dokumentasi yang layak. 9 Pengendalian fisik atas kekayaan dan catatan akuntansi. 9 Verifikasi independen atau review atas kegiatan atau kinerja.
Pada web situs
http://www.bpkp.go.id/unit/investigasi/cegah_deteksi.pdf
menjelaskan bahwa dalam memperkuat pengendalian intern di perusahaan, COSO (The Committee of Sponsoring Organizations of The Treadway Commission) pada bulan September 1992 memperkenalkan suatu rerangka pengendalian yang lebih luas daripada model pengendalian akuntansi yang tradisional dan mencakup manajemen resiko, yaitu pengendalian intern terdiri atas lima komponen yang saling terkait yaitu : 1) Lingkungan pengendalian (control environment) menetapkan corak suatu organisasi,
mempengaruhi
kesadaran
pengendalian
orang-orangnya.
Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian intern, menyediakan disiplin dan struktur. Lingkungan pengendalian mencakup : 9 Integritas dan nilai etika. 9 Komitmen terhadap kompetensi. 9 Partisipasi dewan komisaris atau komite audit. 9 Filosofi dan gaya operasi manajemen. 9 Struktur organisasi.
25 9 Pemberian wewenang dan tanggung jawab. 9 Kebijakan dan praktek sumber daya manusia. 2) Penaksiran resiko (risk assessment) adalah identifikasi entitas dan analisis terhadap resiko yang relevan untuk mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana resiko harus dikelola.
Resiko dapat
timbul atau berubah karena keadaan berikut : 9 Perubahan dalam lingkungan operasi. 9 Personel baru. 9 Sistem informasi yang baru atau diperbaiki. 9 Teknologi baru. 9 Lini produk, produk atau aktivitas baru. 9 Operasi luar negeri. 9 Standar akuntansi baru. 3) Standar Pengendalian (control activities) adalah kebijakan dan prosedur yang membantu menjamin bahwa arahan manajemen dilaksanakan. Kebijakan dan prosedur yang dimaksud berkaitan degan: 9 Penelaahan terhadap kinerja. 9 Pengolahan informasi. 9 Pengendalian fisik. 9 Pemisahan tugas. 4) Informasi dan komunikasi (information and communication) adalah pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu bentuk dari waktu yang memungkinkan orang melaksanakan tanggung jawab mereka. Sistem informasi mencakup sistem akuntansi, terdiri atas metode dan
26 catatan yang dibangun untuk mencatat, mengolah, meringkas, dan melaporkan transaksi entitas dan untuk memelihara akuntabilitas bagi aktiva, utang dan ekuitas. Komunikasi mencakup penyediaan suatu pemahaman tentang peran dan tanggung jawab individual berkaitan dengan pengendalian intern terhadap pelaporan keuangan. 5) Pemantauan
(monitoring)
adalah
proses
menentukan
mutu
kinerja
pengendalian intern sepanjang waktu. Pemantauan mencakup penentuan desain dan operasi pengendalian yang tepat waktu dan pengambilan tindakan koreksi.
Weber (1999, p35) menyatakan bahwa terdapat tiga dasar dari pengendalian, yaitu: 1) Preventive Control Instruksi ditempatkan pada sumber dokumen untuk mencegah petugas dari kesalahan pengisian. 2) Detective Control Program masukan yang dapat mengidentifikasi data yang tidak benar dimasukkan ke dalam sistem melalui terminal. 3) Corrective Control Suatu program yang menggunakan kode spesial yang memungkinkan untuk memperbaiki data yang rusak karena kesalahan pada arus komunikasi.
Dapat disimpulkan bahwa elemen pengendalian intern terdiri dari lima komponen, yaitu:
27 1) Lingkungan Pengendalian Merupakan kebijakan, prosedur dan tindakan yang mencerminkan sikap manajemen puncak organisasi yang mempengaruhi kesadaran pengendalian orang-orangnya. 2) Penaksiran Resiko Adalah mengidentifikasi dan menganalisis resiko yang relevan untuk mencapai tujuan organisasi dan menentukan bagaimana suatu resiko harus dikelola. 3) Aktivitas Pengendalian Merupakan kebijakan dan prosedur yang ditetapkan manajemen untuk melaksanakan arahannya. 4) Informasi dan Komunikasi Merupakan metode yang digunakan untuk mengidentifikasi, menggabungkan, mengklasifikasi,
dan
pertukaran
informasi
pada
waktu
orang-orang
melaksanakan tanggung jawabnya. 5) Pemantauan Merupakan proses menentukan mutu kinerja pengendalian intern secara periodik dan terus menerus oleh manajemen untuk melihat apakah manajemen telah dilaksanakan dengan semestinya dan telah diperbaiki sesuai dengan keadaan.
28 2.2.4
Jenis Pengendalian Intern Jenis pengendalian intern terdiri dari pengendalian umum dan pengendalian aplikasi. Secara garis besar sistem pengendalian intern yang perlu dilakukan pada sistem berbasis komputer adalah sebagai berikut : 1) Pengendalian Umum (General Controls) Pengendalian umum menurut Gondodiyoto (2003, h126) adalah “Sistem pengendalian intern komputer yang berlaku secara umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara keseluruhan. Artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Apabila tidak dilakukan pengendalian ini ataupun pengendaliannya lemah maka dapat berakibat negatif terhadap aplikasi (kegiatan komputerisasi tertentu)”. Sedangkan menurut Bodnar dan Hopwood dalam bukunya Sistem Informasi Akuntansi yang diterjemahkan oleh Jusuf dan Tambunan (2000, h186) mendefinisikan
pengendalian
umum
adalah
“Mempengaruhi
seluruh
pemrosesan transaksi”. Weber (1999, p39) membagi pengendalian manajemen menjadi 7, yaitu: 9 Pengendalian Top Manajemen (Top Management Controls). 9 Pengendalian
Manajemen
Sistem
Informasi
(Information
System
Management Controls). 9 Pengendalian Manajemen Pengembangan Sistem (System Development Management Controls). 9 Pengendalian Manajemen Sumber Data (Data Resources Management Controls).
29 9 Pengendalian
Manajemen
Jaminan
Kualitas
(Quality
Assurance
Management Controls). 9 Pengendalian Manajemen Keamanan (Security Management Controls). 9 Pengendalian Manajemen Operasi (Operations Management Controls).
Sedangkan menurut Mulyadi (2001, hh183-187) sistem pengendalian umum meliputi : 9 Organisasi. Adanya pemisahan fungsi antar bagian dalam organisasi. 9 Pengendalian atas sistem dan program. Pengendaliannya meliputi prosedur penelaahan dan pengesahan sistem baru, prosedur pengujian program, prosedur perubahan program, dan dokumentasi. 9 Pengendalian terhadap fasilitas pengolahan data. Meliputi pengendalian terhadap operasi konversi, operasi komputer, perpustakaan dan fungsi pengendalian.
Menurut Bodnar dan Hopwood yang diterjemahkan oleh Jusuf dan Tambunan (2000, h186) membagi pengendalian umum menjadi: 9 Rencana pengorganisasian dan pemrosesan transaksi. 9 Prosedur pengendalian peralatan. 9 Masalah pengendalian peralatan. 9 Pengendalian peralatan dan akses data.
Dalam ruang lingkup audit Sistem Informasi JDWKUL ini ditekankan pada pengendalian umum yang menyangkut segementasi mengenai:
30 A. Pengendalian Manajemen Keamanan (Security Management Controls). Menurut Weber (1999, pp257-266) dapat disimpulkan bahwa pengendalian
terhadap
manajemen
keamanan
secara
garis
besar
bertanggung jawab dalam menjamin aset sistem informasi tetap aman. Ancaman utama terhadap keamanan aset sistem informasi adalah : 1) Ancaman Kebakaran Beberapa pelaksanaan pengamanan untuk ancaman kebakaran: 9 Memiliki alarm kebakaran otomatis yang diletakkan pada tempat dimana aset-aset sistem informasi berada. 9 Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah diambil. 9 Keberadaan alat-alat pemadam kebakaran dapat dilihat dan dipakai dengan mudah dan cepat oleh karyawan. 9 Untuk mencegah kebakaran akibat tegangan listrik, maka kabelkabel dan penghantar listrik dilapisi atau di tempatkan pada bahan yang tidak mudah terbakar. 9 Memiliki tombol power utama ( termasuk AC). 9 Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan tahan api . 9 Memiliki pintu/tangga darurat yang diberi tanda dengan jelas sehingga karyawan dengan mudah menggunakannya. 9 Ketika alarm kebakaran berbunyi signal langsung dikirimkan ke stasiun pengendalian yang selalu dijaga oleh staf.
31 9 Prosedur pemeliharan gedung yang baik menjamin tingkat polusi rendah disekitar aset sistem informasi yang bernilai tinggi. Contoh: ruang komputer yang selalu dibersihkan dengan teratur, pengawasan
rutin
dan
pengujian
terhadap
semua
sistem
perlindungan kebakaran dan memastikannya dirawat dengan baik. 2) Ancaman Banjir Beberapa pelaksanaan pengamanan untuk ancaman banjir : 9 Jika memungkinkan memiliki atap, dinding dan lantai yang tahan air. 9 Menyediakan alarm pada titik strategis dimana material aset sistem informasi diletakkan. 9 Semua material aset sistem informasi diletakkan di tempat yang tinggi. 9 Menutup peralatan hardware dengan bahan yang tahan air dan udara sewaktu tidak digunakan. 9 Memastikan saluran pembuangan saluran air yang lancar dan kapasitasnya cukup. 9 Mempunyai tombol atau panel utama untuk semua saluran utama air. 9 Untuk mencegah ancaman banjir, tempatkan aset sistem informasi di lantai yang lebih tinggi dimana lokasi aset ditempatkan. 9 Lokasi tempat aset sistem informasi di tempatkan sebaiknya memiliki suhu yang kering atau tidak ada genangan air.
32 3) Kerusakan Struktural Kerusakan struktural terhadap aset sistem informasi dapat terjadi karena adanya gempa, angin, salju.
Beberapa pelaksanaan
pengamanan untuk mengantisipasi kerusakan struktural yaitu dengan memiliki lokasi perusahaan yang strategis dan aman dari ancamanancaman tersebut, dan juga diperlukan perancangan yang baik terhadap semua resiko yang akan dihadapi. 4) Polusi Lokasi tempat aset sistem informasi harus bebas dari polusi karena polusi bisa mengakibatkan kerusakan pada disk drive, penyebab utama dari kerusakan hardware adalah debu yang sehingga diperlukan penjagaan terhadap kebersihan yang baik dan teratur.
Beberapa
pelaksanaan pengamanan untuk mengatasi polusi adalah situasi kantor yang bebas debu dan tidak memperbolehkan membawa binatang peliharaan dan tong sampah yang secara teratur dibersihkan. 5) Perubahan Tegangan Sumber Energi Perubahan tegangan sumber energi dapat berupa peningkatan energi dan penurunan energi, yang dapat mengganggu perangkat keras operasi tetapi juga sistem yang diperlukan untuk memelihara stabilitas suatu
lingkungan
operasional.
Pelaksanaan
pengaman
untuk
mengantisipasi perubahan tegangan sumber energi yaitu menggunakan stabilizer ataupun UPS yang memadai yang mampu mengcover tegangan listrik yang tiba-tiba turun.
33 6) Penyusup Penyusup biasanya masuk dengan tujuan untuk mencari aset sistem informasi untuk disabotase atau untuk tujuan pemerasan. Pelaksanaan pengamanan untuk mengantisipasi penyusup dapat dilakukan dengan penempatan penjaga dan penggunaan alarm, dapat juga dilakukan dengan menggunakan card locking system, dan disk drive diletakkan di brankas, kabinet atau rak khusus yang dikunci. 7) Virus Pelaksanaan pengamanan untuk mengantisipasi virus : 9 Tindakan preventif seperti menginstal anti virus, dan mengupdate secara rutin, menscan file yang akan digunakan. 9 Tindakan detektif, melakukan scan secara rutin. 9 Tindakan korektif, memastikan back-up data bebas virus, penggunaan anti virus terhadap file yang terinfeksi. 8) Hacking Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking yaitu dengan menggunakan pengendalian logika seperti penggunaan password yang sulit untuk ditebak serta penempatan petugas keamanan yang secara teratur yang memonitor sistem yang digunakan.
Apabila ancaman keamanan benar-benar terjadi, pengendalian akhir yang dapat dilaksanakan antara lain adalah : 1) Rencana Pemulihan Bencana 9 Rencana Darurat (Emergency Plan)
34 Adalah jika terjadi sesuatu, tindakan apa yang segera harus dilakukan, siapa melakukan apa, dan bagaimana melakukannya. 9 Rencana Backup (Backup Plan) Dilakukan misalnya dengan membuat persetujuan dengan unit komputer atau instalasi lain, yaitu bila terjadi masalah dapat menggunakan komputer di tempat tersebut. 9 Rencana Pemulihan (Recovery Plan) Prosedur apa yang harus dilakukan untuk kembali pada keadaan sebelum terjadi kerusakan dan tidak melakukan proses yang sama lagi. 9 Rencana Pengujian (Test Plan) Seluruh program kerja yang sudah direncanakan perlu diuji coba lebih dahulu untuk tes atau uji kelayakannya. 2) Asuransi Pemilihan asuransi untuk peralatan, fasilitas, media penyimpanan, gangguan listrik, dokumen dan kertas yang berharga harus mempertimbangkan cost and benefitnya. 2) Pengendalian Aplikasi (Application Controls) Pengendalian khusus atau pengendalian aplikasi menurut Gondodiyoto (2003, h139) adalah “Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan”. Sedangkan menurut Mulyadi (2002, h190)
“Pengendalian aplikasi dirancang untuk
memenuhi persyaratan pengendalian khusus setiap aplikasi”. Menurut Bodnar dan Hopwood yang diterjemahkan oleh Jusuf dan Tambunan (2000, h186)
35 “Pengendalian aplikasi berpengaruh khusus terhadap aplikasi-aplikasi individual”. Menurut Mulyadi (2002, h190) tujuan pengendalian aplikasi mempunyai tujuan untuk : 9 Menjamin bahwa semua transaksi yang telah diotorisasi telah diproses sekali saja secara lengkap. 9 Menjamin bahwa data transaksi lengkap dan teliti. 9 Menjamin bahwa pengolahan data transaksi benar dan sesuai dengan keadaan. 9 Menjamin bahwa hasil pengolahan data dimanfaatkan untuk tujuan yang telah ditetapkan. 9 Menjamin bahwa aplikasi dapat terus menerus berfungsi.
Weber (1999, pp39-40) membagi pengendalian aplikasi menjadi 6 (enam) pengendalian, yaitu : A. Pengendalian Batasan (Boundary Controls) Menurut Weber (1999, p370) “The boundary subsystem establishes the interface between the would-be user of a computer system and the computer system itself“. Maksudnya batasan sistem (boundary) dibangun sebagai suatu tampilan antara pengguna sistem komputer dengan sistem komputer itu sendiri.
Adapun 3 (tiga) tujuan pengendalian subsistem
boundary adalah sebagai berikut :
36 9 Untuk menetapkan identitas dan kewenangan pengguna dari sistem komputer (sistem harus memastikan orang tersebut adalah orang yang berhak). 9 Untuk menetapkan identitas dan kewenangan dari sumber daya yang digunakan (pengguna harus memastikan bahwa mereka memberikan kewenangan dari sumber daya). 9 Membatasi tindakan-tindakan yang dilakukan oleh pengguna yang menggunakan sumber daya komputer terhadap tindakan-tindakan yang terotorisasi (pengguna diperbolehkan menggunakan sumber daya pada batasan-batasan tertentu).
Sedangkan menurut Gondodiyoto (2003, h140) pengendalian batasbatas sistem aplikasi (boundary controls) ialah bahwa dalam suatu sistem aplikasi komputer perlu jelas desainnya, yang mencakup hal-hal: 9 Ruang lingkup sistem. Suatu sistem komputerisasi harus jelas ruang lingkupnya: apa dokumen inputnya, dari mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya, siapa sponsornya (pemegang kewenangan). 9 Subsistem dan keterkaitan.
Sistem terdiri dari subsistem, modul,
program, dan perlu kejelasan ruang lingkupnya (boundary controls), dan keterkaitan (interface) antar subsistem-subsistem atau modulmodul.
37 Keberadaan pengendalian di dalam batasan subsistem pada umumnya secara langsung.
Jika subsistem gagal, pengendalian biasanya tidak
mencoba untuk menukar kembali subsistem yang gagal, tapi pengguna yang diminta untuk mulai mengulang prosedur kembali.
B. Pengendalian Masukan (Input Controls) Menurut
Weber
(1999,
p420)
pengendalian
masukan
adalah
“Components in the input subsystem are responsible for bringing both data and istrucitons into an application control“. Pengertiannya secara garis besar adalah pengendalian yang dilakukan ketika memasukkan data ke dalam sistem.
Dokumen sumber digunakan sebagai dasar untuk
menginput data. Dokumen sumber yang didesain dengan baik penting untuk mencapai tujuan audit. Sedangkan menurut Bodnar dan Hopwood yang diterjemahkan oleh Jusuf dan Tambunan (2000, h189) menyatatakan bahwa
“Pengendalian
masukan
dirancang
untuk
mencegah
atau
mendeteksi kekeliruan dalam tahap masukan pengolahan data”. Menurut Gondodiyoto (2003, h140) menyatakan bahwa input merupakan salah satu tahap dalam sistem komputerisasi yang paling krusial dan mengandung resiko. Resiko yang dihadapi misalnya : 9 Data transaksi yang ditulis oleh pelaku transaksi salah (error). 9 Kesalahan pengisian dengan kesengajaan disalahkan. 9 Penulisan tidak jelas sehingga dibaca salah oleh orang lain.
38 Hall (1995, p647) membagi pengendalian input menjadi 6 kelompok, yaitu : 9 Source document controls. 9 Data coding controls. 9 Batch controls. 9 Validation controls. 9 Input error correction. 9 Generalized data input systems.
Cara pemrosesan data input menurut Gondodiyoto (2003, pp140-142) antara lain : 1) Batch system Cara pemprosesan data input dengan sistem batch processing adalah data diolah dalam satuan kelompok dokumen.
Pengendalian input
dalam sistem batch dilakukan pada tahap : 9 Data Capturing. Dilakukan sejak pada tahap pengisian dokumen input (data capturing). Pengendalian ini termasuk pengendalian yang bersifat preventif, caranya misalnya dengan desain formulir atau dokumen yang baik, jelas dan mudah pengisiannya, dan sebagainya. 9 Batch Data Preparation.
Pada tahap persiapan sebelum
perekaman (data preparation), yaitu antara lain dilaksanakannya editing code atau isian-isian nomor tertentu, dan pembundelan
39 (batching).
Pada waktu batching dibuat total controls untuk
jumlah lembar dokumen, jumlah uang, dan sebagainya. 9 Batch Data Entry.
Pada tahap pemasukan data (data entry),
biasanya dicek terprogram oleh mesin data entry system (mesin perekam data yang kini sudah jarang digunakan, atau bahkan sudah tidak ada lagi). 9 Validation.
Pengecekan terprogram (validation) terhadap data
input berdasar kriteria tertentu, misalnya jumlah lembar dokumen menurut jumlah record yang dihitung komputer sesuai (sama) dengan yang tertulis pada record batch. 2) On-line Real Time Entry Validation Cara penginputan yang lainnya adalah on-line transaction processing system.
Pada sistem tersebut data masukan dientry dengan
workstation/terminal atau jenis input device yang seperti automatic teller machine (ATM). Pengendalian input dalam sistem on-line real time dilakukan pada tahap : 9 Entry Data & Validation. Pada sistem on-line real time seringkali sudah tidak dengan dokumen lagi. Data lazimnya langsung dientry ke sistem komputer. 9 Batch Process. Pada batch processing sistem lazimnya entry data dilakukan petugas data entry (petugas teknis unit komputer), sedangkan dalam sistem on-line lazimnya entry data oleh pemakai langsung.
40 9 Output.
Dalam
sistem
komputerisasi,
khususnya
yang
menggunakan sistem on-line real time, paperless, maka masalah jejak pemeriksaan (audit trail) menjadi makin penting.
C. Pengendalian Proses (Process Controls) Menurut Gondodiyoto (2003, h144) “Pengendalian proses ialah pengendalian intern untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses. Kemungkinan timbulnya error dapat disebabkan oleh: kesalahan logika program, salah rumus, salah urutan program, ketidakpaduan antara subsistem ataupun kesalahan teknis lainnya”. Sedangkah menurut Weber (1999, p519) “The processing subsystem is responsible for comuting, sorting, classifying, and summarizing data“. Maksudnya pengendalian proses adalah bertanggung jawab untuk menghitung, mengurutkan, mengklasifikasi, dan meringkas data.
Menurut Bodnar dan Hopwood
yang diterjemahkan oleh Jusuf dan Tambunan (2000, h192) “Pengendalian pemrosesan dirancang untuk memberikan jaminan bahwa pemrosesan telah terjadi sesuai dengan spesifikasi yang ditentukan dan
tidak ada
transaksi yang hilang atau tidak tepat yang dimasukkan ke jalur pemrosesan “. Weber (1999, pp520-527) menyatakan bahwa pengendalian proses terdiri dari :
41 1) CPU (Central Processing Unit) CPU adalah sumber daya yang paling penting dalam perangkat keras, yang memiliki tiga komponen, yaitu: 9 Control unit, yang mengambil program dari memori dan menentukan jenisnya. 9 Aritmatik dan logika unit, yang menampikan operasi. 9 Register, memori kecil yang berkecepatan tinggi untuk menyimpan hasil sementara.
Terdapat empat jenis pengendalian proses yang dapat digunakan untuk mengurangi kemungkinan kehilangan data karena kerusakan dan hal lain yang berhubungan dengan CPU, yaitu: a) Error detection and correction Kesalahan dalam prosesor dapat dideteksi melalui pengecekan keseimbangan
atau
pengecekan
validitas
instruksi.
Jika
kesalahannya sementara (lenyap setelah periode yang singkat), dapat diperbaiki dengan usaha melaksanakan kegagalan perintah lagi. b) Multiple execution Suatu kondisi dimana harus dilakukan perbaikan yang banyak. c) Timing controls Pengendalian waktu dapat digunakan untuk mencegah prosesor tetap berada pada loop atau putaran yang tidak terbatas karena kesalahan program.
42
d) Component Replication Komponen-komponen
program
dapat
direplikasi
untuk
memungkinkan pemrosesan untuk terus dalam keadaan di mana komponen prosesor gagal. 2) Real Memory Control Memori asli dari sistem komputer yang terdiri dari sejumlah tetap penyimpanan utama dimana program atau data harus ada untuk dijalankan atau disesuikan dengan prosesor pusat. 3) Virtual Memory Control Virtual memory control ada jika alamat tempat penyimpanan lebih besar dari real memory yang ada.
D. Pengendalian Keluaran (Output Controls) Menurut Gondodiyoto (2003, h145) mengatakan bahwa “Pengendalian keluaran adalah pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang-orang yang tidak berhak”. Sedangkan menurut Hall (1995, p664) menyatakan bahwa “Output control ensure that system output is not lost, misdirected, or corrupted and that privacy is not violated”.
Maksudnya secara garis besar adalah
pengendalian keluaran memastikan bahwa sistem keluaran tidak mengalami kehilangan, kerusakan dan tidak melanggar kebebasan pribadi. Sedangkan menurut Bodnar dan Hopwood yang diterjemahkan oleh Jusuf
43 dan Tambunan (2000, h194) “Pengendalian keluaran dirancang untuk memeriksa apakah masukan dan pemrosesan berpengaruh pada keluaran secara absah dan apakah keluaran telah didistribusikan secara memadai”.
E. Pengendalian Basis Data (Database Controls) Menurut Weber (1999, p563) “The database subsystem provides functions to define, create, modify, delete, and read data in an information system“.
Definisinya secara garis besar adalah subsistem database
menyediakan
suatu
fungsi
untuk
mendefinisikan,
menciptakan,
memodifikasi, menghapus dan membaca data di dalam suatu sistem informasi. Menurut Weber (1999, pp572–574) mengatakan bahwa terdapat bagian yang memberikan informasi tentang beberapa update dan report protokol yang mungkin digunakan pada aplikasi perangkat lunak untuk menjaga keutuhan database. 1) Update Protocol Dalam
aplikasi
perangkat
update
protokol
digunakan
untuk
memastikan perubahan pada database merupakan refleksi dari perubahan data sesungguhnya dan berhubungan dengan entitas pada data di suatu database yang mendukung perubahan tersebut. Update protokol dapat dilakukan dengan cara : 9 Sequence check transaction and master file. 9 Memastikan semua catatan pada file telah diproses.
44 9 Memastikan proses transaksi yang terjadi telah diproses dengan benar. 2) Report Protocol Report protocol adalah aplikasi perangkat lunak yang didesain untuk menyediakan informasi kepada user atas database yang akan membuat mereka dapat mengidentifikasi kesalahan ketika database di update.
Ada 5 jenis kegagalan/kerusakan pada database (Weber,1999, p585), yaitu : 9 Aplication Program Error. 9 System Software Error. 9 Hardware Failure. 9 Procedural Error. 9 Enviromental Failure.
Pengendalian eksistensi meliputi : 9 Backup Strategy. 9 Recovery Strategy. Backup dan Recovery Strategy meliputi : 1) Grandfather, Father, Son Strategy, yaitu melibatkan pemeliharaan 2 (dua) versi database sebelumnya dari file master dan file transaksi. 2) Dual Recording/Mirroring Strategy, yaitu strategi yang melibatkan pemeliharaan
dua
salinan
yang
terpisah
memperbaharui ke dua-duanya secara serentak.
dari
database
dan
45 3) Dumping, yaitu melibatkan pengkopian keseluruhan atau sebagian atas database dari beberapa backup medium. 4) Loging, yaitu melibatkan pencatatan suatu transaksi yang berubah dari database atau suatu gambaran dari catatan yang diubah oleh suatu tindakan pembaharuan.
F. Pengendalian
Komunikasi
Aplikasi
(Application
Communication
Controls) Menurut Weber (1999, p473) “The communication subsystem is responsible for transporting data among all the other subsystems eithin a system and for transporting data to or receiving data from another system“.
Definisinya secara garis besar adalah subsistem komunikasi
bertanggung jawab untuk pengiriman data ke subsistem yang lain dalam suatu sistem dan untuk pengiriman data ke penerima data dari sistem yang lain.
Sedangkan, menurut Gondodiyoto (2003, h146)
dalam suatu
instalasi sistem komputerisasi yang sudah canggih jaringan komunikasi datanya, kebijakan atau manajemen jaringan diharapkan telah memenuhi hampir seluruh kebutuhan pengendalian, termasuk kebutuhan spesifik aplikasi. Pengendalian komunikasi aplikasi meliputi (Weber 1999, pp477-503) : 1) Physical Component Controls Menyangkut pengendalian atas : 9 Media transmisi. 9 Communication line.
46 9 Modem. 9 Port-Protection device. 9 Multiplexor dan concentrators. 2) Line Error Controls Menyangkut pengendalian atas : a) Error detection. Terdiri dari: 9 Loop Check. Mengirim kembali pesan yang dikirimkan untuk menentukan apakah pesan tersebut sama dengan yang dikirimkan. 9 Parity Check. Menambah redudansi bit pada sebuah pesan yang berfungsi pada sebuah bit lainnya. 9 Cyclic Redudancy Check. Blok data untuk dikirimkan yang diperlakukan sebagai nomor binary. b) Error correction. Terdiri dari: 9 Forward error correcting code. Menyampaikan kode data yang telah dikoreksi dan diterima dalam keadaan error. 9 Backward error correcting code. Pengiriman kembali yang melibatkan pengirim untuk mengirim kembali data yang salah. 3) Link Controls Menyangkut pengendalian atas protocol jaringan, dibutuhkan untuk mengelola koneksi antara dua titik dalam suatu jaringan. 4) Channel Access Controls Pengendalian ini menggunakan metode :
47 9 Polling methods.
Menetapkan perintah di nodes yang dapat
diakses ke kapasitas channel (saluran). 9 Contention methods. Nodes di network harus bersaing satu sama lain untuk mendapatkan akses ke channel. 5) Flow Controls Menyangkut pengendalian atas aliran data antar dua titik dalam suatu jaringan yang dibedakan dalam beberapa tahap (seperti proses mengirim, menerima dan memproses data). Pengendalian ini dapat menggunakan dua protokol, yaitu : 9 Stop and wait protocol. Menerima data, tunggu, selesai, dan menerima data kembali. 9 The sliding window protocol. Secara terus menerus menerima data. 6) Internetworking Controls Menyangkut pengendalian atas proses koneksi antara dua jaringan komunikasi
dan
perangkat-perangkat
yang
digunakan
untuk
mendukung internetworking seperti bridge, router, dan gateway. 7) Communication Architectures and Controls Menyangkut pengendalian atas layer-layer protocol komunikasi seperti Open System Interconnection (OSI), Transmission Control Protocol/Internet Protocol (TCP/IP), System Network Architecture (SNA), dan lain-lain.
48 8) Topological Controls Menyangkut pengendalian atas : Local Area Network Topologies dan Wide Area Network Topologies. 9) Audit Trail Controls (Operation audit trail) Menyangkut pengendalian atas performance dan integritas jaringan. 10) Controls Over Subversive Threats Pengendalian terhadap sabotase baik dari pihak perusahaan maupun pihak dari luar perusahaan. 9 Link encryption. Melindungi data yang dikirim melalui koneksi dua nodes pada suatu network. 9 End to end encryption. Melindungi keutuhan data yang dikirim melalui jaringan antara pengirim dan penerima. 9 Stream ciphers.
Menciptakan dependensi interbit dalam pesan
chipertext untuk membuat mereka tidak mudah untuk disabotase. 9 Error propagation codes. Menghalangi perubahan dengan tidak terdeteksi pada urutan-urutan blok kode. 9 Message authentication codes. Pemeriksaan yang dapat digunakan untuk mendeteksi pesan-pesan. 9 Message sequence number. Dapat digunakan untuk memeriksa perubahan urutan pesan-pesan. 9 Request – response menchanism. Memeriksa pada saat komunikasi antara pengirim dan penerima terganggu. 11) Existence Control
49 Menyangkut pengendalian atas back-up dan recovery dalam jaringan komunikasi, pemeliharaan perangkat keras dan perangkat lunak atas sistem aplikasi dan lain-lain.
Berdasarkan keterangan diatas, maka dapat disimpulkan bahwa pengendalian intern terdiri dari pengendalian umum dan pengendalian aplikasi. Pengendalian umum terdiri dari pengendalian top manajemen, pengendalian manajemen sistem informasi, pengendalian manajemen pengembangan sistem, pengendalian manajemen sumber data, pengendalian manajemen jaminan kualitas, pengendalian manajemen
keamanan,
pengendalian
manajemen
operasi.
Sedangkan
pengendalian aplikasi terdiri dari pengendalian batasan sistem, pengendalian masukan, pengendalian proses, pengendalian keluaran, pengendalian basis data, dan pengendalian komunikasi aplikasi.
2.3
Auditing
2.3.1
Definisi Auditing Auditing adalah suatu cara yang sistematik untuk mengevaluasi dan mengoreksi atas kebenaran suatu kegiatan berdasarkan standar yang berlaku. Mulyadi (2002, h9) mendefinisikan ”Auditing adalah suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataanpernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai
50 yang berkepentingan”. Sedangkan Menurut Arens dan Loebbecke dalam bukunya yang diterjemahkan oleh Jusuf (1996, h1), ”Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seseorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi yang dimaksud dengan kriteria- kriteria yang telah ditetapkan. Auditing seharusnya dilakukan oleh seorang yang independen dan kompeten”. Gondodiyoto berpendapat (2003, h61) ”Auditing adalah kegiatan memeriksa suatu entitas, kemudian dengan mengumpulkan bukti/data dan mengevaluasi bukti/data tersebut berdasarkan standar/kriteria yang telah ditetapkan, kemudian akan menghasilkan laporan dari auditor mengenai kesesuaian kegiatan atau kejadian yang diperiksa tersebut dengan kriteria yang ditetapkan”. Sedangkan
menurut
Konrath
(2002)
pada
situs
web
http://masjidits.com/detail2.php?IDNews=1944, yang dikutip oleh Hidayat mendefinisikan bahwa “Auditing adalah sebuah proses yang sistematis yang bertujuan untuk mendapatkan dan menilai bukti atas pengakuan tentang kegiatan dan kejadian ekonomis untuk memastikan tingkat kesesuaian antara pengakuan dan kriteria yang ditetapkan dan mengkomunikasikan hasilnya kepada pihak lain yang berkepentingan. Kegiatan dan kejadian ekonomis itu sudah dituangkan dalam laporan keuangan (sebagai suatu output sistem) yang disusun dari suatu sistem (proses) akuntansi”. Jadi berdasarkan pendapat-pendapat diatas dapat disimpulkan bahwa pengertian auditing adalah proses pengumpulan dan pengevaluasian bahan bukti terukur mengenai suatu kesatuan usaha oleh seseorang yang kompeten dan
51 independen untuk menentukan dan melaporkan kesesuaian informasi yang dimaksud dengan kriteria-kriteria yang telah ditetapkan berupa prinsip-prinsip yang telah diterima secara umum.
2.3.2
Jenis-jenis Auditing Jenis- jenis dari auditing adalah audit keuangan, audit sistem informasi, audit pajak, audit operasional, dan audit produksi. Mulyadi (2002, hh30-32) membagi audit menjadi tiga jenis, yaitu: 1) Audit Laporan Keuangan (General Financial Statement Audit) Audit yang dilakukan oleh auditor eksternal independen terhadap laporan keuangan yang disajikan oleh kliennya untuk menyatakan pendapat mengenai kewajiban laporan keuangan tersebut serta kesesuaiannya dengan standar akuntansi keuangan.
2) Audit Kepatuhan (Compliance Audit) Adalah audit yang tujuannya untuk menentukan apakah yang diaudit sesuai dengan kondisi atau peraturan tertentu. 3) Audit Operasional/Manajemen (Operational/Management Audit) Merupakan review secara sistematik kegiatan organisasi , atau bagian daripadanya,
dalam
hubungannya
dengan
tujuan
tertentu,
lazimnya
menyangkut efektifitas, efisiensi, dan ekonomis tidaknya operasi suatu organisasi.
Selain yang disebutkan di atas, dikenal juga jenis yang lain, yaitu :
52 4) Audit Forensik (Forensic Audit) Menurut Edward Nurdin yang dikutip oleh Gondodiyoto (2003, h63) ”Audit forensik adalah audit yang dilaksanakan dalam kaitannya sebagai dukungan dalam proses litigasi dan investigasi”. 5) Audit Terhadap Kecurangan (Fraud Audit) Menurut Karyono yang dikutip oleh Gondodiyoto (2003, h63) fraud audit : 9 Merupakan proses audit yang memfokuskan pada keanehan/keganjilan objek yang perlu dilakukan audit. 9 Mencegah
terjadinya
kecurangan
(preventing
fraud),
mendeteksi
(detecting) maupun pemeriksaan kecurangan (investigating fraud). 6) Audit Keuangan Yang Lebih Rinci Menurut Gondodiyoto (2003, h63), audit ini bukan hanya audit terhadap laporan keuangan (General Financial Audit) seperti disebutkan diatas, melainkan yang sudah bersifat lebih mendalam (Special Assignment, misalnya audit/pemeriksaan tuntas, due diligent), atau pemerikasaan bersifat investigasi (Investigative Audit).
Pada situs web http://www.bpkp.go.id/unit/Pusat/soaltrah.pdf, menggolongkan jenis audit yang ditinjau dari tujuan dan sifat, sebagai berikut :
1) Audit Ketaatan (Compliance Audit) Adalah audit yang bertujuan untuk memberikan informasi kepada pihak-pihak yang berkepentingan tentang kesesuaian antara kondisi dengan peraturan
53 perundangan-undangan yang berlaku. Kriteria yang digunakan dalam audit ketaatan adalah peraturan perundang-undangan yang berlaku bagi auditan. 2). Audit Keuangan (Financial Audit) Adalah audit yang betujuan untuk memberikan informasi kepada pihak-pihak yang berkepentingan tentang kesesuaian antara informasi kuantitatif yang disajikan oleh manajemen dengan prinsip akuntansi yang berlaku bagi auditan tersebut. Informasi kuantitatif merupakan suatu media yang tertulis dengan berbagai nama dan bentuknya seperti : 9 Laporan Keuangan. 9 Laporan Pertanggungjawaban (aspek keuangan). 9 Laporan akuntabilitas instansi pemerintah (aspek keuangan). 3) Audit Operasional (Operational Audit) Adalah audit yang bertujuan untuk menilai apakah kegiatan yang dilakukan atau dipertanggung jawabkan oleh auditan telah dilakukan secara ekonomis, efisien dan efektif. 4) Audit Khusus (Special Audit) Arti audit khusus yang dipakai disini adalah audit yang dilakukan berkaitan dengan adanya indikasi tindak pidana korupsi dan atau penyalahgunaan wewenang dan atau ketidaklancaran pelaksanaan pembangunan.
Sedangkan menurut Arens dan Loebbecke (1996, hh4-5) jenis-jenis audit terdiri dari :
54 1) Audit Laporan Keuangan Audit laporan keuangan bertujuan untuk menentukan apakah laporan keuangan secara keseluruhan yang merupakan informasi terukur yang akan diverifikasi telah disajikan sesuai dengan kriteria-kriteria tertentu. 2) Audit Operasional Audit operasional merupakan penelaahan atas bagian manapun dari prosedur dan metode operasi suatu organisasi untuk menilai efisiensi dan efektifitasnya. 3) Audit Ketaatan Audit ketaatan bertujuan mempertimbangkan apakah auditi (klien) telah mengikuti prosedur atau aturan tertentu yang telah ditetapkan pihak yang memiliki otoritas lebih tinggi.
Jenis-jenis audit menurut Gondodiyoto (2003, hh151-152) adalah sebagai berikut : 1) Audit laporan keuangan (Financial Statement Audit) Audit ini dilakukan untuk mengetahui tingkat kewajaran atas laporan keuangan yang disajikan oleh perusahaan (sesuai dengan standar akuntansi keuangan dan tidak ada salah saji material kas). 2) Audit operasional (Operational Audit) a) Audit terhadap aplikasi komputer 1. Post-implementation audit (audit setelah implementasi) 9 Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah
55 sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). 9 Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai kebutuhan usernya, atau perlu dimodifikasi dan bahkan perlu dihentikan. 9 Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor
dapat
mengevaluasi
apakah
sistem
yang
sudah
diimplementasikan perlu diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan. 2. Concurrent audit (Audit secara bersama-sama) Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer, dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance. b) General audit (audit umum) Auditor mengevaluasi kinerja unit fungsional atau fungsi sistem informasi (pusat/instlasi komputer) apakah telah dikelola dengan baik, apakah pengendalian dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.
56 Jadi, dapat disimpulkan bahwa jenis audit terdiri dari audit keuangan, audit ketaatan, audit forensik, audit terhadap kecurangan, audit keuangan yang lebih rinci,
audit khusus, dan audit operasional yang terdiri dari yaitu (1) Audit
terhadap aplikasi komputer yang terdiri dari Post-implementation audit (audit setelah implementasi) dan Concurrent audit (Audit secara bersama-sama). (2) General audit (Audit umum).
2.3.3
Prosedur Audit Prosedur audit adalah pedoman yang akan dilakukan oleh auditor untuk mengumpulkan bahan bukti audit tertentu.
Menurut Mulyadi (2002, h86)
”Prosedur audit adalah instruksi rinci untuk mengumpulkan tipe bukti audit tertentu yang harus diperoleh pada saat tertentu dalam audit”. Sedangkan menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf mendefinisikan “Prosedur audit adalah petunjuk rinci untuk pengumpulan jenis bahan bukti audit tertentu yang diperoleh pada waktu tertentu selama audit”. Menurut Mulyadi (2002, hh86-88) prosedur audit yang dapat dilakukan oleh auditor meliputi : 1) Inspeksi Inspeksi merupakan pemeriksaan secara rinci terhadap dokumen atau kondisi fisik sesuatu. 2) Pengamatan atau Observasi Pengamatan atau observasi merupakan prosedur audit yang digunakan oleh auditor untuk melihat atau menyaksikan pelaksanaan suatu kegiatan. Objek yang diamati auditor adalah karyawan, prosedur, dan proses.
57 3) Permintaan Keterangan Permintaan keterangan merupakan prosedur audit yang dilakukan dengan meminta keterangan secara lisan.
Bukti audit yang dihasilkan dari prosedur
ini adalah bukti lisan dan bukti dokumenter. 4) Pemeriksaan Dokumen Pendukung (Vouching) Pemeriksaan dokumen pendukung merupakan prosedur audit yang meliputi inspeksi terhadap dokumen-dokumen yang mendukung suatu transaksi atau data keuangan untuk menentukan kewajaran dan kebenarannya kemudian membandingkan dokumen tersebut dengan catatan akuntansi yang berkaitan. Prosedur ini dilaksanakan dengan tujuan untuk memperoleh bukti audit mengenai kebenaran perlakuan akuntansi terhadap transaksi yang terjadi. 5) Penelusuran Dalam melaksanakan prosedur audit ini, auditor melakukan penelusuran informasi sejak mula-mula data tersebut direkam pertama kali dalam dokumen, dilanjutkan dengan pelacakan pengolahan data tersebut dalam proses akuntansi.
Prosedur audit ini terutama diterapkan terhadap bukti
dokumenter. 6) Konfirmasi Konfirmasi merupakan bentuk penyelidikan yang memungkinkan auditor memperoleh informasi secara langsung dari pihak ketiga yang bebas. Prosedur yang biasa ditempuh oleh auditor dalam konfirmasi adalah sebagai berikut : 9 Auditor meminta dari klien untuk menanyakan informasi tertentu kepada pihak luar.
58 9 Klien meminta kepada pihak luar yang ditunjuk oleh auditor untuk memberikan jawaban langsung kepada auditor mengenai informasi yang ditanyakan oleh auditor tersebut. 9 Auditor menerima jawaban langsung dari pihak ketiga tersebut. 7) Penghitungan (Counting) Prosedur audit ini meliputi perhitungan fisik terhadap sumber daya berwujud seperti kas atau sediaan di tangan dan pertanggungjawaban semua formulir bernomor urut tercetak.
8) Scanning Merupakan review secara cepat terhadap dokumen, catatan dan daftar untuk mendeteksi unsur-unsur yang tampak tidak biasa yang memerlukan penyelidikan lebih mendalam. 9) Pelaksanaan Ulang (Reperforming) Prosedur ini merupakan pengulangan aktivitas yang dilaksanakan oleh klien. Umumnya pelaksanaan ulang diterapkan pada penghitungan dan rekonsiliasi yang telah dilakukan oleh klien. 10)Teknik audit berbantuan komputer (Computer-assisted audit techniques) Teknik ini digunakan bilamana catatan akuntansi klien diselenggarakan dalam media elektronik.
Sedangkan menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf (1996, hh153-158) yaitu :
59 1) Pemeriksaan fisik Pemeriksaan fisik adalah inspeksi atau penghitungan aktiva berwujud oleh auditor. 2) Tanya jawab dengan klien Tanya jawab adalah mendapatkan informasi tertulis atau lisan dari klien dengan menjawab pertanyaan dari auditor. 3) Konfirmasi Konfirmasi digambarkan sebagai penerimaan jawaban tertulis maupun lisan dari pihak ketiga yang independen dalam memverifikasi akurasi informasi yang telah diminta oleh auditor. 4) Dokumentasi atau Pemeriksaan Dokumen (Vouching) Merupakan pemeriksaan auditor atas dokumentasi dan catatan klien untuk menyokong informasi yang ada atau seharunya ada dalam laporan keuangan. Dokumen yang diperiksa oleh auditor adalah catatan yang digunakan klien untuk menyediakan informasi dalam melaksanakan usahanya dalam kondisi yang terorganisasi. 5) Pengamatan Pengamatan adalah penggunaan perasaan untuk menetapkan aktifitas tertentu. 6) Pelaksanaan Ulang (Reperformance) Mencakup pengecekan ulang suatu sampel perhitungan dan perpindahan informasi yang dilakukan klien selama periode yang diaudit. 7) Prosedur Analitis Prosedur analitis adalah menggunakan perbandingan dan hubungan untuk menentukan apakah saldo akun tersaji secara layak.
60
Dapat disimpulkan bahwa prosedur audit adalah petunjuk atau instruksi rinci untuk pengumpulan jenis bahan bukti audit tertentu yang harus diperoleh pada saat tertentu dalam audit. Prosedur audit terdiri dari inspeksi atau pemeriksaan fisik, pengamatan atau observasi, konfirmasi, permintaan keterangan atau tanya jawab dengan klien, penelurusuran, Pemeriksaan dokumen pendukung (vouching), penghitungan (counting), scanning, Pelaksanaan Ulang (Reperforming), teknik audit berbantuan komputer (Computer-assisted audit techniques), dan prosedur analitis. 2.4
Audit Sistem Informasi
2.4.1
Definisi Audit Sistem Informasi Cangemi (2003, p48) berpendapat “IS auditing is defined as any audit that encompasses the review and evaluation of all aspects (or any portion) of automated information processing systems, including related non-automated processes, and the interfaces between them”. Pengertiannya secara garis besar adalah bahwa penetapan audit meliputi peninjauan dan pengevaluasian dari semua aspek (atau semua porsi) terhadap sistem pemrosesan informasi secara otomatis, termasuk hubungan proses yang tidak otomatis, dan tampilan diantara keduanya. Dalam bukunya yang berjudul “Managing the Audit Function”
Cangemi
menjelaskan mengenai sejarah audit sistem informasi yang dimulai dengan revolusi teknologi, dimana dalam proses operasional bisnis, pekerjaan dibantu dengan komputer. Pada awalnya audit sistem informasi disebut sebagai audit EDP (Electronic Data Processing), namun setelah perkembangan teknologi yang semakin maju, audit EDP (Electronic Data Processing) sudah tidak dapat
61 memenuhi kebutuhan bisnis modern, karena audit EDP (Electronic Data Processing) ini hanya melakukan evaluasi terhadap pengendalian aplikasi, yang meliputi pengendalian masukan, proses, dan keluaran. Sedangkan pengendalian umum yang dievaluasi adalah rencana organisasi dan operasi aktifitas EDP (Electronic Data Processing); prosedur untuk mendokumentasi, meninjau, menguji dan menyetujui sistem atau program dan perubahan yang bersangkutan; pengendalian yang dibangun dengan peralatan oleh pabrikan (biasanya disebut Pengendalian Perangkat Lunak/Software Controls); pengendalian atas akses peralatan dan berkas data; data lain dan pengendalian prosedural yang mempengaruhi operasi EDP (Electronic Data Processing) secara keseluruhan. Oleh karena itu, dibutuhkan audit sistem informasi yang dapat mengevaluasi sistem informasi secara keseluruhan, dimana pengendalian aplikasinya meliputi pengendalian batasan, pengendalian masukan, pengendalian proses, pengendalian keluaran, pengendalian basis data, dan pengendalian aplikasi komunikasi. Sedangkan pengendalian umumnya adalah pengendalian top manajemen, pengendalian
manajemen
sistem
informasi,
pengendalian
manajemen
pengembangan sistem, pengendalian manajemen sumber data, pengendalian manajemen
jaminan
kualitas,
pengendalian
manajemen
keamanan
dan
pengendalian manajemen operasi. Audit sistem informasi adalah suatu proses untuk mengevaluasi kelayakan suatu sistem, apakah sistem tersebut dapat membantu perusahaan mencapai tujuan, apakah sistem tersebut sudah sesuai dengan standar yang berlaku. Menurut Weber (1999, p10) “Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system
62 safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and users resources efficiently”. Pengertiannya secara garis besar adalah merupakan proses untuk mengumpulkan dan mengevaluasi buktibukti untuk menentukan apakah sistem komputer dapat melindungi aktiva organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Sedangkan menurut Gondodiyoto (2003, h151) “Audit terhadap sistem informasi merupakan suatu pengevaluasian untuk mengetahui bagaimana tingkat kesesuaian antara aplikasi sistem informasi dengan prosedur yang telah ditetapkan dan
mengetahui
apakah
suatu
sistem
informasi
telah
didesain
dan
diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset yang memadai, serta menjamin integritas data yang memadai. Pada situs web http://www.bpkp.go.id/unit/puslitbangwas/Istilahaudit.pdf mendefinisikan “EDP audit adalah suatu proses pengumpulan dan evaluasi bukti untuk menetapkan apakah sistem (pembukuan) komputer dapat mengamankan harta, menjaga integritas data, tujuan organisasi dapat tercapai dengan efektif dengan penggunaan sumber-sumber daya secara efisien”. Sehingga dapat disimpulkan bahwa audit sistem informasi adalah suatu proses pengumpulan dan pengevaluasian bukti-bukti untuk mengetahui tingkat kesesuaian antara aplikasi sistem informasi dengan prosedur yang telah ditetapkan dan untuk menentukan apakah suatu sistem informasi dapat melindungi harta perusahaan, menjaga integritas data, dapat mencapai tujuan perusahaan secara efektif dengan menggunakan sumber daya secara efisien dan ekonomis.
63 2.4.2
Tujuan Audit Sistem Informasi Tujuan audit sistem informasi adalah meningkatkan integritas sistem, mengevaluasi kelayakan sistem, dan menyesuaikan kerja sistem dengan standar yang berlaku. Tujuan audit sistem informasi menurut Weber (1999, pp11-13) terbagi menjadi empat antara lain: 1) Asset
Safeguarding
Objectives
(Meningkatkan
Keamanan
Aset-aset
Perusahaan). 2) Data Integrity Objectives (Meningkatkan Integritas Data). 3) System Effectiveness Objective (Meningkatkan Efektifitas Sistem). 4) System Efficiency Objectives (Meningkatkan Efisiensi Sistem).
INFORMATION SYSTEMS AUDITING
ORGANIZATIONAL
Improved safeguarding of assets
Improved data integrity
Improved system effectiveness
Improved system efficiency
Gambar 2.3 Overview of Information Systems Auditing Sumber: Information System Control and Audit (Weber 1999, p11)
Gondodiyoto (2003, h153) menyimpulkan tujuan audit sistem informasi terbagi menjadi:
64 1) Pengamanan Aset Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sitem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan. 2) Menjaga Integritas Data Integritas data (data integrity) adalah suatu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti : kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki hasil suatu laporan yang benar bahkan perusahaan dapat menderita kerugian. 3) Efektifitas Sistem Meningkatkan objektifitas efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sesuai dengan kebutuhan. Efektifitas yang dicapai baru dapat diketahui setelah sistem berjalan lama, manajemen memerlukan audit untuk mengetahui apakah sistem telah berjalan sesuai dengan tujuan yang telah ditetapkan. 4) Efisiensi Sistem Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena
65 suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber informasi yang minimal. 5) Ekonomis Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisien berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.
Weber (1999, p5) berpendapat bahwa terdapat tujuh faktor yang mendorong pentingnya pengendalian dan audit sistem informasi, yaitu : 1) Organizational Cost of Data Loss (Mendeteksi resiko kerugian perusahaan akibat kehilangan data). 2) Costs of Incorrect Decision Making (Mendeteksi resiko kerugian perusahaan karena pengambilan keputusan yang salah). 3) Costs of Computer Abuse (Mendeteksi resiko kerugian perusahaan karena penyalahgunaan komputer). 4) Value of Hardware, Software, Personnel (Menjaga aset perusahaan karena nilai perangkat keras, perangkat lunak, dan personil yang biasanya tinggi). 5) High Costs of Computer Error (Mendeteksi resiko kerugian perusahaan karena kesalahan atau kegagalan komputer). 6) Maintenance of Privacy (Memelihara kerahasiaan). 7) Controlled evolution of computer use (Mengendalikan perubahan penggunaan komputer).
atas
66
Organizational costs of data loss
Costs of incorrect decission making
Costs of computer abuse
Value of hardware, software, personnel
High costs of computer error
Controlled Maintenance evolution of of privacy computer use
ORGANIZATIONAL
Control and audit of comuter-based information systems
Gambar 2.4 Factors influencing an organization toward control and audit Sumber: Information System Control and Audit (Weber 1999, p5)
Berdasarkan beberapa tujuan audit sistem informasi diatas, maka dapat disimpulkan bahwa tujuan dari audit sistem informasi secara umum adalah meningkatkan keamanan aset-aset perusahaan, meningkatkan integritas data, meningkatkan efektifitas sistem, dan meningkatkan efisiensi sistem.
Yang
berfungsi untuk mendeteksi resiko kerugian perusahaan akibat kehilangan data, mendeteksi resiko kerugian perusahaan karena pengambilan keputusan yang salah, mendeteksi resiko kerugian perusahaan karena penyalahgunaan komputer, menjaga aset perusahaan karena nilai perangkat keras, perangkat lunak, dan personil yang biasanya tinggi, mendeteksi resiko kerugian perusahaan karena kesalahan atau kegagalan komputer, memelihara kerahasiaan, dan mengendalikan perubahan atas penggunaan komputer.
67 2.4.3
Metode Audit Sistem Informasi Beberapa metode audit sistem informasi, yaitu audit disekitar komputer dan audit kedalam sistem komputer. Ada beberapa metode pengujian atau pengendalian-pengendalian atas audit sistem informasi (Weber 1999, pp55-57), yaitu : 1) Auditing Around the Computer Merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai black box, maksud metode ini tidak menguji langkah-langkah proses secara langsung tetapi hanya berfokus pada masukan dan keluaran dari sistem komputer. Diasumsikan jika masukan benar akan diwujudkan pada keluaran sehingga pemrosesan komputer secara langsung. Pendekatan ini mengandung kelemahan : a) Umumnya database mencakup jumlah data yang banyak dan sukar untuk ditelusuri secara manual. b) Tidak menciptakan sarana bagi auditor untuk menghayati dan mendalami lebih mantap liku-liku sistem komputer. c) Cara ini mengakibatkan pengendalian sistem dalam pengolahan komputer itu sendiri, sehingga rawan terhadap adanya kelemahan dan kesalahan yang potensial didalam sistem. d) Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit menjadi sia-sia. e) Tidak dapat mencakup keseluruhan maksud dan tujuan penyelenggaraan audit.
68 Sedangkan keunggulan dari metode audit around the computer
yaitu
pelaksanaan audit lebih sederhana dan auditor berpengetahuan yang minimal dibidang komputer dapat lebih dilatih dengan mudah untuk melaksanakan audit tersebut.
2) Auditing Through the Computer Suatu pendekatan audit yang berorientasi pada komputer dengan membuka black box, dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer. Dengan asumsi apabila sistem pemrosesan mempunyai pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak akan terlewat untuk terdeteksi. Sebagai akibatnya keluaran tidak dapat diterima. Keuntungan dari pendekatan ini adalah dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan dari pengujian yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap kehandalan dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan. Kelemahan dari auditing through the computer adalah : a) Biaya yang dibutuhkan relatif tinggi yang disebabkan jumlah jam kerja yang banyak untuk dapat lebih memahami struktur control internal dari pelaksanaan sistem aplikasi. b) Butuh keahlian teknik yang lebih mendalam untuk memahami cara kerja sistem.
Menurut Gondodiyoto (2003, hh155-158) terdapat tiga pendekatan audit yang berkatian dengan komputer, yaitu :
69 1) Audit Around the Computer Dalam pendekatan audit disekitar komputer, auditor dapat melangkah kepada perumusan pendapat dengan hanya menelaah struktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem manual (bukan sistem informasi berbasis komputer). Untuk menerapkan metode ini, pertama auditor meninjau dan menguji pengendalian masukan (Input controls), kemudian menghitung hasil yang diperkirakan (Expected) dari proses transaksi yang terpilih, lalu auditor membandingkan hasil sesungguhnya seperti yang tampak dalam laporan yang dihasilkan dengan hasil yang dihitung secara manual (untuk mendapat keyakinan bahwa proses atau program komputernya sudah benar). Disamping mungkin masalah pengetahuan auditor mengenai aspek teknis komputer atau keterbatasan lain, metode audit di sekitar komputer tersebut cocok untuk dilaksankan pada situasi sebagai berikut : a) Dokumen sumber tersedia dalam bentuk kertas (bahasa non-komputer), artinya masih kasat mata dan dilihat secara visual. b) Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan. c) Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya. d) Sistem komputer yang diterapkan masih sederhana. e) Sistem komputer yang diterapkan masih menggunakan perangkat lunak yang umum digunakan, dan telah diakui, serta digunakan secara masal.
70
Keunggulan metode audit disekitar komputer adalah pelaksanaan audit lebih sederhana dan auditor yang memiliki pengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit. Sedangkan kelemahannya adalah jika lingkungan berubah, maka kemungkinan sistem itupun akan berubah dan perlu penyesuaian sistem atau program-programnya, bahkan
mungkin
struktur
data/file,
sehingga
auditor
tidak
dapat
menilai/menelaah apakah sistem masih berjalan baik.
2) Audit Through the Computer Dalam pendekatan audit ke sistem komputer auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit sistem informasi berbasis komputer. Pendekatan audit langsung ke sistem komputer cocok dalam kondisi : a) Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya. b) Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan. c) Sistem logika komputer sangat kompleks dan memiliki banyak fasilitas pendukung. d) Adanya jurang yang besar dalam melaksanakan audit secara visual, sehingga memerlukan pertimbangan antara biaya dan manfaatnya.
71 Keunggulan
pendekatan
audit
melalui
komputer
adalah
auditor
memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem komputer, auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya, dan auditor dapat menilai kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan.
Sedangkan
kelemahan dari pendekatan ini adalah memerlukan biaya yang besar dan tenaga ahli yang terampil.
3) Audit With the Computer Dalam audit dengan komputer atau audit berbantuan komputer terdapat beberapa cara yang dapat digunakan oleh auditor dalam melaksanakan prosedur audit : a) Memproses/melakukan pengujian dengan sistem komputer klien itu sendiri sebagai bagian dari pengujian pengendalian/substantif. b) Menggunakan komputer untuk melaksankan tugas audit yang terpisah dari catatan klien, yaitu mengambil copy data/file dan/atau program milik klien untuk diuji dengan komputer lain (dikantor auditor). c) Menggunakan komputer sebagai alat bantu dalam audit, menyangkut : 9 Dalam menguji program dan/atau file/data yang dipergunakan dan dimiliki oleh perusahaan (sebagai perangkat lunak berbantuan audit). 9 Menggunakan komputer untuk dukungan kegiatan audit, misalnya untuk administrasi dan sura-menyurat, pembuatan tabel/jadwal, untuk sampling, dan berbagai kegiatan office automation lainnya.
72 Dapat disimpulkan bahwa metode audit sistem informasi terdiri dari audit disekitar komputer yang hanya mengaudit masukan dan keluaran saja, audit ke dalam komputer, yaitu memeriksa proses dari sistem, dan yang terakhir adalah audit berbantuan komputer yaitu menggunakan perangkat komputer atau software khusus (program).
2.4.4 Tahapan Audit Sistem Informasi Tahapan audit sistem informasi adalah perencanaan, pengumpulan bukti, pengujian, pelaporan, dan pengevaluasian kembali. Menurut Weber (1999, pp4755) tahapan-tahapan audit adalah sebagai berikut: 1) Planning the Audit (Perencanaan Audit) Tahap pertama yang dilakukan adalah pemahaman terhadap sasaran yang akan diaudit, pengumpulan informasi awal, dan pengidentifikasian resiko. 2) Tests of Control (Pengujian Pengendalian). 3) Tests of Transactions (Pengujian Transaksi) Didalam hal audit keuangan terhadap sistem akuntansi berbasis komputer, maka contoh pengujian pengendalian adalah dengan melakukan pembuktian bahwa transaksi-transaksi sudah dengan tepat dibukukan dalam pencatatan akuntansi. Sedangkan dalam audit operasional, pengujian pengendalian ini dapat dilakukan misalnya dengan memeriksa apakah respon time sudah sesuai dengan yang diharapkan. 4) Substantive Test (Pengujian Substantif) Dalam audit sistem informasi, pengujian substantif antara lain adalah respon time. Tetapi dalam audit keuangan secara umum, pengujian substantive adalah
73 dengan memeriksa apakan saldo suatu account (rekening) telah sesuai, misalnya : piutang. Teknik pemeriksaannya dapat dilakukan dengan cara membuat dan mengirimkan surat konfirmasi kepada debitur. Jawaban dari debitur akan membuktikan apakah hutang menurut pengakuannya sudah sesuai dengan saldo buku pembantu piutang dalam sistem akuntansi kita. Sedangkan dalam audit operasional misalnya dapat dengan memeriksa konteks efisiensi dan efektifitas dalam kegiatan komputerisasi. 5) Completion of the Audit ( Penyelesaian Audit ) Di tahapan akhir audit, auditor eksternal membuat kesimpulan dan rekomendasi untuk dikomunikasikan pada manajemen.
