BAB 2 LANDASAN TEORI
2.1 Konsep Sistem Informasi 2.1.1 Pengertian Sistem Informasi Menurut Husein dan Wibowo (2002, p8), sistem informasi dapat diartikan sebagai seperangkat komponen yang saling berhubungan yang berfungsi mengumpulkan, memproses, menyimpan dan mendistribusikan informasi untuk mendukung pembuatan keputusan dan pengawasan dalam organisasi. Menurut O’Brien dalam bukunya yang diterjemahkan oleh Fitriasari dan Arnos (2005, p5), sistem informasi merupakan kombinasi teratur apapun dari orang-orang, hardware, software, jaringan komunikasi dan sumber daya data yang mengumpulkan, mengubah dan menyebarkan informasi dalam sebuah organisasi. Sedangkan menurut Sutabri (2005, p42), sistem informasi adalah suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian yang mendukung fungsi operasi organisasi yang bersifat manajerial dengan kegiatan strategi dari suatu organisasi untuk dapat menyediakan kepada pihak luar tertentu dengan laporan-laporan yang diperlukan. Dengan demikian, dapat disimpulkan bahwa sistem informasi adalah beberapa komponen, antara lain rangkaian prosedur dimana informasi itu sendiri diolah sedemikian rupa sehingga dapat berguna bagi para pemakai untuk mencapai sasaran-sasaran perusahaan.
6
7 2.1.2 Komponen-komponen Sistem Informasi Menurut Sutabri (2005, pp42-43), sistem informasi terdiri dari komponen-komponen yang disebut blok bangunan (building block), yang terdiri dari blok masukan, blok model, blok keluaran, blok teknologi, blok basis data dan blok kendali. Sebagai suatu sistem, keenam blok tersebut masing-masing saling berinteraksi satu dengan yang lain membentuk satu kesatuan untuk mencapai sasaran. a. Blok Masukan (Input Block) Input mewakili data yang masuk ke dalam sistem informasi. Input disini termasuk metode dan media untuk menangkap data yang akan dimasukkan, yang dapat berupa dokumen-dokumen dasar. b. Blok Model (Model Block) Blok ini terdiri dari kombinasi prosedur, logika dan model matematik yang akan memanipulasi data input dan data yang tersimpan di basis data dengan cara yang sudah tertentu untuk menghasilkan keluaran yang diinginkan. c. Blok Keluaran (Output Block) Produk dari sistem informasi adalah keluaran yang merupakan informasi yang berkualitas dan dokumentasi yang berguna untuk semua tingkatan manajemen serta semua pemakai sistem. d. Blok Teknologi (Technology Block) Teknologi merupakan “tool box” dalam sistem informasi. Teknologi digunakan untuk menerima input, menjalankan model, menyimpan dan mengakses data, menghasilkan dan mengirimkan keluaran dan membantu pengendalian dari sistem secara keseluruhan. Teknologi terdiri dari 3 (tiga)
8 bagian utama, yaitu teknisi (brainware), perangkat lunak (software) dan perangkat keras (hardware). e. Blok Basis Data (Database Block) Basis data (database) merupakan kumpulan data yang saling berkaitan dan berhubungan satu dengan yang lain, tersimpan di perangkat keras komputer dan menggunakan perangkat lunak untuk memanipulasinya. Data perlu disimpan dalam basis data untuk keperluan penyediaan informasi lebih lanjut. f. Blok Kendali (Control Block) Banyak hal yang dapat merusak sistem informasi, seperti bencana alam, api, temperatur, air, debu, kecurangan-kecurangan, kegagalan-kegagalan sistem itu sendiri, ketidak efisienan dan sabotase. Beberapa pengendalian perlu dirancang dan diterapkan untuk meyakinkan bahwa hal-hal yang dapat merusak sistem dapat dicegah atau bila terlanjur terjadi kesalahankesalahan dapat langsung cepat diatasi.
2.1.3 Pengertian Persediaan Menurut Mulyadi dan Puradiredja (1998, p255), persediaan merupakan unsur aktiva yang disimpan dengan tujuan untuk dijual dalam kegiatan bisnis yang normal atau barang-barang yang akan dikonsumsi dalam pengolahan produk yang akan dijual.
9 2.1.4 Pengertian Sistem Informasi Persediaan Menurut
penulis
berdasarkan
pengertian-pengertian
diatas
mengemukakan bahwa sistem informasi persediaan adalah suatu sistem informasi yang melibatkan orang-orang dalam organisasi, data, prosedur dan sarana pendukung untuk mengoperasikan sistem persediaan hingga dapat menghasilkan informasi yang mendukung kepentingan bagian persediaan dalam menganalisis dan mengendalikan keadaan persediaan.
2.2 Konsep Audit Sistem Informasi 2.2.1 Pengertian Audit Sistem Informasi Menurut Weber (1999, p10), audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem komputer dapat melindungi aset kekayaan, memelihara integritas data, memungkinkan
tujuan
organisasi
untuk
dicapai
secara
efektif
dan
menggunakan sumber daya yang efisien. Menurut Gondodiyoto (2003, p151) EDP-Audit (Electronic Data Processing) atau sering juga disebut dengan audit sistem informasi adalah proses pengumpulan dan penilaian bahan bukti audit untuk dapat menentukan apakah sistem komputerisasi perusahaan telah menggunakan aset sistem informasi secara tepat dan mampu mendukung pengamanan aset tersebut, memelihara kebenaran dan integritas data dalam pencapaian tujuan perusahaan secara efektif dan efisien. Dengan demikian dapat disimpulkan bahwa pengertian audit sistem informasi adalah pengumpulan dan pemeriksaan terhadap sekumpulan elemen-elemen dalam hal
10 ini yaitu sekumpulan informasi yang membentuk suatu sistem untuk mencapai tujuan perusahaan.
2.2.2 Pentingnya Audit Sistem Informasi Menurut Weber (1999, pp5-10), faktor yang mendorong pentingnya audit sistem informasi adalah untuk: 1. Mendeteksi agar komputer tidak dikelola secara kurang terarah, tidak ada visi, misi, perencanaan teknologi informasi, pimpinan organisasi yang tidak perduli dan tidak ada pelatihan serta pola karir personil yang baik. 2. Mendeteksi resiko kehilangan data. 3. Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses sistem terkomputerisasi salah atau lambat atau tidak lengkap. 4. Menjaga aset perusahaan karena nilai hardware, software dan personil yang lazimnya tinggi. 5. Mendeteksi resiko error pada komputer. 6. Mendeteksi resiko penyalahgunaan komputer (fraud). 7. Menjaga kerahasiaan, maksudnya ialah bahwa sistem informasi berbasis komputer (apalagi yang di desain dengan jaringan publik), hendaknya mempunyai kemampuan untuk memproteksi data, aman, terjaga privacy para penggunanya. Meningkatkan pengendalian evolusi penggunaan komputer, yaitu jangan sampai suatu organisasi atau perusahaan melakukan komputerisasi secara tidak terkendali sehingga terjadi pemborosan-pemborosan atau tingkat keamanan yang kurang memadai.
11 2.2.3 Tujuan Audit Sistem Informasi Tujuan audit sistem informasi menurut Weber (1999, p11), secara garis besar dibagi menjadi empat, antara lain: 1. Meningkatkan keamanan aset-aset perusahaan 2. Meningkatkan integritas data 3. Meningkatkan efektifitas sistem 4. Meningkatkan efisiensi sistem Dari uraian di atas dapat disimpulkan tujuan audit sistem informasi adalah untuk menjaga dan meningkatkan keamanan aset-aset perusahaan serta meningkatkan kehandalan, efektifitas serta efisiensi sistem.
2.2.4 Tahapan Audit Sistem Informasi Menurut Weber (1999, pp47-54) tahapan-tahapan dalam melakukan audit adalah sebagai berikut: 1. Perencanaan audit (Planning the audit) Perencanaan merupakan tahap pertama dalam sebuah audit. Selama tahap perencanaan ini auditor harus menentukan tingkat preliminary materiality yang digunakan untuk audit. Auditor juga harus membuat keputusan yang berhubungan dengan resiko audit. 2. Pengujian kontrol (Test of controls) Auditor melakukan pengujian atas kontrol tertentu untuk mengevaluasi apakah mereka beroperasi secara efektif.
12 3. Pengujian transaksi (Test of transaction) Auditor menjalankan pengujian substantif untuk mengevaluasi apakah ada kesalahan material atau salah penyajian dari akuntansi yang terjadi atau yang mungkin terjadi. 4. Pengujian balance atau hasil keseluruhan (Test of balances or overall results) Auditor melakukan pengujian balances untuk mendapatkan bukti yang cukup untuk membuat keputusan akhir tingkat kesalahan atau salah penyajian yang telah terjadi atau yang mungkin terjadi. 5. Penyelesaian audit (Completion of audit) Auditor memberikan opini apakah ada kesalahan material atau salah penyajian yang telah atau mungkin terjadi.
2.2.5 Metode Audit Sistem Informasi Menurut pendapat Weber (1999, pp55-57), metode audit sistem informasi terdiri dari: 2.2.5.1 Auditing Around The Computer Merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai black box, maksud metode ini tidak menguji langkahlangkah proses secara langsung tetapi hanya berfokus pada masukan dan keluaran dari sistem komputer. Diasumsikan jika masukan benar akan diwujudkan pada keluaran, sehingga pemrosesan telah benar dan tidak melakukan pengecekan terhadap pemrosesan komputer secara langsung.
13 Metode auditing around the computer harus digunakan pada kasus-kasus di bawah ini: − Resiko turunan yang ada rendah. − Logic yang ada tidak kompleks. Tidak ada rutinitas yang mengembangkan program bagi komputer untuk memproses data. − Transaksi input dikelompokkan dan pengendaliannya masih menggunakan metode tradisional. − Kegiatan proses terdiri dari mengurutkan data input dan memperbaharui master file secara berkelanjutan. − Terdapat audit trail yang jelas. − Lingkungan penugasan relatif tetap dan sistem jarang dimodifikasi.
Gambar 2.1 Diagram Auditing Around The Computer Sumber: http://www.nd.edu/~ehums/acct477/ac47739.htm
14 2.2.5.2 Auditing Through The Computer Suatu pendekatan audit yang berorientasi pada komputer dengan membuka black box, dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer. Dengan asumsi apabila sistem pemrosesan mempunyai pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak akan terlewatkan untuk terdeteksi. Sebagai akibatnya keluaran tidak dapat diterima. Metode auditing through the computer harus digunakan pada kasus-kasus di bawah ini: − Resiko yang ada pada sistem aplikasi sangat tinggi. − Input dari proses sistem aplikasi dalam volume besar dan output yang dihasilkan dalam volume yang sangat besar dan luas. Pengecekan langsung dari sistem input dan output sulit dikerjakan. − Bagian yang penting dari sistem internal kontrol ditambahkan dalam sistem komputer. − Proses logic yang ditambahkan dalam sistem aplikasi adalah kompleks. − Karena adanya pertimbangan keuntungan biaya, jarak yang banyak dalam uji coba penampakan audit adalah biasa dalam suatu sistem.
15
Gambar 2.2 Diagram Auditing Through The Computer Sumber: http://www.nd.edu/~ehums/acct477/ac47739.htm
2.3 Pengendalian Sistem Komputerisasi Secara Umum 2.3.1 Management Controls Menurut pendapat Weber (1999, p67), management controls bertujuan untuk memeriksa apakah manajemen sudah diatur dengan sebaik-baiknya. Dua alasan mengapa mengevaluasi management controls sangat penting bagi perusahaan yaitu: 1. Management controls melakukan pemeriksaan terhadap internal kontrol perusahaan yang merupakan salah satu komponen yang penting dalam perusahaan. 2. Dari sisi manajemen, mereka harus membuat keputusan apakah mereka dapat bergantung pada management controls yang ada atau harus memperbaikinya.
16 Menurut pendapat Weber (1999, p68), management controls terdiri dari: − Top Management Controls − System Development Management Controls − Programming Management Controls − Data Resources Management Controls − Security Management Controls − Operations Management Controls − Quality Assurance Management Controls Dalam management controls tidak semua pengendalian akan dibahas, akan tetapi yang dibahas hanya mengenai security management controls.
2.3.1.1 Security Management Controls Menurut
pendapat
Weber
(1999,
pp254-274),
security
management controls dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sistem informasi mencakup aset fisik (personnel, hardware, fasilitas, supplies dan dokumentasi) serta aset tidak berwujud (misalnya data atau informasi dan program aplikasi komputer). Adapun ancaman utama terhadap keamanan dapat bersifat karena alam dan karena manusia yang bersifat kelalaian maupun kesengajaan, antara lain: a. Ancaman kebakaran (Fire damage) Beberapa pelaksanaan keamanan untuk ancaman kebakaran adalah:
17 − Memiliki alarm kebakaran otomatis yang diletakkan pada tempat dimana aset-aset sistem informasi berada. − Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah diambil. − Memiliki tombol power utama (termasuk AC). − Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan tahan api. − Memiliki pintu tangga darurat yang diberi tanda dengan jelas sehingga karyawan dengan mudah menggunakannya. − Ketika alarm berbunyi signal langsung dikirimkan ke stasiun pengendalian yang selalu dijaga oleh staf. − Prosedur pemeliharaan gedung yang baik menjamin tingkat polusi rendah disekitar aset sistem informasi yang bernilai tinggi. Contoh: ruang komputer dibersihkan secara teratur dan kertas untuk printer diletakkan di ruang yang terpisah. − Untuk
mengantisipasi
ancaman
kebakaran
diperlukan
pengawasan rutin dan pengujian terhadap sistem perlindungan kebakaran untuk dapat memastikan bahwa segala sesuatunya telah dirawat baik. b. Ancaman banjir (Water damage) Beberapa pelaksanaan pengamanan untuk ancaman banjir: − Usahakan bahan untuk atap, dinding dan lantai yang tahan air.
18 − Menyediakan alarm pada titik strategis dimana material aset sistem informasi diletakkan. − Semua material aset sistem informasi ditaruh di tempat yang tinggi. − Menutup peralatan hardware dengan bahan yang tahan air sewaktu tidak digunakan. c. Perubahan tegangan sumber energi (Energy variations) Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan sumber energi listrik, misalnya menggunakan stabilizer atau uninteruptable power supply (UPS) yang memadai yang mampu mengcover tegangan listrik jika tiba-tiba turun. d. Kerusakan struktural (Structural damage) Kerusakan struktural terhadap aset sistem informasi dapat terjadi karena adanya gempa, angin, salju. Beberapa pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural misalnya adalah memilih lokasi perusahaan yang jarang terjadi gempa dan angin ribut. e. Polusi (Pollution) Beberapa pelaksanaan pengamanan untuk mengatasi polusi, misalnya situasi kantor yang bebas debu dan tidak memperbolehkan membawa binatang peliharaan. Atau dengan melarang karyawan membawa atau meletakkan minuman di dekat peralatan komputer. Contoh lain adalah tong sampah yang secara teratur dibersihkan.
19 f. Penyusup (Authorized intrusion) Pelaksanaan pengamanan untuk mengantisipasi penyusup dapat dilakukan dengan penempatan penjaga dan penggunaan alarm. g. Viruses and Worm Pelaksanaan pengamanan untuk mengantisipasi virus meliputi tindakan: − Preventif, seperti menginstall antivirus dan mengupdate secara rutin, melakukan scan file yang akan digunakan. − Detektif, melakukan scan secara rutin. − Korektif, memastikan backup data bebas virus, pemakaian antivirus terhadap file yang terinfeksi. h. Penyalahgunaan software, data dan services i. Hacking Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking: − Penggunaan kontrol logikal seperti penggunaan password yang sulit untuk ditebak. − Petugas keamanan secara teratur memonitor sistem yang digunakan.
20 Apabila
ancaman
keamanan
benar-benar
telah
terjadi,
pengendalian akhir yang dapat dilaksanakan antara lain adalah: 1. Rencana Pemulihan Bencana (Disaster Recovery Plan) Rencana pemulihan menjadi keadaan normal setelah terjadinya bencana dilakukan kegiatan-kegiatan yang pada hakekatnya terdiri dari empat bagian, yaitu: a. Rencana Darurat (Emergency Plan) Yaitu jika terjadi sesuatu, tindakan apa yang segera harus dilakukan, siapa melakukan apa dan bagaimana melakukannya. b. Rencana Backup (Backup Plan) Backup plan dilakukan misalnya membuat persetujuan dengan unit komputer atau instalasi lain, yaitu bila terjadi masalah dapat menggunakan komputer di tempat tersebut. Sudah barang tentu perjanjian tersebut dilakukan dengan instalasi yang setara, baik jenis mesinnya maupun kapasitasnya. c. Rencana Pemulihan (Recovery Plan) Prosedur apa yang harus dilakukan untuk dapat kembali beroperasi dengan starting point pada saat kerusakan terjadi (tidak mengulang lagi proses yang sudah dikerjakan dari saat start-up sampai mesin down atau listrik mati) atau tidak “melompat” ke proses berikutnya dengan mengabaikan data yang tersisa belum selesai diolah dalam proses yang terhenti.
21 d. Rencana Pengujian (Test Plan) Seluruh program kerja yang sudah direncanakan perlu diuji coba lebih dahulu untuk tes atau uji kesahihannya. 2. Asuransi Perlu dipertimbangkan cost atau benefit-nya untuk memiliki asuransi untuk peralatan, fasilitas, media penyimpanan, gangguan bisnis, dokumen dan kertas yang berharga yang ada di instalasi. Jika perlu dalam suatu proyek komputerisasi yang besar perlu dibuat asuransi mengenai kemungkinan biaya tambahan proyek bila terjadi overrun cost and schedule.
2.3.2 Application Controls Menurut Weber (1999, p364), application controls memastikan bahwa setiap aset individual sistem aplikasi dijaga, integritas data dijaga dan setiap individual tersebut dapat mencapai tujuannya dengan efektif dan efisien. Dua alasan mengapa mengevaluasi application controls sangat penting bagi perusahaan, yaitu: 1. Eksternal auditor mungkin memutuskan bahwa management controls sudah handal sehingga mereka memutuskan untuk melanjutkan menguji sistem aplikasi dan mengurangi substantive test. 2. Internal auditor berdasarkan evaluasi dari management controls ingin menguji coba hipotesis mengenai kekuatan dan kelemahan dari beberapa pengendalian yang spesifik yang ada di dalam sistem aplikasi.
22 Menurut Weber (1999, p364), application controls terdiri dari: − Boundary Controls − Input Controls − Communication Controls − Processing Controls − Database Controls − Output Controls Namun tidak semua application controls akan dibahas, akan tetapi yang dibahas hanya mengenai boundary controls, input controls, output controls dan commmunication controls.
2.3.2.1 Boundary Controls Menurut Weber (1999, p370) boundary controls digunakan untuk membuat interface antara pengguna yang akan menjadi pengguna sistem komputer dan sistem komputer itu sendiri. Menurut Weber (1999, p370), boundary controls memiliki tiga tujuan utama: 1. Untuk membuat identifikasi dan autentifikasi pengguna yang akan menggunakan
sistem komputer (sistem harus memastikan
keotentikan pengguna). 2. Untuk membuat identifikasi dan autentifikasi sumber daya komputer yang ingin digunakan oleh pengguna (pengguna harus memastikan bahwa mereka diberikan sumber daya yang terdaftar).
23 3. Untuk membatasi tindakan yang dapat dilakukan oleh pengguna yang ingin mengambil sumber-sumber yang ada di dalam komputer dengan menggunakan hak akses (pengguna dapat menggunakan data tersebut namun harus ada batasannya). Menurut
Weber
(1999,
pp371-402)
beberapa
tipe
dari
pengendalian yang digunakan dalam boundary controls adalah cryptographic controls, access controls, Personal Identification Number (PIN), digital signatures dan plastic cards. 1. Cryptographic Controls Cryptographic controls digunakan secara ekstensif melalui boundary controls. Cryptographic controls menjaga privacy data dengan mengacak data sehingga menjadi tidak berarti bagi orang yang
tidak
berkeinginan
untuk
mengacak
data
tersebut.
Cryptographic controls ini memindahkan data berupa clear text ke dalam cryptograms. Ada tiga teknik yang digunakan dalam cryptographic controls, yaitu: a. Transposition Cipher Transposition cipher menggunakan beberapa aturan untuk merubah urutan karakter dalam string data. b. Substitution Cipher Substitution cipher dapat menahan posisi karakter dalam pesan dan menyembunyikan identitas karakter dengan menggantikan mereka dengan karakter lain melalui beberapa aturan.
24 c. Product Cipher Product cipher menggunakan kombinasi metode transposition dan substitution. Product cipher merupakan metode encryption yang paling banyak digunakan.
2. Access Controls Access controls membatasi penggunaan sumber daya komputer bagi pengguna yang sah, membatasi tindakan yang dapat dilakukan pengguna ke sumber daya tersebut dan memastikan bahwa pengguna mendapatkan sumber daya. Mekanisme
access
controls
digunakan
untuk
menjalankan
kebijakan access controls. Ada dua tipe dari kebijakan access controls, yaitu: a. Discretionary Access Controls Policies Dalam discretionary access controls policies pengguna diperbolehkan untuk menentukan mekanisme access controls untuk menentukan siapa saja yang boleh mengakses file mereka. b. Mandatory Access Controls Dalam mandatory access controls baik pengguna maupun sumber data memiliki atribut security yang tetap. Mekanisme access controls menggunakan atribut ini untuk menentukan pengguna mana saja yang dapat mengakses sumber data tersebut. Hanya system administrator yang dapat mengubah atribut security pengguna atau sumber data.
25 3. Personal Identification Number (PIN) PIN atau sering disebut juga sebagai password merupakan gambaran angka atau huruf rahasia yang diberikan pada seseorang untuk mengidentifikasi dan memeriksa autentifikasi seseorang. Beberapa tipe pengendalian dari PIN adalah PIN generation, PIN issuance and delivery, PIN validation, PIN transmision, PIN processing, PIN storage, PIN change, PIN replacement dan PIN termination. a. PIN Generation Ada tiga metode untuk membuat PIN: − Derived PIN PIN dibuat berdasarkan nomor account customer. − Random PIN PIN dibuat secara random berdasarkan panjangnya karakter. − Customer Selected PIN Pengguna
menentukan
sendiri
PIN
yang
ingin
digunakannya. b. PIN Issuance and Delivery Metode PIN issuance and delivery tergantung dengan metode PIN generation yang digunakan oleh perusahaan. Apabila perusahaan menggunakan derived PIN atau random PIN maka dibutuhkan PIN mailer untuk mengirimkan PIN pada pengguna.
26 Apabila perusahaan menggunakan customer selected PIN maka PIN dapat dikirimkan dengan cara: − Melalui surat − Melalui telepon − Melalui secure terminal − Melalui fasilitas penerbit kartu c. PIN Validation Saat PIN dimasukkan pelanggan diberikan beberapa kali kesempatan apabila PIN yang dimasukkannya salah. Apabila sudah melewati batas maka kartu tersebut akan ditahan atau account pengguna akan ditutup. d. PIN Transmission Saat PIN ditransmisikan melalui sebuah medium, PIN tersebut harus di encrypt. Sebab apabila ada penyusup yang ingin mencuri PIN saat PIN ditransmisikan, penyusup tersebut tidak akan mendapatkan PIN yang sesungguhnya. e. PIN Processing Pada tahap ini sistem mencocokkan PIN yang telah di decrypt dengan PIN sesungguhnya yang ada di dalam sistem. f. PIN Storage Saat PIN disimpan, PIN harus diencrypt. Untuk menghindari penggantian PIN maka PIN harus di encrypt sebagai fungsi dari kartu atau account number pengguna.
27 g. PIN Change Untuk perubahan PIN dapat dilakukan dengan cara seperti PIN generation dan dapat dikirimkan dengan cara seperti PIN issuance and delivery. h. PIN Replacement Saat pengguna lupa dengan PIN-nya maka pengguna dapat mengganti PIN
tersebut dengan PIN yang baru dengan
menunjukkan identitas pengguna. i. PIN Termination Terminasi PIN
terjadi saat pengguna menutup account-nya,
diterbitkannya PIN baru, atau saat PIN
rusak karena
ketidaksengajaan maupun disengaja.
4. Digital Signatures Digital signatures memiliki dua tujuan, yaitu: a. Untuk menyatakan keotentikan orang-orang yang terlibat. b. Untuk menghindari penyangkalan keterlibatan orang-orang yang berpartisipasi dalam pembuatan kontrak.
5. Plastic Cards Plastic cards digunakan untuk kegiatan identifikasi. Plastic cards juga bisa digunakan untuk menyimpan informasi yang dibutuhkan untuk proses autentifikasi.
28 2.3.2.2 Input Controls Menurut pendapat Weber (1999, pp417-456), pengendalian input (input controls) dirancang untuk mendeteksi kesalahan dalam data yang dimasukkan ke dalam sebuah sistem komputer. Dari sisi audit, input controls sangat penting sebab: 1. Dalam sistem informasi controls yang paling banyak terdapat pada sub sistem input. 2. Aktifitas dalam sub sistem input biasanya berupa kegiatan rutinitas yang sangat besar dan campur tangan manusia yang monoton. 3. Sub sistem seringkali dijadikan sebagai target fraud. Ada banyak cara untuk melakukan data input,
yaitu dengan
keyboarding (personal computer), direct reading (mark sensing, digitizer, image reader) dan direct entry (touch screen, voice, video). Beberapa metode data input menggunakan source document untuk mencatat data yang akan dimasukkan ke dalam sistem komputer. Sub sistem input harus didukung oleh source document design yang baik sebab bertujuan untuk: 1. Mengurangi kesalahan dalam pencatatan data. 2. Meningkatkan kecepatan dimana data dapat dicatat. 3. Dapat mengatur alur kerja atau work flow. 4. Menfasilitasi pencatatan data ke dalam sistem komputer. 5. Meningkatkan kecepatan dan ketepatan saat melakukan pembacaan data. 6. Menfasilitasi pemeriksaan subsequent reference.
29 Saat data dimasukkan kedalam sistem dengan menggunakan terminal, maka diperlukan tampilan yang berkualitas tinggi untuk meminimalisasi kesalahan input dan untuk mencapai efektifitas dan efisiensi dalam sub sistem input. Beberapa tipe pengendalian yang dapat dilakukan dalam input controls adalah data code controls, check digit, batch controls dan validation of data input. 1. Data Code Controls Data codes bertujuan untuk mengidentifikasi sebuah entity secara unik atau sebuah entity sebagai bagian dari sebuah kelompok dan untuk tujuan identifikasi kode lebih compact daripada narasi yang textual sebab membutuhkan karakter yang lebih sedikit untuk membawa sejumlah informasi. Ada beberapa tipe dari coding systems, yaitu serial codes, block sequence codes, hierarchical codes dan association codes. a. Serial Codes Memberikan urutan nomor atau alphabet sebagai suatu obyek, terlepas dari kelompok obyek tersebut. Maka dapat dikatakan bahwa serial codes secara unik mengidentifikasikan suatu obyek,
keuntungan
kemudahan
untuk
utama
dari
menambahkan
pengkodean ini ringkas dan padat.
pengkodean item
baru
ini dan
adalah juga
30 b. Block Sequence Codes Pengkodean dengan block sequence memberikan satu block dari nomor-nomor untuk masing-masing nilai dari kelompok tersebut. Keuntungan pengkodean ini adalah memberikan nilai memonic (mudah diingat). Kesulitan yang dihadapi adalah dalam menentukan ukuran atau panjang dari kode. c. Hierarchical Codes Membutuhkan pemilihan serangkaian nilai kelompok dari suatu obyek yang dikodekan dan diurutkan berdasarkan tingkat kepentingannya. Hierarchical codes lebih berarti dibanding serial
atau
block
sequence
karena
pengkodean
ini
mendeskripsikan lebih banyak kelompok dari obyek. d. Association Codes Kelompok dari obyek yang akan diberi kode pilihan dan kode yang unik diberikan untuk masing-masing nilai dari kelompok tersebut. Kode tersebut dapat berupa numerik, alphabet atau alpha numerik. Association codes mempunyai nilai memonic tinggi. Pengkodean ini lebih cenderung salah jika tidak ringkas atau terdiri dari banyak campuran alphabet atau karakter numerik.
2. Check Digits Check digits digunakan untuk mencegah kesalahan yang terjadi karena transcribing dan keying data. Check digits adalah redundant
31 digit yang ditambahkan dalam kode untuk memeriksa karakter lainnya dalam kode yang diperiksa.
3. Batch Controls Batching adalah proses pengelompokkan transaksi yang memiliki tipe hubungan yang berhubungan satu sama lain.
4. Validation of Data Input Data yang di input ke dalam sistem aplikasi harus divalidasi secepat mungkin. Lalu errors yang dideteksi dapat langsung diperbaiki oleh pakarnya. Ada beberapa tipe dari validation checks, yaitu: a. Field Checks Dengan field checks, validation test yang dijalankan pada field tidak tergantung pada field dengan input record atau dengan input record lainnya. b. Record Checks Dengan records checks, validation test yang dijalankan pada sebuah field bergantung pada hubungan logical field dengan field lainnya yang ada di dalam records. c. Batch Checks Dengan batch checks, validation test memeriksa apakah karakteristik dari batch records sesuai dengan karakteristik batch tersebut.
32 d. File Checks Dengan file checks, validation test memeriksa apakah karakteristik dari sebuah file yang digunakan dalam data entry sesuai dengan karakteristik file tersebut.
2.3.2.3 Output Controls Menurut Weber (1999, p615), sub sistem output menyediakan fungsi-fungsi yang menentukan isi dari data yang akan disediakan kepada pengguna, cara data akan diformat dan ditampilkan untuk pengguna dan cara data akan disiapkan untuk pengguna. Jenis pengendalian yang terdapat pada pengendalian output yang kami bahas pada skripsi ini yaitu batch output production and distribution controls dan batch report design controls. 1. Batch Output Production and Distribution Controls Batch output adalah output yang dihasilkan pada beberapa fasilitas operasi dan didistribusikan atau dikumpulkan oleh custodians atau pengguna dari output. a. Stationery Supplies Storage Controls b. Report Program Execution Controls c. Queuing/Spooling/Printer File Controls d. Printing Controls e. Report Collecting Controls f. User/Client Services Review Controls g. Report Distribution Controls
33 h. User Output Controls i. Storage Controls j. Retention Controls k. Destruction Controls
2. Batch Report Design Controls Elemen penting dari eksekusi yang efektif dari pengendalian produksi dan distribusi melalui batch output report adalah kualitas dari rancangannya.
2.3.2.4 Communication Controls Menurut Weber (1999, pp477-500), cara-cara untuk mengatasi gangguan-gangguan yang ada dalam sub sistem komunikasi adalah physical component controls, line error controls, flows controls, link controls, topological controls, channel access controls, controls over subversive threats, internetworking controls dan communication architecture controls. 1. Physical Component Controls Satu cara untuk mengurangi gangguan dalam sub sistem komunikasi adalah dengan memilih physical component yang memiliki karakteristik yang sesuai sehingga dapat mengurangi kemungkinan timbulnya gangguan.
34 Physical
terdiri
component
dari
transmission
medium,
communication line, modems, port protection devices dan multiplexors and concentrators. a. Transmission Medium Transmission medium adalah jalur fisik dimana sinyal dikirimkan antara pengirim dan penerima. Transmisi media dapat berupa bounded medium (twisted pair, coaxial
cable,
(terrestrial
optical
microwave,
fiber) satellite
dan
unbounded
microwave
atau
medium radio
frequency, infrared). b. Communication Line Kehandalan dari transmisi data dapat ditingkatkan dengan memilih jalur komunikasi pribadi daripada jalur komunikasi umum. c. Modems Modem digunakan untuk mengkonversikan sinyal discrete binary menjadi sinyal analog. d. Port Protection Devices Port
protection
devices
digunakan
untuk
mengurangi
permasalahan yang berhubungan dengan akses dial up sistem komputer. e. Multiplexors and Concentrators Teknik multiplexing dan concentration membuat bandwidth atau kapasitas dari jalur komunikasi digunakan lebih efektif.
35 2. Line Error Controls Ketika data ditransmisikan melalui jalur komunikasi, bisa terjadi beberapa gangguan yang disebabkan karena attenuation, distortion atau noise yang terdapat dalam jaringan. Setiap gangguan yang ada harus dideteksi dan dikoreksi. a. Error Detection Jalur yang mengalami gangguan dapat dideteksi dengan menggunakan loop check, parity checking atau cyclic redudancy check. b. Error Correction Dua metode yang digunakan untuk mengatasi error correction adalah forward error correcting codes dan retransmission.
3. Flows Controls Flow controls dibutuhkan karena dua nodes dalam network yang sama dapat memiliki rate yang berbeda saat dikirim, diterima atau data diproses.
4. Link Controls Dalam wide area networks, line error controls dan flow controls memiliki peranan yang penting dalam mengatur hubungan antara dua nodes di dalam jaringan.
36 5. Topological Controls Sebuah komunikasi dalam topology jaringan menentukan lokasi dari nodes yang ada di dalam jaringan, hubungan antara nodes dan kemampuan transmisi data dalam jaringan antara nodes tersebut. Ada dua macam jaringan: a. Local Area Networks (LAN) LAN memiliki 3 karakteristik, yaitu: − Memiliki jaringan pribadi. − Mendukung komunikasi high-speed antara nodes. − Dibatasi oleh area geografis. Ada lima tipe topologi yang digunakan, yaitu: − Bus Topology Dalam bus topology, nodes di dalam jaringan dihubungkan secara pararel menjadi sebuah single communication line. − Tree Topology Dalam tree topology, nodes di dalam jaringan dihubungkan ke branching communication line yang tidak memiliki loops yang tertutup. − Ring Topology Dalam ring topology, nodes di dalam jaringan dihubungkan melalui
repeaters ke sebuah jalur komunikasi yang
dibentuk sebagai loop yang tertutup.
37 − Star Topology Dalam star topology, nodes di dalam jaringan dihubungkan secara point to point ke sebuah central hub. − Hybrid Topology Merupakan gabungan dari topology-topology di atas. b. Wide Area Networks (WAN) WAN memiliki beberapa karakteristik berikut: − Seringkali meliputi komponen yang dimiliki oleh kelompok lain. − Mendukung komunikasi low-speed di antara nodes. − Memiliki area geografis yang luas.
6. Channel Access Controls Dua nodes yang berbeda dalam suatu jaringan dapat berkompetisi untuk menggunakan jalur komunikasi. Teknik yang digunakan untuk menangani masalah tersebut adalah: a. Polling Methods Teknik ini membangun sebuah perintah dimana node dapat mengakses ke dalam kapasitas channel. Teknik ini memiliki dua bentuk: − Centralized Pooling, dimana setiap node dengan jaringan di desain sebagai control node atau master node.
38 − Distributed Pooling, dimana setiap node memiliki tanggung jawab untuk mengontrol jalur akses. b. Contention Methods Dalam teknik ini nodes yang ada dalam jaringan harus berkompetisi satu sama lain untuk memperoleh akses ke dalam channel.
7. Controls Over Subversive Threats Ada beberapa macam pengendalian yang dapat dilakukan berhubungan dengan subversive threats, yaitu: a. Link Encryption Link encryption melindungi data yang dikirimkan melalui jalur komunikasi yang menghubungkan antara dua nodes. Node yang mengirimkan data melakukan encrypt terhadap data dan node yang menerima melakukan decrypt terhadap data, membaca alamat tujuan dari data, menentukan channel berikutnya yang digunakan untuk mentransmisikan data dan melakukan encrypt kembali untuk dikirimkan ke channel yang lain. b. End to End Encrption End to end encryption berguna untuk melindungi integritas dari data
yang
dikirimkan
antara
pengirim
dan
penerima,
independently terhadap nodes dari data-data yang melintang.
39 c. Stream Ciphers Ada dua macam tipe dari ciphers, yaitu: − Block Ciphers Dalam block ciphers, panjangnya blocks
dari cleartext
ditransformasikan dibawah panjangnya constant fixes. − Stream Ciphers Dalam stream ciphers, cleartext ditransformasikan secara bit by bit dibawah pengendalian dari stream dari key bits.
8. Internetworking Controls Internetworking adalah proses menghubungkan antara dua atau lebih jaringan komunikasi untuk memperbolehkan pengguna dari salah satu jaringan untuk berhubungan dengan pengguna dari jaringan lainnya. Seluruh set dari jaringan yang terhubung disebut internet. Ada tiga tipe alat yang digunakan untuk menghubungkan sub network dalam internet, yaitu: a. Bridge, digunakan untuk menghubungkan beberapa LAN. b. Router, digunakan untuk melakukan semua fungsi dari bridge dan dapat menghubungkan heterogeneous LAN dan lalu lintas jaringan langsung melalui channel tercepat antara dua nodes yang berada pada sub networks yang berbeda.
40 c. Gateway, merupakan alat yang paling kompleks dibandingkan kedua alat diatas. Fungsi utamanya adalah melakukan konversi protokol untuk memperbolehkan tipe komunikasi arsitektur yang berbeda untuk berkomunikasi satu sama lain.
9. Communication Architecture and Controls Ada tiga jenis arsitektur komunikasi yang digunakan dalam subsistem komunikasi, yaitu open-systems interconnection (OSI) architecture, IBM’s systems network architecture (SNA) dan the transmission
control
protocol/internet
protocol
(TCP/IP)
architecture.
2.4 Konsep Bagan Alir Data (Data Flow Diagram) 2.4.1 Pengertian Bagan Alir Data (Data Flow Diagram) Menurut Mulyadi (2001, p57), bagan alir data adalah suatu model yang menggambarkan aliran data dan proses untuk mengolah data dalam suatu sistem. Menurut Boockholdt (1999, p90), diagram arus data menggunakan simbol-simbol sederhana yang menggambarkan arus data antara proses, penyimpanan data dan tujuan eksternal. Sedangkan menurut McLeod (2001, p316), diagram arus data adalah suatu gambaran grafis dari suatu sistem yang menggunakan
sejumlah
bentuk-bentuk
simbol
untuk
menggambarkan
bagaimana data mengalir melalui suatu proses yang saling berkaitan. Dengan demikian dapat disimpulkan bahwa bagan alir data adalah suatu gambar yang
41 di dalamnya memiliki informasi mengenai aliran data dan proses yang membentuk suatu sistem. Di dalam aliran data terdapat tingkatan-tingkatan dimana masing-masing tingkatan menggambarkan isi dari sistem, yaitu: 1. Diagram Hubungan atau Diagram Konteks Diagram konteks merupakan diagram proses tunggal. Diagram ini menggambarkan hubungan sistem data flow dan external entity. 2. Diagram Nol Diagram nol menggambarkan sub sistem dari diagram hubungan yang diperoleh dengan memecahkan proses pada diagram hubungan atau konteks. 3. Diagram Rinci Diagram rinci merupakan uraian dari diagram nol yang berisi proses-proses yang menggambarkan bab dari sub sistem pada diagram nol. Menurut Romney (2003, pp156-158), simbol-simbol standar yang digunakan dalam bagan alir data (data flow diagram), yaitu: 1. Data sumber dan tujuan Orang dan organisasi yang mengirimkan data dan menerima data dari sistem digambarkan dengan simbol kotak.
42 2. Aliran data Aliran dari data yang masuk atau keluar dari proses digambarkan dengan simbol garis melengkung atau garis lurus dengan panah.
3. Proses transformasi Proses yang mengubah data dari input menjadi output digambarkan dengan simbol lingkaran.
4. Penyimpanan data Penyimpanan data digambarkan dengan simbol dua garis horisontal.
2.5 Konsep Skala Guttman Menurut Sugiyono (2004, p90), skala pengukuran dengan tipe Guttman akan didapat jawaban yang tegas, yaitu “ya-tidak”, “benar-salah”, “pernah-tidak pernah” dan “positif-negatif”. Skala Guttman selain dapat dibuat dalam bentuk pilihan ganda, juga dapat dibuat dalam bentuk check-list.
43 2.6 Instrumen Penelitian Pada Management Controls dan Application Controls 2.6.1 Pengertian Instrumen Penelitian Menurut Sugiyono (2004, p97), alat ukur dalam penelitian biasa dinamakan instrumen penelitian. Jadi instrumen penelitian adalah suatu alat yang digunakan mengukur fenomena alam atau sosial yang diamati. Cara spesifik semua fenomena ini disebut variabel penelitian.
2.6.2 Instrumen Penelitian Pada Management Controls dan Application Controls No
Variabel
Indikator
Teori
Nomor
Pendukung Pertanyaan 1
Ron Weber
Management Controls
1.1 Security
a. Major Subversive Threats
Ron Weber
Management
-. Fire Damage
Ron Weber
No.1-5
Controls
-. Water Damage
Ron Weber
No. 6
-. Energy Variations
Ron Weber
No. 7 dan 8
-. Pollution
Ron Weber
No. 9-13
-. Unauthorized Intrusion
Ron Weber
No. 14-17
-. Virus and Worms
Ron Weber
No. 18-21
-. Hacking
Ron Weber
No. 22
b. Disaster Recovery Plan
Ron Weber
No. 23
c. Insurance
Ron Weber
No. 24
44 2
Ron Weber
Application Controls
2.1 Boundary Controls
2.2 Input Controls
2.3 Output Controls
a. PIN
Ron Weber
No. 1-13
b. Plastic Cards
Ron Weber
No. 14
a. Data Input Methods
Ron Weber
No. 1
b. Source Document Design
Ron Weber
No. 2-7
c. Data-entry Screen Design
Ron Weber
No. 8-12
d. Data Code Controls
Ron Weber
No. 13
e. Validation of Data Input
Ron Weber
No. 14-16
f. Instruction Input
Ron Weber
No. 17-19
a. Batch Report Design
Ron Weber
No. 1-7
Controls b. Batch Output Production
Ron Weber
and Distributed Controls -. Stationary supplies storage
Ron Weber
No. 8-13
Ron Weber
No. 14-16
Ron Weber
No. 17
Ron Weber
No. 18
controls -. Report program execution controls -. Queuing/spooling/printer file controls -. Printing controls
45 -. Report collection controls
Ron Weber
No. 19-20
-. User/client services review
Ron Weber
No. 21
-. Report distribution controls Ron Weber
No. 22
-. Storage controls
Ron Weber
No. 23
-. Destruction controls
Ron Weber
No. 24
controls
2.4 Communication a. Physical Component Controls
Ron Weber
Controls -. Transmission Media
Ron Weber
No. 1
-. Communication Lines
Ron Weber
No. 2
-. Modems
Ron Weber
No. 3
-. Multiplexors and
Ron Weber
No. 4
Concentrators b. Line Error Controls
Ron Weber
-. Error Detection
Ron Weber
No. 5
-. Error Correction
Ron Weber
No. 5
c. Flows Controls
Ron Weber
No. 6
d. Topological Controls
Ron Weber
-. Local Area Network
Ron Weber
No. 7
Ron Weber
No. 8
(LAN) e. Link Controls
46 f. Controls Over
Ron Weber
No. 9
g. Internetworking Controls
Ron Weber
No. 10
h. Communication
Ron Weber
No. 11
Subversive Threats
Architecture and Controls
Tabel 2.1 Kisi-kisi Instrumen