BAB 2 LANDASAN TEORI
2.1
Sistem Informasi Akuntansi
2.1.1
Pengertian Sistem informasi Akuntansi Romney dan Steinbart, dalam Accounting Information Systems (2006, p6), “An Accounting information system (AIS) is a system that collects, records, stores and processes data to produce information for decision makers”. Dapat diartikan bahwa sistem informasi akuntansi adalah sebuah sistem, yang mengumpulkan data, mencatat, menyimpan dan memprosesnya menjadi sebuah informasi, yang berguna bagi para pengambil keputusan. Sistem informasi akuntansi terdiri dari enam komponen, antara lain: 1. Sumber daya manusia yang mengoperasikan sistem dan menggunakan berbagai fungsi yang terdapat didalam sistem. 2. Prosedur dan instruksi, baik manual maupun otomatis yang digunakan dalam mengumpulkan, memproses, dan menyimpan seluruh aktivitas perusahaan. 3. Data tentang perusahaan dan bisnis prosesnya. 4. Software yang digunakan untuk memproses data. 5. Infrastruktur teknologi informasi termasuk didalamnya komputer dan alat pendukung lainnya termasuk didalamnya jaringan komunikasi. 6. Pengendalian internal dan pengukuran keamanan (security measures) yang menjaga data dalam sistem informasi akuntansi.
10
11 Efektifitas dari sebuah Sistem Informasi Akuntansi ditentukan oleh kemampuannya dalam menyediakan data yang penting bagi perusahaan, dan memenuhi kebutuhan akan informasi dari para penggunanya.
Hall (2001, p11-12), mengemukakan bahwa,
“Sistem Informasi
Akuntansi terdiri dari tiga subsistem utama”, yang meliputi : 1. Sistem Pemrosesan Transaksi (Transaction Processing System) Sistem ini berguna untuk mendukung kegiatan operasional bisnis setiap hari dengan sejumlah dokumen dan pesan–pesan untuk para pengguna
dari
seluruh organisasi. 2. Sistem Pelaporan Buku Besar / Keuangan (General Ledger / Finacial reporting system). Sistem ini menghasilkan laporan keuangan yang tradisional seperti laporan Rugi Laba, Laporan Arus kas, Pengembalian pajak, dan laporan–laporan lainnya yang ditetapkan oleh hukum. 3. Sistem Pelaporan Manajemen (Management Reporting System) Sistem yang menyediakan manajemen internal dengan laporan keuangan dengan tujuan khusus dan informasi yang diperlukan untuk pengambilan keputusan
seperti
anggaran,
laporan
harian,
dan
laporan
pertanggungjawaban.
Berdasarkan beberapa penjelasan diatas, maka dapat disimpulkan bahwa Sistem Informasi Akuntansi adalah kumpulan dari berbagai sumber daya yang
12 ada didalam sebuah organisasi meliputi sumber daya manusia, sumber daya modal, ataupun sumber daya lainnya yang berfungsi untuk mengubah data menjadi informasi keuangan ataupun informasi lainnya yang berguna bagi pihak–pihak yang berkepentingan baik dari dalam maupun dari luar organisasi.
2.1.1
Tujuan / Kegunaan Sistem informasi Akuntansi Romney dan Steinbart (2006, p6), mengemukakan bahwa: Sistem Informasi Akuntansi digunakan untuk memenuhi tiga fungsi bisnis perusahaan, antara lain: 1. Mengumpulkan dan menyimpan data tentang aktivitas organisasi, sumber daya dan individu. 2. Perubahan data menjadi informasi yang berguna untuk pengambilan keputusan, sehingga pihak manajemen dapat merencanakan, melaksanakan, mengontrol, dan mengevaluasi aktivitas sumber daya perusahaan. 3. Menyediakan pengendalian yang tepat, untuk menjaga keamanan aset perusahaan termasuk data dan meyakinkan agar aset dan data tersebut tersedia ketika dibutuhkan, serta memastikan bahwa data akurat dan dapat dipertanggungjawabkan.
Wilkinson, Cerullo, Raval, dan Wong-On Win ( 2000, p8), menyatakan bahwa “The primary aim of any AIS is to provide accounting information to a wide variety of users”. Dapat diterjemahkan bahwa tujuan utama dari AIS
13 adalah menyediakan informasi tentang laporan keuangan untuk berbagai pihak yang berkepentingan terhadap laporan tersebut. Tiga tujuan utama dari Sistem Informasi Akuntansi adalah : 1. Mendukung kegiatan operasional sehari – hari. 2. Mendukung pengambilan keputusan oleh pihak manajemen. 3. Memenuhi kewajiban untuk memberikan informasi kepada publik.
Sehingga dapat disimpulkan bahwa tujuan / kegunaan sistem informasi yang paling utama adalah untuk menjaga seluruh aset perusahaan, termasuk didalamnya data, yang harus selalu dapat digunakan setiap saat (Available), akurat, terintegritas, sehingga dapat membantu jajaran direksi, dalam mengambil keputusan.
2.1.2
Siklus Proses Transaksi Sistem Informasi Akuntansi Nash dan
Robert dalam bukunya Accounting Information Systems
(1984, p26). mengemukakan bahwa aktivitas dari Sistem Informasi Akuntansi adalah : 1. Input Inputan data dimulai dari pemindahan / pemasukan data transaksi ke dalam sistem. Setelah itu data diperiksa kembali keakuratan-nya, agar tidak terjadi kesalahan dalam pengolahannya.
14 2. Storage Setelah data diperiksa, dan diyakini kebenarannya, data disimpan kedalam media penyimpanan. 3. Proses •
Klasifikasi data, membagi data berdasarkan kategori yang telah ditentukan oleh perusahaan.
•
Membandingkan data.
•
Mengurutkan data.
•
Menggabungkan data.
•
Menyimpulkan.
•
Posting.
•
Melakukan pengkalkulasian.
•
Menganalisa.
4. Output 5. Control
15 Berdasarkan pendapat Hall (2001, p13) siklus umum dari sistem informasi akuntansi dapat digambarkan sebagai berikut: Lingkungan Eksternal
Sistem Informasi Manajemen Database
Sumber Data Eksternal
Pengumpulan Data
Pemrosesan Data
Penghasil Informasi
Pemakai Akhir Eksternal
Umpan Balik Pemakai Akhir Informasi
Sumber Data Internal
Organisasi Bisnis
Umpan Balik
Gambar 2.1 Model Umum Sistem Informasi Akuntansi Sumber: Sistem Informasi Akuntansi (Hall, 2001)
1. Pengumpulan Data. Pengumpulan data merupakan tahap operasional pertama dalam system informasi. Tujuannya adalah untuk memastikan bahwa data peristiwa yang memasuki sistem itu sah (valid), lengkap, dan bebas dari kesalahan material. Dalam banyak hal, tahap ini merupakan tahap penting dalam sistem. Jika
16 transaksi yang salah memasuki pengumpulan data tanpa terdeteksi, sistem mungkin akan memproses kesalahan dan menghasilkan output yang keliru dan tidak dapat diandalkan. Hal ini, akhirnya dapat menghasilkan tindakan yang salah dan keputusan yang buruk dari pihak pemakai. 2. Pemprosesan Data. Sekali dikumpulkan, data biasanya perlu diproses untuk menghasilkan informasi. Tugas dalam tahap pemrosesan data bervariasi dari yang sederhana sampai kompleks. Misalnya algoritma matematika (seperti model program linear) digunakan untuk aplikasi penjadwalan produksi, teknikteknik statistik untuk peramalan penjualan, dan prosedur-prosedur untuk memposkan dan merangkumkan yang digunakan dalam aplikasi akuntansi. 3. Manajemen Database. Database organisasi merupakan tempat penyimpanan fisik data keuangan dan non-keuangan. Ia dapat berupa filing cabinet atau sebuah disket komputer tanpa memperhatikan bentuk fisik database, kita dapat menampilkannya isinya dalam hierarki yang logis. 4. Penghasil Informasi. Merupakan proses mengumpulkan, mengatur, memformat, dan menyajikan informasi untuk para pemakai. Informasi dapat berupa dokumen operasional seperti pesanan penjualan, suatu laporan yang terstruktur, atau pesan di layar komputer. Tanpa memperhatikan bentuk fisiknya, informasi yang berguna mempunyai karakteristik sebagai berikut:
17 a. Relevan. Isi sebuah atau dokumen harus melayani suatu tujuan. Dengan demikian laporan itu dapat mendukung keputusan manajer atau tugas petugas administrasi. Sistem informasi yang meyajikan data yang relevan dalam laporannya. Laporan yang berisi data tidak relevan hanya memboroskan sumber daya dan tidak produktif bagi pemakai. Data yang tidak relevan mengurangi perhatian dari pesan laporan yang sebenarnya dan dapat menghasilkan keputusan atau tindakan yang tidak benar. b. Tepat waktu. Umur informasi merupakan faktor yang kritikal dalam menentukan kegunaannya. Informasi harus tidak lebih tua dari periode waktu tindakan yang didukungnya. c. Akurat. Informasi harus bebas dari kesalahan yang sifatnya material. Kesalahankesalahan material ada ketika jumlah informasi tidak akurat, menyebabkan pemakai melakukan keputusan yang buruk atau gagal melakukan keputusan yang dilakukan. Dalam menyiapkan informasi, para desainer sistem mencari keseimbangan antara informasi seakurat mungkin, tetapi tetap cukup tepat waktu, agar berguna. d. Lengkap. Tidak ada bagian informasi yang esensial bagi pengambilan keputusan atau pelaksanaan tugas yang hilang. Misalnya, sebuah laporan harus
18 menyajikan semua perhitungan yang diperlukan dan menyajikan pesannya dengan jelas dan tidak ambigu. e. Rangkuman. Informasi harus diagregasi agar sesuai dengan kebutuhan pemakai. Manajer tingkat lebih rendah cenderung membutuhkan informasi yang sangat rinci. Semakin arus informasi mengalir ke atas melalui organisasi ke manajemen atas, semakin ia dirangkumkan. 5. Pemakai Akhir (end user). Pemakai akhir dibagi menjadi dua kelompok umum: a. Eksternal. Pemakai eksternal meliputi para kreditur, para pemegang saham, para investor potensial, agen-agen pembuat peraturan, otoritas pajak, para pemasok, dan pelanggan. b. Internal. Pemakai internal adalah pihak manajemen disetiap tingkat organisasi, juga personel operasi. 6. Sumber data. Transaksi keuangan yang memasuki sistem informasi dari sumber internal dan eksternal. a. Transaksi keuangan eksternal. Merupakan sumber data yang umum bagi kebanyakan organisasi. Termasuk dalam transaksi ini adalah pertukaran ekonomis dengan entitas bisnis lainnya dan individu dari luar perusahaan. Misalnya penjualan
19 barang-barang dan jasa, pembelian persediaan, penerimaan kas, dan pengeluaran kas. b. Transaksi keuangan internal. Melibatkan pertukaran dan pergerakan sumber daya dalam organisasi. Termasuk dalam transaksi ini adalah pergerakan bahan mentah ke persediaan dalam proses (WIP), aplikasi tenaga kerja dan overhead ke WIP, transfer WIP ke persediaan barang jadi, serta penyusutan pabrik dan peralatan.
Berdasarkan pendapat Hall diatas, maka dapat disimpulkan bahwa siklus umum sistem informasi akuntansi terdiri dari sumber dokumen eksternal dikumpulkan dari aktivitas-aktivitas organisasi dengan pihak luar, yang kemudian diproses oleh sistem sehingga menghasilkan informasi yang kemudian digunakan
oleh
pihak
manajemen
untuk
mengambilan
keputusan,
merencanakan, menjalankan, dan mengontrol aktivitas organisasi sehingga tercapai tujuan organisasi, yang kemudian pemakai informasi internal memberikan umpan balik atas informasi untuk diolah kembali menjadi informasi. Selain informasi digunakan oleh pihak internal organisasi, informasi tersebut juga digunakan oleh pihak-pihak luar yang berkepentingan.
20 2.1.3
Siklus Proses Transaksi Sistem Informasi Persediaan Hall (2001, pp264-265) Siklus Proses Transaksi yang berhubungan atau
berkaitan dengan Siklus Proses Transaksi Sistem Informasi Persediaan:
Gambar 2.2 Siklus Proses Transaksi yang berhubungan dengan Sistem Informasi Persediaan Sumber: Sistem Informasi Akuntansi (Hall, 2001)
21 Proses-proses tersebut dijelaskan dalam langkah-langkah berikut: 1. Fungsi Pembelian dimulai dengan mengetahui kebutuhan untuk mengisi kembali stok Persediaan melalui pengamatan terhadap Catatan Persediaan. Tingkat Persediaan menurun melalui Penjualan langsung kepelanggan (kegiatan Siklus pendapatan) atau melalui transfer ke proses manufaktur (kegiatan siklus konversi). Informasi kebutuhan persediaan dikirim ke pemrosesan pembelian dan utang dagang (UD). 2. Proses Pembelian menentukan kualitas pesanan, memilih pemasok, dan menyiapkan pesanan pembelian. Informasi ini dikirim baik ke pemasok maupun ke tempat pemrosesan UD. 3. Setelah satu periode waktu, perusahaan menerima item-item persediaan dari pemasok. Barang yang diterima diperiksa untuk kualitas dan kuantitasnya dan pengiriman ke toko-toko atau gudang. 4. Informasi tentang bukti penerimaan persediaan digunakan untuk meng-update catatan persediaan. 5. Proses UD menerima faktur dari pemasok. UD merekonsiliasi ini dengan informasi lainya yang telah dikompilasi untuk transaksi dan catatan kewajiban tertentu untuk membayar di waktu tertentu di masa yang akan datang, bergantung pada syarat perdagangan dengan pemasoknya. Biasanya pembayaran akan muncul pada hari terakhir yang mungkin untuk mengambil manfaat dari bunga dan diskon yang ditawarkan. 6. Buku besar menerima rangkuman informasi dari hutang dagang (kenaikan total dalam kewajiban) dan kontrol persediaan (kenaikan total dalam persediaan).
22 Informasi ini direkonsiliasi untuk keakuratnya dan diposkan keakun kontrol utang dagang dan persediaan.
2.2
Sistem Pengendalian Intern
2.2.1
Pengertian Pengendalian Intern Menurut Weber (1999, p35), “A control is a system that prevents, detects, or correct unlawful events”. Intinya menurut Weber, “Pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan mengkoreksi kejadian yang tidak sesuai dengan kebijakan dan peraturan yang berlaku di organisasi”. Berdasarkan definisi di atas, maka pengendalian dikelompokkan menjadi tiga bagian, yaitu : a. Preventive Controls Instruksi (perintah) yang ditempatkan pada dokumen sumber untuk mencegah/menjaga terjadinya kesalahan dalam pengisiannya. b. Detective Controls Pengendalian ini digunakan untuk menemukan/mengetahui bila terjadi kesalahan data yang diinput di dalam sistem. c. Corrective Controls Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada detective control. Pengendalian ini terdiri dari program yang menggunakan kode khusus yang dapat memperbaiki data yang rusak/error karena kesalahan pada komunikasi on line.
23 Menurut The Information System Control and Audit Association (ISACA), sistem pengendalian internal adalah “Internal control system is the policies, procedures, practices, and organizational structures, designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented, or detected and corrected.” Yang dapat diterjemahkan bahwa “Sistem pengendalian internal merupakan kebijakan, prosedur, praktek-praktek, dan struktur organisasi yang didesain untuk memberikan jaminan yang layak pada upaya pencapaian tujuan bisnis yang akan dicapai dan memastikan kejadian-kejadian yang tidak diinginkan akan dicegah, atau dideteksi dan dikoreksi.”
Berdasarkan
definisi-definisi
tersebut
di
atas
dapat
disimpulkan bahwa sistem pengendalian internal adalah suatu sistem yang dipengaruhi entitas organisasi yang dirancang untuk mencegah, mengendalikan dan melindungi seluruh aktivitas organisasi dari penyimpangan-penyimpangan atau undesirable event lainnya yang dapat merugikan perusahaan sekaligus bertujuan untuk memastikan kepatuhan entitas terhadap peraturan dan kebijakan perusahaan, menciptakan keandalan laporan keuangan, meningkatkan efektifitas dan efisiensi operasi perusahaan, dan menjaga aset/kekayaan organisasi.
24 2.2.2
Tujuan dan Manfaat Sistem Pengendalian Internal Gondodiyoto (2003, p75) berpendapat bahwa tujuan utama dari sistem pengendalian internal adalah : 1) Mengamankan aset organisasi. 2) Memperoleh informasi yang akurat dan dapat dipercaya. 3) Meningkatkan efektifitas dan efisiensi kegiatan. 4) Mendorong
kepatuhan
pelaksanaan
terhadap
kebijaksanaan
organisasi/pimpinan.
Berdasarkan pendapat Hall (2001, p150) menyatakan bahwa sistem pengendalian internal digunakan oleh organisasi untuk mencapai empat tujuan utama, yaitu: 1. Untuk menjaga aktiva perusahaan. 2. Untuk memastikan akurasi dan dapat diandalkannya catatan dan informasi akuntansi. 3. Untuk mempromosikan efisiensi operasi perusahaan. 4. Untuk mengukur kesesuaian dengan kebijakan dan prosedur yang telah ditetapkan oleh manajemen.
Berdasarkan pendapat-pendapat diatas, dapat disimpulkan bahwa tujuan utama dari sistem pengendalian intern adalah untuk menjaga kekayaan perusahaan, meningkatkan efektifitas dan efisiensi operasi perusahaan,
25 mendorong
dipatuhinya
kebijakan
manajemen,
mencegah
tindakan
penyimpangan, dan memperkecil kesalahan.
2.2.3
Komponen Sistem Pengendalian Internal Menurut Weber (1999, p49) pengendalian internal yang didefinisikan oleh The Information System Control and Audit Associat (ISACA), terdiri atas lima komponen, yaitu: 1) Control Environment (Lingkungan Pengendalian) Elemen ini memperlihatkan bahwa hal yang terkandung pada kontrol terutama pada sistem akutansi dan prosedur yang harus dijalankan.
Elemen
ini
menekankan
bahwa
perlu
adanya
pengendalian internal pada aspek-aspek nilai etika dan integritas perusahaan, komitmen terhadap kompetensi, filosofi manajemen dan gaya operasi, struktur organisasi, otoritas dan tanggung jawab, kebijaksanaan sumber daya manusia. 2) Risk Assessment (Penaksiran Resiko) Elemen ini melakukan identifikasi dan analisa terhadap resikoresiko yang dihadapi oleh organisasi dan bagaimana mengelola resiko tersebut. 3) Control Activities (Aktivitas Pengendalian) Elemen ini memastikan bahwa setiap transakasi telah disetujui oleh yang berwenang, telah diadakan pemisahan fungsi serta dokumen dan catatan-catatan yang memadai. Bukti dan catatan telah
26 disimpan dengan baik dan dicek oleh pihak independen, serta penilaian terhadap catatan telah dilakukan 4) Information and Communication (Informasi dan Komunikasi) Pada elemen ini pengendalian internal dilakukan untuk memastikan bahwa informasi yang disajikan adalah tepat waktu, sesuai, up to date, tersedia apabila dibutuhkan, serta informasi diakses, dirubah dan dihapus oleh pihak yang berwenang. Dan pada komunikasi telah berjalan dengan secara efektif dan tepat waktu baik secara tugas, antar karyawan, antar fungsi/departemen, supplier, customer dan pihak ketiga lainnya. 5) Monitoring (Pengawasan) Adalah komponen yang memastikan keandalan sistem pengendalian internal beroperasi secara dinamis sepanjang waktu yang dilakukan dengan cara melakukan aktivitas monitoring dan evaluasi secara terpisah.
2.2.4
Sistem Pengendalian Intern pada Sistem Berbasiskan Komputer Menurut Weber (1999, p39) ada dua pengendalian intern dalam sistem informasi akuntansi yaitu: Pengendalian Manajemen (Management Control) terdiri dari : a. Pengendalian Top Manajemen (Top Management Control): Manajemen tingkat
atas
merencanakan,
mengorganisasikan,
mengawasi fungsi sistem informasi.
memimpin
dan
27 b. Pengendalian Manajemen Pengembangan Sistem (System Development Management Controls): Membuat rencana dari proses pengembangan sistem informasi dimana auditor dapat menggunakannya sebagai dasar untuk mengumpulkan dan mengevaluasi bukti-bukti. c. Pengendalian Manajemen Sumber Data (Data Resources Management Controls): Aturan-aturan dari data administrasi dan database administrasi dan kontrol harus diterapkan dalam fungsi sistem yang ada. d. Pengendalian Manajemen Keamanan (Security Management Controls): Tujuan
utama
ditampilkan
oleh
administrasi
keamanan
untuk
mengidentifikasi ancaman utama terhadap fungsi sistem informasi dan untuk
membuat,
menerapkan,
mengoperasikan
dan
memelihara
pengendalian agar dapat mengurangi kerugian yang ditimbulkan dari berbagai ancaman. e. Pengendalian Manajemen Operasi (Operations Management Controls): Fungsi utamanya adalah untuk memastikan bahwa sudah adanya pengendalian dalam penerapan fungsi sistem informasi terhadap kegiatan operasional sehari-hari. f. Pengendalian
Manajemen
Jaminan
Kualitas
(Quality
Assurance
Management Controls): fungsi utamanya adalah untuk memastikan bahwa pengembangan, penerapan, pengoperasian dan pemeliharaan dari sistem informasi sudah sesuai dengan standar kualitas.
28 Pengendalian Aplikasi (Application Control) terdiri dari : a. Pengendalian Batasan (Boundary Controls): Dibangun sebagai suatu tampilan antara pengguna sistem komputer dengan sistem komputer itu sendiri. Adapun 3 (tiga) tujuan pengendalian subsistem boundary adalah sebagai berikut: 1. Untuk menetapkan identitas dan kewenangan pengguna dari sistem komputer (sistem harus memastikan orang tersebut adalah orang yang berhak). 2. Untuk menetapkan identitas dan kewenangan dari sumber daya yang digunakan (pengguna harus memastikan bahwa mereka memberikan kewenangan dari sumber daya). 3. Membatasi tindakan-tindakan yang dilakukan oleh pengguna yang menggunakan sumber daya komputer terhadap tindakan-tindakan yang terotorisasi (pengguna diperbolehkan menggunakan sumber daya pada batasan-batasan tertentu). b. Pengendalian Masukan (Input Controls): “Components in the input subsystem are responsible for bringing both data and instructions into an application control”. Definisi secara umum adalah pengendalian yang dilakukan ketika memasukkan data ke dalam sistem. Dokumen sumber digunakan sebagai dasar untuk menginput data. Dokumen sumber yang didesain dengan baik penting untuk mencapai tujuan audit. Komponen pada subsistem input bertanggung jawab untuk memasukan data dan instruksi kedalam sistem aplikasi, kedua jenis input tersebut
29 harus divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol, sehingga input yang akurat, lengkap, unik dan tepat waktu. Kontrol terhadap input merupakan suatu hal yang penting karena: 1. Pada sistem informasi kontrol yang besar jumlahnya adalah pada subsistem input, sehingga auditor harus memberikan perhatian yang lebih kepada kehandalan input kontrol yang ada. 2. Kegiatan subsistem input melibatkan jumlah kegiatan yang besar dan rutin dan merupakan kegiatan yang monoton sehingga dapat menyebabkan terjadinya kesalahan. 3. Subsistem input seringkali merupakan target dari fraud, banyak kegiatan yang seharusnya dilakukan seperti penambahan dan penghapusan.
KeyBoarding State / Event
Recording medium Direct Reading
Direct Entry
Dengan cara memahami metode input data yang digunakan pada aplikasi maka auditor dapat mengembangkan cara kontrol terhadap kekuatan
30 ataupun kelemahan dari input subsistem tersebut. Sebagai contoh tiga aspek yang mempengaruhi metode input dan bagaimana pengaruhnya terhadap penilaian auditor terhadap kontrol yang ada, yaitu: 1. Jika keterlibatan manusia pada metode input meningkat maka kemungkinan terjadinya kesalahan atau pemakaian yang tidak semestinya juga meningkat. 2. Jika interval waktu yang diperlukan untuk mencatat transaksi dengan kejadian semakin lama maka kemungkinan terjadinya kesalahan juga meningkat, karena data tersebut dapat saja terlupakan atau orang yang menginput data bukanlah orang yang terlibat pada transaksi tersebut. 3. Digunakan berbagai jenis kontrol terhadap fasilitas input pada subsistem input untuk mengurangi terjadinya kesalahan. Komponen dari subsistem input bertanggungjawab atas kehandalan data dan semua instruksi yang terdapat dalam aplikasi. Keduanya harus selalu divalidasi, dan ketika kesalahan ditemukan maka harus segera dilakukan perbaikan agar input tersebut akurat, lengkap, unik, dan tepat waktu. Sumber data yang baik dan tampilan inputan data yang baik akan mengurangi kesalahan dalam penginputan sehingga inputan akan semakin efektif dan efesien. c. Pengendalian
Aplikasi
Komunikasi
(Application
Communication
Controls) : “The communication subsystem is responsible for transporting data among all the other subsystems within a system and
31 for transporting data to or receiving data from another system“. Definisinya secara umum adalah subsistem komunikasi bertanggung jawab untuk melakukan pengiriman data ke subsistem yang lain dalam suatu sistem dan untuk pengiriman data ke penerima data dari sistem yang lain. d. Pengendalian Proses (Process Controls) : “The processing subsystem is responsible for computing, sorting, classifying, and summarizing data“. Maksudnya pengendalian proses adalah bertanggung jawab untuk menghitung, mengurutkan, mengklasifikasi, dan meringkas data. Pengendalian proses terdiri dari : a)
CPU (Central Processing Unit): CPU adalah sumber daya yang paling penting dalam perangkat keras, yang memiliki tiga komponen, yaitu:
b)
¾
Alat Pemasukan (Input Device)
¾
Alat Pemrosesan (Processing Device)
¾
Alat Pengeluaran (Output Device)
Control unit, yang mengambil program dari memori dan menentukan jenisnya.
c)
Aritmatik dan unit logika, yang menampilkan operasi.
d)
Register, memori kecil yang berkecepatan tinggi untuk menyimpan hasil sementara.
e. Pengendalian Basis Data (Database Controls): “The database subsystem provides functions to define, create, modify, delete, and read data in an
32 information system”.
Definisinya secara umum adalah subsistem
database menyediakan suatu fungsi untuk mendefinisikan, menciptakan, memodifikasi, menghapus dan membaca data di dalam suatu sistem informasi. f. Pengendalian Keluaran (Output Controls). Pengendalian keluaran adalah pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak up-to-date datanya, atau didistribusikan kepada orang-orang yang tidak berwenang.
2.3
Audit Sistem Informasi
2.3.1
Definisi Audit Sistem Informasi Menurut Weber (1999, p10), “Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”. Intinya audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem komputer dapat melindungi aset, memelihara integritas data, memungkinkan pencapaian tujuan organisasi secara efektif dan penggunaan sumber daya secara efisien.
33 2.3.2
Prosedur Audit Sistem Informasi Berdasarkan pendapat Weber (1999, pp47-55) tahapan audit sistem informasi terbagi menjadi lima tahapan antara lain sebagai berikut: 1. Planning the Audit (Perencanaan Audit). Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini berarti melakukan investigasi terhadap klien untuk mengetahui apakah penugasan audit (audit engagement) dapat diterima, menempatkan staff audit, mendapatkan surat penugasan, mendapatkan informasi mengenai latar belakang klien, memahami informasi mengenai kewajiban hukum klien dan melakukan analisa terhadap prosedur yang ada untuk memahami bisnis klien dan mengidentifikasi area-area yang berisiko. Pada tahap ini auditor juga harus memahami pengendalian intern organisasi lalu menentukan tingkat resiko pengendalian yang berhubungan dengan setiap segmen audit. 2. Tests of Controls (Pengujian Pengendalian). Auditor melakukan test of controls ketika mereka menilai bahwa tingkat resiko pengendalian berada pada level kurang dari maksimum (pengendalian masih dapat dipercaya). Test of controls diarahkan kepada efektivitas pengendalian intern perusahaan, baik dalam rancangan maupun operasinya (pelaksanaannya). Tahap ini diawali dengan fokus pada pengendalian manajemen (management controls), jika pengendalian manajemen dinilai beroperasi secara tidak andal, maka auditor hanya akan melakukan sedikit pengujian pada
34 pengendalian
aplikasi
(application
controls).
Namun
jika
auditor
menemukan kelemahan yang serius pada pengendalian manajemen maka auditor akan memberikan opini tidak wajar (adverse opinion) terhadap pengendalian yang ada di dalam perusahaan atau melakukan pengujian substantif (substantive test) atas transaksi dan pengujian keseimbangan dan hasil keseluruhan (balances or overall result). Jika auditor menyatakan
pengendalian manajemen beroperasi secara
memadai, maka auditor akan melakukan evaluasi terhadap kehandalan pengendalian aplikasi dengan menelusuri jenis-jenis materialitas dari transaksi melalui masing-masing pengendalian yang dijalankan pada subsistem pengendalian aplikasi. 3. Tests of Transaction (Pengujian Transaksi). Auditor menggunakan test ini untuk mengevaluasi apakah kesalahankesalahan atau pemrosesan yang keliru terhadap transaksi telah mengarah pada kesalahan yang material pada pernyataan laporan keuangan. Tes pembuktian ini mencakup penelusuran terhadap jurnal hingga ke dokumen sumbernya, menguji kebenaran file, menguji akurasi perhitungan. Jika hasil tes transaksi mengindikasikan terjadi kehilangan atau kesalahan pencatatan yang material, maka auditor dapat mengembangkan tingkat pengujiannya dengan melakukan test of balances or overall result untuk mendapatkan estimasi yang lebih baik terhadap kehilangan atau kesalahan pencatatan. 4. Tests of Balances or Overall Results.
35 Auditor melakukan tes ini untuk memperoleh bukti yang cukup dalam membuat penilaian akhir (final judgment) mengenai tingkat kehilangan atau kesalahan pencatatan yang terjadi ketika fungsi sistem informasi gagal melindungi aset, memelihara integritas data, mencapai efektivitas dan efisiensi sistem informasi. 5. Completion of the Audit. Tahap ini merupakan tahap akhir dari tahapan audit sistem informasi. Pada tahap ini auditor merumuskan opininya terhadap kehilangan material dan kesalahan pencatatan yang terjadi sekaligus membuat rekomendasi untuk manajemen yang nantinya disajikan pada laporan audit. Adapun jenis-jenis opini yang berlaku umum adalah: a. Unqualified Opinion (Wajar Tanpa Pengecualian). Auditor menyatakan bahwa laporan keuangan disajikan secara wajar. b. Qualified Opinion (Wajar Dengan Pengecualian). Auditor menyatakan bahwa laporan keuangan disajikan secara wajar, kecuali pada pos tertentu. c. Adverse Opinion (Pendapat Tidak Wajar). Auditor merasa yakin bahwa keseluruhan laporan keuangan yang disajikan memuat salah saji yang material atau menyesatkan sehingga tidak menyajikan secara wajar posisi keuangan perusahaan sesuai dengan prinsip akuntansi berlaku umum.
36 d. Disclaimer of Opinion (Tidak Memberikan Pendapat). Auditor menolak memberikan pendapat dikarenakan beberapa kondisi antara lain: pembatasan lingkup audit, hubungan yang tidak independen antara auditor dan klien, dan sebagainya.
Gambar 2.3 Prosedur Audit Sistem Informasi Sumber: Weber (1999, p48)
37 2.3.3
Standar Audit Standar audit menurut Ikatan Auditor Sistem Informasi Indonesia (IASII) adalah: S-1 Penugasan Audit. S-1.1
Tanggung Jawab, Wewenang dan Akuntabilitas. Tanggung jawab, wewenang, dan akuntabilitas dari auditor sistem informasi harus dinyatakan dengan jelas secara formal dan tertulis dalam piagam atau surat tugas audit sistem informasi serta disetujui secara bersama oleh auditor sistem informasi dan pemberi tugas.
S-2 Independensi & Obyektifitas. S-2.1
Independensi. Dalam berbagai hal yang berkaitan dengan audit sistem informasi, auditor sistem informasi harus menjaga independensinya, baik secara faktual maupun penampilan, dari organisasi atau hal yang diaudit.
S-2.2
Obyektifitas. Auditor sistem informasi harus menjaga obyektifitasnya dalam merencanakan, melaksanakan dan melaporkan audit sistem informasi.
S-3 Profesionalisme & Kompetensi. S-3.1
Profesionalisme.
38 Auditor sistem informasi harus memenuhi berbagai standar audit yang berlaku serta menerapkan kecermatan dan ketrampilan profesionalnya
dalam
merencanakan,
melaksanakan,
dan
melaporkan audit sistem informasi. S-3.2
Kompetensi. Auditor sistem informasi, secara kolektif, harus memiliki atau memperoleh pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi.
S-3.3
Pendidikan Profesi Berkelanjutan. Auditor sistem informasi harus meningkatkan pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi melalui pendidikan profesi berkelanjutan.
S-4 Perencanaan. S-4.1
Perencanaan Audit. Auditor sistem informasi harus merencanakan audit sistem informasi dengan baik agar dapat mencapai tujuan audit serta memenuhi standar audit yang berlaku.
S-5 Pelaksanaan. S-5.1
Pengawasan. Staf audit sistem informasi harus disupervisi dengan baik untuk memberikan keyakinan yang memadai bahwa tujuan audit sistem
39 informasi dapat tercapai dan standar audit yang berlaku dapat dipenuhi. S-5.2
Bukti-bukti Audit. Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus memperoleh bukti-bukti audit yang cukup, dapat diandalkan dan bermanfaat untuk mencapai tujuan audit sistem informasi secara efektif. Temuan dan kesimpulan audit sistem informasi harus didukung oleh analisis dan interpretasi yang memadai atas bukti-bukti audit tersebut.
S-5.3
Kertas Kerja Audit. Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus mendokumentasikan secara sistematis seluruh bukti-bukti audit yang diperoleh serta analisis yang dilakukannya.
S-6 Pelaporan. S-6.1
Laporan Audit. Setelah menyelesaikan pelaksanaan audit sistem informasi, auditor sistem informasi harus memberikan suatu laporan audit sistem informasi dalam bentuk yang memadai kepada pihak-pihak yang berhak
menerima.
Laporan
audit
sistem
informasi
harus
menyatakan lingkup, tujuan, sifat penugasan, temuan, kesimpulan, rekomendasi, indentitas organisasi, penerima dan batasan distribusi laporan, serta batasan atau pengecualian yang berkaitan dengan pelaksanaan audit sistem informasi.
40 S-7 Tindak Lanjut S-7.1
Pemantauan Tindak Lanjut
Auditor sistem informasi harus meminta dan mengevaluasi informasi yang dipandang perlu sehubungan dengan temuan, kesimpulan dan rekomendasi audit yang terkait dari audit sebelumnya untuk menentukan apakah tindak lanjut yang layak telah dilaksanakan dengan tepat waktu
2.3.4
Instrumen Audit Berdasarkan pendapat Indriantoro dan Supomo (1999, pp152-157) teknik pengumpulan data dapat dilakukan dengan cara: 1. Wawancara merupakan teknik pengumpulan data dalam metode survei yang menggunakan pertanyaan secara lisan kepada subyek penelitian. 2. Observasi adalah proses pencatatan pola perilaku subyek (orang), obyek (benda), atau kejadian yang sistematik tanpa adanya pertanyaan atau komunikasi dengan individu-individu yang diteliti.
2.4 Sistem Informasi Persediaan Rangkuti (1996, p1) mengemukakan Sistem Informasi Persediaan adalah suatu sistem informasi yang melibatkan orang-orang dalam organisasi, data, prosedur dan sarana pendukung untuk mengoperasikan sistem persediaan seingga dapat menghasilkan informasi yang mendukung kepentingan bagian persediaan dalam menganalisis dan mengendalikan keadaan persediaan bahan baku.
41 2.5
Matriks Penetapan Penilaian Resiko dan Pengendalian pada Sistem Informasi Persediaan Setelah memperoleh bukti audit yang berkualitas dan cukup beserta temuannya dengan menggunakan instrumen pengumpulan bukti, auditor menggunakan metode Matriks Penetapan Penilaian Resiko dan Pengendalian guna merumuskan dan mempertajam analisa terhadap bukti audit dan temuan agar dapat merumuskan dan menyimpulkan opini yang andal dengan melakukan perbandingan dan penilaian terhadap tingkat resiko dan control yang ada. Metode Penetapan Penilaian Resiko dan Pengendalian ini didasari oleh teori Pickett yang dinyatakan dalam bukunya yang berjudul The Essential Handbook of Internal Auditing (2005, p76) yang sebagian dari esensi buku ini juga didukung oleh Peltier dalam bukunya yang berjudul Information Security Risk Analysis (2001, pp60-63). 1. Matriks Penilaian Resiko Matriks penilaian resiko adalah suatu cara untuk menganalisa seberapa besar resiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan cara menganalisa pengaruh dan korelasi antara tingkat impact (dampak) yang ditimbulkan dari suatu resiko dengan tingkat likelihood (keterjadian) dari resiko tersebut. Besarnya tingkatan dampak dan keterjadian suatu resiko dinyatakan sebagai berikut: − L atau Low diberi nilai -1 − M atau Medium diberi nilai -2 − H atau High diberi nilai -3
42 Nilai negatif (-) hanya menyimbolkan bahwa nilai tersebut merupakan nilai dari resiko (bukan bilangan aritmatika). Teknik perhitungan dalam matriks penilaian resiko menggunakan fungsi perkalian antara dampak (impact) dengan keterjadian (likelihood). Adapun kriteria dari hasil penilaian dari matriks resiko terdiri dari : a. Resiko kecil (Low) nilainya berkisar antara -1 dan -2, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini : − Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai resiko adalah -1. − Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai resiko adalah -2. − Jika dampak Medium (-2) dan keterjadian Low (-1), maka nilai resiko adalah -2. Artinya nilai resiko dari dampak dan keterjadian adalah kecil. b. Resiko sedang (Medium) nilainya berkisar antara -3 dan -4, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini : − Jika dampak Low (-1) dan keterjadian High (-3), maka nilai resiko adalah -3. − Jika dampak Medium (-2) dan keterjadian Medium (-2), maka nilai resiko adalah -4. − Jika dampak High (-3) dan keterjadian Low (-1), maka nilai resiko adalah -3. Artinya nilai resiko dari dampak dan keterjadian adalah sedang.
43 c. Resiko tinggi (High) nilainya berkisar antara -6 dan -9, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini : − Jika dampak Medium (-2) dan keterjadian High (-3), maka nilai resiko adalah -6. − Jika dampak High (-3) dan keterjadian Medium (-2), maka nilai resiko adalah -6. − Jika dampak High (-3) dan keterjadian High (-3), maka nilai resiko adalah -9. Artinya nilai resiko dari dampak dan keterjadian adalah tinggi.
L I K E L I H O O D
-3 H -2 M -1 L
0
-3
-6
-9
-2
-4
-6
-1
-2
-3
L -1
M -2
H -3
IMPACT
Gambar 4.1 Matriks Penilaian Resiko Sumber : The Essential Handbook of Internal Auditing (2005)
44 2. Matriks Penilaian Pengendalian Matriks penilaian pengendalian adalah suatu cara untuk menganalisa seberapa efektif dan efisiennya suatu pengendalian yang ada dalam mengcover suatu resiko atau ancaman. Hal ini dilakukan dengan cara menganalisa pengaruh dan korelasi antara tingkat efektifitas pengendalian dengan desain dari pengendalian tersebut. Desain pengendalian mencerminkan seberapa baikkah control yang ada atau yang dimiliki perusahaan dalam mengcover resiko sedangkan untuk efektifitas mencerminkan seberapa besar tingkat ketaatan/komitmen karyawan dalam menjalankan control yang ada.
Besarnya tingkatan efektifitas dan desain suatu pengendalian yang dimiliki perusahaan dinyatakan sebagai berikut : − L atau Low diberi nilai 1 − M atau Medium diberi nilai 2 − H atau High diberi nilai 3
Teknik
perhitungan
dalam
matriks
penilaian
pengendalian
menggunakan fungsi perkalian antara efektifitas (ketaatan penerapan control) dengan desain (keandalan konsep control). Adapun kriteria dari hasil penilaian dalam matriks pengendalian terdiri dari : a. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini :
45 − Jika efektifitas Low (1) dan desain Low (1), maka nilai pengendalian adalah 1. − Jika efektifitas Low (1) dan desain Medium (2), maka nilai pengendalian adalah 2. − Jika efektifitas Medium (2) dan desain Low (1), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil. b. Pengendalian sedang (Medium) nilainya berkisar antara 3 dan 4, seperti: − Jika efektifitas Low (1) dan desain High (3), maka nilai pengendalian adalah 3. − Jika efektifitas Medium (2) dan desain Medium (2), maka nilai pengendalian adalah 4. − Jika efektifitas High (3) dan desain Low (1), maka nilai pengendalian adalah 3.
Artinya nilai pengendalian dari
efektifitas dan desain adalah sedang. c. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9, seperti: − Jika efektifitas Medium (2) dan desain High (3), maka nilai pengendalian adalah 6. − Jika efektifitas High (3) dan desain Medium (2), maka nilai pengendalian adalah 6.
46 − Jika efektifitas High (3) dan desain High (3), maka nilai pengendalian adalah 9. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.
E F E T I F I T A S
3H 2M 1L
3
6
9
2
4
6
1
2
3
0
L 1
M 2
H 3
DESAIN Gambar 4.1 Matriks Penilaian Pengendalian Sumber : The Essential Handbook of Internal Auditing (2005)
Penetapan tingkat efektifitas pengendalian terhadap resiko adalah sebagai berikut: − Jika hasil akumulasi antara resiko dan pengendalian adalah 0, maka tingkat pengendalian dan resiko adalah standard, artinya pengendalian yang ada masih dapat diandalkan untuk mengcover resiko, namun perlu dilakukan pengawasan secara berkelanjutan agar resiko tidak dapat melampaui pengendalian di kemudian hari.
47 − Jika hasil akumulasi antara resiko dan pengendalian adalah positif, maka pengendalian adalah baik. Artinya pengendalian yang ada dapat sepenuhnya diandalkan untuk mengcover resiko yang ada. Namun perlu diperhatikan bahwa jika hasil akumulasi antara resiko dan pengendalian terlalu tinggi (bernilai positif) maka ada kemungkinan telah terjadi over control yang dapat menyebabkan terjadinya inefisiensi. − Jika hasil akumulasi antara resiko dan pengendalian adalah negatif, maka pengendalian adalah buruk. Artinya pengendalian yang ada tidak dapat mengcover resiko sepenuhnya (tidak dapat diandalkan) sehingga perlu dilakukan perubahan/peningkatan pengendalian guna mengendalikan dan menghindari resiko yang lebih besar. Namun perlu diperhatikan bahwa semakin tinggi hasil akumulasi antara resiko dan pengendalian (bernilai negatif) maka semakin tinggi tingkat resiko
yang
akan
dihadapi
peningkatan/pengembangan
perusahaan
sehingga
pengendalian
mengendalikan/menghindari resiko yang lebih besar.
memerlukan untuk
