BAB II LANDASAN TEORI
II.1 Audit II.1.1. Pengertian Ada beberapa pengertian audit yang diberikan oleh beberapa ahli di bidang akuntansi, antara lain : - Menurut Alvin A.Arens (2010) : “Auditing is the accumulation and evaluation of evidence about information to determine and report on the degree of correspondence between the information and established criteria. Auditing should be done by a competent, independent person.” Yang berarti audit adalah akumulasi dan evaluasi bukti tentang informasi untuk menentukan dan melaporkan tingkat kesesuaian antara informasi dan kriteria yang ditetapkan. Audit harus dilakukan oleh orang yang berwenang, bebas atau tidak terikat. - Menurut Boynton (2006) : “Suatu proses sistematis untuk memperoleh serta mengevaluasi bukti secara objektif mengenai asersi-asersi kegiatan dan peristiwa ekonomi, dengan tujuan menetapkan derajat kesesuaian antara asersi-asersi tersebut dengan kriteria yang telah ditetapkan sebelumnya serta penyampaian hasil-hasilnya kepada pihak-pihak yang berkepentingan”.
12
Adapun Boynton (2006) mengungkapkan tentang beberapa ciri penting yang ada dalam definisi tersebut dapat diungkapkan sebagai berikut: a.) Suatu proses sistematis berupa serangkaian langkah atau prosedur yang logis, terstruktur, dan terorganisir. b.) Memperoleh dan mengevaluasi bukti secara obyektif berarti memeriksa dasar asersi serta mengevaluasi hasil pemeriksaan tersebut tanpa memihak dan berprasangka, terhadap perorangan (entitas) yang membuat asersi tersebut. c.) Asersi tentang kegiatan dan peristiwa ekonomi merupakan representasi yang dibuat oleh perorangan atau entitas. Asersi ini merupakan pokok auditing.
Audit pada umumnya dibagi menjadi lima golongan, yaitu : a.) Audit Laporan Keuangan ( Financial Statement Audit ) Audit laporan keuangan adalah audit yang dilakukan oleh auditor eksternal terhadap laporan keuangan kliennya untuk memberikan pendapat apakah laporan keuangan tersebut disajikan sesuai dengan kriteria-kriteria yang telah ditetapkan. Hasil audit lalu dibagikan kepada pihak luar perusahaan seperti kreditor, pemegang saham, dan kantor pelayanan pajak. b.) Audit Kepatuhan ( Compliance Audit ) Audit ini bertujuan untuk menentukan apakah yang diperiksa sesuai dengan kondisi, peratuan, dan undang-undang tertentu. Kriteria yang ditetapkan dalam audit kepatuhan berasal dari sumber-sumber yang berbeda. Audit kepatuhan biasanya disebut fungsi audit internal. 13
c.) Audit Operasional ( Operational Audit ) Audit operasional merupakan penelahaan secara sistematik aktivitas operasi organisasi dalam hubungannya dengan tujuan tertentu. Dalam audit operasional, diharapkan dapat melakukan pengamatan yang obyektif dan analisis yang komprehensif terhadap operasional tertentu. Tujuan audit operasional adalah untuk : 1.) Menilai kinerja, dibandingkan dengan kebijakan-kebijakan, standar-standar, dan sasaran-sasaran yang sudah ditetapkan oleh manajemen, 2.) Mengidentifikasikan peluang dan, 3.) Memberikan rekomendasi untuk perbaikan atau tindakan lebih lanjut. Pihak-pihak yang mungkin meminta dilakukannya audit operasional adalah manajemen dan pihak ketiga. Hasil audit operasional diserahkan kepada pihak-pihak yang telah meminta dilaksanakannya audit tersebut. d.) Audit Pengendalian Internal ( Audit Of Internal Control ) Audit pengendalian internal adalah suatu
proses menelaah,
menginvestigasi, dan mengumpulkan bukti terhadap suatu keadaan internal dalam suatu perusahaan agar selama berlangsungnya setiap kegiatan di dalam perusahaan dapat selalu terkontrol dengan baik. e.) Audit Sistem Informasi ( Audit Of Information System ) Proses pengumpulan dan penilaian bukti-bukti untuk menentukan apakah “sistem komputer” dapat mengamankan aset, memelihara
14
integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumber daya secara efisien.
II.1.2 Tujuan dan Manfaat Audit II.1.2.1 Tujuan Audit Tujuan umum audit atas laporan keuangan adalah untuk menyatakan pendapat atas kewajaran laporan keuangan, dalam semua hal yang material, sesuai dengan prinsip-prinsip akuntansi yang berlaku umum. Kewajaran laporan keuangan diukur berdasarkan asersi terkandung dalam setiap unsur yang disajikan dalam laporan keuangan, yang disebut dengan asersi manajemen. Asersi manajemen yang disajikan dalam laporan keuangan dapat diklasifikasikan menjadi lima kategori : 1.) Keberadaan atau Keterjadian ( Existency or Occurence ) Asersi ini merupakan pernyataan manajemen aktiva, kewajiban, dan ekuitas yang tercantum dalam neraca benar-benar ada pada tanggal neraca serta apakah pendapatan dan beban yang tercantum dalam laporan rugi laba benar-benar terjadi selama periode akuntansi. 2.) Kelengkapan ( Completeness ) Kelengkapan berarti semua transaksi dan akun-akun yang seharusnya tercatat dalam laporan keuangan telah dicatat. Asersi kelengkapan berlawanan dengan asersi keberadaan. Jika asersi keberadaan tidak benar maka akun akan dinyatakan terlalu tinggi, sementara jika asersi kelengkapan tidak benar, maka akun akan dinyatakan terlalu rendah. Asersi kelengkapan berkaitan dengan 15
kemungkinan hilangnya hal-hal yang harus dicantumkan dalam laporan keuangan, sedangkan asersi keberadaan berkaitan dengan penyebutan angka yang seharusnya tidak dimasukkan. 3.) Hak dan Kewajiban ( Rights and Obligations ) Memastikan apakah aktiva memang menjadi hak klien dan apakah kewajiban merupakan hutang klien pada tanggal tertentu. 4.) Penilaian atau Alokasi ( Valluation or Allocation ) Asersi ini menyangkut apakah suatu aktiva, kewajiban, ekuitas, pendapatan, atau beban telah dicantumkan dalam laporan keuangan pada jumlah yang tepat. 5.) Penyajian dan Pengungkapan ( Presentation and Disclosure ) Asersi ini menyangkut masalah apakah komponen-komponen laporan keuangan telah diklasifikasikan, diuraikan, dan diungkapkan secara tepat. Pengungkapan berhubungan dengan apakah informasi dalam laporan keuangan, termasuk catatan yang terkait, telah menjelaskan secara gamblang hal-hal yang dapat mempengaruhi penggunaannya.
II.1.2.2 Manfaat Audit Audit dikembangkan dan dilaksanakan karena audit memberi banyak manfaat bagi dunia bisnis. Berikut manfaat-manfaat yang bisa dirasakan : 1. Penilaian Pengendalian ( Appraisal of Control ) Pemeriksaan aktivitas operasional berhubungan dengan pengendalian administratif pada seluruh tahap operasi perusahaan yang bertujuan untuk
16
menentukan apakah pengendalian yang ada telah memadai dan terbukti efektif serta mencapai tujuan perusahaan. 2. Penilaian Kinerja ( Appraisal of Performance ) Penilaian, pelaksanaan dan operasional serta hasilnya. Penilaian diawali dengan mengumpulkan informasi-informasi yang bersifat kuantitatif lalu melakukan penilaian efektifitas, efisiensi dan ekonomisasi kinerja. Penilaian selanjutnya menjadi informasi bagi manajemen untuk meningkatkan kinerja perusahaan. 3. Membantu Manajemen ( Assistance to Manajement ) Dalam pemeriksaan operasional dan ketaatan maka hasil audit lebih diarahkan bagi kepentingan manajemen untuk performansinya. Dan hasilnya merupakan rekomendasi-rekomendasi yang diperlukan pihak manajemen. Manfaat audit dikelompokkan menjadi tiga kelompok dasar yang menikmati manfaat audit, yaitu : A. Bagi Pihak yang di Audit : 1. Menambah kredibilitas laporan keuangannya sehingga laporan tersebut dapat dipercaya untuk kepentingan pihak luar entitas seperti pemegang saham, kreditor, pemerintah, dan lain-lain. 2. Mencegah dan menemukan fraud yang dilakukan oleh manajemen perusahaan yang diaudit. 3. Menyingkap kesalahan penyimpangan moneter pada catatan keuangan. B. Bagi Anggota Lain Dalam Dunia Usaha : 1. Memberikan dasar yang lebih meyakinkan kepada perusahaan asuransi untuk menyelesaikan klaim atas kerugian yang diasuransikan. 17
2. Memberikan dasar yang terpercaya kepada para investor dan calon investor menilai prestasi investasi dan kepengurusan manajemen. 3. Memberikan dasar yang obyektif kepada serikat buruh dan pihak yang diaudit untuk menyelesaikan sengketa mengenai upah dan tunjangan.
II.2 Sistem II.2.1. Pengertian Adapun penjabaran pengertian sistem yang diberikan oleh: Menurut Ulric J. Gelinas, JR dan Richard B.Dull (2008): “A system is generally consists of an integrated set of computer-based components and manual components establish to collect, store, and manage data to provide output information to users.” Yang berarti bahwa sebuah sistem pada umumnya terdiri dari suatu satuan yang terintegrasi oleh komponen komputer dan komponen manual untuk mungumpulkan, menyimpan, dan me-manage data untuk menyediakan hasil output berupa informasi kepada pengguna.
II.3 Informasi II.3.1 Pengertian Menurut McLeod (2007), “Informasi adalah data yang telah di proses atau data yang memiliki arti”. Dan menurut Steinburt (2006), “Informasi adalah data yang telah diatur dan diproses untuk memberikan arti”. Jadi, informasi merupakan data yang diproses untuk memberikan arti dari data tersebut. Keuntungan informasi adalah: 18
a.) Berkurangnya ketidakpastian ( reduction of uncertainty ) b.) Meningkatkan kualitas keputusan ( improved decision ) c.) Meningkatkan kemampuan untuk perencanaan dan menjadwalkan aktivitas ( improved ability to plan and schedule activities )
II.4 Audit Sistem Informasi II.4.1 Pengertian Menurut Ron Weber (1999), EDP Audit atau yang biasa disebut audit sistem informasi adalah: “EDP auditing is the process of collecting and evaluating evidence to determine whether a computer systems safeguard assets, maintains data integrity, achieves organizational goals effectively, and consumes resources efficiently.” Yang berarti adalah proses pengumpulan dan penilaian bukti-bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumber daya secara efisien. Sebagai audit tersendiri, sangat perlu dilakukan untuk memeriksa tingkat kematangan atau kesiapan suatu organisasi dalam melakukan pengelolaan teknologi informasi. Karena yang di audit adalah tata kelola TI, maka yang diperiksa adalah TI itu sendiri. Audit Sistem Informasi tidak bersifat wajib, karena adanya aktifitas TI merupakan bentuk kesadaran dari pihak manajemen.
19
II.4.2 Sejarah Awal Di Amerika : •
UNIVAC – komputer yang digunakan untuk sensus.
•
IBM360 – mainframe untuk kebutuhan akuntansi.
•
EDPA – electronic data processing audit adalah proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, serta keandalan, efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer tersebut. EDPA terbagi menjadi tiga jenis, yaitu: a.) Audit Through The Computer, mengaudit ke dalam aplikasi. Seperti penggunaan aplikasi Lotus Notes dan Navision. b.) Audit Around The Computer, mengaudit di sekitar komputer yakni berupa hasil output yakni laporan, dll. c.) Audit With The Computer, mengaudit dengan menggunakan komputer. Misalnya: dengan menggunakan program ACL.
II.4.3 Fungsi Audit Sistem Informasi Meliputi beberapa obyek, antara lain : •
Perlindungan aset
•
Integritas data
•
Efektivitas Sistem
•
Efisiensi Sistem
20
II.4.4 Kebutuhan Audit Sistem Informasi a.) General Financial Audit Audit objective sesuai dengan standar akuntansi keuangan dan referensi model adalah COSO (Comitte Of Sponsoring Organization). b.) IT Governance Audit operasional terhadap manajemen pengelolaan sumberdaya informasi dalam aspek-aspek efektifitas, efisiensi, data integrity, save guarding asset, reliability, confidentially, availability, security.
Faktor yang mempengaruhi dilakukannya audit sistem informasi: • Mendeteksi apakah komputer dikelola secara kurang terarah (tidak ada visi, misi, perencanaan teknologi informasi, tidak ada pelatihan). • Mendeteksi resiko kehilangan data. • Mendeteksi resiko informasi yang tidak akurat, berdasarkan data yang salah. • Menjaga aset • Mendeteksi error komputer • Mendeteksi resiko penyalahgunaan komputer • Menjaga kerahasiaan • Meningkatkan pengendalian evolusi terhadap penggunaan komputer atau perkembangan ke depan.
21
II.4.5 Standar Audit Sistem Informasi a.) Standar Umum berdasarkan SPAP • Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki keahlian dan pelatihan teknis yang cukup sebagai auditor. • Dalam hal yang berhubungan dengan penugasan, independensi, sikap mental harus dipertahankan oleh auditor. • Kemahiran profesional, cermat, dan seksama. • PSA No.59, mengatur tentang teknik audit berbantuan komputer. • PSA No.60, mengatur tentang penentuan resiko dan pengendalian internal serta pertimbangan dan karakteristik sistem informasi komputer. • PSA No.69, mengatur tentang pertimbangan atas pengendalian internal dalam audit laporan keuangan.
Pengelolaan TI – Level Of Maturity a.) Level 0 ( Non Existence ) Tahap awal, komputerisasi dilakukan secara alamiah, tidak ada metodologi. b.) Level 1 ( Initial ) Ada kegiatan penyusunan sistem yang terarah. c.) Level 2 ( Repeatable ) Sudah menemukan pola pengembangan yang terarah, berjalan dengan pola yang sama. d.) Level 3 ( Defined ) Seluruh proses telah di dokumentasikan dan telah dikomunikasikan dan dilaksanakan berdasarkan suatu metode tertentu. 22
e.) Level 4 ( Managed ) Proses komputerisasi telah dapat diukur dan dimonitor. f.) Level 5 ( Optimized ) Praktek tersebut telah di ikuti dan di otomatisasi pada sistem.
II.4.6 Kategori Pengendalian Menurut Sanyoto Gondodiyoto (2007), pengendalian internal pada sistem informasi berbasis komputer di bedakan menjadi dua, yaitu: 1. Pengendalian Umum ( General Control ) Merupakan pengendalian akuntansi yang memiliki tujuan keamanan harta kekayaan milik perusahaan. Pengendalian ini terdiri dari: a.) Pengendalian Organisasi, yang dapat dicapai apabila pemisahan tugas dan tanggungjawab yang jelas masing-masing bagian atau divisi, pemisahan untuk pengotorisasian, penyimpanan, pelaksanaan, dan pencatatan setiap transaksi. b.) Pengendalian Dokumentasi, yaitu dengan penggunaan dari formulir bernomor urut tercetak. c.) Pengendalian Perangkat Keras, merupakan pengendalian yang sudah di pasang di dalam komputer itu oleh pabrik pembuatnya untuk mendeteksi kesalahan atau tidak berfungsinya perangkat keras. d.) Pengendalian Keamanan Fisik, pengendalian ini di lakukan untuk menghindari adanya pencurian, sabotase, kegagalan arus listrik, api, bencana alam. Teknik pengendalin meliputi: pengawasan terhadap
23
pengaksesan fisik, pengaturan lokasi fisik, dan penerapan alat-alat pengamanan. e.) Pengendalian Keamanan Data, dilakukan agar data tersimpan tidak hilang, rusak, dan di akses oleh orang yang tidak berhak. Pembatasan pengaksesan hanya bagi personil yang berwenang, proteksi file, data back up, dan recovery merupakan cara pengendalian keamanan data. Hasil kuesioner pengendalian umum dapat dilihat di LAMPIRAN 2 dan LAMPIRAN 3.
2. Pengendalian Aplikasi ( Application Control ) a. Boundary Control (Pengendalian Batasan) Yang dimaksud boundary adalah interface antara para pengguna (users) dengan sistem berbasis teknologi informasi. Tujuan utama boundary control adalah antara lain : •
untuk mengenal identitas dan otentik (authentic) atau tidaknya user sistem,
artinya suatu sistem yang didesain dengan baik
seharusnya dapat untuk mengidentifikasi dengan tepat siapa user tersebut, dan apakah identitas yang dipakainya otentik. •
untuk menjaga agar sumber daya sistem informasi digunakan oleh user dengan cara yang telah ditetapkan. Sebagai contoh, jika mahasiswa menghidupkan mesin pada ruang praktek komputer di kampus, lazimnya pertama kali komputer minta nomor identitas mesin dan password pemakai. Kedua hal tersebut dapat disebut sebagai salah satu contoh boundary control. 24
b. Input Control (Pengendalian Masukan) Input merupakan salah satu tahap dalam sistem komputerisasi yang paling penting dan mengandung risiko. Pengendalian masukan (input control) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi yang di input adalah valid, lengkap, serta bebas dari kesalahan dan juga penyalahgunaan. Input control ini merupakan pengendalian aplikasi yang penting, karena input yang salah akan menyebabkan output juga keliru. Jika yang masuk sampah, sampah pula yang keluar (Gold In Gold Out atau GIGO). Menurut Gondodiyoto (2007), dalam pengendalian input terdapat beberapa hal penting yaitu: a.) Echo Check Data yang diketik di keyboard akan dapat ditampilkan pada layar terminal. Dengan demikian operator dapat membandingkan antara data yang diketik dengan yang seharusnya dimasukkan. Program dibuat sedemikian rupa dengan memberikan kesempatan pada operator untuk membetulkannya bila salah. b.) Existence Check Kode yang dimasukkan diperbandingkan dengan daftar kode-kode yang sahih dan sudah ada di program. c.) Matching Check Dilakukan dengan membandingkan kode atau data input pada saat di entri dengan kode pada file tertentu (umumnya table-look-up-file).
25
d.) Field Check Field dari data input yang dimasukkan diperiksa kebenarannya dengan mencocokan nilai yang seharusnya menurut spesifikasi dari field tersebut dengan tipe field-nya. e.) Sign Check Field dari data input yang bersifat numerik dapat diperiksa untuk menentukan apakah tandanya benar: positif atau negatif. f.) Relationship or Logical Check Hubungan antara item-item data input harus sesuai dan masuk akal. Pengecekan ini berfungsi untuk memeriksa hubungan antara item data yang dimasukkan ke komputer. Kalau tidak masuk akal akan di tolak oleh komputer. g.) Limit and Reasonable Check Nilai dari input data diperiksa apakah cukup beralasan atau tidak. h.) Range Check Nilai yang dimasukkan juga dapat diseleksi supaya tidak keluar dari rentang jangkauan nilai yang sudah ditentukan. i.) Self-Checking Digit Check Check-digit ialah angka tambahan yang diletakkan pada deretan terakhir dari suatu kode yang dihitung dengan rumusan atau formulasi angka tertentu. j.) Sequence Check Untuk kasus tertentu, data yang di entri sebagai input adalah data yang harus dengan urutan record tertentu. 26
k.) Label Check Pada saat file-file masih banyak menggunakan media offline seperti disket dan magnetic tape, maka setiap satuan media tersebut diberi label. l.) Zero Balance Check Bila transaksi yang di entri merupakan nilai-nilai kredit, maka nilai-nilai tersebut harus imbang atau kalau di kurangkan selisihnya harus nol. m.) Numeric and Alphabetic Check Pengujian ini dilakukan dengan cara menetapkan bahwa field-field tertentu, misalnya harus berisi date, field tertentu harus berisi (tidak boleh kosong, atau tidak boleh berisi nol). n.) Logic Check Pengujian ini dilakukan dengan cara menilai atau membandingkan suatu lojik tertentu dengan keadaan data yang sebenarnya. o.) Valid Field Size Check Pengujian ini dilakukan dengan cara memberikan jumlah besaran tertentu pada suatu field.
c. Process Control (Pengendalian Proses) Pengendalian proses (processing control) ialah pengendalian internal untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah di valid) menjadi error karena adanya kesalahan proses. Tujuan pengendalian pengolahan adalah untuk mecegah agar tidak 27
terjadi kesalahan-kesalahan selama proses pengolahan data. Pengendalian proses merupakan bentuk pengendalian yang diterapkan setelah data berada pada sistem aplikasi komputer. Menurut IAI, pengendalian ini didesain untuk memberi keyakinan yang mamadai bahwa: (a) transaksi, termasuk transaksi yang dipicu melalui sistem, diolah dengan semestinya oleh komputer, (b) transaksi tidak hilang, ditambah, digandakan, atau diubah dengan tidak semestinya, dan (c) kekeliruan pengolahan dapat di identifikasi dan dikoreksi secara tepat waktu.
Pengendalian proses ini ditujukan agar dapat mendeteksi jangan sampai terjadi data yang error karena terjadi salah proses. Melihat kenyataannya bahwa Navision ini merupakan suatu program jadi maka yang menjadi aspek penekanan pada pengendalian proses ini bukan terletak pada review logika program, tetapi lebih diarahkan pada pengujian kesalahan-kesalahan yang mungkin terjadi selama proses pengolahan data. Adapun teknik-teknik yang digunakan dalam pengecekan kesalahankesalahan pengolahan data adalah: a. Overflow Check Ada kalanya terdapat kesalahan yang terjadi karena hasil dari perhitungan adalah terlalu besar atau terlalu kecil sehingga tidak mampu disimpan dalam memory komputer. Untuk itu akan dicoba melakukan percobaan dengan memasukkan suatu akun dengan jumlah yang besar 28
dan satu akun lagi dengan jumlah yang kecil. Apabila kita melakukan penginputan dengan nilai yang terlalu besar ataupun terlalu kecil maka akan muncul peringatan dari sistem bahwasanya sistem aplikasi yang disebut Navision hanya dapat menerima nilai dengan 15 digit saja sedangkan desimalnya tergantung dari pengaturan awal, biasanya 2 atau 3 digit saja. b. Zero Balancing Check Pengujian jenis ini dilakukan dengan melihat nilai selisih antara dua jumlah. Bila menghasilkan nilai 0 (nol) maka telah betul pengolahan datanya. Maksud nilai nol tersebut adalah bahwa sisi debet dan kredit telah balance. Sehingga memang telah sesuai dengan ketentuan yang berlaku. Bahwa sistem aplikasi Navision tidak dapat memproses apabila dari sisi debet dan kredit masih terdapat selisih. c. Teknik Lock out Teknik ini sangat diperlukan sekali guna mencegah pemutakhiran data secara serentak oleh beberapa pengguna (users) secara bersamaan (concurency). Sistem aplikasi Navision memiliki pengendalian Lock out yang dapat memastikan bahwasanya tidak ada pemrosesan ganda untuk suatu transaksi. Pengendalian ini sangat membantu sekali karena akan membuat users lebih mudah dalam penggunaan aplikasi Navision. d. Control Total Check Pada tahap pengolahan data, control total check sering digunakan sebagai pendeteksi mengenai kelengkapan dan kebenaran proses dalam pengolahan data. Untuk itu harus dapat dibandingkan dengan hasil cetak 29
di printer. Dengan melakukan beberapa cek terhadap beberapa laporan yang dihasilkan, maka hasil laporan adalah sesuai dengan format awal dan data yang di input. e. Matching check Maksud pengendalian ini adalah memastikan bahwa input yang dientry harus match dengan kode yang sama dalam master file. Pada pengendalian ini dapat mendeteksi kesalahan bila kode yang akan dimasukan tidak terdapat dalam master file. Apabila kita salah dalam memasukan kode tipe akun maka akan muncul warning bahwasanya tipe akun yang dimasukan salah. Ini sangat mungkin terjadi ditengah banyaknya data yang harus di input dan terdapat date line tertentu. Meski kesalahan ini dapat dihindari dengan men-dropdown tombol pilihan, tetapi itu tidak efektif dan membuang waktu. f. Reference File Check Kesalahan penggunaan data yang diambil dari file acuan dapat di deteksi dengan cara mencetak isi file acuan yang digunakan setelah dilakukannya proses pengolahan. g. Limit and Reasonable Check Cek kewajaran pada tahap pengolahan data dilakukan pada pengecekan saldo akhir barang setelah dilakukannya pengolahan. h. Record Locking Proses konkuransi terjadi karena record yang sama dalam suatu file di akses oleh lebih dari satu pemakai. Untuk mengatasi konkuransi
30
dapat dilakukan dengan mengunci record yang sedang dipergunakan, sehingga tidak dapat dipergunakan oleh pemakai lain. i. Crossfooting Check Pengujian crossfooting dilakukan dengan menjumlah nilai ke samping atau ke bawah. Total nilai dari masing-masing sisi tersebut dicocokkan dan harus sama. Pengecekan seperti ini sangat penting dilakukan untuk memastikan bahwasanya laporan yang dihasilkan adalah benar dan relevan. Dengan melakukan hitungan manual maka bila kita ambil contoh untuk menghitung jumlah amount dan hasilnya adalah telah benar.
d. Output Control (Pengendalian Hasil Keluaran) Pengendalian keluaran ini dilakukan untuk menjamin agar output atau informasi yang disajikan adalah akurat, lengkap, mutakhir dan telah di distribusikan kepada orang-orang yang berhak. Untuk mencapai hal-hal tersebut maka digunakan beberapa metode yang cocok, diantaranya adalah: a. Preventif dalam Output Control Ada 2 hal penting: •
Ouput Handling Procedures Perlu disusun prosedur penanganan laporan, antara lain distribution check-list distribution schedule, transmital sheets, distribution log, report release form.
31
•
Terminal Display Controls Penempatan terminal atau workstation harus pada lokasi dan metode sedemikian rupa sehingga laporan layar tidak mudah dilihat oleh orang yang tidak berhak.
b. Detection dalam Output Controls Ada 2 hal penting juga: •
Control Group Procedures Untuk laporan yang dicetak dalam jumlah besar, bersifat rutin berkala, ada baiknya sebelum didistribusikan diperiksa lebih dahulu oleh input atau output quality staffs.
•
User Procedures Sebaiknya disusun suatu panduan tertulis, bila perlu dengan pelatihan, mengenai prosedur permintaan laporan baru, prosedur permintaan cetak laporan serta prosedur “protes” maupun jika ditemukan masalah atau data salah pada laporan yang diterimanya. Jika perlu diatur service level agreement.
c. Corrective dalam Output Controls Mencakup 2 hal: •
Error Correction/Re-submission Procedures Perlu disusun prosedur koreksi terhadap laporan yang ternyata salah.
32
•
Audit Trail Perlu disusun suatu mekanisme pelacakan data, meliputi field data by record, file balances, accounting reports, management reports, reference reports, output documents, error logs, error reports.
II.4.7 Analisa Prosedur Pengendalian ( Control Procedure Analyzed )
Menurut Stephen A.Moscove, Mark.G.Simkin, Nancy A.Bagranoff, (2004), ada 3 prosedur pengendalian yang terdapat dalam aktivitas pengendalian yakni:
1.) Preventive Control
Dibuat untuk mencegah masalah-masalah yang berpotensi terjadi pada saat kegiatan di lakukan dan menjaga keamanan asset perusahaan dalam bentuk cash.
2.) Detective and Corrective Controls
Dibuat untuk menyediakan umpan balik kepada manajemen baik efisien ataupun tidak untuk menggambarkan ulang kebijakan manajerial yang di terima.
3.) Interrelationship of Preventive and Detective Controls
Merupakan gabungan dari unsur preventif dan detection yang selalu diterapkan dalam proses operasional perusahaan yang saling berhubungan antara satu dengan yang lainnya. 33
II.4.8 Ukuran Nilai a.) Strategic Alignment Apakah penerapan IT sudah sesuai dengan yang diharapkan, apakah sudah sesuai kebutuhan. b.) Value Delivery Komputerisasi bukan hanya untuk memenuhi kebutuhan tapi juga sudah dimaksudkan untuk memberikan nilai tambah, misalnya: penghematan biaya, meningkatkan kinerja. c.) Risk Management Sudah ada penaksiran resiko, ada jaminan kelangsungan operasi. d.) Resources Management Pengelolaan sumber daya, termasuk pengembangan pengetahuan sudah dilakukan secara efisien.
II.5 Pengendalian Internal II.5.1 Pengertian - Menurut Ulric J. Gelinas, JR dan Richard B.Dull (2008) “Internal Control is a process effected by an entity’s board of directors, management, and other personnel designed to provide reasonable assurance regarding the achievement of objectives in following categories”. Maksudnya adalah pengendalian internal adalah suatu proses dari pengaruh dewan direksi dalam suatu entitas, manajemen, dan personel lainnya
yang
dirancang
untuk
menyediakan
penilaian-penilaian
yang
34
beralasan sebagai usaha untuk mencapai obyektivitas dalam beberapa kategori. - Menurut Jones dan Rama (2006) “Internal Control is a process effected by an entity’s board of directors, management, and other personnel designed to provide reasonable assurance regarding the achievement of objectives in following categories: effectiveness and efficiency of operations, reliability of financial reporting, and compliance with applicable laws and regulations.” Maksudnya hampir sama dengan pendapat dari Gelinas yakni pengendalian internal adalah suatu proses dari pengaruh dewan direksi dalam suatu entitas, manajemen, dan personel lainnya yang dirancang untuk menyediakan
penilaian-penilaian
yang
beralasan
sebagai
usaha
untuk
mencapai obyektivitas dalam beberapa kategori: efektivitas dan efisiensi sebuah operasi, keandalan dari pelaporan keuangan, dan kemampuan mematuhi hukum dan aturan yang berlaku. - Menurut Robert R.Moeller (2011): “Internal control is one of the most important and fundamental concepts that external and internal auditors and business profesionals at all level must understand.” Yang bermakna: Pengendalian internal adalah salah satu konsep yang paling penting dan mendasar bahwa auditor eksternal dan internal dan kalangan praktisi bisnis di tingkat semua harus dipahami. Sebuah perusahaan harus memiliki internal kontrol yang baik jika: - Mencapai misi yang telah tercantum dalam cara yang etis. 35
- Menghasilkan data yang akurat dan dapat diandalkan. - Sesuai dengan hukum yang telah berlaku dan kebijakan perusahaan. - Menyediakan untuk keperluan economial dan efisien sumber dayanya. - Menyediakan sesuai Pengamanan aset perusahaan.
II.5.2 Komponen Pengendalian Internal II.5.2.1 Menurut COSO Pengendalian internal terdiri dari 5 (lima) komponen yang saling berhubungan. Komponen ini di dapat dari cara manajemen menjalankan bisnisnya, dan terintegrasi dengan proses manajemen. Walaupun komponen-komponen tersebut dapat diterapkan kepada semua entitas, perusahaan yang kecil dan menengah dapat menerapkannya berbeda dengan perusahaan besar. Dalam hal ini pengendalian dapat tidak terlalu formal dan tidak terlalu terstruktur, namun pengendalian internal tetap dapat berjalan dengan efektif. Adapun 5 (lima) komponen pengendalian internal tersebut adalah: 1.) Control Environment (Lingkungan Pengendalian)
Lingkungan pengendalian memberikan nada pada suatu organisasi,
mempengaruhi
kesadaran
pengendalian
dari
para
anggotanya. Lingkungan pengendalian merupakan dasar bagi komponen Pengendalian Internal lainnya, memberikan disiplin dan struktur. Faktor lingkungan pengendalian termasuk :
a.
Integritas, nilai etika dan kemampuan orang-orang dalam entitas; 36
b.
Filosofi manajemen dan gaya operasi;
c.
Cara manajemen untuk menentukan wewenang dan tanggung jawab, mengorganisasikan dan mengembangkan orang-orangnya;
d.
Perhatian dan arahan yang diberikan dewan direksi.
2.) Risk Assesment (Penilaian Resiko)
Seluruh entitas menghadapi berbagai macam resiko dari luar dan dalam yang harus ditaksir. Prasyarat dari Risk Assessment adalah penegakan tujuan, yang terhubung antara tingkatan yang berbeda, dan konsisten secara internal. Risk Assessment adalah proses identifikasi dan menganalisis resiko-resiko yang relevan dalam pencapaian tujuan, membentuk sebuah basis untuk menentukan bagaimana resiko dapat diatur.
3.) Control Activities (Aktivitas Pengendalian)
Control Activities adalah kebijakan dan prosedur membantu meyakinkan manajemen bahwa arahannya telah dijalankan. Control Activities membantu meyakinkan bahwa tindakan yang diperlukan telah diambil dalam menghadapi resiko sehingga tujuan entitas dapat tercapai. Control Activities terjadi pada seluruh organisasi, pada seluruh level, dan seluruh fungsi. Control activities termasuk berbagai kegiatan yang berbeda-beda, seperti :
a.
Penyetujuan (Approvals) 37
b.
Otorisasi (Authorization)
c.
Verifikasi (Verifications)
d.
Rekonsiliasi (Reconciliations)
e.
Review terhadap Performa Operasi (Reviews of Operating Performance)
f.
Keamanan terhadap Aset (Security of Assets)
g.
Pemisahan tugas (Segregation of duties)
4.) Information and Communication (Informasi dan Komunikasi)
Informasi yang bersangkutan harus di identifikasi, tergambar dan terkomunikasi dalam sebuah form dan timeframe yang memungkinkan orang-orang menjalankan tanggung jawabnya.
Sistem informasi menghasilkan laporan, yang berisi informasi operasional, finansial, dan terpenuhinya keperluan sistem, yang membuatnya mungkin untuk menjalankan dan mengendalikan bisnis. Informasi dan komunikasi tidak hanya menghadapi data-data yang dihasilkan internal, tetapi juga kejadian eksternal, kegiatan dan kondisi yang diperlukan untuk memberikan informasi dalam rangka pembuatan keputusan bisnis dan laporan eksternal.
5. Monitoring (Pemantauan)
Sistem pengendalian internal perlu diawasi, sebuah proses untuk menentukan kualitas performa sistem dari waktu ke waktu. 38
Proses ini terselesaikan melalui kegiatan
pengawasan
yang
berkesinambungan, evaluasi yang terpisah atau kombinasi dari keduanya. Kegiatan ini termasuk manajemen dan supervisi yang reguler, dan kegiatan lainnya yang dilakukan personel dalam menjalankan tugasnya. Luas dan frekuensi evaluasi terpisah, akan tergantung pada terutama penaksiran resiko dan efektifnya prosedur monitoring yang sedang berlangsung.
II.5.2.2 Menurut CobIT
Komponen
pengendalian
internal
yang
di
desain
oleh
COSO
dikembangkan untuk di aplikasikan pada sistem berbasis IT yang disebut CobIT ( Control Objectives For Information and Related Technology ). CobIT adalah alat penguasaan IT yang membantu dalam pemahaman dan me-manage resiko dan manfaat serta evaluasi yang berhubungan dengan IT. CobIT mempunyai kerangka kerja yang terdiri atas beberapa arahan (guidelines), yakni: • Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang tercermin dalam 4 domain, yaitu: a.) Merencanakan dan Mengatur Rencana dan Atur domain mencakup penggunaan teknologi informasi dan cara terbaik dan dapat digunakan dalam sebuah perusahaan untuk membantu perusahaan mencapai tujuan dan sasaran. Ia juga menyoroti organisasi dan infrastruktur TI adalah formulir untuk mengambil untuk mencapai hasil yang optimal dan 39
yang paling menghasilkan keuntungan dari penggunaan IT. Tabel berikut ini berisi proses TI dalam domain merencanakan dan mengatur. TABEL 1. PROSES TI MERENCANAKAN DAN MENGATUR PO1
Menetapkan rencana strategis dan arah dari TI
PO2
Menetapkan informasi arsitektur
PO3
Teknologi menetukan arah
PO4
Proses menentukan organisasi, dan hubungan TI
PO5
Mengelola investasi TI
PO6
Manajemen berkomunikasi dan punya arah tujuan
PO7
Mengelola sumber daya manusia TI
PO8
Mengatur kualitas
PO9
Menilai dan kelola resiko TI
PO10 Kelola proyek
b.) Melaksanakan dan Memperoleh Melaksanakan
dan
memperoleh
mencakup
identifikasi
persyaratan TI, memperoleh teknologi, dan menerapkan dalam proses bisnis perusahaan saat ini. Domain ini merupakan perkembangan rencana pemeliharaan bahwa perusahaan harus mengadopsi untuk memperpanjang kehidupan sebuah sistem TI dan komponennya.
40
Tabel berikut ini berisi proses TI dalam domain melaksanakan dan memperoleh. TABEL 2. PROSES TI MELAKSANAKAN DAN MEMPEROLEH AI1 Identifikasi solusi otomatis AI2 Mendapatkan dan memelihara aplikasi software AI3 Menjaga dan memperoleh teknologi infrastruktur AI4 Aktifkan dan gunakan operasi AI5 Procure IT Resources AI6 Mengelola perubahan AI7 Install dan akreditasi solusi dan perubahan
c.) Menyampaikan dan Mendukung Dukungan yang berfokus pada domain pengiriman aspek teknologi informasi. Meliputi daerah-daerah seperti eksekusi aplikasi di dalam sistem TI dan hasil, serta, dukungan yang memungkinkan proses yang efektif dan efisien pelaksanaan sistem TI ini. Mendukung proses ini termasuk masalah keamanan dan pelatihan. Di bawah ini dapat dilihat mengenai tabel yang berisi proses TI dalam domain menyampaikan dan mendukung.
41
TABEL 3. PROSES TI MENYAMPAIKAN DAN MENDUKUNG DS1
Definisikan dan kelola tingkat layanan
DS2
Mengatur layanan pihak ketiga
DS3
Mengelola kapasitas dan kinerja
DS4
Memastikan penggunaan layanan
DS5
Memastikan sistem keamanan
DS6
Mengidentifikasikan dan mengalokasikan biaya
DS7
Mendidik dan men-training user
DS8
Mengatur panggilan dan insiden
DS9
Mengatur konfigurasi
DS10 Mengelola masalah DS11 Mengelola data DS12 Mengelola lingkungan fisik DS13 Mengelola operasional
d.) Memantau dan Evaluasi Domain memantau dan evaluasi yang berurusan dengan strategi perusahaan dalam menilai kebutuhan perusahaan dan apakah sistem TI yang sekarang masih memenuhi tujuan yang telah dirancang dan kontrol yang diperlukan untuk mematuhi peraturan persyaratan. Pemantauan juga mencakup isu yang independen terhadap efektivitas sistem IT dalam kemampuan memenuhi tujuan
42
bisnis perusahaan dan pengendalian proses oleh auditor internal dan eksternal. Tabel berikut ini berisi proses TI dalam domain memantau dan evaluasi. TABEL 4. PROSES TI MEMANTAU DAN EVALUASI ME1 Memantau dan evaluasi proses TI ME2 Memantau dan evaluasi internal ME3 Memastikan regulatory compliance ME4 Menyediakan IT Governance
II.5.2.2.1 Keunggulan CobIT : • Akseptansi secara internasional, karena didasarkan atas pengalaman praktek dan profesionalitas para ahli di seluruh dunia. • Memenuhi standar ISO17799, COSO I dan II, dan standar-standar terkait lainnya. • CobIT menjadi jembatan komunikasi antara fungsi IT, bisnis dan auditor dengan menyediakan suatu pendekatan umum yang dapat dimengerti oleh semua pihak. • CobIT berorientasi kepada manajemen, dapat diaplikasikan, dan mudah digunakan. • CobIT dapat menghemat waktu dalam mengimplementasikan praktekpraktek yang efektif.
43
• CobIT bersifat fleksibel dan mudah beradaptasi untuk menyesuaikan dengan ukuran dan budaya organisasi, serta kebutuhan khusus lainnya. • CobIT adalah sebuah konsep yanglengkap dan terintegrasi, dan dikelola oleh organisasi non-profit yang sudah memiliki reputasi, yakni ISACA.
II.5.2.2.2 Alasan perusahaan mengadopsi CobIT: • CobIT memberikan perhatian kepada tata kelola IT yang baik (Good IT Governance). • Untuk menguji akuntabilitas manajemen terhadap sumber daya teknologi informasi. • Adanya kebutuhan khusus untuk pengendalian sumber daya TI. • Sebuah solusi yang berorientasi bisnis, karena CobIT mengedepankan penggunaan sumber daya TI yang efektif dan efisien. • CobIT menyediakan kerangka untuk penilaian resiko atas IT. • Berbasis otorisasi. • Meningkatkan komunikasi antara manajemen, pengguna (users), dan auditor.
II.5.2.2.3 Tujuan dan Manfaat CobIT Adapun tujuan dari CobIT ini sendiri adalah : • Diharapkan dapat membantu menemukan berbagai kebutuhan manajemen yang berkaitan dengan TI. • Agar dapat mengoptimalkan investasi TI.
44
• Menyediakan ukuran atau kriteria ketika terjadi penyelewengan atau penyimpangan. Adapun manfaat jika tujuan tersebut tercapai adalah : • Dapat membantu manajemen dalam pengambilan keputusan. • Dapat mendukung pencapian tujuan bisnis. • Dapat meminimalisasikan adanya tindak kecurangan/fraud yangmerugikan perusahaan yang bersangkutan.
II.6 IT Governance vs Internal Control Dalam membangun sistem pengendalian internal yang dapat diandalkan (sebagai salah satu sarana pencegahan fraud) sangat berkaitan dengan IT Governance yaitu pemilihan dan pengembangan IT yang memadai. Tidak mengherankan apabila kasus fraud pada bank-bank di negara kita, terjadi karena lemahnya pemilihan dan pengembangan IT sehingga menghasilkan MIS yang tidak handal. Lemahnya MIS tidak memungkinkan "deteksi dini" atas kecurangan kecil yang mulanya dilakukan secara coba-coba. Kecurangan kecil meningkat menjadi kecurangan besar karena si pelaku mempunyai "kesempatan" dan mengetahui kelemahan pengawasan yang ada di organisasinya, disamping faktor "keserakahan". Mungkin saja, kalau pelaku bermain kecil-kecilan, kasus tersebut tidak sampai tercium dan terbongkar. Namun demikian, untuk urusan fraud, bukan masalah besar kecilnya. Intinya fraud adalah sesuatu yang merusak dan merugikan kelangsungan perusahaan dan tatanan negara dimasa depan.
45