6

BAB 2

LANDASAN TEORI

2.1 Sistem Informasi

2.1.1 Pengertian Sistem Informasi

Rainer dan Turban (2009, p6) mengemukakan bahwa sistem informasi adalah

proses mengumpulkan, memproses, menyimpan, menganalisa dan menyebarkan

informasi untuk tujuan tertentu. Sedangkan menurut O’Brien dan Marakas (2009,

p4), sistem informasi dapat didefinisikan sebagai kombinasi dari orang, hardware,

software, jaringan komunikasi, sumber data serta prosedur dan aturan yang

mendapatkan, menyimpan, merubah dan menyebar luaskan informasi didalam

organisasi.

Menururt Stair dan Reynolds (2010, p10) Sistem informasi adalah sekumpulan

elemen atau komponen yang berfungsi untuk mengumpulkan, memanipulasi,

menyimpan dan menyebarluaskan data dan informasi serta menyediakan

perbaikan untuk mencapai tujuan. Berdasarkan beberapa pendapat tersebut, maka

dapat disimpulkan bahwa sistem informasi merupakan kumpulan komponen yang

dapat mengumpulkan, memproses, menyimpan, menganalisa dan menyebarkan

informasi serta menyediakan perbaikan untuk tujuan tertentu di dalam sebuah

organisasi.

2.1.2 Komponen Sistem Informasi

Menurut O’Brien dan Marakas (2009, p29) komponen sistem informasi terdiri

dari people, software, hardware, network dan data resources. Turban dan

Volonino (2010, p12) berpendapat bahwa komponen sistem informasi terdiri dari

hardware, software, data, network, procedures, dan people. Sedangkan menurut

7

Rainer dan Cegielski (2010, p40), komponen sistem informasi terdiri dari

hardware, software, database, network, procedures, dan people.

Jadi dapat disimpulkan bahwa yang merupakan komponen sistem informasi

adalah :

1. Hardware, merupakan komponen pada komputer yang dapat terlihat dan

disentuh secara fisik, berupa keyboard, monitor, mouse, scanner, dan printer.

2. Software, adalah program yang digunakan untuk mengolah data menjadi

informasi dan memungkinkan untuk melakukan kontrol terhadap data.

3. Database, adalah kumpulan data yang terdapat pada komputer yang saling

terhubung.

4. Network, adalah sebuah komponen yang dapat menghubungkan antara satu

komputer dengan komputer yang lain.

5. Procedures, adalah sekumpulan tata cara yang saling berhubungan yang

digunakan untuk mengolah data menjadi informasi.

6. People, adalah orang yang menggunakan kompter untuk mengolah data.

2.1.3 Sistem Informasi Akuntansi

2.1.3.1 Pengertian Sistem Informasi Akuntansi

Sistem informasi akuntansi menurut Romney dan Steinbart (2009, p24)

merupakan sebuah sistem yang mengumpulkan, mencatat, menyimpan

dan memproses data serta menghasilkan informasi untuk para pengambil

keputusan. Bodnar dan Hopwood (2010, p1) mengatakan bahwa sistem

informasi akuntansi merupakan sekumpulan sumber daya, seperti

manusia dan peralatan, yang didesain untuk merubah data keuangan dan

data lainnya menjadi informasi. Jadi dapat disimpulkan bahwa sistem

informasi akuntansi adalah sekumpulan sumber daya yang digunakan

untuk mengumpulkan, mencatat, menyimpan, dan memproses data

menjadi informasi.

8

2.1.3.2 Komponen Sistem Informasi Akuntansi

Menurut Romey dan Steinbart (2009, p28) sistem informasi akuntansi

terdiri dari enam komponen, yaitu people, Procedures and Instruction.

Data, software, information technology infrastructure, internal control

and security measures

2.1.4 Sistem Informasi Akuntansi Pembelian

2.1.4.1 Pengertian Pembelian

Menurut Heripracoyo (2009, p1), pembelian adalah kegiatan pemilihan

sumber, pemesanan dan perolehan barang dan jasa sebagai salah satu

aktivitas utama operasi bisnis perusahaan. Adapun menurut Saputra

(2010, p2), pembelian adalah suatu usaha pengadaan barang atau jasa

dengan tujuan yang akan digunakan untuk kebutuhan sendiri, untuk

kepentingan proses produksi maupun untuk dijual kembali. Berdasarkan

pengertian diatas, dapat disimpulkan bahwa pembelian adalah kegiatan

pengadaan barang dan jasa yang dilakukan perusahaan atau individu

untuk melaksanakan pemenuhan kebutuhan.

2.1.4.2 Pengertian Sistem Informasi Akuntansi Pembelian

Menurut Heripracoyo (2009, p1), Sistem Informasi Akuntansi Pembelian

(SIA Pembelian) merupakan sistem yang dibangun untuk mempermudah

pelaksanaan pembelian dengan mengotomatisasikan atau

mengkomputerisasi keseluruhan maupun beberapa bagian dari proses

pembelian tersebut disertai dengan pengendalian atau kontrol atas sistem

komputerisasi tersebut.

9

2.1.5 Sistem Informasi Persediaan

2.1.5.1 Pengertian Persediaan

Menurut Heripracoyo (2009, p1), persediaan adalah aktiva perusahaan

yang meliputi barang jadi yang tersedia untuk dijual kembali, barang

dalam penyelesaian yang sedang diproduksi dan bahan serta

perlengkapan yang digunakan dalam proses produksi. Adapun menurut

Hendarti, Husni dan Tandra (2010, p2) persediaan merupakan suatu

aktiva yang meliputi barang-barang milik perusahaan dengan maksud

untuk dijual dalam suatu periode usaha tertentu. Berdasarkan definisi

tersebut dapat disimpulkan bahwa persediaan merupakan barang yang

tersedia untuk dijual, yang dapat dijual pada suatu periode tertentu.

2.1.5.2 Jenis Persediaan

Menurut Nahmias (2009, p201) terdapat empat jenis persediaan, yaitu :

1. Bahan mentah (Raw Material)

2. Komponen (Component)

3. Proses yang berjalan (Work in process)

4. Barang jadi (Finished Goods)

2.1.5.3 Sistem Pencatatan Persediaan

Menurut Heripracoyo (2009, p2) sistem pencatatan persediaan terdiri

dari:

1. Periodic System, yaitu pada setiap akhir periode dilakukan

perhitungan secara fisik dalam menentukan jumlah persediaan akhir.

2. Perpetual System atau juga disebut Book Inventories, yaitu setiap

mutasi dari persediaan sebagai akibat dari pembelian ataupun

penjualan dicatat atau dilihat dalam kartu administrasi

persediaannya.

10

2.1.5.4 Metode Penilaian Persediaan

Menurut Heripracoyo (2009, p2), ada beberapa cara yang dapat

digunakan untuk menilai suatu persediaan, diantaranya dengan :

1. First In First Out (FIFO)

2. Rata-rata tertimbang (Weighted Average)

3. Last In First Out (LIFO)

Menurut Hery (2011, p161) metode penilaian FIFO adalah

mengasumsikan bahwa barang pertama yang dibeli adalah barang

pertama yang digunakan dalam perusahaan manufaktur dagang, karena

itu, persedian yang tersedia merupakan barang yang dibeli paling

terakhir.

Menurut Stice dan Skousen (2009, p667), "Ada beberapa macam metode

penilaian persediaan yang umum digunakan, yaitu : identifikasi khusus,

biaya rata-rata (Average) masuk pertama. keluar pertama (FIFO), masuk

terakhir, keluar pertama (LIFO)".

a. Identifikasi Khusus

Pada metode ini, biaya dapat dialokasikan ke barang yang terjual selama

periode berjalan dan ke barang yang ada di tangan pada akhir periode

berdasarkan biaya actual dari unit tersebut. Metode ini diperlukan untuk

mengidentifikasi biaya historis dari unit persediaan. Dengan identifikasi

khusus, arus biaya yang dicatat disesuaikan dengan arus fisik barang.

b. Metode Biaya Rata-Rata (Average)

Metode ini membebankan biaya rata-rata yang sama ke setiap unit.

Metode ini didasarkan pada asumsi bahwa barang yang terjual

seharusnya dibebankan dengan biaya rata-rata, yaitu rata-rata tertimbang

dari jumlah unit yang dibeli pada tiap harga. Metode rata-rata

mengutamakan yang mudah terjangkau untuk dilayani, tidak peduli

apakah barang tersebut masuk pertama atau masuk terakhir.

11

c. Metode Masuk Pertama, Keluar Pertama (FIFO)

Metode ini didasarkan pada asumsi bahwa unit yang terjual adalah unit

yang terlebih dahulu masuk. FIFO dapat dianggap sebagai sebuah

pendekatan yang logis dan realistis terhadap arus biaya ketika

penggunaan metode identifikasi khusus adalah tidak memungkinkan

atau tidak praktis. FIFO mengasumsikan bahwa arus biaya yang

mendekati paralel dengan arus fisik dari barang yang terjual. Beban

dikenakan pada biaya yang dinilai melekat pada barang yang terjual.

FIFO memberikan kesempatan kecil untuk memanipulasi keuntungan

karena pembebanan biaya ditentukan oleh urutan terjadinya biaya.

Selain itu. didalam FIFO unit yang tersisa pada persediaan akhir adalah

unit yang paling akhir dibeli, sehingga biaya yang dilaporkan akan

mendekati atau sama dengan biaya penggantian diakhir periode.

d. Metode Masuk Terakhir. Keluar Pertama (LIFO)

Metode ini didasarkan pada asumsi bahwa barang yang paling barulah

yang terjual. Metode LIFO sering dikritik secara teoritis tetapi metode

ini adalah metode yang paling baik dalam pengaitan biaya persediaan

denganpendapatan. Apabila metode LIFO digunakan selama periode

inflasi atau harga naik. LIFO akan menghasilkan harga pokok yang

lebih tinggi. Jumlah laba kotor yang lebih rendah dan nilai persediaan

akhir yang lebih rendah. Dengan demikian. LIFO cenderung

memberikan pengaruh yang stabil terhadap margin laba kotor. karena

pada saat terjadi kenaikan harga LIFO mengaitkan biaya yang tinggi

saat ini dalam perolehan barang-barang dengan harga jual yang

meningkat, dengan menggunakan LIFO, persediaan dilaporkan dengan

menggunakan biaya dari pembelian awal. Jika LIFO digunakan dalam

waktu yang lama, maka perbedaan antara nilai persediaan saat ini

dengan biaya LIFO akan semakin besar.

12

2.2 Evaluasi

2.2.1 Pengertian Evaluasi

Menurut Hendarti, Husni dan Tandra (2010, p2), evaluasi adalah proses sistematik

yang menyajikan informasi yang berguna untuk menilai tingkat keberhasilan dan

efisiensi dari suatu program atau alternatif keputusan. Menurut Weber dalam

Husni, Karmawan, dan Haris (2010, p2), audit sistem informasi secara garis besar

dapat diartikan sebagai proses pengumpulan dan pengevaluasian bukti – bukti

untuk menentukan apakah sebuah sistem komputer dapat melindungi aset

perusahaan, memelihara integritas data dan memungkinkan tujuan organisasi

untuk dicapai secara efektif dengan sumber daya yang efisien. Dari definisi

tersebut dapat disimpulkan bahwa evaluasi adalah sebuah proses yang menyajikan

informasi untuk menilai tingkat keberhasilan, efisiensi melindungi aset

perusahaan, dan memelihara integritas. Sedangkan menurut penyataan diatas

dapat disimpulkan bahwa evaluasi sistem informasi adalah suatu kegiatan yang

direncanakan untuk memeriksa dan menilai sumberdaya dalam organisasi atau

perusahaan untuk mendapatkan hasil mengenai kinerja sumber daya organisasi

dengan menggunakan metode tertentu .

2.2.2 Standar Audit

Menurut ISACA 2013 (2013, p9) terdapat 16 standar audit, yaitu :

1. Audit Charter

Tujuan, tanggung jawab, wewenang, dan akuntabilitas fungsi audit sistem

informasi pada suatu organisasi harus dibuat tertulis dalam audit charter. Audit

charter harus disetujui dan ditandatangani oleh pimpinan organisasi.

2. Independence

a. Independensi Profesional

Segala hal yang berkaitan dengan audit, auditor harus independen dalam

sikap yang diambil.

13

b. Independensi Organisasi

Fungsi audit sistem informasi tidak boleh terlibat pada area yang diperiksa

agar keobjektivan hasil audit dapat terjaga.

3. Professional Ethics and Standarts

a. Auditor SI harus menganut dan berpegang teguh pada kode etik profesi

auditor SI dalam menjalankan tugas auditnya.

b. Seorang auditor SI harus memiliki wawasan mengenai standar audit yang

dapat mereka aplikasikan dalam melakukan audit.

4. Professional Competence

a. Auditor sistem informasi harus profesional, memiliki pengetahuan dan

keahlian untuk melaksanakan audit.

b. Auditor sistem informasi harus menjaga profesionalitasnya melalui

pendidikan dan pelatihan berkelanjutan.

5. Planning

a. Auditor sistem informasi harus merencanakan ruang lingkup audit sistem

informasi yang mencakup tujuan audit, kegiatan audit yang sesuai dengan

aturan, hukum dan standar profesional yang ada.

b. Auditor sistem informasi harus mengembangkan teknik pendekatan audit

berbasis resiko dan mendokumentasikannya dengan baik.

c. Auditor sistem informasi harus menyusun rencana kerja audit yang

mencakup rincian hakekat dan tujuan audit, periode yang diperlukan, dan

sumber daya yang dibutuhkan untuk penugasan audit tersebut.

d. Auditor sistem informasi harus mengembangkan program audit yang

mencakup prosedur audit dan waktu pelaksanaan audit .

14

6. Performance of Audit Work

a. Pengawasan - Staf audit sistem informasi harus diawasi untuk

memperoleh jaminan bahwa tujuan audit telah tercapai dan sesuai dengan

standar profesional audit.

b. Bukti Audit - Dalam melaksanakan audit, auditor sistem informasi harus

memperoleh bukti yang cukup, dapat dipertanggung jawabkan, dan relevan

untuk pencapaian tujuan audit. Temuan hasil audit harus didukung oleh

analisa dan interpretasi yang tepat mengenai temuan tersebut.

c. Dokumentas - Proses audit harus didokumentasikan, menjelaskan

mengenai kegiatan audit yang dilakukan, dan bukti audit yang mendukung

temuan audit yang didapat auditor.

7. Reporting

a. Auditor sistem informasi harus membuat laporan hasil audit dalam format

yang tepat setelah melakukan tugas auditnya. Laporan hasil audit harus

identifikasi organisasi, pihak yang dituju, dan batasan – batasan sirkulasi.

b. Laporan audit harus mencantumkan ruang lingkup, tujuan, dan periode

pelaksanaan audit.

c. Laporan audit harus berisi temuan, kesimpulan dan rekomendasi, serta

pengungkapan mengenai penyediaan, kualifikasi atau pembatasan cakupan

audit yang dialami oleh auditor SI dalam melaksanakan tugasnya.

d. Temuan hasil audit yang dilaporkan harus didukung bukti audit yang

lengkap dan sesuai, untuk mendukung laporan hasil audit.

e. Laporan hasil audit harus dicantumkan tandatangan, dan tanggal

pelaporan, dan didistribusikan sesuai audit charter atau surat perjanjian.

15

8. Follow Up Activities

Setelah melaporkan temuan dan rekomendasi, auditor sistem informasi harus

mengevaluasi informasi yang relevan untuk memperoleh kepastian apakah

tindak lanjut yang diperlukan telah dilaksanakan oleh pihak manajemen sesuai

jadwal yang diusulkan.

9. Irregularities and Illegal Acts

a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko audit,

auditor sistem informasi harus mempertimbangkan resiko irregularities

dan illegal acts.

b. Auditor sistem informasi harus bersikap profesional dan skeptis dalam

pelaksanaan audit, mengetahui kemungkinan kesalahpahaman yang dapat

saja terjadi karena adanya irregularities dan illegal acts, diluar evaluasi

yang telah dilakukan.

c. Auditor sistem informasi harus memahami organisasi beserta

lingkungannya, termasuk sistem pengendalian internal pada bidang yang

diaudit.

10. IT – Governance

a. Auditor sistem informasi harus melakukan peninjuan dan penilaian apakah

fungsi sistem informasi sudah selaras dengan visi, misi, tata-nilai dan

tujuan organisasi.

b. Auditor sistem informasi melakukan peninjauan apakah fungsi sistem

informasi sudah sesuai dengan yang diharapkan oleh organisasi dan

melakukan penilaian terhadap pencapainnya.

c. Auditor sistem informasi harus melakukan evaluasi dan menilai efektivitas

sumber daya sistem informasi dan kinerja proses manajemennya.

d. Auditor sistem informasi harus melakukan evaluasi terhadap kesesuaian

dengan aturan yang ada, kualitas informasi dan lingkungannya, dan

kebutuhan keamanan.

16

e. Pendekatan berbasis risiko harus digunakan oleh auditor sistem informasi

dalam mengevaluasi fungsi sistem informasi.

f. Auditor sistem informasi harus mengevaluasi dan melakukan penilaian

terhadap lingkungan pengendalian pada perusahaan.

g. Auditor sistem informasi harus mengevaluasi dan melakukan penilaian

resiko yang memiliki dampak negatif pada lingkungan sistem informasi.

11. Use of Risk Assessment in Audit Planning

a. Auditor sistem informasi harus menggunakan teknik penilaian resiko yang

sesuai dalam pengembangan rencana kerja audit sistem informasi dan

dalam menentukan prioritas alokasi sumberdaya audit yang efektif.

b. Ketika merencanakan peninjauan individual, auditor sistem informasi

harus mengidentifikasi dan menilai resiko yang bersangkutan dari area

yang diperiksanya.

12. Audit Materiality

a. Auditor sistem informasi harus mempertimbangkan konsep materialitas

serta hubungannya dengan resiko audit sambil menentukan waktu dan area

yang akan di audit.

b. Saat merencanakan audit, auditor sistem informasi mempertimbangkan

kelemahan potensial, ada atau tidak adanya kontrol internal serta hal yang

mempunyai dampak siginifikan pada sistem informasi.

c. Auditor sistem informasi mempertimbangkan dampak kumulatif dari

kelemahan atau tidak adanya pengendalian intern.

d. Laporan audit sistem informasi harus mengungkapkan adanya

pengendalian intern yang tidak efektif atau tidak adanya pengendalian

intern.

17

13. Using the Work of Other Experts

a. Auditor sistem informasi jika memungkinkan, sebaiknya menggunakan

hasil kerja auditor atau tenaga ahli lain untuk melakukan audit.

b. Auditor sistem informasi harus menilai standar profesional, kompetensi,

pengalaman, sumberdaya, independensi, dan proses pengawasan mutu dari

tenaga ahli lainnya sebelum menerima tugas audit.

c. Auditor sistem informasi harus menentukan dan menyimpulkan apakah

hasil kerja tenaga ahli yang lain tersebut sebagai bagian dari audit dan

menentukan tingkat penggunaan.

14. Audit Evidence

a. Audior sistem informasi harus memiliki bukti audit yang cukup dan layak

sebagai dasar menarik kesimpulan hasil audit.

b. Auditor sistem informasi harus mengevaluasi komptensi dan kecukupan

bukti fisik.

15. IT Controls

a. Auditor sistem informasi harus melakukan evaluasi dan pengawasan

terhadap langkah pengendalian teknologi informasi yang terdapat pada

lingkungan pengendalian internal perusahaan.

b. Auditor sistem informasi harus membantu manajemen dalam

menyediakan saran yang mengacu pada desain, implementasi, operasi serta

pengembangan pada pengendalian teknologi informasi.

16. E-Commerce

Auditor SI harus melakukan evaluasi terhadap pengendalian yang sudah

diterapkan dan melakukan penilaian resiko ketika melakukan review terhadap

lingkungan e-commerce untuk memastikan bahwa transaksi e-commerce

sudah terkendali dengan baik.

18

2.3 Pengendalian Internal

2.3.1 Pengertian Pengendalian Internal

Menurut Arens, Elder dan Beasley (2012, p341) pengendalian internal adalah

sebuah proses yang dirancang untuk menyediakan jaminan yang masuk akal

mengenai pencapaian tujuan managemen. Bodnar dan Hopwood (2010, p12)

pengendalian internal adalah menyarankan pengambilan keputusan pada suatu

organisasi dalam membuat regulasi serta memandu aktivitas dalam perusahaan.

Sedangkan menurut COSO (2011, p1), pengendalian internal adalah sebuah

proses, dipengaruhi oleh sebuah entitas dewan direksi, manajemen, dan staf

lainnya, dirancang untuk menyediakan jaminan yang wajar untuk mencapai

tujuan. Berdasarkan pengertian tersebut, dapat disimpulkan bahwa pengendalian

internal adalah pengambilan keputusan pada suatu organisasi dalam membuat

regulasi untuk menyediakan jaminan mengenai tujuan manajemen.

2.3.2 Tujuan Pengendalian Internal

Menurut Arens, Elder dan Beasley (2012, p341) terdapat tiga tujuan pengendalian

internal :

1. Keandalan laporan keuangan (Reliability of Financial Reporting)

2. Efisiensi dan efektifitas sebuah kegiatan (Efficiency and effectiveness of

operation)

3. Penyesuaian dengan hukum dan regulasi (Compliance with laws and

regulation)

Sedangkan menurut COSO (2011, p1), tujuan dari pengendalian internal

adalah:

1. Kegiatan yang efektif dan efisien

2. Keandalan dalam pelaporan

3. Ketaatan terhadap hukum dan regulasi yang berlaku

19

2.3.3 Komponen Pengendalian Internal Versi COSO 2011

COSO (2011, p10) menyatakan bahwa pengendalian internal memiliki 5

komponen, diantaranya :

Komponen Bagian Pertama : Lingkungan pengendalian (Control

environment) adalah kumpulan standar, proses, dan struktur yang menyediakan

dasar untuk melaksanakan pengendalian internal di seluruh organisasi. Prinsip-

prinsip yang berkaitan dengan control environment, antara lain:

Prinsip 1 : Mendemonstrasikan sebuah komitmen pada integritas dan nilai

etika, mencakup:

1. Mengatur pola di bagian atas dan seluruh organisasi – Dewan direksi dan

manajemen pada semua tingkat entitas, mendemonstrasikan pentingnya

integritas dan nilai etika untuk mendukung fungsi sistem pengendalian

internal, melalui arahan, tindakan, dan perilaku.

2. Menetapkan standar perilaku – Harapan dewan direksi dan manajemen

senior mengenai integritas dan nilai etika didefinisikan dalam standar

perilaku entitas dan pemahaman pada semua level organisasi, penyedia jasa

outsourcing, dan rekan bisnis.

3. Mengevaluasi kepatuhan terhadap standar perilaku – Untuk mengevaluasi

kinerja individu dan kelompok terhadap entitas standar perilaku yang

diharapkan.

4. Memetakan penyimpangan secara tepat waktu – Penyimpangan dari entitas

standar perilaku yang diharapkan diindentifikasikan dan diperbaiki secara

tepat waktu dan terus menerus.

Prinsip 2 : Latihan tanggung jawab pengawasan. Dewan direksi mendemonstrasikan

kebebasan manajemen dan latihan pengawasan untuk pengembangan dan kinerja

pengendalian internal, mencakup:

1. Menentukan tanggung jawab pengawasan dewan direksi – Dewan direksi atau

badan pengawasan mengidentifikasi dan menerima tanggung jawab

pengawasannya dalam hubungannya dengan penentuan persyaratan dan harapan.

20

2. Memelihara atau melimpahkan tanggung jawab pengawasan – Dewan direksi

memelihara tanggung jawab pengawasan atau melimpahkannya ke manajemen

senior untuk mendukung pancapaian tujuan.

3. Menerapkan keahlian yang relevan – Dewan direksi secara periodik

mendefinisikian dan menilai pengetahuan penting dan kemampuan yang

dibutuhkan oleh anggota untuk memungkinkan mereka untuk mengajukan

pernyataan menyelidik pada manajemen senior dan mengambil tindakan yang

sesuai.

4. Beroperasi secara independen – Dewan direksi memiliki cukup anggota yang

independen dan objektif.

5. Menyediakan pengawasan – Dewan direksi memandu, menunjukkan, dan

meninjau pengembangan dan kinerja dari sistem pengendalian internal.

Prinsip 3 : Menentukan struktur, wewenang, dan tanggung jawab. Manajemen

menetapkan struktur, alur pelaporan, serta wewenang dan tanggung jawab yang

sesuai dengan tujuan, dengan pengawasan dewan direksi, mencakup:

1. Mempertimbangkan semua struktur dari entitas – Manajemen dan dewan direksi

mempertimbangkan beberapa struktur yang digunakan (termasuk unit yang

bekerja, badan hukum, dan penyedia layanan outsourcing) untuk membantu

pencapaian tujuan.

2. Menetapkan alur laporan – Manajemen merancang dan mengevaluasi alur

pelaporan dari setiap struktur entitas agar dapat dijalankan sesuai dengan

wewenang, tanggung jawab, dan alur informasi, untuk mengatur aktifitas sebuah

entitas.

3. Mengidentifikasi, menetapkan, dan membatasi wewenang dan tanggung jawab

– Manajemen dan dewan direksi melimpahkan wewenang, mendefinisikan, dan

menetapkan tanggung jawab serta membagi tugas sesuai dengan tingakatan

yang ada pada organisasi.

21

Prinsip 4 : Mendemonstrasikan komitmen untuk berkompetensi – Organisasi

mendemonstrasikan komitmen untuk menarik, mengembangkan, dan memelihara

kompetensi individu untuk mencapai tujuan.

1. Menetapkan kebijakan dan kegiatan – Kebijakan dan kegiatan mencerminkan

harapan kompetensi yang dibutuhkan organisasi untuk mendukung pencapaian

tujuan.

2. Menarik, mengembangkan, dan memelihara individu – Organisasi

menyediakan pengajaran dan pelatihan yang dibutuhkan untuk menarik,

mengembangkan, dan memelihara anggota yang kompeten dalam jumlah yang

cukup, serta para penyedia jasa outsourcing untuk mendukung pencapaian

tujuan.

3. Mengevaluasi kompetensi dan memetakan kekurangan – Dewan direksi dan

manajemen mengevaluasi kompetensi keseluruhan organisasi juga penyedia

jasa outsourcing untuk menetapkan kebijakan dan kegiatan, serta tindakan

yang dibutuhkan untuk memetakan kekurangan.

4. Merencanakan dan mempersiapkan pengganti – Manajemen senior dan dewan

direksi mengembangakan rencana kontingensi untuk penugasan tanggung

jawab yang penting bagi pengendalian internal.

Prinsip 5 : Menegakan akuntabilitas. Organisasi memegang tanggung jawab

individu sebagai tanggung jawab pengendalian internalnya untuk mencapai

tujuan.

1. Menegakan akuntabilitas melalui struktur, wewenag, dan tanggung jawab –

Manajemen dan dewan direksi menetapkan tata cara untuk berkomunikasi dan

memegang tanggung jawab individu terhadap kinerja pengendalian internal di

seluruh organisasi dan menerapkan langkah perbaikan yang diperlukan.

2. Menetapkan pengukuran kinerja, insentif , dan penghargaan – Manajemen dan

dewan direksi menetapkan pengukuran kinerja, insentif, dan penghargaan

lainnya sesuai dengan tanggung jawab semua level, mencerminkan posisi yang

sesuai dari kinerja dan standar perilaku yang diharapkan, serta memahami

pencapaian tujuan baik jangka pendek maupun jangka panjang.

22

3. Mengevaluasi pengukuran kinerja, insentif, dan penghargaan yang berlangsung

– Manajemen dan dewan direksi menyelaraskan insentif dan penghargaan

dengan pemenuhan tanggung jawab pengendalian internal untuk mencapai

tujuan.

4. Memahami tekanan yang berlebihan – Manajemen dan dewan direksi

mengevaluasi dan menyesuaikan tekanan yang terkait dengan pencapaian

tujuan yang telah mereka tetapkan, mengembangkan pengukuran kinerja, dan

mengevaluasi kinerja.

5. Mengevaluasi kinerja dan penghargaan atau disiplin individu – Manajemen dan

dewan direksi mengevaluasi kinerja tanggung jawab pengendalian internal,

termasuk kepatuhan terhadap standar perilaku dan tingkat kompetensi yang

diharapkan, serta menyediakan penghargaan atau latihan kedisiplinan yang

sesuai.

Komponen Bagian Kedua : Penaksiran risiko (Risk assessment) adalah

melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan menilai

resiko dalam pencapaian tujuan.

Prinsip 6 : Menentukan tujuan yang relevan. Perusahaan menentukan tujuan yang

relevan dengan kejelasan yang memadai untuk dapat mengidentifikasi serta

menilai resiko yang berkaitan dengan tujuan.

23

Kegiatan

Pelaporan

ComplianceInternal

External Non-

Financial

External

Financial

a. Mempertimbangkan Toleransi Terhadap

Resiko √ √ √ √ √

b. Menetapkan Standar Eksternal √ √ √

c. Menggambarkan Pilihan Manajemen √ √

d. Menggambarkan Kegiatan Suatu Entitas √ √ √ √

e. Merangkum Tujuan Operasi dan Kinerja

Keuangan√

f. Membuat Dasar Penyerahan Sumber Daya

Manusia √

Tabel 2.1 Atribut yang Berhubungan Dengan Tujuan Operasi

24

Atribut yang berhubungan dengan tujuan operasi

1. Mempertimbangkan toleransi terhadap resiko – Manajemen

mempertimbangkan tingkat perbedaan yang dapat diterima untuk mencapai

tujuan organisasi.

2. Menggambarkan pilihan manajemen – Tujuan kegiatan menggambarkan

pilihan manajemen dalam menentukan struktur, pemahaman tentang industri

itu sendiri serta kinerja dari suatu entitas.

3. Includes operations and financial performance goals – Organisasi

menggambarkan tingkat kegiatan serta kinerja keuangan untuk suatu entitas

pada sebuah tujuan kegiatan.

4. Membuat dasar penyerahan sumber daya alam – Manajemen menggunakan

tujuan kegiatan

Prinsip 7 : Mengidentifikasi dan menganalisa resiko. Organisasi mengidentifikasi

resiko pada setiap entitas untuk mencapai tujuan dan melakukan analisa sebagai

dasar untuk menentukan bagaiamana sebuah resiko ditangani.

1. Melibatkan tingkatan yang sesuai pada manajemen – Organisasi menggunakan

sistem penilaian resiko yang efektif serta melibatkan tingkatan manajemen

yang sesuai.

2. Entitas, Divisi tambahan, Unit operasi dan fungsinya – organisasi

mengidentifikasi dan menilai resiko pada entitas divisi tambahan, unit operasi,

tingkatan kewenangan untuk mencapai tujuan.

3. Menganalisa faktor internal dan faktor eksternal – Faktor internal dan eksternal

serta pengaruhnya terhadappencapaian sebuah tujuan diperhitungkan dalam

mengidentifikasi resiko.

4. Memperkirakan pengaruh resiko yang telah teridentifikasi – Resiko yang telah

teridentifikasi kemudian dianalisa melalui bebrapa proses yang salah satunya

memperkirakan pengaruh dari resiko tersebut.

25

5. Menentukan bagaiamana untuk menanggapi sebuah resiko – Memahami

bagaiamana seharusnya resiko itu ditangani apakah itu akan diterima,

dihindari,dikurangi atau membagi resiko, terdapat pada penilaian resiko.

Prinsip 8 : Penilaian resiko kecurangan. Organisasi harus memahami

kemungkinan resiko kecurangan didalam melakukan penialain resiko untuk

pencapaian perusahaan.

1. Memahami bahwa kecurangan dapat dilakukan dengan berbagai cara –

Penilaian kecurangan memperhitungkan kemungkinan hilangnya aset, laporan

kecurangan serta hasil penggelapan dari kecurangan dan kejahatan yang

muncul.

2. Memahami faktor resiko – Penilaian entitas mempertimbangkan pengaruh yang

signifikan dari hilangnya aset dan dampaknya terhadap operasi, pelaporan, dan

aktivitas yang terkait.

3. Penilaian insentif dan tekanan – Penilaian resiko kecurangan

mempertimbangkan insentif dan tekanan.

4. Penilaian peluang – Penilaian terhadap resiko kecurangan, mempertimbangkan

peluang penerimaan yang tidak sah, penggunaan dan penjualan aset, merubah

catatan laporan serta melakukan tindakan yang tidak pantas.

5. Penilaian terhadap sikap dan rasionalisasi – Penilaian resiko kecurangan

mempertimbangkan kemungkinan manajemen dan anggota lainnya melakukan

tindakan yang tidak pantas.

Prinsip 9 : Mengidentifikasi dan menganalisa perubahan penting. Organisasi

mengidentifikasi dan menilai perubahan yang berdampak besar terhadap sistem

pengendalian internal.

1. Menilai perubahan pada lingkungan eksternal – Proses identifikasi resiko

mempertimbangkan perubahan yang berasal dari lingkungan eksternal yang

secara signifikan dapat mempengaruhi kemampuan sebuah entitas dalam

mencapai tujuan.

26

2. Menilai perubahan pada model bisnis – Organisasi mempertimbangkan

dampak yang mungkin terjadi dari dibuatnya model bisnis baru, yang secara

langsung akan mengubah model bisnis yang sudah ada, mengehentikan operasi

bisnis pada pengendalian internal, mengubah ketergantungan pada ilmu

geologi asing, teknologi baru dan perubahan pada lingkungan fisik yang

berhubungan dengan oeprasi bisnis.

3. Menilai perubahan pada kepemimpinan – Organisasi mempertimbangkan

perubahan didalam manajemen dan sikap mereka masing-masing serta filosofi

didalam pengendalian internal.

Komponen Bagian Ketiga : (Control activities) adalah langkah yang diambil

melalui kebijakan dan prosedur yang membantu manajemen memetakan resiko

pada tujuan perusahaan.

Prinsip 10 : Memilih dan mengembangkan aktivitas pengawasan. Organisasi

memilih dan mengembangan aktivitas pengawasan yang berkontribusi pada

mitigasi resiko intuk pencapaian tujuan pada tingkat tertentu.

1. Menghubungkan aktivitas pengendalian dengan penilaian resiko – Aktivitas

pengawasan membantu memastikan bahwa tanggapan resiko

2. Menentukan proses bisnis yang relevan – Manajemen menentukan proses

binsis mana yang memerlukan aktivitas pengawasan.

3. Mempertimbangkan faktor spesifik sebuah entitas – Manajemen

mempertimbangkan bagaiamana lingkungan, kompleksitas, alam, ruang

lingkup operasi dan karakteristik organisasi itu sendiri mempengaruhi pilihan

dan pengembangan dari aktivitas pengawasan.

4. Mengevaluasi tipe aktivitas pengawasan campuran – Aktivitas pengawasan

termasuk didalamnya jarak dan jenis pengawasan serta pendekatan untuk

menilai resiko dengan mempertimbangkan aktivitas pengendalian baik secara

manual maupun otomatis.

27

5. Memahami pada tingkat mana aktivitas akan diaplikasikan – Manajemen

mempertimbangkan aktivitas pengawasan pada beberapa level didalam setiap

entitas.

6. Addresses segregation of duties – Manajemen mempertimbangkan bagaimana

melakukan pembagian tugas sesuai dengan tanggung jawab masing-masing

entitas.

Prinsip 11 : Memilih dan mengembangkan pengawasan umum terhadap

teknologi. Organisasi memilih dan mengembangkan pengawasan secara umum

terhadap teknologi untuk mendukung tercapainya tujuan.

1. Menentukan ketergantungan antara penggunaan teknologi didalam proses

bisnis dan pengawasan teknologi – Manajemen memahami kemudian

menetukan tingkat ketergantungan serta keterkaitan antara proses bisnis,

kegiatan pengawasan otomatis dan pengawasan teknologi secara umum.

2. Menetapkan infrastruktur teknologi kegiatan pengawasan – Manajemen

memilih dan mengembangkan kegiatan pengawasan terhadap infrastruktur

teknologi yang didesain dan diimplementasikan untuk membantu memastikan

kelengkapan, keakuratan, dan ketersediaan sebuah teknologi pemrosesan.

3. Menetapkan pengawasan manajemen pengawasan kegiatan – Manajemen

memilih dan mengembangkan kegiatan pengawasan yang dirancang dan

diimplementasikan untuk membatasi akses terhadap teknologi, menyesuaikan

wewenang dengan tanggung jawab, dan mengamankan aset entitas dari

ancaman luar.

4. Menetapkan teknologi yang sesuai untuk penerimaan, pengembangan dan

pengawasan proses maintenance – Manajemen memilih dan mengembangkan

kegiatan pengawasan terhadap penerimaan, pengembangan dan perawatan

terhadap teknologi beserta infrastrukturnya untuk mencapai tujuan

manajemen.

Prinsip 12 : Melaksanakan sesuai kebijakan dan prosedur. Organisasi

mengerahkan kegiatan pengawasan yang diwujudkan dari didalam kebijakan

28

1. Menetapkan kebijakan dan prosedur untuk mendukung pelaksanaan tujuan

manajemen arahan manajemen – Manajemen menetapkan aktivitas

pengawasan yang dibangun didalam proses bisnis dan kegiatan sehari-hari

pegawai melalui penetapan kebijakan dan prosedur yang relevan.

2. Menetapkan tanggung jawab dan akuntabilitas untuk menjalankan kebijakan

dan prosedur – Manajemen menetapkan tanggung jawab dan akuntabilitas

untuk pengawasan terhadap kegiatan manajemen unit bisnis dimana resiko

berada.

3. Dilakukan oleh anggota yang kompeten – Anggota yang kompeten melakukan

kegiatan pengawasan dengan ketekunan dan terpusat secara terus menerus.

4. Dilakukan tepat waktu – Anggota yang bertanggung jawab melakukan kegiatan

pengawasan pada waktu yang tepat sesuai pada kebijakan dan prosedur.

5. Mengambil langkah perbaikan – Anggota yang bertanggung jawab melakukan

penyelidikan dan mengambil tindakan terhadap masalah yang ditemukan pada

saat proses pengawasan.

6. Melakukan penilaian ulang terhadap kebijiakan dan prosedur – Manajemen

secara periodik melakukan review terhadap aktivitas pengawasan untuk

menentukan langkah selanjutnya dan melakukan penyegaran apabila

diperlukan.

Komponen Bagian Keempat : Pemrosesan informasi dan komunikasi

(Information processing and communication) adalah kegiatan yang mengevaluasi

sumber dan kualitas informasi yang digunakan, serta kelancaran komunikasi

dengan pihak eksternal.

Prinsip 13 : Menggunakan informasi yang relevan. Organisasi memperoleh atau

menghasilkan dan menggunakan informasi yang berkualitas untuk mendukung

fungsi komponen lain didalam pengendalian internal.

1. Mengidentifikasi kebutuhan informasi – Sebuah proses dibutuhkan untuk

mengidentifikasi kebutuhan informasi yang diperlukan dan diharapkan untuk

29

mendukung fungsi komponen lain didalam pengendalian internal serta

pencapaian tujuan entitas.

2. Menangkap sumber data internal dan eksternal – Sistem informasi menangkap

sumber data internal dan eksternal.

3. Mengolah data yang relevan menjadi sebuah informasi – Sistem informasi

mengolah dan merubah bentuk sebuah data relevan menjadi sebuah informasi.

4. Mempertahankan kualitas pengolahan – Sistem informasi membuat sebuah

informasi menjadi tepat waktu, uptodate, akurat, lengkap, mudah diakses,

terlindungi, dapat diperiksa dan dapat disimpan. Informasi diterima untuk

menilai relevansinya dalam mendukung pengendalian internal sebuah

komponen.

5. Mempertimbangkan biaya dan manfaat – Sifat, kuantitas, dan ketepatan

informasi yang dikomunikasikan harus sesuai dan mendukung tujuan

pencapaian perusahaan.

Prinsip 14 : Komunikasi internal. Organisasi melakukan komunikasi internal,

termasuk tujuan dan tanggung jawab pengendalian internal yang berguna untuk

mendukung fungsi komponen lain didalam pengendalian internal.

1. Melakukan komunikasi informasi pengendalian internal dengan anggota –

Proses berfungsi untuk mengkomunikasikan informasi yang dibutuhkan, agar

semua anggota dapat mengerti serta menjalankan tanggung jawab pengendalian

internal mereka.

2. Melakukan komunikasi dengan dewan direksi – Komunikasi terjalin diantara

manajemen dan dewan direksi agar keduanya dapat mendapatkan informasi

kebutuhan informasi mereka dalam menjalankan tugas masing-masing demi

mencapai tujuan.

3. Menyediakan jalur komunikasi terpisah – Saluran komunikasi terpisah yang

berfungsi sebagai mekanisme fail-safe agar dapat melakukan komunikasi

rahasia disaat saluran normal tidak efektif.

30

4. Memilih cara berkomunikasi yang relevan – Cara berkomunikasi

mempertimbangkan waktu, pengguna, dan sifat komunikasi itu sendiri.

Prinsip 15 : Komunikasi eksternal. Organisasi melakukan komunikasi dengan

pihak eksternal mengenai hal yang berdampak pada fungsi komponen

pengendalian internal.

1. Komunikasi dengan pihak eksternal – Suatu proses ditempatkan untuk

mengkomunikasikan informasi yang relevan serta tepat waktu kepada pihak

luar termasuk pemegang saham, rekanan, pemilik, pembuat kebijakan,

pelanggan, dan analis keuangan serta pihak luar lainnya.

2. Memungkinkan komunikasi antara pihak luar dengan perusahaan – Saluran

komunikasi terbuka memungkinkan pelanggan, pengguna, penyedia, auditor

eksternal, pembuat kebijakan, analis keuangan dan pihak luar lainnya

memberikan masukkan informasi yang relevan untuk manajemen dan dewan

direksi.

3. Menyediakan jalur komunikasi terpisah - Saluran komunikasi terpisah yang

berfungsi sebagai mekanisme fail-safe agar dapat melakukan komunikasi

rahasia disaat saluran normal tidak efektif.

4. Komunikasi dengan dewan direksi – Informasi yang relevan, merupakan hasil

dari penilaian yang dilakukan pihak eksternal yang kemudian dikomunikasikan

kepada dewan direksi.

5. Memilih cara berkomunikasi yang relevan – Cara berkomunikasi

mempertimbangkan waktu, pengguna, sifat komunikasi, hukum, dan aturan.

Komponen Bagian Kelima : Kegiatan Pemantauan (Monitoring activities)

adalah proses penilaian mutu kinerja sistem pengendalian intern, sepanjang waktu.

Sistem pengendalian internal perlu diawasi, sebuah proses untuk menentukan

kualitas performa sistem dari waktu ke waktu

Prinsip 16 : Melakukan evaluasi secara berkelanjutan atau terpisah. Organisasi

memilih, mengembangkan dan melakukan evaluasi secara berkelanjutan untuk

31

memastikan apakah komponen pengendalian yang sudah ada berfungsi dengan

baik.

1. Mempertimbangkan evaluasi berkelanjutan dan evaluasi secara terpisah –

Manajemen mencakup keseimbangan antara evaluasi secara berkelanjutan dan

evaluasi secara terpisah.

2. Menetapkan pemahaman dasar – Rancangan serta pernyataan pada

pengendalian internal digunakan untuk menetapkan dasar melakukan evaluasi

berkelanjutan dan evaluasi terpisah.

3. Mempertimbangkan tingkat perubahan – Manajemen mempertimbangkan

tingkat perubahan pada bisnis serta proses bisnis didalamnya saat memilih dan

mengembangkan evaluasi berkelanjutan dan evaluasi terpisah.

4. Menggunakan pengetahuan anggota – Bagi penilai kinerja evaluasi

berkelanjutan dan terpisah harus memiliki pengetahuan yang memadai tentang

apa yang sedang dievaluasi.

5. Mengintegrasikan dengan proses bisnis – Evaluasi berkelanjutan dibuat

kedalam proses bisnis dan digunakan untuk merubah situasi.

6. Mengevaluasi secara obyektif – Evaluasi terpisah dilakukan secara berkala

untuk menyediakan masukkan yang obyektif.

7. Menyesuaikan frekuensi dan ruang lingkup – Manajemen membagi frekeunsi

dan ruang lingkup berdasarkan resikonya.

Prinsip 17 : Mengevaluasi dan mengkomunikasikan kekurangan. Organisasi

mengevaluasi dan mengkomunikasikan kekurangan didalam pengendalian internal

secara tepat waktu yang ditujukan kepada pihak yang bertanggung jawab untuk

mengambil langkah perbaikan, termasuk didalamnya Manajemen senior dan

dewan direksi.

1. Hasil penilaian – Manajemen dan dewan direksi yang sesuai, menilai hasil

evaluasi yang sedang berjalan dan evaluasi secara terpisah.

32

2. Mengkomunikasikan kekurangan kepada manajemen – Kekurangan

dikomunikasikan kepada pihak yang bertanggung jawab untuk mengambil

tindakan perbaikan oleh manajemen tingkat satu.

3. Melaporkan kekurangan kepada manajemen senior dan dewan direksi –

Kekurangan dilaporkan kepada manajemen senior dan dewan direksi yang

sesuai.

4. Memantau langkah perbaikan – Manajemen melacak apakah kekurangan yang

ada telah dipulihkan tepat waktu.

2.3.4 Metode Pengendalian Internal COBIT 5

Menurut ISACA (2013) COBIT 5 adalah salah satu kerangka bisnis untuk tata

kelola dan manajemen perusahaan IT. Versi evolusiner ini menggabungkan pemikiran

terbaru dalam tata kelola perusahaan dan teknik manajemen, serta menyediakan

prinsip-prinsip, praktek, alat-alat analisis dan model yang diterim secara global untuk

membantu meningkatkan kepercayaan, dan nilai dari sistem informasi. COBIT 5

membangun dan memperluas COBIT 4.1 dengan mengintegrasikan kerangka besar

lainnya, standar dan sumber daya, termasuk ISACA Val IT dan Risiko TI, Technology

Infrastructure Library (ITIL®) dan standar yang terkait dari International Organization

for Standardization (ISO).

COBIT 5 membantu perusahaan menciptakan nilai yang optimal dari TI dengan

menjaga keseimbangan antara menyadari manfaatnya dan mengoptimalkan tingkat

risiko serta penggunaan sumber daya. Kerangka kerja ini membahas bisnis dan area

fungsional IT di suatu perusahaan dan mempertimbangkan kepentingan yang berkaitan

dengan IT secara internal dan eksteranl bagi para stake holder. Perusahaan dari semua

ukuran, baik yang komersial, non-profit atau di sektor publik, bisa mendapatkan

keuntungan dari COBIT 5.

33

COBIT 5 didasarkan pada lima prinsip utama tata kelola dan manajemen

perusahaan TI yaitu :

Prinsip 1: Memenuhi Kebutuhan Stakeholder.

Prinsip 2: Melingkupi End-to-End Perusahaan.

Prinsip 3: Menerapkan Satu, Kerangka Terintegrasi.

Prinsip 4: Memungkinkan Pendekatan Holistik.

Prinsip 5: Memisahkan Tata Kelola dari Manajemen

34

2.3.5 Tabel perbandingan COSO 2011 dan COBIT 5

Perbandingan Kelebihan Kekurangan

COSO 2011 1. Memberikan kepastian untuk

manajer senior yang memerlukan

kepastian organisasi, apakah telah

memiliki sistem kontrol internal

untuk menyediakan kemampuan

memasarkan dan meningkatkan

harga saham.

2. Membantu Manajer kunci dan

auditor internal untuk menerapkan

standar Sarbanes-Oxley.

3. COSO fokus kepada proses

penyelarasan TI dengan strategi

perusahaan, dan sangat fokus

dalam hal desain dan

implementasi TI.

1. COSO mempunyai detail

yang dangkal, walaupun

spektrum proses teknis dan

operasionalnya cukup luas.

COBIT 5 1. COBIT mempunyai model

kematangan (maturity model)

untuk mengontrol proses-proses

TI, dengan menggunakan metode

penilaian (scoring) sehingga suatu

organisasi dapat menilai proses-

proses TI yang dimilikinya dari

skala non-existent sampai dengan

optimized.

2. COBIT memberikan sebuah

Maturity process untuk

mengendalikan proses TI sehingga

pihak manajemen dapat

memetakan di mana posisi

1. Cobit Hanya berfokus pada

pengukuran dan

pengendalian.

2. COBIT hanya memberikan

panduan kendali dan tidak

memberikan panduan

operasional .

35

perusahaan tersebut, keadaan

perusahaan sesuai tidaknya

dengan class industry ataupun

terhadap standar internasional.

Tabel 2.2 Perbandingan COBIT 5 dan COSO 2011