8. BAB 2 - thesis.binus.ac.idthesis.binus.ac.id/doc/Bab2/2007-1-00103-KA-BAB 2.pdf · sistematis...
-
Upload
trinhxuyen -
Category
Documents
-
view
221 -
download
0
Transcript of 8. BAB 2 - thesis.binus.ac.idthesis.binus.ac.id/doc/Bab2/2007-1-00103-KA-BAB 2.pdf · sistematis...
10
BAB 2
LANDASAN TEORI
TEORI UMUM
2.1 Sistem Informasi
2.1.1 Definisi Sistem Informasi
Hall dalam bukunya yang diterjemahkan oleh Amir Abadi Jusuf (2001,
h7) mendefinisikan “Sistem informasi sebagai sebuah rangkaian prosedur formal
dimana data dikelompokkan, diproses menjadi informasi, dan didistribusikan
kepada pemakai”.
Gondodiyoto dan Idris (2003, h23) mendefinisikan “Sistem Informasi
sebagai suatu interaksi antar komponen-komponen di dalam suatu kesatuan
terpadu untuk mengolah data menjadi informasi sesuai dengan kebutuhannya”.
James O’Brien (2003, p7) mendefinisikan, “Information system can be
any organized combination of people, hardware, software, communication
networks, and data resource that collect, transform, disseminates information in
an organization”. Intinya adalah “Sistem informasi adalah suatu kesatuan yang
terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak
(software), jaringan komputer, dan sumber daya data yang mengumpulkan,
mentransformasikan dan mendistribusikan informasi didalam suatu organisasi”.
Berdasarkan asumsi para pakar tersebut diatas, penulis menyimpulkan
bahwa sistem informasi adalah suatu rangkaian prosedur dan kumpulan dari
komponen sistem informasi seperti hardware, software, database, brainware,
dan perangkat pengendalian yang saling berinteraksi untuk mengolah data
11
menjadi informasi lalu mendistribusikannya kepada pemakai dalam rangka
mencapai tujuan perusahaan.
2.1.2 Karakteristik Informasi Yang Berkualitas
Menurut Mcleod, Jr. dalam bukunya yang berjudul Management
Information System yang diterjemahkan oleh Teguh (2001, h145) terdapat empat
dimensi dasar kualitas informasi yang harus dipertimbangkan manajemen,
dimensi-dimensi ini memberi kontribusi pada nilai informasi.
Empat dimensi tersebut adalah :
1) Relevansi
Informasi yang berkualitas haruslah memiliki relevansi (keterkaitan)
langsung dengan masalah atau kebutuhan si pengguna informasi.
2) Akurasi
Informasi yang disajikan harus benar dan terbebas dari kesalahan.
3) Timeliness
Informasi harus tersedia tepat pada waktu dibutuhkan khususnya ketika
memecahkan masalah yang penting sebelum situasi krisis menjadi tak
terkendali atau hilangnya kesempatan.
4) Completeness
Informasi harus dapat menyajikan gambaran lengkap dari suatu
permasalahan atau penyelesaian. Namun, informasi tidak boleh
menenggelamkan si pengguna informasi dalam lautan informasi
(information overload).
12
Sedangkan menurut Mukhtar yang dikutip Gondodiyoto (2003, h22),
terdapat lima karakteristik informasi yang berkualitas, yakni :
1) Reliable (Dapat Dipercaya)
Informasi haruslah akurat (benar), terbebas dari kesalahan dalam
mempresentasikan suatu kejadian atau kegiatan dari organisasi.
2) Relevan (Sesuai)
Informasi yang relevan harus memberikan arti kepada pembuatan
keputusan. Informasi ini bisa mengurangi ketidakpastian dan bisa
meningkatkan nilai dari suatu kepastian.
3) Timely (Tepat Waktu)
Informasi yang disajikan tepat pada saat dibutuhkan dan bisa
mempengaruhi proses pengambilan keputusan.
4) Complete (Lengkap)
Informasi yang disajikan termasuk didalamnya semua data-data yang
relevan dan tidak mengabaikan kepentingan yang diharapkan oleh
pembuat keputusan.
5) Understandable (Dimengerti)
Informasi yang disajikan hendaknya dalam bentuk yang mudah dipahami
oleh si pembuat keputusan.
13
2.2 Audit
2.2.1 Definisi Audit
Menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf (1997, h1),
“Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti audit
tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang
dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan
melaporkan kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan”.
Auditing juga didefinisikan Mulyadi (2001, h7) sebagai “Suatu proses
sistematis untuk memperoleh dan mengevaluasi bukti secara objektif mengenai
pernyataan-pernyataan tentang kejadian ekonomi dengan tujuan-tujuan untuk
menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan
kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai
yang berkepentingan”.
The American Accounting Association Commitee on Basic Auditing yang
dikutip Gondodiyoto (2003, h53) menyatakan bahwa, “Auditing is the process by
which a competent, independent person accumulate and evaluates evidence
about quantifiable information related to a spesific economic entity for the
purpose of determining and reporting on the degree of correspondence between
the quantifiable information and established criteria ”. Inti dari definisi tersebut,
auditing dapat didefinisikan sebagai suatu proses yang dilakukan seseorang yang
kompeten dan independen yang menghimpun dan mengevaluasi bukti-bukti dari
informasi terukur dari suatu kesatuan ekonomi dengan tujuan untuk
mempertimbangkan dan melaporkan tingkat kesesuaian dari keterangan terukur
14
yang diperoleh dari pemeriksaannya tersebut dengan kriteria-kriteria yang telah
ditetapkan”.
Berdasarkan pendapat para ahli tersebut diatas, penulis menyimpulkan
definisi auditing sebagai berikut :
− Auditing adalah suatu pemeriksaan yang dilakukan terhadap suatu
entitas/fungsi/segmen tertentu dari suatu organisasi.
− Dilakukan oleh orang yang kompeten dan independen.
− Mendapatkan dan mengevaluasi bahan bukti dan informasi/keterangan
yang cukup dan relevan, lalu membandingkan informasi dari bahan bukti
tersebut dengan kriteria (standard) yang ditetapkan dan melaporkan
tingkat kesesuaian hal-hal tersebut kepada pihak-pihak yang
berkepentingan.
2.2.2 Hal Yang Mendasari Kebutuhan Auditing
Karena kondisi dunia bisnis yang semakin kompleks, maka kemungkinan
bahwa para pembuat keputusan (decision maker) akan memperoleh informasi
yang tidak dapat dipercaya dan tidak dapat diandalkan pun akan semakin besar
pula. Hal ini yang disebut dengan resiko informasi, penyebabnya antara lain :
− Hubungan Yang Tidak Dekat Antara Penerima dan Pemberi Informasi
Informasi yang tidak diperoleh langsung dari pihak pertama, baik sengaja
ataupun tidak, cenderung tidak tepat. Hal ini dikarenakan sulitnya decision
maker memperoleh informasi dari mitra usaha secara langsung.
15
− Sikap Memihak dan Motif Lain Yang Melatarbelakangi Pemberian Informasi
Jikalau informasi yang disajikan oleh pihak yang mempunyai tujuan yang
berbeda dengan tujuan si pengambil keputusan, maka informasi tersebut akan
cenderung menguntungkan penyaji informasi.
− Data Yang Berlebihan
Bertambah besarnya organisasi menyebabkan bertambah banyaknya
transaksi usaha yang dialaminya. Hal ini juga memperbesar kemungkinan
tercatatnya informasi yang tidak tepat di dalam pembukuan.
− Transaksi Pertukaran Yang Kompleks
Transaksi-transaksi usaha antar perusahaan telah berkembang semakin
kompleks, sehingga makin sulit untuk dicatat dengan baik.
Berdasarkan pertimbangan resiko informasi inilah, auditing sangat
diperlukan untuk melindungi publik dari penyajian informasi yang menyesatkan.
2.2.3 Jenis-Jenis Audit
Pada umumnya kegiatan audit dapat diklasifikasikan di dalam beberapa
jenis audit. Menurut Mulyadi (1998, h28) terdapat tiga jenis audit, yaitu:
1) Audit Laporan Keuangan (General Financial Statement Audit)
Audit yang dilakukan oleh auditor eksternal independen terhadap laporan
keuangan yang disajikan oleh kliennya untuk menyatakan pendapat
mengenai kewajaran laporan keuangan tersebut serta kesesuaiannya
dengan standard akuntansi keuangan.
16
2) Audit Kepatuhan (Compliance Audit)
Audit yang tujuannya untuk menentukan apakah objek yang diaudit telah
sesuai dengan kondisi atau peraturan tertentu.
3) Audit Operasional/Manajemen (Operational/Management Audit)
Review secara sistematik kegiatan organisasi, atau bagian daripadanya,
dalam hubungannya dengan tujuan tertentu, lazimnya menyangkut
efektifitas, efisiensi, dan ekonomis tidaknya operasi suatu organisasi.
Menurut Gondodiyoto (2003, h63) sesungguhnya, selain yang disebutkan
diatas, dikenal juga jenis audit yang lain, yakni :
1) Audit Forensik (Forensic Audit)
Menurut Edwar Nurdin (2002, hh1-10), audit forensik adalah audit yang
dilaksanakan dalam kaitannya sebagai dukungan dalam proses
investigasi. Adapun pengguna jasa akuntan/audit forensik tersebut adalah
para pengacara, kepolisian, perusahaan asuransi, bank, atau pemerintah.
Kegiatannya antara lain mencakup pemberian dukungan dalam opini
sebagai saksi ahli dalam proses legal (hukum).
2) Audit Terhadap Kecurangan (Fraud Audit)
Menurut Karyono (2002, hh1-14) fraud audit :
− Merupakan proses audit yang memfokuskan pada
keanehan/keganjilan objek yang perlu dilakukan audit.
− Mencegah terjadinya kecurangan (preventing fraud) mendeteksi
maupun pemeriksaan kecurangan (investigating fraud).
17
3) Audit Keuangan Yang Lebih Rinci
Audit yang tidak hanya dilakukan terhadap laporan keuangan, melainkan
yang sudah bersifat lebih mendalam (special assignment), atau
pemeriksaan bersifat investigasi (investigasi audit).
2.2.4 Bahan Bukti Audit
Arens and Loebbecke (1997, pp153-161) berpendapat bahwa, “Dalam
menentukan prosedur audit mana yang akan digunakan, ada tujuh kategori bahan
bukti audit yang dapat dipilih auditor yaitu :
1) Pemeriksaan Fisik
Merupakan penghitungan secara fisik atas aktiva berwujud seperti uang
tunai, inventory, dll.
2) Konfirmasi
Konfirmasi digambarkan sebagai penerimaan jawaban tertulis maupun
lisan dari pihak ketiga yang independen dalam memverifikasi akurasi
informasi yang telah diminta oleh auditor.
3) Dokumentasi (Pemeriksaan Dokumen/Voucing)
Merupakan pemeriksaan auditor atas dokumentasi dan catatan klien
untuk menyokong informasi yang ada atau seharusnya ada dalam laporan
keuangan.
4) Pengamatan
Adalah penggunaan panca indera untuk menilai/menetapkan suatu
aktivitas tertentu.
18
5) Tanya Jawab Dengan Klien
Yaitu mendapatkan informasi tertulis atau lisan dari klien dengan
menjawab pertanyaan dari auditor.
6) Pelaksanaan Ulang (Reperformance)
Mencakup pengecekan ulang suatu sampel penghitungan dan
perpindahan informasi yang dilakukan klien selama periode yang diaudit.
Pengecekan ulang penghitungan berisi pengujian akurasi aritmatik klien.
Sedangkan pengecekan ulang atas perpindahan informasi berisi
penelusuran jumlah untuk meyakinkan bahwa kalau informasi yang sama
dimasukkan ke tempat yang lebih dari satu, akan dicatat dengan jumlah
yang sama pada waktu yang berbeda.
7) Prosedur Analitis
Adalah prosedur yang menggunakan perbandingan dan hubungan untuk
menentukan apakah saldo akun tersaji secara layak”.
2.3 Sistem Pengendalian Internal (SPI)
2.3.1 Definisi Sistem Pengendalian Internal
Menurut The Information System Control and Audit Association (ISACA)
yang dikutip oleh Cangemi dan Singleton dalam bukunya Managing the Audit
Function (2003, p65), “Internal control system is the policies, procedures,
practices, and organizational structures, designed to provide reasonable
assurance that business objectives will be achieved and that undesired events
will be prevented, or detected and corrected.” Maksud dari pernyataan tersebut
adalah bahwa sistem pengendalian internal merupakan kebijakan, prosedur,
19
praktik-praktik, dan struktur organisasi yang didesain untuk memberikan jaminan
yang layak pada upaya pencapaian tujuan bisnis yang akan dicapai dan
memastikan kejadian-kejadian yang tidak diinginkan akan dicegah, atau
dideteksi dan dikoreksi.
Organisasi profesi internasional lainnya, Committee On Sponsoring
Organizations (COSO) (Cangemi dan Singleton, 2003, p65) juga
mendefinisikan, “Internal control as a process, effected by an entity’s board of
directors, management and other personnel, designed to provide reasonable
assurance regarding the achievement of objectives in (1) the effectiveness and
efficiency of operations, (2) the reliability of financial reporting and (3) the
compliance of applicable laws and regulations.” Intinya, sistem pengendalian
internal adalah suatu proses yang dipengaruhi oleh entitas organisasi seperti
jajaran direktur, manajemen dan personel lainnya, yang didesain untuk
memberikan jaminan yang layak dalam mencapai tujuan : (1) Efektifitas dan
efisiensi operasi, (2) Keandalan laporan keuangan, (3) Pemenuhan atau ketaatan
terhadap hukum dan regulasi yang berlaku.
20
Information and communication component connections
Definition Internal control is
a management process
Categories Effectiveness Reliable financial Compliance with
and efficiency reporting laws and regulations
of operations
Objectives Various business, Reliable financial Compliance with
company specific annual and interim ones that apply
report (e.g., GAAP) to the company
Components Control environment Control environment Control environment
Risk assessment Risk Assessment Risk Assessment
Control activities Control activities Control activities
Monitoring Monitoring Monitoring
Information and Information and Information and
communication communication communication
Menurut Weber (1999, p35), “A control is a system that prevents, detects,
or correct unlawful events”. Intinya menurut weber, pengendalian adalah suatu
sistem untuk mencegah, mendeteksi, dan mengkoreksi kejadian yang timbul saat
transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak
akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien.
Objectives categories
Gambar 2.1 COSO Model
Sumber: Cangemi dan Singleton(2003, p73)
21
Berdasarkan definisi di atas, maka pengendalian dikelompokkan menjadi tiga
bagian, yaitu :
a. Preventive Controls
Instruksi (perintah) yang ditempatkan pada dokumen sumber untuk
mencegah/menjaga terjadinya kesalahan dalam pengisiannya.
b. Detective Controls
Pengendalian ini digunakan untuk menemukan/mengetahui bila terjadi
kesalahan data yang diinput di dalam sistem.
c. Corrective Controls
Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan
pada detective control. Pengendalian ini terdiri dari program yang
menggunakan kode khusus yang dapat memperbaiki data yang
rusak/error karena kesalahan pada komunikasi on line.
Berdasarkan definisi-definisi tersebut di atas penulis menyimpulkan
bahwa sistem pengendalian internal adalah suatu sistem yang dipengaruhi entitas
organisasi yang dirancang untuk mencegah, mengendalikan dan melindungi
seluruh aktivitas organisasi dari penyimpangan-penyimpangan atau undesirable
event lainnya yang dapat merugikan perusahaan sekaligus bertujuan untuk
memastikan kepatuhan entitas terhadap peraturan dan kebijakan perusahaan,
menciptakan keandalan laporan keuangan, meningkatkan efektifitas dan efisiensi
operasi perusahaan, dan menjaga aset/kekayaan organisasi.
22
2.3.2 Tujuan dan Manfaat Sistem Pengendalian Internal
Menurut sebuah organisasi profesi internasional Committee On
Sponsoring Organizations (COSO) (Cangemi, p65), sistem pengendalian internal
memiliki tiga tujuan utama, yaitu :
1) Efektifitas dan Efisiensi Operasi (Effectiveness and Efficiency of
Operations).
2) Keandalan Laporan Keuangan (Reliability of Financial Reporting).
3) Ketaatan/Kepatuhan Terhadap Hukum dan Regulasi Yang Berlaku
(Compliance With Applicable Laws and Regulations).
Hall (2001, p150) berpendapat bahwa sistem pengendalian internal
memiliki empat tujuan utama, yaitu untuk :
1) Mengamankan aktiva organisasi.
2) Memastikan akurasi dan keandalan dari catatan dan informasi akuntansi.
3) Mempromosikan efisiensi operasi perusahaan.
4) Mengukur kesesuaian dengan kebijakan dan prosedur yang telah
ditetapkan manajemen.
Gondodiyoto dan Idris (2003, h75) berpendapat bahwa tujuan utama dari
sistem pengendalian internal adalah :
1) Mengamankan aset organisasi.
2) Memperoleh informasi yang akurat dan dapat dipercaya.
3) Meningkatkan efektifitas dan efisiensi kegiatan.
4) Mendorong kepatuhan pelaksanaan terhadap kebijaksanaan
organisasi/pimpinan.
23
Berdasarkan pendapat-pendapat diatas, penulis menyimpulkan bahwa
tujuan utama dari sistem pengendalian intern adalah untuk menjaga kekayaan
perusahaan, meningkatkan efektifitas dan efisiensi operasi perusahaan,
mendorong dipatuhinya kebijakan manajemen, mencegah tindakan
penyimpangan, dan memperkecil kesalahan.
2.3.3 Komponen Sistem Pengendalian Internal
Menurut COSO (Committee On Sponsoring Organizations) yang terdapat
dalam buku Cangemi (2003, p49), sistem pengendalian internal terdiri dari 5
(lima) komponen yang saling terintegrasi, yaitu :
1) Control Environment (Lingkungan Pengendalian)
Komponen ini berperan dalam menyediakan atmosfer bagi entitas
organisasi dalam menjalankan aktivitasnya dan tanggung jawab control
mereka. Komponen ini juga berperan sebagai fondasi bagi komponen-
komponen COSO yang lain. Komponen ini diwujudkan dalam cara
pengoperasian, cara pembagian wewenang dan tanggung jawab yang
harus dilakukan, cara komite audit berfungsi dan metode-metode yang
digunakan untuk merencanakan dan memonitor kinerja.
Sub komponen Control Environment :
− Integritas dan Nilai Etika Manajemen.
Meliputi tindakan manajemen untuk menghilangkan atau mengurangi
intensif dan godaan yang menyebabkan pegawai bertindak tidak jujur,
melanggar hukum, atau tidak etis.
24
− Kompetensi Personil.
Meliputi pertimbangan manajemen terhadap tingkat kompetensi dari
pekerjaan tertentu dan bagaimana tingkatan tersebut berubah menjadi
keterampilan dan pengetahuan yang diisyaratkan.
− Struktur Organisasi Yang Memadai.
Struktur organisasi suatu satuan usaha membatasi garis tanggung
jawab dan wewenang yang ada dan juga menghubungkan garis arus
komunikasi.
− Pembagian Tugas dan Delegasi Wewenang.
− Kebijakan dan Praktek Sumber Daya Manusia.
Merupakan kebijakan yang mengatur bagaimana metode perekrutan
karyawan, bagaimana karyawan digaji, dan dievaluasi agar karyawan
memiliki kompetensi dan dapat dipercaya. Karena aspek paling
penting adalah karyawan. Artinya jika pegawai kompeten dan dapat
dipercaya maka pengendalian tidak perlu banyak dan laporan
keuangan yang andal tetap akan dihasilkan. Begitupun sebaliknya,
meskipun terdapat banyak pengendalian, orang yang tidak jujur dan
tidak kompeten tetap akan dapat mengacaukan sistem.
− Filosofi dan Gaya Operasi Manajemen.
Manajemen melalui aktivitasnya memberikan tanda yang jelas kepada
pegawai tentang pentingnya pengendalian.
25
2) Risk Assessment (Penaksiran Resiko)
Komponen ini meliputi pengidentifikasian dan penilaian resiko yang
berhubungan dengan pencapaian tujuan manajemen serta menentukan
cara bagaimana resiko tersebut ditangani. COSO mengarahkan
manajemen untuk melakukan pengidentifikasian resiko terhadap resiko
internal dan eksternal dari aktivitas suatu entity atau individu. Pada tahap
risk assessment terdapat cost-benefit consideration yang
memperhitungkan cost dan benefit yang akan dihasilkan dari suatu
penerapan control.
3) Control Activities (Aktivitas Pengendalian)
Merupakan kebijakan dan prosedur yang dibuat untuk memastikan
dilaksanakannya kebijakan manajemen. Elemen ini juga membantu
memastikan bahwa tindakan yang diperlukan untuk penanganan resiko
telah dilakukan sesuai dengan apa yang telah direncanakan. Komponen
ini juga beroperasi untuk memastikan transaksi telah terotorisasi, adanya
pembagian tugas, pemeliharaan terhadap dokumen dan record,
perlindungan aset dan record, pengecekan kinerja, dan penilaian dari
jumlah record yang terjadi.
4) Information and Communication (Informasi dan Komunikasi)
Komponen ini menjelaskan mengenai kebutuhan terhadap pemerolehan
informasi eksternal dan internal, dan sistem yang terintegrasi (integrated
systems), dan kebutuhan terhadap kualitas data.
26
Sistem informasi harus dapat memberikan data yang memiliki
karakteristik sebagai berikut :
– Accurate and in Sufficient Detail (Akurat dan Memiliki Detail Yang
Cukup).
– Relative to Established Objectives (Berhubungan Dengan Tujuan).
– Understandable and in An Usable Form (Mudah Dipahami dan
Digunakan).
Komunikasi membahas mengenai penyampaian segala sesuatu yang
harus disampaikan dengan jelas kepada berbagai pihak : manajemen,
personil, dan entitas organisasi lainnya. Contoh komunikasi : kewajiban
dan tanggung jawab karyawan terhadap pengendalian harus
dikomunikasikan dengan jelas.
5) Monitoring (Pengawasan)
Adalah komponen yang memastikan keandalan sistem pengendalian
internal beroperasi secara dinamis sepanjang waktu yang dilakukan
dengan cara melakukan aktivitas monitoring dan evaluasi secara terpisah.
TEORI KHUSUS
2.4 Audit Sistem Informasi
2.4.1 Definisi Audit Sistem Informasi
Menurut Weber (1999, p10), ”Information systems auditing is the process
of collecting and evaluating evidence to determine whether a computer system
safeguards assets, maintains data integrity, allows organizational goals to be
achieved effectively, and uses resources efficiently”. Intinya audit sistem
27
informasi adalah proses pengumpulan dan pengevaluasian bukti untuk
menentukan apakah sistem komputer dapat melindungi aset, memelihara
integritas data, memungkinkan pencapaian tujuan organisasi secara efektif dan
penggunaan sumber daya secara efisien.
Menurut Cangemi (2003, p48) dalam bukunya yang berjudul Managing
the Audit Function, “Information systems auditing is defined as any audit that
encompass the review and evaluation of all aspects (or any portion) of
automated information processing systems, including related non-automated
processes, and the interfaces between them ”. Inti dari pernyataan tersebut adalah
“Audit sistem informasi didefinisikan sebagai proses audit yang terdiri dari
review dan pengevaluasian seluruh aspek dari sistem pemrosesan informasi
otomatis termasuk juga proses non-otomatis dan juga interface diantara
keduanya”.
Gondodiyoto (2003, h151) berpendapat bahwa “Audit sistem informasi
merupakan suatu pengevaluasian untuk mengetahui bagaimana tingkat
kesesuaian antara aplikasi sistem informasi dengan prosedur yang telah
ditetapkan dan mengetahui apakah suatu sistem informasi telah didesain dan
diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme
pengamanan aset yang memadai, serta menjamin integritas data yang memadai”.
Dari berbagai pendapat tersebut diatas penulis menyimpulkan
definisi audit sistem informasi sebagai suatu proses pengumpulan dan
pengevaluasian bukti-bukti audit oleh orang yang kompeten dan
independen untuk menentukan apakah sistem informasi yang
dijalankan telah sesuai dengan kriteria yang ditentukan dalam rangka
28
mencapai tujuan perusahaan, yaitu : melindungi aset perusahaan, meningkatkan
efektifitas dan efisiensi organisasi, meningkatkan integritas data.
2.4.2 Tujuan Audit Sistem Informasi
Menurut Weber yang disimpulkan oleh penulis (1999, pp11-13), tujuan
dari audit sistem informasi dapat diklasifikasikan menjadi empat jenis, yaitu:
1. Meningkatkan Perlindungan Terhadap Aset-Aset Perusahaan
Aset informasi suatu perusahaan seperti hardware, software, data harus
dijaga oleh suatu sistem pengendalian internal yang baik. Untuk
memastikan keamanan tersebut maka perlu dilakukan audit agar
perusahaan dapat mengetahui celah-celah kelemahan perusahaan dan
sesegera mungkin melakukan perbaikan guna meningkatkan
perlindungan terhadap aset perusahaan.
2. Meningkatkan Integritas Data
Integritas data adalah salah satu konsep dasar sistem informasi. Data
memiliki atribut-atribut tertentu seperti : kelengkapan, dan keakuratan.
Jika tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki
laporan yang akurat dan cepat.
3. Meningkatkan Efektifitas Sistem
Efektifitas sistem perusahaan memiliki peranan penting dalam proses
pengambilan keputusan. Sistem informasi dapat dikatakan efektif bila
sistem informasi tersebut telah sesuai dengan kebutuhan pengguna (doing
thing right). Dengan audit sistem informasi maka kinerja sistem pun
dapat lebih dioptimalkan dan diefektifkan, karena dengan audit kita dapat
29
mengetahui penyebab dari inefektifitas kinerja sistem beserta
rekomendasi yang harus diterapkan guna menanggulangi permasalahan
tersebut.
4. Meningkatkan Efisiensi Sistem
Sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi
kebutuhan user dengan cara yang baik dan sumber daya informasi yang
minimal (doing right thing). Dengan audit sistem informasi, perusahaan
dapat mengetahui cara yang paling efektif dan efisien dalam mencapai
tujuan perusahaan.
Gondodiyoto dan Idris (2003, h153) menyimpulkan tujuan audit sistem
informasi sebagai berikut :
1) Pengamanan Aset
Aset informasi suatu perusahaan seperti hardware, software, sumber daya
manusia (brainware), file data harus dijaga oleh suatu sistem pengendalian
INFORMATION SYSTEMS AUDITING
ORGANIZATIONS
Improved Safeguarding
of assets
Improved data integrity
Improved System
Effectiveness
Improved System
Efficiency
Gambar 2.2 Impact of The Information Systems Audit On Organizations
Sumber: Weber (1999, p11)
30
internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan.
Dengan demikian sistem pengamanan aset merupakan suatu hal
fundamental yang sangat penting yang harus dipenuhi oleh perusahaan.
2) Menjaga Integritas Data
Integritas data adalah salah satu konsep dasar sistem informasi. Data
memiliki atribut-atribut tertentu seperti : kelengkapan, dan keakuratan. Jika
tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki informasi
atau laporan yang benar bahkan perusahaan dapat menderita kerugian dari
kesalahan dalam membuat atau mengambil keputusan.
3) Efektifitas Sistem
Efektifitas sistem perusahaan memiliki peranan penting dalam proses
pengambilan keputusan. Sistem informasi dapat dikatakan efektif bila
sistem informasi tersebut telah sesuai dengan kebutuhan user.
4) Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi
memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi
komputer menurun maka pihak manajemen harus mengevaluasi apakah
efisiensi sistem masih memadai atau harus menambah sumber daya, karena
suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi
kebutuhan user dengan sumber daya informasi yang minimal.
5) Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang
lebih bersifat kuantifikasi nilai moneter (uang). Efisien berarti sumber daya
31
Dari berbagai definisi diatas penulis menyimpulkan bahwa tujuan utama
audit sistem informasi adalah untuk mengetahui dan menentukan apakah suatu
sistem informasi yang berbasis komputer telah :
1) Memberikan perlindungan terhadap aset perusahaan.
2) Meningkatkan integritas data.
3) Meningkatkan efektifitas perusahaan dalam mencapai tujuannya.
4) Memungkinkan perusahaan menggunakan sumberdayanya secara efisien.
2.4.3 Jenis Pengendalian Sistem Informasi
Menurut Weber (1999, p38) ada dua jenis pengendalian yang perlu
diterapkan pada sistem informasi, yaitu :
1. Pengendalian Manajemen (Management Controls)
Pengendalian manajemen (management controls) adalah sistem
pengendalian intern komputer yang berlaku umum meliputi seluruh
kegiatan komputerisasi sebuah organisasi secara menyeluruh. Artinya
ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku
untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Apabila
pengendalian ini tidak dilakukan ataupun pengendaliannya lemah maka
akan dapat berdampak negatif terhadap aplikasi (kegiatan komputer).
Weber (1999, p39) membagi pengendalian manajemen menjadi tujuh sub
sistem pengendalian, yaitu :
a. Pengendalian Manajemen Puncak (Top Management Controls)
Pengendalian yang dilakukan terhadap top management (manajemen
puncak) perusahaan untuk memastikan bahwa fungsi sistem informasi
32
telah berjalan dengan baik, tanggung jawab utama mereka adalah
untuk membuat keputusan jangka panjang terhadap bagaimana cara
pemakaian sistem informasi pada organisasinya.
b. Pengendalian Manajemen Sistem Informasi (Information System
Management Controls)
Pengendalian yang mengontrol pembuatan sistem program baru dan
pemeliharaan program lama serta penyediaan software yang
mendukung sistem informasi. Pengendalian ini bertujuan untuk
pengembangan software yang bermutu tinggi, dimulai dari fase
program development life cycle sampai terakhir pada spesial kontrol
masalah.
c. Pengendalian Manajemen Pengembangan Sistem (System
Development Management Controls)
Pengendalian manajemen pengembangan sistem berfungsi untuk
mengontrol alternatif dari model proses pengembangan sistem
informasi sehingga dapat digunakan sebagai dasar pengumpulan dan
pengevaluasian bukti. Manajemen pengembangan sistem
bertanggung jawab dalam perancangan, pengembangan,
pengimplementasian dan pemeliharaan sistem aplikasi.
d. Pengendalian Manajemen Sumber Data (Data Resource Management
Controls)
Yaitu pengendalian yang dilakukan pada sumber data untuk
memastikan independensi data, integrity data, dan pengendalian akes
dapat dikelola dengan lebih baik.
33
e. Pengendalian Manajemen Keamanan (Security Management
Controls)
Menurut Weber (1999, pp257-266), dapat disimpulkan bahwa
pengendalian terhadap manajemen keamanan secara garis besar
bertanggung jawab atau bertujuan untuk menjamin aset sistem
informasi tetap aman dari berbagai ancaman.
Adapun kategori dari ancaman dapat diklasifikasikan sebagai berikut:
− Types of Assets. Aset berwujud (physical assets) dan tidak
berwujud (logical assets).
− Nature of Threat. Disengaja (deliberate) dan tidak disengaja
(accidental).
− Source of Threat. Eksternal dan internal perusahaan.
Aset dapat dikatakan aman bila kemungkinan kehilangan yang dapat
timbul berada pada level yang dapat diterima oleh manajemen.
Ancaman utama terhadap Security Management Controls perusahaan
adalah :
a) Ancaman Kebakaran
Beberapa pelaksanaan pengamanan untuk ancaman kebakaran
adalah:
− Memiliki alarm kebakaran otomatis yang diletakkan pada
tempat dimana aset-aset informasi berada.
− Memiliki tabung pemadam kebakaran yang diletakkan pada
lokasi yang mudah dijangkau.
34
− Memiliki tombol power utama (termasuk AC).
− Gedung tempat penyimpanan aset sistem informasi dibangun
dari bahan tahan api.
− Memiliki pintu/tangga darurat yang diberi tanda yang jelas
sehingga mempermudah karyawan dalam penggunaannya.
− Ketika alarm kebakaran berbunyi sinyal langsung dikirimkan
ke stasiun pengendalian yang selalu dijaga oleh staff.
− Prosedur pemeliharaan gedung yang baik menjamin tingkat
polusi rendah disekitar aset informasi yang bernilai tinggi.
Contoh : ruang komputer dibersihkan secara teratur dan kertas
untuk printer diletakkan di ruang yang terpisah.
− Untuk mengantisipasi ancaman kebakaran diperlukan
pengawasan rutin dan pengujian terhadap sistem perlindungan
kebakaran untuk dapat memastikan bahwa segala sesuatunya
telah dirawat baik.
b) Ancaman Banjir
Beberapa pelaksanaan pengamanan untuk ancaman banjir :
− Usahakan bahan untuk atap, dinding dan lantai yang tahan air.
− Semua aset sistem informasi ditaruh ditempat yang tinggi.
− Menutup peralatan hardware dengan bahan yang tahan air
ketika tidak digunakan.
c) Perubahan Tegangan Sumber Energi
35
dan uninterruptable power supply (UPS) yang memadai yang
mampu mengcover masalah tegangan listrik.
d) Kerusakan Struktural (Structural Damage)
Beberapa pelaksanaan pengamanan untuk mengantisipasi
kerusakan struktural (disebabkan bencana alam) misalnya adalah
memilih lokasi perusahaan yang strategis dan aman.
e) Polusi
Beberapa pelaksanaan pengamanan untuk mengatasi polusi,
misalnya situasi kantor yang bebas debu dan tidak
memperbolehkan siapa saja membawa binatang peliharaan.
f) Penyusup (Unauthorized Intrusion)
Penyusupan yang dapat dilakukan terdiri dari dua jenis, yaitu :
(1) Secara fisik masuk ke perusahaan dan mengambil harta sistem
informasi atau melakukan pengerusakan.
(2) Tidak masuk secara fisik ke perusahaan tetapi menggunakan
cara lain seperti melakukan penyadapan.
g) Virus dan Worm
Pelaksanaan pengamanan untuk mengantisipasi virus meliputi :
Tipe kontrol Contoh
Preventif − Hanya menggunakan software yang
bersih dan asli.
− Menginstall antivirus.
− Melakukan update antivirus secara
berkala dan rutin.
36
− Jangan menggunakan shareware
software.
− Melakukan scan file secara rutin ketika
akan digunakan.
− Download software atau file hanya dari
website yang sudah terkenal bersih.
− Lakukan akses read-only terhadap
software.
− Berikan pengertian kepada user tentang
bahaya virus dan perlunya tindakan
pencegahan.
Detective − Secara berkala menjalankan program anti
virus untuk mendeteksi virus.
Corrective − Pastikan ada backup yang bersih.
− Jalankan program antivirus untuk me-
remove/merecovery file yang terinfeksi.
h) Hacking
Beberapa tindakan pengamanan untuk mengantisipasi hacking :
− Penggunaan kontrol logika seperti penggunaan password yang
sulit ditebak.
− Petugas keamanan secara teratur memonitor sistem yang
digunakan.
Control of Last Resort (Pengendalian Akhir)
Walaupun segala cara telah diterapkan guna mengantisipasi ancaman,
tetapi masih ada saja kemungkinan terjadi bencana ataupun undesriable
Tabel 2.1 Tindakan Pengamanan Virus
Sumber : Weber (1999, p263)
37
event lainnya. Untuk itulah diperlukan pengendalian akhir (Controls of
Last Resort) guna mengurangi kerugian dan merecovery operasional :
1) Disaster Recovery Plan (Rencana Pemulihan Bencana)
a) Emergency Plan (Rencana Darurat)
Rencana emergency ini merupakan tindakan khusus yang akan
dilakukan segera setelah terjadinya bencana. Rencana ini juga
menjelaskan siapa melakukan apa dan bagaimana
melakukannya.
b) Backup Plan (Rencana Backup)
Rencana yang berisi jangka waktu backup dilakukan, prosedur
untuk melakukan backup, letak perlengkapan backup,
karyawan yang bertanggung jawab untuk melakukan kegiatan
backup.
c) Recovery Plan (Rencana Pemulihan)
Rencana recovery berisi prosedur apa yang harus dilakukan
untuk kembali beroperasi pada keadaan sebelum terjadi
kerusakan (tidak mengulang lagi proses yang sudah
dikerjakan). Rencana recovery merupakan kelanjutan dari
rencana backup karena recovery adalah kegiatan yang
dilakukan agar sistem informasi dapat berjalan seperti biasa.
d) Test Plan (Rencana Pengujian)
Berfungsi untuk memastikan bahwa ketiga rencana diatas
berjalan dengan baik atau layak.
38
2) Asuransi
Suatu bentuk pengendalian yang dilakukan dengan
mengasuransikan aset sistem informasi sehingga ketika terjadi
bencana maka akan membantu meringankan beban perusahaan
dalam rangka pengadaan aset sistem informasi. Perlu
dipertimbangkan cost and benefit dalam memilih asuransi untuk
peralatan, fasilitas, dan elemen sistem informasi lainnya.
f. Pengendalian Manajemen Operasi (Operations Management
Controls)
Menurut Weber (1999, p288), manajemen operasi bertanggung jawab
atas berjalannya fasilitas hardware dan software sehari-hari sehingga:
a. Sistem aplikasi dapat menyempurnakan kerja mereka.
b. Staff development dapat mendesain, mengimplementasikan, dan
memaintain sistem aplikasi.
Manajemen operasi khusus mengontrol fungsi-fungsi sebagai berikut:
1) Pengoperasian Komputer (Computer Operations)
Kontrol operasi komputer mengatur aktivitas-aktivitas yang
secara langsung mendukung keseharian pelaksanaan dari sistem
aplikasi pada platform hardware/software yang tersedia.
2) Pengoperasian Jaringan (Network Operations)
Manajer operasi bertanggung jawab atas aktivitas operasi jaringan
baik jaringan area lokal (Local Area Network) maupun jaringan
area luas (Wide Area Network) yang digunakan perusahaan dalam
mendukung operasional. Untuk melaksanakan tugasnya,
39
manajemen operasi harus memulai dan menghentikan aktivitas
jaringan serta memonitor kinerja channel komunikasi jaringan,
peralatan jaringan, file-file dan program jaringan.
3) Persiapan dan Pengentrian Data (Preparation and Data Entry)
Secara umum, semua sumber data untuk sistem aplikasi dikirim
ke bagian persiapan data untuk diketik dan diverifikasi sebelum
dimasukkan ke dalam komputer.
Faktor-faktor yang harus dipertimbangkan untuk persiapan dan
pengentrian data :
− Penerangan pada tempat pengetikan harus memadai.
− Lingkungan kerja haruslah tidak berisik dan juga tidak terlalu
sepi.
− Tata ruang dari tempat kerja harus rapi untuk memudahkan
arus kerja.
4) Pengendalian Produksi (Production Controls)
Fungsi-fungsi yang harus dilakukan pada pengendalian produksi
adalah :
− Penerimaan dan pengiriman input dan output.
− Penjadwalan kerja.
− Peningkatan pemanfaatan komputer.
5) Perpustakaan File (File Library)
Fungsi File Library pada bagian operasional adalah bertanggung
jawab untuk mengelola manajemen penyimpanan data.
40
• Storage of Storage Media (Penyimpanan Media
Penyimpanan)
Karena media penyimpanan file sangat penting maka media
tersebut harus disimpan dengan sangat aman.
• Use of Storage Media (Penggunaan Media Penyimpanan)
Penggunaan media penyimpanan harus dikontrol dengan baik,
bagian kepustakaan harus mengeluarkan media penyimpanan
hanya kepada orang yang memiliki wewenang dan sesuai
dengan skedul yang telah ditetapkan.
• Location of Storage Media (Lokasi Media Penyimpanan)
Penyimpanan media penyimpanan dapat berada diluar di
lokasi ruang komputer, hal itu tergantung kepada tingkat
pemakaian media penyimpanan tersebut, bila media
penyimpanan sering digunakan maka harus berada di ruangan
komputer sedangkan bila media penyimpan hanya merupakan
backup maka dapat diletakkan diluar ruangan komputer.
• Maintenance and Disposal of Storage Media (Pemeliharaan
dan Penghentian Pemakaian Dokumen)
Media penyimpanan dapat digunakan untuk jangka waktu
yang lama tetapi secara umum kemampuannya menurun
seiring dengan meningkatnya umur media penyimpanan
tersebut sehingga dapat menimbulkan resiko bagi perusahaan.
41
Hal-hal yang harus diperhatikan dalam File Library adalah :
Media penyimpanan seharusnya tidak dibiarkan tidak terpakai
dalam jangka waktu yang lama.
Apabila media penyimpanan menjadi tidak dapat diandalkan,
biasanya jalan terbaik adalah dengan membuang mereka dan
memastikan semua data yang sensitif sudah dipindahkan.
Apabila media penyimpanan harus dikirim keluar organisasi
atau diperbaiki, maka harus dipastikan bahwa data sensitif
harus dihapus dari media penyimpanan tersebut.
6) Dokumentasi dan Perpustakaan Program (Documentation and
Program Library)
Dokumentasi librarian bertanggung jawab untuk mengatur
dokumentasi yang mendukung fungsi sistem informasi. Fungsi itu
meliputi :
1) Memastikan dokumentasi disimpan dengan aman.
2) Memastikan hanya yang berwenang yang dapat mengakses.
3) Memastikan dokumentasi selalu up to date.
4) Memastikan jalannya backup cukup untuk dokumentasi.
Dokumentasi librarian juga harus bertanggung jawab untuk
mengatur persediaan software organisasi atau izin software untuk
mencegah masalah berikut :
– Terlalu banyak copy software yang beredar.
– Software hilang atau dicuri.
42
– Beredarnya software ilegal.
– Penggunaan software tidak sesuai dengan izin yang diajukan.
– Software tidak mempunyai backup.
7) Help Desk/Technical Support
Ada 2 (dua) fungsi utama help desk/technical support yaitu :
− Membantu end user dalam menggunakan hardware dan
software seperti microcomputer, database.
− Menyediakan technical support untuk menyelesaikan masalah
yang berhubungan dengan hardware, software, dan database.
8) Perencanaan Kapasitas dan Pengawasan Kinerja (Capacity
Planning and Performance Monitoring)
Tujuan utama dari fungsi sistem informasi adalah mencapai
tujuan-tujuan dari user dengan memuaskan pada tingkat biaya
terendah.
Manajemen operasi harus secara kontinyu mengawasi tampilan
dari platform hardware/software untuk menjamin bahwa sistem
dilaksanakan secara efektif, waktu respon dapat diterima.
9) Management of Outsourced Operations
Manajemen operasi harus fokus pada 4 jenis pengendalian dalam
hal memonitoring kegiatan outsource antara lain :
− Mengevaluasi outsourcing vendor (dilihat dari segi keuangan).
− Memastikan ketaatan dari kontrak outsourcing.
43
− Memastikan bahwa operasi dari outsourcing vendor dapat
dijalankan dengan baik.
− Memelihara prosedur-prosedur untuk pemulihan bencana
dengan outsourcing vendor.
g. Quality Assurance Management Controls
Pengendalian manajemen jaminan kualitas bertugas untuk
meyakinkan bahwa pengembangan, pelaksanaan, pengoperasian dan
pemeliharaan dari sistem informasi sesuai standard kualitas.
2. Pengendalian Aplikasi (Application Controls)
Menurut Bodnar dan Hopwood yang diterjemahkan oleh Jusuf dan
Tambunan (2000, h186) “Pengendalian Aplikasi berpengaruh khusus
terhadap aplikasi-aplikasi individual”.
Pengendalian Aplikasi (Application Controls) menurut
Gondodiyoto adalah, “Sistem pengendalian intern komputer yang
berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan
(setiap aplikasi berbeda karakteristik dan kebutuhan pengendaliannya)”.
Weber (1999, pp39-40) membagi pengendalian aplikasi menjadi 6
jenis yaitu :
1) Pengendalian Batasan (Boundary Controls)
Menurut Weber (1999, p370) “The boundary subsystem
establishes the interface between the would be user of a computer
system and the computer system itself ”. Inti dari pernyataan tersebut
44
adalah subsistem batasan (boundary) membangun suatu hubungan
(interface) antara pengguna (user) komputer dengan sistem komputer
itu sendiri melalui suatu tampilan.
Menurut Gondodiyoto (2003, h140) Boundary Control adalah
bahwa dalam suatu sistem aplikasi komputer harus jelas desainnya,
mencakup hal-hal :
− Ruang Lingkup Sistem
Suatu sistem komputerisasi harus jelas ruang lingkupnya : apa
dokumen inputnya, dari mana sumbernya, tujuan pengolahan data,
dan siapa para penggunanya (user), siapa sponsornya (pemegang
kewenangan).
− Subsistem dan Keterkaitan
Sistem terdiri dari subsistem, modul program, dan perlu kejelasan
ruang lingkupnya (boundary control), dan keterkaitan (interface)
antar subsistem-subsistem atau modul-modul.
Tiga tujuan pengendalian subsistem boundary adalah sebagai berikut :
− Untuk menetapkan identitas dan kewenangan user dari sistem
komputer.
− Untuk menetapkan identitas dan kewenangan dari sumber daya
yang digunakan user.
− Membatasi tindakan-tindakan yang dilakukan oleh user yang
menggunakan sumber daya komputer terhadap tindakan-tindakan
yang tidak terotorisasi.
45
Jenis-jenis pengendalian dalam subsistem boundary, yaitu :
a) Pengendalian Kriptografi
Kriptografi merupakan suatu teknik mentransformasikan data
menjadi kode/sandi rahasia (cryptograms) sehingga tidak
memiliki arti bagi orang yang tidak memiliki kemampuan untuk
mengubah kembali data tersebut.
b) Pengendalian Akses (Access Control)
Berfungsi untuk membatasi dan mengatur penggunaan sumber
daya sistem informasi dari unauthorized user, membatasi dan
memastikan user mendapatkan sumber daya yang dibutuhkannya.
Mekanisme pengendalian akses terdiri dari tiga tahap, yaitu :
(1) Identifikasi
Suatu mekanisme yang mengharuskan user mengidentifikasi
dirinya kepada sistem sebagai tanda pengenal. Misalnya
dengan menggunakan user name.
(2) Autentifikasi
Mekanisme yang membawa user pada identifikasi tingkat
tinggi untuk membuktikan hak akses user dengan cara
menyediakan :
− Something user know. Sesuatu yang user ketahui,
contohnya password.
− Something user has. Sesuatu yang dimiliki user (kartu).
46
− Something user is. Sesuatu yang merupakan karakteristik
user (sidik jari, retina).
(3) Otorisasi
Suatu mekanisme yang mengatur seberapa luas hak akses
yang dimiliki user sekaligus membatasi user dari aktivitas-
aktivitas diluar wewenangnya.
c) PIN (Personal Identification Number)
PIN adalah teknik yang sering digunakan untuk mengautentifikasi
seseorang. PIN adalah jenis password yang sederhana yang
biasanya berupa nomor rahasia yang diberikan pada seseorang
dengan tujuan untuk memverifikasi keotentikan seseorang.
Tiga macam penciptaan PIN :
- Derived PIN. Penciptaan PIN berdasarkan pada Account
Number Customer (nomor rekening pelanggan). Nomor
rekening itu akan dirubah dengan menggunakan algoritma
kriptografi dan kunci kriptografi untuk menghasilkan sebuah
PIN yang bersifat sementara.
- Random PIN. Institusi membuat PIN berdasarkan nomor acak
dengan panjang tertentu. Keuntungan metode ini adalah PIN
tidak terhubung dengan nomor account sehingga dapat diganti
tanpa merubah nomor account. Kelemahannya : nomor PIN
harus disimpan pada database pembuat PIN sehingga harus
dapat diamankan dari pihak yang tidak berwenang.
47
- Customer-selected PIN. Konsumen memilih sendiri nomor
PINnya. Keuntungannya adalah mereka dapat memilih sendiri
PIN yang memudahkan mereka untuk mengingatnya, tapi hal
ini juga merupakan kelemahan karena konsumen sering
memilih nomor yang berhubungan dengan mereka seperti
tanggal lahir, nama pasangan,PIN ini juga harus disimpan
pada database.
d) Digital Signature
Ketika surat dibuat dalam bentuk formulir elektronik, tanda
tangan yang biasa dilakukan secara manual tidak dapat dilakukan
lagi. Untuk mengantisipasi hal tersebut maka diperlukan tanda
tangan digital (digital signature) untuk mengautentikasi seseorang
yang berhak mengakses surat tersebut.
e) Plastic Card
Plastic Card dimaksudkan untuk mengidentifikasi individu yang
akan melakukan akses terhadap sistem.
f) Audit Trail Control
Audit Trail akan merekam semua kejadian yang terjadi pada
subsistem boundary. Audit Trail juga digunakan untuk
menganalisa bukti-bukti yang berkaitan dengan penggunaan
sumberdaya.
g) Existence Control
Ketika subsistem boundary mengalami kegagalan, existence
control tidak akan berupaya melakukan perbaikan pada kerusakan
48
tersebut. Existence Control akan meminta user untuk melakukan
prosedur sign on ulang. Hal ini melindungi situasi dimana
original user meninggalkan terminal dan digantikan user lain.
2) Pengendalian Input (Input Controls)
Weber (1999, p420) berpendapat, “Components in the input
subsystem are responsible for bringing both data and instructions
into an application controls”. Intinya adalah komponen dalam
subsistem input bertanggung jawab untuk memasukkan data dan
instruksi ke dalam sistem aplikasi. Kedua jenis input tersebut harus
divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol
sehingga input yang dimasukkan akurat, lengkap, dan tepat waktu.
Tiga alasan pentingnya Input Controls, yaitu :
(1) Pada sistem informasi kontrol yang besar jumlahnya adalah pada
subsistem input, sehingga auditor harus memberikan perhatian
yang lebih kepada keandalan input kontrol yang ada.
(2) Kegiatan subsistem input melibatkan jumlah kegiatan yang besar
dan rutin dan merupakan kegiatan yang monoton sehingga dapat
menyebabkan terjadinya kesalahan.
(3) Subsistem input seringkali merupakan target dari fraud, banyak
kegiatan yang tidak seharusnya dilakukan seperti penambahan,
penghapusan, dsb.
49
Menurut Standard IAI yang dinyatakan dalam buku Anies
Basalamah (2003, hh220-222) pengendalian input (input controls)
dirancang untuk memberikan keyakinan yang memadai bahwa :
1. Transaksi diotorisasi sebagaimana mestinya sebelum diolah
dengan komputer.
2. Transaksi diubah dengan cermat ke dalam bentuk yang dapat
dibaca mesin dan dicatat dalam file data komputer.
3. Transaksi tidak hilang, ditambah, digandakan, atau diubah dengan
tidak semestinya.
4. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu,
dimasukkan kembali secara tepat waktu.
Jenis-jenis pengendalian input (Input Controls) menurut IAI
dalam buku Anies Basalamah (2003, hh221-230) :
1. Pengendalian Otorisasi Masukan (Input Authorization Controls)
Pengendalian yang baik tidak memperbolehkan suatu transaksi
diproses apabila transaksi tersebut tidak disertai dengan otorisasi
dari pejabat yang berwenang.
Jenis-jenis pengendalian yang termasuk dalam pengendalian
otorisasi masukan adalah :
(1) Prosedur-Prosedur Persetujuan
Prosedur ini menjelaskan mengenai bagaimana dan oleh siapa
data akan diinput ke dalam dokumen input.
50
(2) Formulir Yang Diberi Nomor Urut
Penggunaan formulir dengan nomor urut dimaksudkan untuk
mencegah terjadinya dokumen yang hilang dan
mempermudah penelusuran dokumen.
(3) Sistem Pengawasan Pencatatan Aktivitas (Transaction Log)
Dengan cara ini semua terminal yang digunakan dicatat dalam
tape atau disk sehingga dapat diketahui frekuensi kesalahan
dalam terminal serta adanya undesirable event lainnya.
2. Pengendalian Validasi Masukan (Input Validation Controls)
Pengendalian ini telah terprogram di dalam sistem yang
dimaksudkan untuk memperoleh keyakinan bahwa semua data
inputan adalah akurat, lengkap, dan memadai (logis).
Pengendalian ini memiliki beberapa fungsi :
1) Untuk mendeteksi kehilangan data.
2) Untuk menguji perhitungan matematis.
3) Untuk menjamin adanya pembukuan transaksi secara benar.
Jenis-jenis pengendalian yang termasuk dalam Input Validation:
1) Numeric and Alphabetic Check
Pengujian angka huruf ini berfungsi dengan cara menetapkan
bahwa field tertentu misalnya harus berbentuk angka
(numeric) sedangkan field lainnya harus berbentuk huruf
(alphabetic). Jika tidak sesuai maka komputer akan
memberikan error message.
51
2) Logic Check
Pengendalian ini dimaksudkan untuk menilai dan
membandingkan suatu logic tertentu dengan keadaan
sebenarnya. Contoh logic : jurnal penyusutan akan dianggap
tidak logis oleh komputer jika kreditnya adalah kas.
3) Sign Check
Membandingkan apakah suatu angka dalam field tertentu
harus positif (dalam data akuntansi berarti didebet) sedangkan
angka lainnya harus kredit (negatif).
4) Valid Field Size Check
Pengujian ini menyerupai sign check, hanya saja bukan berisi
tanda positif atau negatif, melainkan suatu field harus
mempunyai besar tertentu. Misalnya PIN harus sepuluh digit.
5) Limit Check
Pengendalian ini menguji apakah suatu field transaksi
masukan (input) tertentu berada dalam suatu batasan yang
sebelumnya ditetapkan.
6) Valid Code Check
Pengendalian ini menguji apakah suatu transaksi masukan
tertentu memiliki kode yang sama dengan yang ada di dalam
komputer. Kode ini bisa berupa nomor akun, kata sandi.
52
7) Sequence Check
Pengendalian ini menguji urutan-urutan suatu field tertentu,
misalnya untuk mengurutkan apakah order penjualan
berurutan atau ada yang hilang.
3. Transmisi Data
Tujuan dari pengendalian transmisi data adalah untuk mencegah
agar data yang akan diproses tersebut tidak hilang, tidak
ditambah, atau tidak diubah.
Teknik-teknik pengendalian di dalam pengendalian transmisi
data:
1) Batches Logging and Tracking
Meliputi penghitungan batch control totals, penggunaan
nomor urut batch, nomor lembar transmisi serta pencatatan
arus transaksi.
2) Program-Program Aplikasi
Pengendalian ini digunakan untuk melakukan verifikasi
terhadap batch totals dan run-to-run total. Pengendalian total
run-to-run menggunakan jumlah-jumlah (total) dalam
pengendalian keluaran yang berasal dari satu proses sebagai
jumlah-jumlah (total) pengendalian masukan dalam
pemrosesan berikutnya. Dengan kata lain total run-to-run
adalah total pengendalian (control totals) dari penyelesaian
suatu pengolahan (pemrosesan) yang akan digunakan sebagai
total pengendalian untuk pemrosesan berikutnya. Jumlah dari
53
suatu pelaksanaan pemrosesan di tambah dengan total
masukan dalam pemrosesan yang kedua harus sama dengan
jumlah (total) yang dihasilkan setelah pemrosesan yang kedua
tersebut.
3) Teknik-Teknik Verifikasi Dalam Transmisi Online
Jenis-jenis pengendalian yang ada pada teknik ini :
√ Echo Check.
√ Redudancy Check.
√ Completeness Test.
4. Konversi Data
Teknik-teknik pengendalian dalam konversi data antara lain
adalah sebagai berikut :
1) Verifikasi Fisik
Dalam teknik pengendalian ini departemen pemakai harus
menelaah atau secara visual melakukan verifikasi terhadap
transaksi pada waktu transaksi tersebut dikelompokkan
(batched). Selain itu, terminal komputer dapat pula dilengkapi
dengan fasilitas feedback yang secara otomatis akan
menunjukkan suatu tanda yang dapat digunakan sebagai
pengujian visual oleh pemakainya.
2) Penggunaan Cek Digit
Penggunaan cek digit ini dimaksudkan untuk memeriksa atau
menguji validitas angka. Apabila angka tersebut tidak sesuai
54
dengan angka asalnya, maka nomor angka akun yang diproses
tersebut akan dimunculkan sebagai hal yang salah.
3) Penggunaan Batch Control Total
Teknik ini biasanya terdiri dari batch total (seperti nilai total
piutang dan sebagainya); hash total seperti total nomor
pelanggan, atau jumlah transaksi yang diproses. Bukti-bukti
asal dikelompokkan di departemen pemakai dan control group
mencatat nomor batch dan batch control pada lembar
pengendalian masukan batch. Setelah diproses control group
membandingkan total batch keluaran dengan total batch
semula, menyelidiki dan meyelesaikan perbedaan-perbedaan
yang timbul.
5. Penanganan Kesalahan
Pengendalian ini mencakup :
1) Identifikasi atas sebab-sebab penolakan serta penelaahan
terhadap sebab-sebab penolakan tersebut.
2) Penelaahan dan persetujuan perbaikannya.
3) Memproses kembali (re-entry) sesegera mungkin ke sistem.
Yang termasuk dalam pengendalian ini adalah :
1) Error Log
Control group membuat catatan mengenai kesalahan input
yang terjadi (error log) dan semua data input yang ditolak
sekaligus menyelidiki dan memperbaiki kesalahan tersebut.
55
2) Suspended File
Teknik ini menunda file yang error untuk diproses hingga file
tersebut diperbaiki untuk menjamin bahwa kesalahan yang
terjadi telah dikoreksi dan diserahkan kembali ke bagian EDP
untuk diproses ulang.
3) Laporan Kesalahan
Bertujuan untuk mengidentifikasi mengenai catatan yang ada,
kesalahan data beserta penyebabnya.
3) Pengendalian Output (Output Controls)
Gondodiyoto (2003, h145) berpendapat bahwa “Pengendalian output
merupakan pengendalian intern untuk mendeteksi jangan sampai
informasi yang disajikan tidak akurat, tidak lengkap, tidak up-to-date
(mutakhir) datanya, atau didistribusikan kepada orang-orang yang
tidak berwenang”. Berdasarkan sifatnya metode output controls
terdiri dari tiga jenis, yaitu :
− Preventive Objective. Misalnya dengan menggunakan tabel
laporan yang terdiri dari jenis laporan, periode laporan, tanda
terima konfirmasi, siapa penggunanya, prosedur permintaan
laporan.
− Detection Objective. Misalnya perlunya dibuat nilai-nilai subtotal
dan total yang dapat diperbandingkan untuk mengevaluasi
keakurasian laporan.
56
− Corrective Objective. Misalnya tersedianya help desk dan contact
person.
Yang termasuk pengendalian output (Output Controls):
a) Rekonsiliasi Output Dengan Input
Dengan melakukan rekonsiliasi maka akan diperoleh jaminan
bahwa input telah diproses dengan benar sehingga hasilnya benar.
b) Pendistribusian Output
Pengendalian ini mencakup :
− Output hanya didistribusikan kepada user yang berwenang.
− Pendistribusian output harus dilakukan secara tepat waktu.
− Hanya output yang diperlukan saja yang didistribusikan.
− Tanggal penerimaan dan nama penerima hendaknya dicatat
secara reguler setiap kali output didistribusikan.
c) Pengawasan Terhadap Catatan (Record Retention)
− Menjaga jangka waktu pencatatan tertentu untuk menjaga
keamanan output.
− Menghindari rekonstruksi yang tidak perlu terhadap file.
− Mengendalikan output-output yang sudah tidak diperlukan
lagi (dihancurkan).
4) Pengendalian Proses (Process Controls)
Menurut Gondodiyoto (2003, h144) “Pengendalian proses
(process controls) adalah pengendalian intern untuk mendeteksi
jangan sampai data (khususnya data yang sesungguhnya sudah valid)
57
menjadi error karena adanya kesalahan proses. Kemungkinan
penyebab terjadinya error adalah kesalahan logika program, salah
rumus, salah urutan program, ketidakterpaduan antara subsistem
ataupun kesalahan teknis lainnya”.
5) Pengendalian Komunikasi (Communication Controls)
Weber (1999, p474) berpendapat bahwa “The communication
subsystem is responsible for transporting data among all the other
subsystems within a system and for transporting data to or receiving
data from another system “. Intinya adalah subsistem komunikasi
bertanggung jawab untuk pengiriman data ke subsistem yang lain
pada suatu sistem dan untuk pengiriman data ke penerima data dari
sistem yang lain.
6) Pengendalian Basis Data (Database Controls)
Weber (1999, h563) berpendapat bahwa “The database subsystem
provides function to define, create, modify, delete, and read data in
an information system”. Intinya adalah bahwa subsistem database
menyediakan fungsi-fungsi untuk mendefinisikan, menciptakan,
memodifikasi, menghapus, dan membaca data di dalam suatu sistem
informasi.
2.4.4 Pentingnya Audit dan Control Terhadap Sistem Informasi
Menurut Weber (1999, p5) ada tujuh faktor yang mempengaruhi
kebutuhan perusahaan terhadap audit dan control, yakni :
58
1) Organizational Cost of Data Loss (Biaya Yang Harus Dikeluarkan Karena
Kehilangan Data)
Data merupakan salah satu aset penting perusahaan, kehilangan data
merupakan suatu hal yang paling dihindari perusahaan karena selain dapat
menghambat dan mengacaukan kinerja perusahaan, kehilangan data juga
memerlukan biaya yang sangat mahal. Salah satu faktor inilah yang
mendasari perusahaan untuk melakukan audit dan control guna memastikan
keamanan data dari kehilangan ataupun sabotase lainnya.
2) Cost of Incorrect Decision Making (Biaya Dari Pengambilan Keputusan
Yang Salah/Keliru)
Kesalahan atau kekeliruan dalam decision making biasanya disebabkan
karena penyajian informasi yang tidak memenuhi dimensi informasi yang
berkualitas (akurat, lengkap, relevan, tepat waktu). Untuk itulah agar
informasi yang disajikan selalu terjaga keakuratan dan integritasnya maka
perlu dilakukan audit dan control guna memastikan sistem selalu andal dalam
menyajikan informasi sehingga informasi yang dihasilkan tidak lagi
menyesatkan si pengguna informasi dalam membuat keputusan.
3) Cost of Computer Abuse (Biaya Yang Harus Dikeluarkan Karena
Penyalahgunaan Komputer)
Salah satu hal utama yang mendasari pentingnya audit dan control terhadap
sistem informasi adalah cost of computer abuse (biaya yang harus
dikeluarkan karena penyalahgunaan komputer/sistem). Selain dapat
mengakibatkan gangguan atau kerusakan (pencurian, pengungkapan ilegal,
penghancuran) yang fatal atau luar biasa pada sistem informasi perusahaan,
59
penyalahgunaan komputer memerlukan biaya yang sangat besar dalam
penanggulangan dan perbaikannya, untuk itu guna mengantisipasi
penyalahgunaan itu maka perlu dilakukan audit dan control agar perusahaan
dapat mencegah dan menekan tingkat penyalahgunaan komputer.
4) Value of Hardware, Software, Personnel (Nilai dari Hardware, Software,
Personil)
Disamping data, hardware, software, dan personil juga merupakan sumber
daya yang sangat kritikal bagi suatu organisasi, walaupun investasi hardware
perusahaan sudah dilindungi oleh asuransi tetapi kehilangan hardware baik
terjadi karena kesengajaan maupun ketidaksengajaan dapat mengganggu
jalannya kegiatan organisasi. Jika software rusak akan mengganggu jalannya
operasional dan bila software dicuri orang maka informasi yang rahasia dapat
dijual kepada kompetitor. Personil adalah sumber daya yang paling berharga,
mereka harus dididik dengan baik agar menjadi tenaga di bidang komputer
yang profesional.
5) High Cost of Computer Error (Biaya Tinggi dari Kesalahan Komputer)
Saat ini pemakaian komputer sudah sangat luas dan dilakukan juga terhadap
fungsi kritis pada kehidupan kita. Oleh karena itu kesalahan komputer dapat
menimbulkan dampak yang luar biasa. Misalnya error komputer yang
menyebabkan jatuhnya pesawat di Antartika yang menyebabkan 257 orang
meninggal. Untuk itulah audit dan control diperlukan guna menekan error
komputer hingga tingkat yang bisa diterima.
60
6) Maintenance of Privacy (Pemeliharaan Privacy)
Banyak data tentang kita yang saat ini dapat diperoleh dengan cepat, dengan
adanya komputerisasi maka data seseorang dapat diketahui termasuk hal-hal
pribadi yang seharusnya menjadi rahasia pribadi seseorang. Pemakaian data
komputer yang tidak seharusnya dapat mengakibatkan orang-orang
kehilangan hak privacynya.
7) Controlled Evolution of Computer Use (Evolusi Control dari Penggunaan
Komputer)
Jangan sampai suatu organisasi melakukan komputerisasi secara tidak
terkendali sehingga terjadi pemborosan-pemborosan atau tingkat keamanan
yang kurang memadai dan malah sebaliknya hanya akan menimbulkan
dampak sosial yang besar, misalnya komputerisasi yang berlebihan malah
akan meningkatkan jumlah pengangguran.
2.4.5 Metode Audit Sistem Informasi
Menurut Weber (1999, pp55-57) ada dua jenis metode audit sistem informasi,
yaitu :
1. Audit Around The Computer
Merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai
black box, artinya metode ini tidak menguji langkah-langkah proses secara
langsung tetapi hanya berfokus pada masukan (input) dan keluaran (output)
dari sistem komputer. Diasumsikan bahwa jika masukan (input) benar maka
akan diwujudkan pada keluaran (output) yang benar pula.
Keunggulan dari metode Audit Around The Computer, yaitu:
61
1) Pelaksanaan audit lebih sederhana.
2) Memungkinkan auditor yang kurang mahir di bidang komputer dapat
dilatih dengan mudah untuk melaksanakan audit.
3) Hanya memerlukan biaya yang murah.
Kelemahan dari metode Audit Around The Computer adalah :
1) Tidak menciptakan sarana bagi auditor untuk memahami dan mendalami
liku-liku sistem komputer.
2) Kemampuan komputer sebagai fasilitas pendukung pelaksanaan audit
menjadi sia-sia.
3) Cara ini membatasi auditor untuk mengetahui kelemahan yang terdapat
pada sistem.
2. Audit Through The Computer
Suatu metode audit yang tidak hanya berorientasi pada input dan output
semata melainkan juga membuka black box, artinya secara langsung berfokus
pada operasi pemrosesan komputer. Auditor biasanya menggunakan teknik
ini untuk menguji proses logika dan pengendalian dalam sistem. Metode
audit ini juga umumnya mencakup pemeriksaan keandalan atau kelayakan
proses dan akurasi program atau aplikasi. Dengan asumsi apabila pemrosesan
tidak memadai maka output yang dihasilkan belum tentu akurat meskipun
input yang dimasukkan benar.
Keunggulan dari metode Audit Through The Computer :
1) Dapat meningkatkan kualitas audit sistem informasi menjadi lebih efektif,
hal ini dikarenakan ruang lingkup dan kemampuan dari pengujian
62
menjadi lebih komprehensif sehingga tingkat reliabilitas dari
pengumpulan dan pengevaluasian bukti dapat lebih ditingkatkan.
2) Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.
3) Auditor dapat menilai kemampuan sistem komputer tersebut untuk
menghadapi perubahan lingkungan.
Kelemahan dari metode Audit Through the Computer adalah :
1) Metode ini membutuhkan biaya yang relatif tinggi karena memerlukan
jam kerja yang lebih banyak untuk dapat lebih memahami pengendalian
internal dari sistem aplikasi.
2) Metode ini memerlukan tenaga ahli terampil yang memiliki keahlian
khusus dan teknik mendalam dalam bidang komputer untuk memahami
cara kerja sistem sehingga proses audit hanya dapat dilakukan oleh
auditor yang sangat berkompeten dalam sistem aplikasi.
Gondodiyoto dan Idris (2003, hh155-158) berpendapat bahwa ada tiga
metode audit sistem informasi antara lain :
1. Audit Around the Computer
Untuk menerapkan metode ini, auditor pertama kali harus menelusuri dan
menguji pengendalian masukan, kemudian menghitung hasil yang
diperkirakan dari proses transaksi, lalu auditor membandingkan hasil
sesungguhnya dengan hasil yang dihitung secara manual.
Disamping masalah minimnya pengetahuan auditor mengenai aspek
teknis komputer atau keterbatasan lain, metode audit around the
computer cocok untuk dilaksanakan pada situasi sebagai berikut :
63
1) Dokumen sumber tersedia dalam bentuk kertas (bahasa non mesin),
artinya masih kasat mata dan dilihat secara visual.
2) Dokumen-dokumen disimpan dalam file dengan cara yang mudah
ditemukan.
3) Keluaran (output) dapat diperoleh dari daftar yang terinci dan auditor
mudah menelusuri setiap transaksi dari dokumen sumber kepada
output dan sebaliknya.
4) Sistem komputer yang diterapkan masih sederhana.
5) Sistem komputer yang diterapkan masih menggunakan software yang
umum digunakan, dan telah diakui, serta digunakan secara massal.
2. Audit Through the Computer
Pada metode ini, auditor tidak hanya melakukan pengujian pada input dan
output melainkan juga pemeriksaan secara langsung terhadap pemrosesan
komputer melalui pemeriksaan logika dan akurasi program meliputi
koding program, desain aplikasi, serta hal lain yang berkaitan dengan
program aplikasinya.
Pendekatan audit langsung ke sistem komputerisasi cocok dalam kondisi :
1) Sistem aplikasi komputer memproses input yang cukup besar dan
menghasilkan output yang cukup besar pula, sehingga memperluas
audit untuk meneliti keabsahannya.
2) Bagian penting dari struktur pengendalian intern perusahaan terdapat
di dalam komputerisasi yang digunakan.
3) Sistem logika komputer sangat kompleks dan memiliki banyak
fasilitas pendukung.
64
4) Adanya jurang yang besar dalam melaksanakan audit secara visual,
sehingga memerlukan pertimbangan antara biaya dan manfaatnya.
3. Audit With the Computer
Pada metode ini audit dilakukan dengan menggunakan komputer dan
software untuk mengotomatisasi prosedur pelaksanaan audit. Metode ini
sangat bermanfaat dalam pengujian substantif atas file dan record
perusahaan. Salah satu software audit yang dapat digunakan adalah GAS
(Generalized Audit Software) dan SAS (Specialized Audit Software).
2.4.6 Tahapan Audit Sistem Informasi
Menurut Weber (1999, pp47-55), ada 5 tahap audit sistem informasi, yaitu :
1). Planning the Audit (Perencanaan Audit)
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor
eksternal hal ini berarti melakukan investigasi terhadap klien untuk
mengetahui apakah penugasan audit (audit engagement) dapat diterima,
menempatkan staff audit, mendapatkan surat penugasan, mendapatkan
informasi mengenai latar belakang klien, memahami informasi mengenai
kewajiban hukum klien dan melakukan analisa terhadap prosedur yang ada
untuk memahami bisnis klien dan mengidentifikasi area-area yang berisiko.
Pada tahap ini auditor juga harus memahami pengendalian intern organisasi
lalu menentukan tingkat resiko pengendalian yang berhubungan dengan
setiap segmen audit.
65
2). Tests of Controls (Pengujian Pengendalian)
Auditor melakukan test of controls ketika mereka menilai bahwa
tingkat resiko pengendalian berada pada level kurang dari maksimum
(pengendalian masih dapat dipercaya). Test of controls diarahkan kepada
efektifitas pengendalian intern perusahaan, baik dalam rancangan maupun
operasinya (pelaksanaannya).
Tahap ini diawali dengan fokus pada pengendalian manajemen
(management controls), jika pengendalian manajemen dinilai beroperasi
secara tidak andal, maka auditor hanya akan melakukan sedikit pengujian
pada pengendalian aplikasi (application controls). Namun jika auditor
menemukan kelemahan yang serius pada pengendalian manajemen maka
auditor akan memberikan opini tidak wajar (adverse opinion) terhadap
pengendalian yang ada di dalam perusahaan atau melakukan pengujian
substantif (substantive test) atas transaksi dan pengujian keseimbangan dan
hasil keseluruhan (balances or overall result).
Jika auditor menyatakan pengendalian manajemen beroperasi secara
memadai, maka auditor akan melakukan evaluasi terhadap keandalan
pengendalian aplikasi dengan menelusuri jenis-jenis materialitas dari
transaksi melalui masing-masing pengendalian yang dijalankan pada
subsistem pengendalian aplikasi.
3). Tests of Transaction (Pengujian Transaksi)
Auditor menggunakan test ini untuk mengevaluasi apakah kesalahan-
kesalahan atau pemrosesan yang keliru terhadap transaksi telah mengarah
pada kesalahan yang material pada pernyataan laporan keuangan. Tes
66
pembuktian ini mencakup penelusuran terhadap jurnal hingga ke dokumen
sumbernya, menguji kebenaran file, menguji akurasi perhitungan. Jika hasil
tes transaksi mengindikasikan terjadi kehilangan atau kesalahan pencatatan
yang material maka auditor dapat mengembangkan tingkat pengujiannya
dengan melakukan test of balances or overall result untuk mendapatkan
estimasi yang lebih baik terhadap kehilangan/kesalahan pencatatan.
4). Tests of Balances or Overall Results
Auditor melakukan tes ini untuk memperoleh bukti yang cukup
dalam membuat penilaian akhir (final judgment) mengenai tingkat
kehilangan atau kesalahan pencatatan yang terjadi ketika fungsi sistem
informasi gagal melindungi aset, memelihara integritas data, mencapai
efektifitas dan efisiensi sistem informasi.
5). Completion of the Audit
Tahap ini merupakan tahap akhir dari tahapan audit sistem informasi. Pada
tahap ini auditor merumuskan opininya terhadap kehilangan material dan
kesalahan pencatatan yang terjadi sekaligus membuat rekomendasi untuk
manajemen yang nantinya disajikan pada laporan audit.
Adapun jenis-jenis opini yang berlaku umum adalah :
a. Unqualified Opinion (Wajar Tanpa Pengecualian)
Auditor menyatakan bahwa laporan keuangan disajikan secara wajar.
b. Qualified Opinion (Wajar Dengan Pengecualian)
Auditor menyatakan bahwa laporan keuangan disajikan secara wajar,
kecuali pada pos tertentu.
67
c. Adverse Opinion (Pendapat Tidak Wajar)
Auditor merasa yakin bahwa keseluruhan laporan keuangan yang
disajikan memuat salah saji yang material atau menyesatkan sehingga
tidak menyajikan secara wajar posisi keuangan perusahaan sesuai dengan
prinsip akuntansi berlaku umum.
d. Disclaimer of Opinion (Tidak Memberikan Pendapat)
Auditor menolak memberikan pendapat dikarenakan beberapa kondisi
antara lain : pembatasan lingkup audit, hubungan yang tidak independen
antara auditor dan klien, dsb.
2.5 Persediaan
2.5.1 Definisi Persediaan
Mulyadi (2001, h112) berpendapat bahwa, “inventory atau persediaan
terdiri dari barang dagangan yang dimaksudkan untuk diperjualbelikan serta
bahan baku dan bahan pembantu yang dipakai dalam proses produksi barang
yang akan dijual”.
Menurut Puradiredja (1998, h134), persediaan adalah barang yang
tersedia untuk dijual dalam kasus bisnis normal dan dalam kasus produksi barang
dalam produksi atau yang ditempatkan dalam produksi.
Berdasarkan pendapat diatas, penulis menyimpulkan bahwa persediaan
adalah barang atau material yang dapat berupa bahan baku, bahan setengah jadi
dan bahan jadi yang tersedia di gudang yang dapat digunakan untuk mendukung
perusahaan dalam mencapai tujuannya.
68
2.5.2 Jenis Persediaan
Menurut Mulyadi (2001, h114), kita dapat membagi jenis persediaan
kedalam lima bentuk yaitu :
1. Persediaan Bahan Baku.
2. Persediaan Suku Cadang.
3. Persediaan Bahan Penolong.
4. Persediaan Produk Dalam Proses.
5. Persediaan Produk Jadi.
2.5.3 Metode Pencatatan Persediaan
Menurut Mulyadi (2002, h126), ada dua macam metode pencatatan
persediaan, yaitu :
– Metode Mutasi Persediaan (Perpetual Inventory Method)
Dalam metode mutasi persediaan, setiap mutasi persediaan dicatat dalam
kartu persediaan.
– Metode Persediaan Fisik (Physical Inventory Method)
Dalam metode persediaan fisik, hanya tambahan persediaan dari
pembelian saja yang dicatat, sedangkan mutasi berkurangnya persediaan
karena pemakaian tidak dicatat dalam kartu persediaan.
2.5.4 Metode Penilaian Persediaan
Menurut Skousen (2001, h524), ada tiga metode dalam melakukan penilaian
persediaan, yaitu :
69
1. Metode FIFO (First In First Out)
Metode ini didasarkan asumsi bahwa harga yang sudah terjual, dinilai
menurut harga pembelian barang yang terdahulu (pertama) masuk. Dengan
demikian, persediaan akhir dinilai menurut harga pembelian barang yang
terakhir masuk.
2. Metode LIFO (Last In First Out)
Metode ini didasarkan atas asumsi bahwa harga yang telah terjual dinilai
menurut harga pembelian barang yang terakhir masuk sehingga persediaan
yang masih ada dinilai berdasarkan harga pembelian barang yang terdahulu.
3. Metode Rata-Rata (Weight Average Method)
Metode ini didasarkan atas harga rata-rata, dimana harga tersebut
dipengaruhi jumlah barang yang diperoleh pada masing-masing harganya.
Dengan demikian persediaan dinilai berdasarkan harga rata-rata.
2.5.5 Fungsi Persediaan
Menurut Mulyadi (2002, h242), ada 5 fungsi dari persediaan, yaitu:
1. Untuk melakukan pembatasan terhadap inflasi dan perubahan harga.
2. Untuk menghindari dari kekurangan stok yang dapat terjadi karena cuaca,
kekurangan pasokan, masalah mutu, atau pengiriman yang tidak tepat.
3. Untuk memberikan suatu stok barang-barang agar dapat memenuhi
permintaan yang diantisipasi akan timbul dari konsumen.
4. Untuk mengambil keuntungan dari potongan jumlah, karena pembelian
dalam jumlah besar dapat secara substansial menurunkan biaya produk.
70
5. Untuk memasangkan produksi dengan distribusi. Misalnya, bila permintaan
produknya tinggi hanya pada musim panas, suatu perusahaan dapat
membentuk stok selama musim dingin, sehingga biaya kekurangan stok dan
kehabisan stok dapat dihindari.
2.5.6 Pengendalian Internal atas Persediaan
Menurut Render dan Heizer (2001, p318) elemen yang harus ada untuk
mendukung pengendalian internal yang baik atas persediaan adalah :
1. Pengendalian yang efektif atas semua barang yang keluar dari fasilitas.
2. Pengendalian yang ketat atas barang yang datang melalui sistem kode barang
(bar code)
3. Pemilihan karyawan, pelatihan dan disiplin yang baik. Hal ini tidak pernah
dilakukan, tetapi sangat penting dalam bisnis makanan, perdagangan besar,
dan operasi bisnis eceran dimana karyawannya mempunyai akses kepada
barang-barang yang langsung dikonsumsi.
2.6 Sistem Informasi Persediaan
2.6.1 Definisi Sistem Informasi Persediaan
Berdasarkan definisi sistem informasi dan persediaan, penulis menyimpulkan
definisi sistem informasi persediaan sebagai “suatu pengorganisasian peralatan
yang saling berinteraksi untuk mengumpulkan, menginput, memproses,
menyimpan, mengatur, mengontrol, dan melaporkan informasi yang berkaitan
dengan persediaan perusahaan dalam rangka mendukung perusahaan dalam
mengelola persediaannya”.
71
2.7 Audit Sistem Informasi Persediaan
2.7.1 Definisi Audit Sistem Informasi Persediaan
Berdasarkan definisi auditing dan sistem informasi persediaan yang
dikemukakan oleh para ahli, penulis menyimpulkan bahwa definisi dari audit
sistem informasi persediaan adalah suatu proses pengumpulan dan
pengevaluasian bukti-bukti yang dilakukan oleh orang yang kompeten dan
independen terhadap sistem informasi persediaan suatu perusahaan untuk
mengetahui apakah sistem informasi persediaan tersebut telah dapat memberikan
perlindungan terhadap aset perusahaan (persediaan), meningkatkan integritas
data, meningkatkan efektifitas dan efisiensi kinerja perusahaan dalam mengelola
persediaannya.
2.7.2 Pentingnya Audit Persediaan
Menurut Mulyadi (2001, h135), persediaan umumnya mendapat perhatian
yang lebih besar dari auditor didalam auditnya karena berbagai alasan berikut ini:
1. Umumnya persediaan merupakan komponen aktiva lancar yang jumlahnya
cukup material dan merupakan objek manipulasi serta tempat terjadinya
kesalahan-kesalahan besar.
2. Penentuan besarnya nilai persediaan secara langsung mempengaruhi biaya
barang yang dijual (cost of good sales) sehingga berpengaruh pula terhadap
perhitungan laba tahun yang bersangkutan.
3. Verifikasi kuantitas, kondisi, dan nilai persediaan merupakan tugas yang
lebih kompleks dan sulit dibandingkan dengan verifikasi sebagian besar
unsur laporan keuangan yang lain.
72
4. Seringkali persediaan disimpan di berbagai tempat sehingga menyulitkan
pengawasan dan perhitungan fisiknya.
5. Adanya berbagai macam persediaan menimbulkan kesulitan bagi auditor
dalam melaksanakan auditnya.
2.7.3 Tujuan Audit Persediaan
Menurut Mulyadi (2001, h146), ada 6 tujuan audit terhadap persediaan :
1. Memperoleh keyakinan tentang keandalan catatan akuntansi yang
bersangkutan dengan persediaan.
2. Membuktikan asersi keberadaan persediaan yang dicantumkan di neraca dan
keterjadian transaksi yang berkaitan dengan persediaan.
3. Membuktikan asersi kelengkapan transaksi yang berkaitan dengan persediaan
yang dicatat dalam catatan akuntansi dan kelengkapan saldo persediaan yang
disajikan di neraca.
4. Membuktikan asersi hak kepemilikan klien atas persediaan yang
dicantumkan di neraca.
5. Membuktikan asersi penilaian persediaan yang dicantumkan di neraca.
6. Membuktikan asersi penyajian dan pengungkapan persediaan di neraca.
2.7.4 Matriks Penetapan Penilaian Resiko dan Pengendalian pada Sistem
Informasi Persediaan
Setelah memperoleh bukti audit yang berkualitas dan cukup beserta
temuannya dengan menggunakan instrumen pengumpulan bukti, auditor
menggunakan metode Matriks Penetapan Penilaian Resiko dan Pengendalian
73
guna merumuskan dan mempertajam analisa terhadap bukti audit dan temuan
agar dapat merumuskan dan menyimpulkan opini yang andal dengan melakukan
perbandingan dan penilaian terhadap tingkat resiko dan control yang ada.
Metode Penetapan Penilaian Resiko dan Pengendalian ini didasari oleh teori
Pickett yang dinyatakan dalam bukunya yang berjudul The Essential Handbook
of Internal Auditing (2005, pp56-60) yang sebagian dari esensi buku ini juga
didukung oleh Thomas R. Peltier dalam bukunya yang berjudul Information
Security Risk Analysis (2001, pp60-63).
1. Matriks Penilaian Resiko
Matriks penilaian resiko adalah suatu cara untuk menganalisa seberapa
besar resiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan
cara menganalisa pengaruh dan korelasi antara tingkat impact (dampak)
yang ditimbulkan dari suatu resiko dengan tingkat likelihood
(keterjadian) dari resiko tersebut. Besarnya tingkatan dampak dan
keterjadiaan suatu resiko dinyatakan sebagai berikut :
− L atau Low diberi nilai -1
− M atau Medium diberi nilai -2
− H atau High diberi nilai -3
Nilai negatif (-) hanya menyimbolkan bahwa nilai tersebut merupakan
nilai dari resiko(karakteristik resiko yang bersifat negatif).
Teknik perhitungan dalam matriks penilaian resiko menggunakan fungsi
perkalian antara dampak (impact) dengan keterjadian (likelihood).
Adapun kriteria dari hasil penilaian dari matriks resiko terdiri dari :
74
a. Resiko kecil (Low) nilainya berkisar antara -1 dan -2, hal ini
dihasilkan dari beberapa kondisi seperti dibawah ini :
− Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai resiko
adalah -1.
− Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai
resiko adalah -2.
− Jika dampak Medium (-2) dan keterjadian Low (-1), maka nilai
resiko adalah -2. Artinya nilai resiko dari dampak dan keterjadian
adalah kecil.
b. Resiko sedang (Medium) nilainya berkisar antara -3 dan -4, hal ini
dihasilkan dari beberapa kondisi seperti dibawah ini :
− Jika dampak Low (-1) dan keterjadian High (-3), maka nilai resiko
adalah -3.
− Jika dampak Medium (-2) dan keterjadian Medium (-2), maka
nilai resiko adalah -4.
− Jika dampak High (-3) dan keterjadian Low (-1), maka nilai resiko
adalah -3. Artinya nilai resiko dari dampak dan keterjadian adalah
sedang.
c. Resiko tinggi (High) nilainya berkisar antara -6 dan -9, hal ini
dihasilkan dari beberapa kondisi seperti dibawah ini :
− Jika dampak Medium (-2) dan keterjadian High (-3), maka nilai
resiko adalah -6.
75
− Jika dampak High (-3) dan keterjadian Medium (-2), maka nilai
resiko adalah -6.
− Jika dampak High (-3) dan keterjadian High (-3), maka nilai
resiko adalah -9. Artinya nilai resiko dari dampak dan keterjadian
adalah tinggi.
2. Matriks Penilaian Pengendalian
Matriks penilaian pengendalian adalah suatu cara untuk menganalisa
seberapa efektif dan efisiennya suatu pengendalian yang ada dalam
mengcover suatu resiko atau ancaman. Hal ini dilakukan dengan cara
menganalisa pengaruh dan korelasi antara tingkat efektifitas pengendalian
dengan desain dari pengendalian tersebut. Desain pengendalian
mencerminkan seberapa baikkah control yang ada atau yang dimiliki
perusahaan dalam mengcover resiko sedangkan untuk efektifitas
-3 H
-2 M
-1 L
L M H -3-2-1
LIKELIHOOD
I M P A C T -1 -2 -3
-2 -4 -6
-3 -6 -9
Gambar 2.3 Matriks Penilaian Resiko
Sumber : Dikembangkan Penulis Berdasarkan Landasan Teori
76
mencerminkan seberapa besar tingkat ketaatan/komitmen karyawan
dalam menjalankan control yang ada.
Besarnya tingkatan efektifitas dan desain suatu pengendalian yang
dimiliki perusahaan dinyatakan sebagai berikut :
− L atau Low diberi nilai 1
− M atau Medium diberi nilai 2
− H atau High diberi nilai 3
Teknik perhitungan dalam matriks penilaian pengendalian menggunakan
fungsi perkalian antara efektifitas (ketaatan penerapan control) dengan
desain (keandalan konsep control). Adapun kriteria dari hasil penilaian
dalam matriks pengendalian terdiri dari :
a. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, hal ini
dihasilkan dari beberapa kondisi seperti dibawah ini :
− Jika efektifitas Low (1) dan desain Low (1), maka nilai
pengendalian adalah 1.
− Jika efektifitas Low (1) dan desain Medium (2), maka nilai
pengendalian adalah 2.
− Jika efektifitas Medium (2) dan desain Low (1), maka nilai
pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas
dan desain adalah kecil.
b. Pengendalian sedang (Medium) nilainya berkisar antara 3 dan 4,
seperti:
77
− Jika efektifitas Low (1) dan desain High (3), maka nilai
pengendalian adalah 3.
− Jika efektifitas Medium (2) dan desain Medium (2), maka nilai
pengendalian adalah 4.
− Jika efektifitas High (3) dan desain Low (1), maka nilai
pengendalian adalah 3. Artinya nilai pengendalian dari efektifitas
dan desain adalah sedang.
c. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9, seperti:
− Jika efektifitas Medium (2) dan desain High (3), maka nilai
pengendalian adalah 6.
− Jika efektifitas High (3) dan desain Medium (2), maka nilai
pengendalian adalah 6.
− Jika efektifitas High (3) dan desain High (3), maka nilai
pengendalian adalah 9. Artinya nilai pengendalian dari efektifitas
dan desain adalah tinggi.
3 H
2 M
1 L
H
EFETIFITAS
1 2 3
2 4 6
3 6 9
L M1 2 3
DESAIN
Gambar 2.4 Matriks Penilaian Pengendalian
Sumber : Dikembangkan Penulis Berdasarkan Landasan Teori
78
Penetapan tingkat efektifitas pengendalian terhadap resiko adalah sebagai
berikut:
− Jika hasil akumulasi antara resiko dan pengendalian adalah 0, maka tingkat
pengendalian dan resiko adalah standard, artinya pengendalian yang ada
masih dapat diandalkan untuk mengcover resiko, namun perlu dilakukan
pengawasan secara berkelanjutan agar resiko tidak dapat melampaui
pengendalian di kemudian hari.
− Jika hasil akumulasi antara resiko dan pengendalian adalah positif, maka
pengendalian adalah baik. Artinya pengendalian yang ada dapat sepenuhnya
diandalkan untuk mengcover resiko yang ada.
Namun perlu diperhatikan bahwa jika hasil akumulasi antara resiko dan
pengendalian terlalu tinggi (bernilai positif) maka ada kemungkinan telah
terjadi over control yang dapat menyebabkan terjadinya inefisiensi.
− Jika hasil akumulasi antara resiko dan pengendalian adalah negatif, maka
pengendalian adalah buruk. Artinya pengendalian yang ada tidak dapat
mengcover resiko sepenuhnya (tidak dapat diandalkan) sehingga perlu
dilakukan perubahan/peningkatan pengendalian guna mengendalikan dan
menghindari resiko yang lebih besar.
Namun perlu diperhatikan bahwa semakin tinggi hasil akumulasi antara
resiko dan pengendalian (bernilai negatif) maka semakin tinggi tingkat resiko
yang akan dihadapi perusahaan sehingga memerlukan
peningkatan/pengembangan pengendalian untuk mengendalikan/menghindari
resiko yang lebih besar.