10

BAB 2

LANDASAN TEORI

TEORI UMUM

2.1 Sistem Informasi

2.1.1 Definisi Sistem Informasi

Hall dalam bukunya yang diterjemahkan oleh Amir Abadi Jusuf (2001,

h7) mendefinisikan “Sistem informasi sebagai sebuah rangkaian prosedur formal

dimana data dikelompokkan, diproses menjadi informasi, dan didistribusikan

kepada pemakai”.

Gondodiyoto dan Idris (2003, h23) mendefinisikan “Sistem Informasi

sebagai suatu interaksi antar komponen-komponen di dalam suatu kesatuan

terpadu untuk mengolah data menjadi informasi sesuai dengan kebutuhannya”.

James O’Brien (2003, p7) mendefinisikan, “Information system can be

any organized combination of people, hardware, software, communication

networks, and data resource that collect, transform, disseminates information in

an organization”. Intinya adalah “Sistem informasi adalah suatu kesatuan yang

terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak

(software), jaringan komputer, dan sumber daya data yang mengumpulkan,

mentransformasikan dan mendistribusikan informasi didalam suatu organisasi”.

Berdasarkan asumsi para pakar tersebut diatas, penulis menyimpulkan

bahwa sistem informasi adalah suatu rangkaian prosedur dan kumpulan dari

komponen sistem informasi seperti hardware, software, database, brainware,

dan perangkat pengendalian yang saling berinteraksi untuk mengolah data

11

menjadi informasi lalu mendistribusikannya kepada pemakai dalam rangka

mencapai tujuan perusahaan.

2.1.2 Karakteristik Informasi Yang Berkualitas

Menurut Mcleod, Jr. dalam bukunya yang berjudul Management

Information System yang diterjemahkan oleh Teguh (2001, h145) terdapat empat

dimensi dasar kualitas informasi yang harus dipertimbangkan manajemen,

dimensi-dimensi ini memberi kontribusi pada nilai informasi.

Empat dimensi tersebut adalah :

1) Relevansi

Informasi yang berkualitas haruslah memiliki relevansi (keterkaitan)

langsung dengan masalah atau kebutuhan si pengguna informasi.

2) Akurasi

Informasi yang disajikan harus benar dan terbebas dari kesalahan.

3) Timeliness

Informasi harus tersedia tepat pada waktu dibutuhkan khususnya ketika

memecahkan masalah yang penting sebelum situasi krisis menjadi tak

terkendali atau hilangnya kesempatan.

4) Completeness

Informasi harus dapat menyajikan gambaran lengkap dari suatu

permasalahan atau penyelesaian. Namun, informasi tidak boleh

menenggelamkan si pengguna informasi dalam lautan informasi

(information overload).

12

Sedangkan menurut Mukhtar yang dikutip Gondodiyoto (2003, h22),

terdapat lima karakteristik informasi yang berkualitas, yakni :

1) Reliable (Dapat Dipercaya)

Informasi haruslah akurat (benar), terbebas dari kesalahan dalam

mempresentasikan suatu kejadian atau kegiatan dari organisasi.

2) Relevan (Sesuai)

Informasi yang relevan harus memberikan arti kepada pembuatan

keputusan. Informasi ini bisa mengurangi ketidakpastian dan bisa

meningkatkan nilai dari suatu kepastian.

3) Timely (Tepat Waktu)

Informasi yang disajikan tepat pada saat dibutuhkan dan bisa

mempengaruhi proses pengambilan keputusan.

4) Complete (Lengkap)

Informasi yang disajikan termasuk didalamnya semua data-data yang

relevan dan tidak mengabaikan kepentingan yang diharapkan oleh

pembuat keputusan.

5) Understandable (Dimengerti)

Informasi yang disajikan hendaknya dalam bentuk yang mudah dipahami

oleh si pembuat keputusan.

13

2.2 Audit

2.2.1 Definisi Audit

Menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf (1997, h1),

“Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti audit

tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang

dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan

melaporkan kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan”.

Auditing juga didefinisikan Mulyadi (2001, h7) sebagai “Suatu proses

sistematis untuk memperoleh dan mengevaluasi bukti secara objektif mengenai

pernyataan-pernyataan tentang kejadian ekonomi dengan tujuan-tujuan untuk

menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan

kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai

yang berkepentingan”.

The American Accounting Association Commitee on Basic Auditing yang

dikutip Gondodiyoto (2003, h53) menyatakan bahwa, “Auditing is the process by

which a competent, independent person accumulate and evaluates evidence

about quantifiable information related to a spesific economic entity for the

purpose of determining and reporting on the degree of correspondence between

the quantifiable information and established criteria ”. Inti dari definisi tersebut,

auditing dapat didefinisikan sebagai suatu proses yang dilakukan seseorang yang

kompeten dan independen yang menghimpun dan mengevaluasi bukti-bukti dari

informasi terukur dari suatu kesatuan ekonomi dengan tujuan untuk

mempertimbangkan dan melaporkan tingkat kesesuaian dari keterangan terukur

14

yang diperoleh dari pemeriksaannya tersebut dengan kriteria-kriteria yang telah

ditetapkan”.

Berdasarkan pendapat para ahli tersebut diatas, penulis menyimpulkan

definisi auditing sebagai berikut :

− Auditing adalah suatu pemeriksaan yang dilakukan terhadap suatu

entitas/fungsi/segmen tertentu dari suatu organisasi.

− Dilakukan oleh orang yang kompeten dan independen.

− Mendapatkan dan mengevaluasi bahan bukti dan informasi/keterangan

yang cukup dan relevan, lalu membandingkan informasi dari bahan bukti

tersebut dengan kriteria (standard) yang ditetapkan dan melaporkan

tingkat kesesuaian hal-hal tersebut kepada pihak-pihak yang

berkepentingan.

2.2.2 Hal Yang Mendasari Kebutuhan Auditing

Karena kondisi dunia bisnis yang semakin kompleks, maka kemungkinan

bahwa para pembuat keputusan (decision maker) akan memperoleh informasi

yang tidak dapat dipercaya dan tidak dapat diandalkan pun akan semakin besar

pula. Hal ini yang disebut dengan resiko informasi, penyebabnya antara lain :

− Hubungan Yang Tidak Dekat Antara Penerima dan Pemberi Informasi

Informasi yang tidak diperoleh langsung dari pihak pertama, baik sengaja

ataupun tidak, cenderung tidak tepat. Hal ini dikarenakan sulitnya decision

maker memperoleh informasi dari mitra usaha secara langsung.

15

− Sikap Memihak dan Motif Lain Yang Melatarbelakangi Pemberian Informasi

Jikalau informasi yang disajikan oleh pihak yang mempunyai tujuan yang

berbeda dengan tujuan si pengambil keputusan, maka informasi tersebut akan

cenderung menguntungkan penyaji informasi.

− Data Yang Berlebihan

Bertambah besarnya organisasi menyebabkan bertambah banyaknya

transaksi usaha yang dialaminya. Hal ini juga memperbesar kemungkinan

tercatatnya informasi yang tidak tepat di dalam pembukuan.

− Transaksi Pertukaran Yang Kompleks

Transaksi-transaksi usaha antar perusahaan telah berkembang semakin

kompleks, sehingga makin sulit untuk dicatat dengan baik.

Berdasarkan pertimbangan resiko informasi inilah, auditing sangat

diperlukan untuk melindungi publik dari penyajian informasi yang menyesatkan.

2.2.3 Jenis-Jenis Audit

Pada umumnya kegiatan audit dapat diklasifikasikan di dalam beberapa

jenis audit. Menurut Mulyadi (1998, h28) terdapat tiga jenis audit, yaitu:

1) Audit Laporan Keuangan (General Financial Statement Audit)

Audit yang dilakukan oleh auditor eksternal independen terhadap laporan

keuangan yang disajikan oleh kliennya untuk menyatakan pendapat

mengenai kewajaran laporan keuangan tersebut serta kesesuaiannya

dengan standard akuntansi keuangan.

16

2) Audit Kepatuhan (Compliance Audit)

Audit yang tujuannya untuk menentukan apakah objek yang diaudit telah

sesuai dengan kondisi atau peraturan tertentu.

3) Audit Operasional/Manajemen (Operational/Management Audit)

Review secara sistematik kegiatan organisasi, atau bagian daripadanya,

dalam hubungannya dengan tujuan tertentu, lazimnya menyangkut

efektifitas, efisiensi, dan ekonomis tidaknya operasi suatu organisasi.

Menurut Gondodiyoto (2003, h63) sesungguhnya, selain yang disebutkan

diatas, dikenal juga jenis audit yang lain, yakni :

1) Audit Forensik (Forensic Audit)

Menurut Edwar Nurdin (2002, hh1-10), audit forensik adalah audit yang

dilaksanakan dalam kaitannya sebagai dukungan dalam proses

investigasi. Adapun pengguna jasa akuntan/audit forensik tersebut adalah

para pengacara, kepolisian, perusahaan asuransi, bank, atau pemerintah.

Kegiatannya antara lain mencakup pemberian dukungan dalam opini

sebagai saksi ahli dalam proses legal (hukum).

2) Audit Terhadap Kecurangan (Fraud Audit)

Menurut Karyono (2002, hh1-14) fraud audit :

− Merupakan proses audit yang memfokuskan pada

keanehan/keganjilan objek yang perlu dilakukan audit.

− Mencegah terjadinya kecurangan (preventing fraud) mendeteksi

maupun pemeriksaan kecurangan (investigating fraud).

17

3) Audit Keuangan Yang Lebih Rinci

Audit yang tidak hanya dilakukan terhadap laporan keuangan, melainkan

yang sudah bersifat lebih mendalam (special assignment), atau

pemeriksaan bersifat investigasi (investigasi audit).

2.2.4 Bahan Bukti Audit

Arens and Loebbecke (1997, pp153-161) berpendapat bahwa, “Dalam

menentukan prosedur audit mana yang akan digunakan, ada tujuh kategori bahan

bukti audit yang dapat dipilih auditor yaitu :

1) Pemeriksaan Fisik

Merupakan penghitungan secara fisik atas aktiva berwujud seperti uang

tunai, inventory, dll.

2) Konfirmasi

Konfirmasi digambarkan sebagai penerimaan jawaban tertulis maupun

lisan dari pihak ketiga yang independen dalam memverifikasi akurasi

informasi yang telah diminta oleh auditor.

3) Dokumentasi (Pemeriksaan Dokumen/Voucing)

Merupakan pemeriksaan auditor atas dokumentasi dan catatan klien

untuk menyokong informasi yang ada atau seharusnya ada dalam laporan

keuangan.

4) Pengamatan

Adalah penggunaan panca indera untuk menilai/menetapkan suatu

aktivitas tertentu.

18

5) Tanya Jawab Dengan Klien

Yaitu mendapatkan informasi tertulis atau lisan dari klien dengan

menjawab pertanyaan dari auditor.

6) Pelaksanaan Ulang (Reperformance)

Mencakup pengecekan ulang suatu sampel penghitungan dan

perpindahan informasi yang dilakukan klien selama periode yang diaudit.

Pengecekan ulang penghitungan berisi pengujian akurasi aritmatik klien.

Sedangkan pengecekan ulang atas perpindahan informasi berisi

penelusuran jumlah untuk meyakinkan bahwa kalau informasi yang sama

dimasukkan ke tempat yang lebih dari satu, akan dicatat dengan jumlah

yang sama pada waktu yang berbeda.

7) Prosedur Analitis

Adalah prosedur yang menggunakan perbandingan dan hubungan untuk

menentukan apakah saldo akun tersaji secara layak”.

2.3 Sistem Pengendalian Internal (SPI)

2.3.1 Definisi Sistem Pengendalian Internal

Menurut The Information System Control and Audit Association (ISACA)

yang dikutip oleh Cangemi dan Singleton dalam bukunya Managing the Audit

Function (2003, p65), “Internal control system is the policies, procedures,

practices, and organizational structures, designed to provide reasonable

assurance that business objectives will be achieved and that undesired events

will be prevented, or detected and corrected.” Maksud dari pernyataan tersebut

adalah bahwa sistem pengendalian internal merupakan kebijakan, prosedur,

19

praktik-praktik, dan struktur organisasi yang didesain untuk memberikan jaminan

yang layak pada upaya pencapaian tujuan bisnis yang akan dicapai dan

memastikan kejadian-kejadian yang tidak diinginkan akan dicegah, atau

dideteksi dan dikoreksi.

Organisasi profesi internasional lainnya, Committee On Sponsoring

Organizations (COSO) (Cangemi dan Singleton, 2003, p65) juga

mendefinisikan, “Internal control as a process, effected by an entity’s board of

directors, management and other personnel, designed to provide reasonable

assurance regarding the achievement of objectives in (1) the effectiveness and

efficiency of operations, (2) the reliability of financial reporting and (3) the

compliance of applicable laws and regulations.” Intinya, sistem pengendalian

internal adalah suatu proses yang dipengaruhi oleh entitas organisasi seperti

jajaran direktur, manajemen dan personel lainnya, yang didesain untuk

memberikan jaminan yang layak dalam mencapai tujuan : (1) Efektifitas dan

efisiensi operasi, (2) Keandalan laporan keuangan, (3) Pemenuhan atau ketaatan

terhadap hukum dan regulasi yang berlaku.

20

Information and communication component connections

Definition Internal control is

a management process

Categories Effectiveness Reliable financial Compliance with

and efficiency reporting laws and regulations

of operations

Objectives Various business, Reliable financial Compliance with

company specific annual and interim ones that apply

report (e.g., GAAP) to the company

Components Control environment Control environment Control environment

Risk assessment Risk Assessment Risk Assessment

Control activities Control activities Control activities

Monitoring Monitoring Monitoring

Information and Information and Information and

communication communication communication

Menurut Weber (1999, p35), “A control is a system that prevents, detects,

or correct unlawful events”. Intinya menurut weber, pengendalian adalah suatu

sistem untuk mencegah, mendeteksi, dan mengkoreksi kejadian yang timbul saat

transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak

akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien.

Objectives categories

Gambar 2.1 COSO Model

Sumber: Cangemi dan Singleton(2003, p73)

21

Berdasarkan definisi di atas, maka pengendalian dikelompokkan menjadi tiga

bagian, yaitu :

a. Preventive Controls

Instruksi (perintah) yang ditempatkan pada dokumen sumber untuk

mencegah/menjaga terjadinya kesalahan dalam pengisiannya.

b. Detective Controls

Pengendalian ini digunakan untuk menemukan/mengetahui bila terjadi

kesalahan data yang diinput di dalam sistem.

c. Corrective Controls

Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan

pada detective control. Pengendalian ini terdiri dari program yang

menggunakan kode khusus yang dapat memperbaiki data yang

rusak/error karena kesalahan pada komunikasi on line.

Berdasarkan definisi-definisi tersebut di atas penulis menyimpulkan

bahwa sistem pengendalian internal adalah suatu sistem yang dipengaruhi entitas

organisasi yang dirancang untuk mencegah, mengendalikan dan melindungi

seluruh aktivitas organisasi dari penyimpangan-penyimpangan atau undesirable

event lainnya yang dapat merugikan perusahaan sekaligus bertujuan untuk

memastikan kepatuhan entitas terhadap peraturan dan kebijakan perusahaan,

menciptakan keandalan laporan keuangan, meningkatkan efektifitas dan efisiensi

operasi perusahaan, dan menjaga aset/kekayaan organisasi.

22

2.3.2 Tujuan dan Manfaat Sistem Pengendalian Internal

Menurut sebuah organisasi profesi internasional Committee On

Sponsoring Organizations (COSO) (Cangemi, p65), sistem pengendalian internal

memiliki tiga tujuan utama, yaitu :

1) Efektifitas dan Efisiensi Operasi (Effectiveness and Efficiency of

Operations).

2) Keandalan Laporan Keuangan (Reliability of Financial Reporting).

3) Ketaatan/Kepatuhan Terhadap Hukum dan Regulasi Yang Berlaku

(Compliance With Applicable Laws and Regulations).

Hall (2001, p150) berpendapat bahwa sistem pengendalian internal

memiliki empat tujuan utama, yaitu untuk :

1) Mengamankan aktiva organisasi.

2) Memastikan akurasi dan keandalan dari catatan dan informasi akuntansi.

3) Mempromosikan efisiensi operasi perusahaan.

4) Mengukur kesesuaian dengan kebijakan dan prosedur yang telah

ditetapkan manajemen.

Gondodiyoto dan Idris (2003, h75) berpendapat bahwa tujuan utama dari

sistem pengendalian internal adalah :

1) Mengamankan aset organisasi.

2) Memperoleh informasi yang akurat dan dapat dipercaya.

3) Meningkatkan efektifitas dan efisiensi kegiatan.

4) Mendorong kepatuhan pelaksanaan terhadap kebijaksanaan

organisasi/pimpinan.

23

Berdasarkan pendapat-pendapat diatas, penulis menyimpulkan bahwa

tujuan utama dari sistem pengendalian intern adalah untuk menjaga kekayaan

perusahaan, meningkatkan efektifitas dan efisiensi operasi perusahaan,

mendorong dipatuhinya kebijakan manajemen, mencegah tindakan

penyimpangan, dan memperkecil kesalahan.

2.3.3 Komponen Sistem Pengendalian Internal

Menurut COSO (Committee On Sponsoring Organizations) yang terdapat

dalam buku Cangemi (2003, p49), sistem pengendalian internal terdiri dari 5

(lima) komponen yang saling terintegrasi, yaitu :

1) Control Environment (Lingkungan Pengendalian)

Komponen ini berperan dalam menyediakan atmosfer bagi entitas

organisasi dalam menjalankan aktivitasnya dan tanggung jawab control

mereka. Komponen ini juga berperan sebagai fondasi bagi komponen-

komponen COSO yang lain. Komponen ini diwujudkan dalam cara

pengoperasian, cara pembagian wewenang dan tanggung jawab yang

harus dilakukan, cara komite audit berfungsi dan metode-metode yang

digunakan untuk merencanakan dan memonitor kinerja.

Sub komponen Control Environment :

− Integritas dan Nilai Etika Manajemen.

Meliputi tindakan manajemen untuk menghilangkan atau mengurangi

intensif dan godaan yang menyebabkan pegawai bertindak tidak jujur,

melanggar hukum, atau tidak etis.

24

− Kompetensi Personil.

Meliputi pertimbangan manajemen terhadap tingkat kompetensi dari

pekerjaan tertentu dan bagaimana tingkatan tersebut berubah menjadi

keterampilan dan pengetahuan yang diisyaratkan.

− Struktur Organisasi Yang Memadai.

Struktur organisasi suatu satuan usaha membatasi garis tanggung

jawab dan wewenang yang ada dan juga menghubungkan garis arus

komunikasi.

− Pembagian Tugas dan Delegasi Wewenang.

− Kebijakan dan Praktek Sumber Daya Manusia.

Merupakan kebijakan yang mengatur bagaimana metode perekrutan

karyawan, bagaimana karyawan digaji, dan dievaluasi agar karyawan

memiliki kompetensi dan dapat dipercaya. Karena aspek paling

penting adalah karyawan. Artinya jika pegawai kompeten dan dapat

dipercaya maka pengendalian tidak perlu banyak dan laporan

keuangan yang andal tetap akan dihasilkan. Begitupun sebaliknya,

meskipun terdapat banyak pengendalian, orang yang tidak jujur dan

tidak kompeten tetap akan dapat mengacaukan sistem.

− Filosofi dan Gaya Operasi Manajemen.

Manajemen melalui aktivitasnya memberikan tanda yang jelas kepada

pegawai tentang pentingnya pengendalian.

25

2) Risk Assessment (Penaksiran Resiko)

Komponen ini meliputi pengidentifikasian dan penilaian resiko yang

berhubungan dengan pencapaian tujuan manajemen serta menentukan

cara bagaimana resiko tersebut ditangani. COSO mengarahkan

manajemen untuk melakukan pengidentifikasian resiko terhadap resiko

internal dan eksternal dari aktivitas suatu entity atau individu. Pada tahap

risk assessment terdapat cost-benefit consideration yang

memperhitungkan cost dan benefit yang akan dihasilkan dari suatu

penerapan control.

3) Control Activities (Aktivitas Pengendalian)

Merupakan kebijakan dan prosedur yang dibuat untuk memastikan

dilaksanakannya kebijakan manajemen. Elemen ini juga membantu

memastikan bahwa tindakan yang diperlukan untuk penanganan resiko

telah dilakukan sesuai dengan apa yang telah direncanakan. Komponen

ini juga beroperasi untuk memastikan transaksi telah terotorisasi, adanya

pembagian tugas, pemeliharaan terhadap dokumen dan record,

perlindungan aset dan record, pengecekan kinerja, dan penilaian dari

jumlah record yang terjadi.

4) Information and Communication (Informasi dan Komunikasi)

Komponen ini menjelaskan mengenai kebutuhan terhadap pemerolehan

informasi eksternal dan internal, dan sistem yang terintegrasi (integrated

systems), dan kebutuhan terhadap kualitas data.

26

Sistem informasi harus dapat memberikan data yang memiliki

karakteristik sebagai berikut :

– Accurate and in Sufficient Detail (Akurat dan Memiliki Detail Yang

Cukup).

– Relative to Established Objectives (Berhubungan Dengan Tujuan).

– Understandable and in An Usable Form (Mudah Dipahami dan

Digunakan).

Komunikasi membahas mengenai penyampaian segala sesuatu yang

harus disampaikan dengan jelas kepada berbagai pihak : manajemen,

personil, dan entitas organisasi lainnya. Contoh komunikasi : kewajiban

dan tanggung jawab karyawan terhadap pengendalian harus

dikomunikasikan dengan jelas.

5) Monitoring (Pengawasan)

Adalah komponen yang memastikan keandalan sistem pengendalian

internal beroperasi secara dinamis sepanjang waktu yang dilakukan

dengan cara melakukan aktivitas monitoring dan evaluasi secara terpisah.

TEORI KHUSUS

2.4 Audit Sistem Informasi

2.4.1 Definisi Audit Sistem Informasi

Menurut Weber (1999, p10), ”Information systems auditing is the process

of collecting and evaluating evidence to determine whether a computer system

safeguards assets, maintains data integrity, allows organizational goals to be

achieved effectively, and uses resources efficiently”. Intinya audit sistem

27

informasi adalah proses pengumpulan dan pengevaluasian bukti untuk

menentukan apakah sistem komputer dapat melindungi aset, memelihara

integritas data, memungkinkan pencapaian tujuan organisasi secara efektif dan

penggunaan sumber daya secara efisien.

Menurut Cangemi (2003, p48) dalam bukunya yang berjudul Managing

the Audit Function, “Information systems auditing is defined as any audit that

encompass the review and evaluation of all aspects (or any portion) of

automated information processing systems, including related non-automated

processes, and the interfaces between them ”. Inti dari pernyataan tersebut adalah

“Audit sistem informasi didefinisikan sebagai proses audit yang terdiri dari

review dan pengevaluasian seluruh aspek dari sistem pemrosesan informasi

otomatis termasuk juga proses non-otomatis dan juga interface diantara

keduanya”.

Gondodiyoto (2003, h151) berpendapat bahwa “Audit sistem informasi

merupakan suatu pengevaluasian untuk mengetahui bagaimana tingkat

kesesuaian antara aplikasi sistem informasi dengan prosedur yang telah

ditetapkan dan mengetahui apakah suatu sistem informasi telah didesain dan

diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme

pengamanan aset yang memadai, serta menjamin integritas data yang memadai”.

Dari berbagai pendapat tersebut diatas penulis menyimpulkan

definisi audit sistem informasi sebagai suatu proses pengumpulan dan

pengevaluasian bukti-bukti audit oleh orang yang kompeten dan

independen untuk menentukan apakah sistem informasi yang

dijalankan telah sesuai dengan kriteria yang ditentukan dalam rangka

28

mencapai tujuan perusahaan, yaitu : melindungi aset perusahaan, meningkatkan

efektifitas dan efisiensi organisasi, meningkatkan integritas data.

2.4.2 Tujuan Audit Sistem Informasi

Menurut Weber yang disimpulkan oleh penulis (1999, pp11-13), tujuan

dari audit sistem informasi dapat diklasifikasikan menjadi empat jenis, yaitu:

1. Meningkatkan Perlindungan Terhadap Aset-Aset Perusahaan

Aset informasi suatu perusahaan seperti hardware, software, data harus

dijaga oleh suatu sistem pengendalian internal yang baik. Untuk

memastikan keamanan tersebut maka perlu dilakukan audit agar

perusahaan dapat mengetahui celah-celah kelemahan perusahaan dan

sesegera mungkin melakukan perbaikan guna meningkatkan

perlindungan terhadap aset perusahaan.

2. Meningkatkan Integritas Data

Integritas data adalah salah satu konsep dasar sistem informasi. Data

memiliki atribut-atribut tertentu seperti : kelengkapan, dan keakuratan.

Jika tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki

laporan yang akurat dan cepat.

3. Meningkatkan Efektifitas Sistem

Efektifitas sistem perusahaan memiliki peranan penting dalam proses

pengambilan keputusan. Sistem informasi dapat dikatakan efektif bila

sistem informasi tersebut telah sesuai dengan kebutuhan pengguna (doing

thing right). Dengan audit sistem informasi maka kinerja sistem pun

dapat lebih dioptimalkan dan diefektifkan, karena dengan audit kita dapat

29

mengetahui penyebab dari inefektifitas kinerja sistem beserta

rekomendasi yang harus diterapkan guna menanggulangi permasalahan

tersebut.

4. Meningkatkan Efisiensi Sistem

Sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi

kebutuhan user dengan cara yang baik dan sumber daya informasi yang

minimal (doing right thing). Dengan audit sistem informasi, perusahaan

dapat mengetahui cara yang paling efektif dan efisien dalam mencapai

tujuan perusahaan.

Gondodiyoto dan Idris (2003, h153) menyimpulkan tujuan audit sistem

informasi sebagai berikut :

1) Pengamanan Aset

Aset informasi suatu perusahaan seperti hardware, software, sumber daya

manusia (brainware), file data harus dijaga oleh suatu sistem pengendalian

INFORMATION SYSTEMS AUDITING

ORGANIZATIONS

Improved Safeguarding

of assets

Improved data integrity

Improved System

Effectiveness

Improved System

Efficiency

Gambar 2.2 Impact of The Information Systems Audit On Organizations

Sumber: Weber (1999, p11)

30

internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan.

Dengan demikian sistem pengamanan aset merupakan suatu hal

fundamental yang sangat penting yang harus dipenuhi oleh perusahaan.

2) Menjaga Integritas Data

Integritas data adalah salah satu konsep dasar sistem informasi. Data

memiliki atribut-atribut tertentu seperti : kelengkapan, dan keakuratan. Jika

tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki informasi

atau laporan yang benar bahkan perusahaan dapat menderita kerugian dari

kesalahan dalam membuat atau mengambil keputusan.

3) Efektifitas Sistem

Efektifitas sistem perusahaan memiliki peranan penting dalam proses

pengambilan keputusan. Sistem informasi dapat dikatakan efektif bila

sistem informasi tersebut telah sesuai dengan kebutuhan user.

4) Efisiensi Sistem

Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi

memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi

komputer menurun maka pihak manajemen harus mengevaluasi apakah

efisiensi sistem masih memadai atau harus menambah sumber daya, karena

suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi

kebutuhan user dengan sumber daya informasi yang minimal.

5) Ekonomis

Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang

lebih bersifat kuantifikasi nilai moneter (uang). Efisien berarti sumber daya

31

Dari berbagai definisi diatas penulis menyimpulkan bahwa tujuan utama

audit sistem informasi adalah untuk mengetahui dan menentukan apakah suatu

sistem informasi yang berbasis komputer telah :

1) Memberikan perlindungan terhadap aset perusahaan.

2) Meningkatkan integritas data.

3) Meningkatkan efektifitas perusahaan dalam mencapai tujuannya.

4) Memungkinkan perusahaan menggunakan sumberdayanya secara efisien.

2.4.3 Jenis Pengendalian Sistem Informasi

Menurut Weber (1999, p38) ada dua jenis pengendalian yang perlu

diterapkan pada sistem informasi, yaitu :

1. Pengendalian Manajemen (Management Controls)

Pengendalian manajemen (management controls) adalah sistem

pengendalian intern komputer yang berlaku umum meliputi seluruh

kegiatan komputerisasi sebuah organisasi secara menyeluruh. Artinya

ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku

untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Apabila

pengendalian ini tidak dilakukan ataupun pengendaliannya lemah maka

akan dapat berdampak negatif terhadap aplikasi (kegiatan komputer).

Weber (1999, p39) membagi pengendalian manajemen menjadi tujuh sub

sistem pengendalian, yaitu :

a. Pengendalian Manajemen Puncak (Top Management Controls)

Pengendalian yang dilakukan terhadap top management (manajemen

puncak) perusahaan untuk memastikan bahwa fungsi sistem informasi

32

telah berjalan dengan baik, tanggung jawab utama mereka adalah

untuk membuat keputusan jangka panjang terhadap bagaimana cara

pemakaian sistem informasi pada organisasinya.

b. Pengendalian Manajemen Sistem Informasi (Information System

Management Controls)

Pengendalian yang mengontrol pembuatan sistem program baru dan

pemeliharaan program lama serta penyediaan software yang

mendukung sistem informasi. Pengendalian ini bertujuan untuk

pengembangan software yang bermutu tinggi, dimulai dari fase

program development life cycle sampai terakhir pada spesial kontrol

masalah.

c. Pengendalian Manajemen Pengembangan Sistem (System

Development Management Controls)

Pengendalian manajemen pengembangan sistem berfungsi untuk

mengontrol alternatif dari model proses pengembangan sistem

informasi sehingga dapat digunakan sebagai dasar pengumpulan dan

pengevaluasian bukti. Manajemen pengembangan sistem

bertanggung jawab dalam perancangan, pengembangan,

pengimplementasian dan pemeliharaan sistem aplikasi.

d. Pengendalian Manajemen Sumber Data (Data Resource Management

Controls)

Yaitu pengendalian yang dilakukan pada sumber data untuk

memastikan independensi data, integrity data, dan pengendalian akes

dapat dikelola dengan lebih baik.

33

e. Pengendalian Manajemen Keamanan (Security Management

Controls)

Menurut Weber (1999, pp257-266), dapat disimpulkan bahwa

pengendalian terhadap manajemen keamanan secara garis besar

bertanggung jawab atau bertujuan untuk menjamin aset sistem

informasi tetap aman dari berbagai ancaman.

Adapun kategori dari ancaman dapat diklasifikasikan sebagai berikut:

− Types of Assets. Aset berwujud (physical assets) dan tidak

berwujud (logical assets).

− Nature of Threat. Disengaja (deliberate) dan tidak disengaja

(accidental).

− Source of Threat. Eksternal dan internal perusahaan.

Aset dapat dikatakan aman bila kemungkinan kehilangan yang dapat

timbul berada pada level yang dapat diterima oleh manajemen.

Ancaman utama terhadap Security Management Controls perusahaan

adalah :

a) Ancaman Kebakaran

Beberapa pelaksanaan pengamanan untuk ancaman kebakaran

adalah:

− Memiliki alarm kebakaran otomatis yang diletakkan pada

tempat dimana aset-aset informasi berada.

− Memiliki tabung pemadam kebakaran yang diletakkan pada

lokasi yang mudah dijangkau.

34

− Memiliki tombol power utama (termasuk AC).

− Gedung tempat penyimpanan aset sistem informasi dibangun

dari bahan tahan api.

− Memiliki pintu/tangga darurat yang diberi tanda yang jelas

sehingga mempermudah karyawan dalam penggunaannya.

− Ketika alarm kebakaran berbunyi sinyal langsung dikirimkan

ke stasiun pengendalian yang selalu dijaga oleh staff.

− Prosedur pemeliharaan gedung yang baik menjamin tingkat

polusi rendah disekitar aset informasi yang bernilai tinggi.

Contoh : ruang komputer dibersihkan secara teratur dan kertas

untuk printer diletakkan di ruang yang terpisah.

− Untuk mengantisipasi ancaman kebakaran diperlukan

pengawasan rutin dan pengujian terhadap sistem perlindungan

kebakaran untuk dapat memastikan bahwa segala sesuatunya

telah dirawat baik.

b) Ancaman Banjir

Beberapa pelaksanaan pengamanan untuk ancaman banjir :

− Usahakan bahan untuk atap, dinding dan lantai yang tahan air.

− Semua aset sistem informasi ditaruh ditempat yang tinggi.

− Menutup peralatan hardware dengan bahan yang tahan air

ketika tidak digunakan.

c) Perubahan Tegangan Sumber Energi

35

dan uninterruptable power supply (UPS) yang memadai yang

mampu mengcover masalah tegangan listrik.

d) Kerusakan Struktural (Structural Damage)

Beberapa pelaksanaan pengamanan untuk mengantisipasi

kerusakan struktural (disebabkan bencana alam) misalnya adalah

memilih lokasi perusahaan yang strategis dan aman.

e) Polusi

Beberapa pelaksanaan pengamanan untuk mengatasi polusi,

misalnya situasi kantor yang bebas debu dan tidak

memperbolehkan siapa saja membawa binatang peliharaan.

f) Penyusup (Unauthorized Intrusion)

Penyusupan yang dapat dilakukan terdiri dari dua jenis, yaitu :

(1) Secara fisik masuk ke perusahaan dan mengambil harta sistem

informasi atau melakukan pengerusakan.

(2) Tidak masuk secara fisik ke perusahaan tetapi menggunakan

cara lain seperti melakukan penyadapan.

g) Virus dan Worm

Pelaksanaan pengamanan untuk mengantisipasi virus meliputi :

Tipe kontrol Contoh

Preventif − Hanya menggunakan software yang

bersih dan asli.

− Menginstall antivirus.

− Melakukan update antivirus secara

berkala dan rutin.

36

− Jangan menggunakan shareware

software.

− Melakukan scan file secara rutin ketika

akan digunakan.

− Download software atau file hanya dari

website yang sudah terkenal bersih.

− Lakukan akses read-only terhadap

software.

− Berikan pengertian kepada user tentang

bahaya virus dan perlunya tindakan

pencegahan.

Detective − Secara berkala menjalankan program anti

virus untuk mendeteksi virus.

Corrective − Pastikan ada backup yang bersih.

− Jalankan program antivirus untuk me-

remove/merecovery file yang terinfeksi.

h) Hacking

Beberapa tindakan pengamanan untuk mengantisipasi hacking :

− Penggunaan kontrol logika seperti penggunaan password yang

sulit ditebak.

− Petugas keamanan secara teratur memonitor sistem yang

digunakan.

Control of Last Resort (Pengendalian Akhir)

Walaupun segala cara telah diterapkan guna mengantisipasi ancaman,

tetapi masih ada saja kemungkinan terjadi bencana ataupun undesriable

Tabel 2.1 Tindakan Pengamanan Virus

Sumber : Weber (1999, p263)

37

event lainnya. Untuk itulah diperlukan pengendalian akhir (Controls of

Last Resort) guna mengurangi kerugian dan merecovery operasional :

1) Disaster Recovery Plan (Rencana Pemulihan Bencana)

a) Emergency Plan (Rencana Darurat)

Rencana emergency ini merupakan tindakan khusus yang akan

dilakukan segera setelah terjadinya bencana. Rencana ini juga

menjelaskan siapa melakukan apa dan bagaimana

melakukannya.

b) Backup Plan (Rencana Backup)

Rencana yang berisi jangka waktu backup dilakukan, prosedur

untuk melakukan backup, letak perlengkapan backup,

karyawan yang bertanggung jawab untuk melakukan kegiatan

backup.

c) Recovery Plan (Rencana Pemulihan)

Rencana recovery berisi prosedur apa yang harus dilakukan

untuk kembali beroperasi pada keadaan sebelum terjadi

kerusakan (tidak mengulang lagi proses yang sudah

dikerjakan). Rencana recovery merupakan kelanjutan dari

rencana backup karena recovery adalah kegiatan yang

dilakukan agar sistem informasi dapat berjalan seperti biasa.

d) Test Plan (Rencana Pengujian)

Berfungsi untuk memastikan bahwa ketiga rencana diatas

berjalan dengan baik atau layak.

38

2) Asuransi

Suatu bentuk pengendalian yang dilakukan dengan

mengasuransikan aset sistem informasi sehingga ketika terjadi

bencana maka akan membantu meringankan beban perusahaan

dalam rangka pengadaan aset sistem informasi. Perlu

dipertimbangkan cost and benefit dalam memilih asuransi untuk

peralatan, fasilitas, dan elemen sistem informasi lainnya.

f. Pengendalian Manajemen Operasi (Operations Management

Controls)

Menurut Weber (1999, p288), manajemen operasi bertanggung jawab

atas berjalannya fasilitas hardware dan software sehari-hari sehingga:

a. Sistem aplikasi dapat menyempurnakan kerja mereka.

b. Staff development dapat mendesain, mengimplementasikan, dan

memaintain sistem aplikasi.

Manajemen operasi khusus mengontrol fungsi-fungsi sebagai berikut:

1) Pengoperasian Komputer (Computer Operations)

Kontrol operasi komputer mengatur aktivitas-aktivitas yang

secara langsung mendukung keseharian pelaksanaan dari sistem

aplikasi pada platform hardware/software yang tersedia.

2) Pengoperasian Jaringan (Network Operations)

Manajer operasi bertanggung jawab atas aktivitas operasi jaringan

baik jaringan area lokal (Local Area Network) maupun jaringan

area luas (Wide Area Network) yang digunakan perusahaan dalam

mendukung operasional. Untuk melaksanakan tugasnya,

39

manajemen operasi harus memulai dan menghentikan aktivitas

jaringan serta memonitor kinerja channel komunikasi jaringan,

peralatan jaringan, file-file dan program jaringan.

3) Persiapan dan Pengentrian Data (Preparation and Data Entry)

Secara umum, semua sumber data untuk sistem aplikasi dikirim

ke bagian persiapan data untuk diketik dan diverifikasi sebelum

dimasukkan ke dalam komputer.

Faktor-faktor yang harus dipertimbangkan untuk persiapan dan

pengentrian data :

− Penerangan pada tempat pengetikan harus memadai.

− Lingkungan kerja haruslah tidak berisik dan juga tidak terlalu

sepi.

− Tata ruang dari tempat kerja harus rapi untuk memudahkan

arus kerja.

4) Pengendalian Produksi (Production Controls)

Fungsi-fungsi yang harus dilakukan pada pengendalian produksi

adalah :

− Penerimaan dan pengiriman input dan output.

− Penjadwalan kerja.

− Peningkatan pemanfaatan komputer.

5) Perpustakaan File (File Library)

Fungsi File Library pada bagian operasional adalah bertanggung

jawab untuk mengelola manajemen penyimpanan data.

40

• Storage of Storage Media (Penyimpanan Media

Penyimpanan)

Karena media penyimpanan file sangat penting maka media

tersebut harus disimpan dengan sangat aman.

• Use of Storage Media (Penggunaan Media Penyimpanan)

Penggunaan media penyimpanan harus dikontrol dengan baik,

bagian kepustakaan harus mengeluarkan media penyimpanan

hanya kepada orang yang memiliki wewenang dan sesuai

dengan skedul yang telah ditetapkan.

• Location of Storage Media (Lokasi Media Penyimpanan)

Penyimpanan media penyimpanan dapat berada diluar di

lokasi ruang komputer, hal itu tergantung kepada tingkat

pemakaian media penyimpanan tersebut, bila media

penyimpanan sering digunakan maka harus berada di ruangan

komputer sedangkan bila media penyimpan hanya merupakan

backup maka dapat diletakkan diluar ruangan komputer.

• Maintenance and Disposal of Storage Media (Pemeliharaan

dan Penghentian Pemakaian Dokumen)

Media penyimpanan dapat digunakan untuk jangka waktu

yang lama tetapi secara umum kemampuannya menurun

seiring dengan meningkatnya umur media penyimpanan

tersebut sehingga dapat menimbulkan resiko bagi perusahaan.

41

Hal-hal yang harus diperhatikan dalam File Library adalah :

Media penyimpanan seharusnya tidak dibiarkan tidak terpakai

dalam jangka waktu yang lama.

Apabila media penyimpanan menjadi tidak dapat diandalkan,

biasanya jalan terbaik adalah dengan membuang mereka dan

memastikan semua data yang sensitif sudah dipindahkan.

Apabila media penyimpanan harus dikirim keluar organisasi

atau diperbaiki, maka harus dipastikan bahwa data sensitif

harus dihapus dari media penyimpanan tersebut.

6) Dokumentasi dan Perpustakaan Program (Documentation and

Program Library)

Dokumentasi librarian bertanggung jawab untuk mengatur

dokumentasi yang mendukung fungsi sistem informasi. Fungsi itu

meliputi :

1) Memastikan dokumentasi disimpan dengan aman.

2) Memastikan hanya yang berwenang yang dapat mengakses.

3) Memastikan dokumentasi selalu up to date.

4) Memastikan jalannya backup cukup untuk dokumentasi.

Dokumentasi librarian juga harus bertanggung jawab untuk

mengatur persediaan software organisasi atau izin software untuk

mencegah masalah berikut :

– Terlalu banyak copy software yang beredar.

– Software hilang atau dicuri.

42

– Beredarnya software ilegal.

– Penggunaan software tidak sesuai dengan izin yang diajukan.

– Software tidak mempunyai backup.

7) Help Desk/Technical Support

Ada 2 (dua) fungsi utama help desk/technical support yaitu :

− Membantu end user dalam menggunakan hardware dan

software seperti microcomputer, database.

− Menyediakan technical support untuk menyelesaikan masalah

yang berhubungan dengan hardware, software, dan database.

8) Perencanaan Kapasitas dan Pengawasan Kinerja (Capacity

Planning and Performance Monitoring)

Tujuan utama dari fungsi sistem informasi adalah mencapai

tujuan-tujuan dari user dengan memuaskan pada tingkat biaya

terendah.

Manajemen operasi harus secara kontinyu mengawasi tampilan

dari platform hardware/software untuk menjamin bahwa sistem

dilaksanakan secara efektif, waktu respon dapat diterima.

9) Management of Outsourced Operations

Manajemen operasi harus fokus pada 4 jenis pengendalian dalam

hal memonitoring kegiatan outsource antara lain :

− Mengevaluasi outsourcing vendor (dilihat dari segi keuangan).

− Memastikan ketaatan dari kontrak outsourcing.

43

− Memastikan bahwa operasi dari outsourcing vendor dapat

dijalankan dengan baik.

− Memelihara prosedur-prosedur untuk pemulihan bencana

dengan outsourcing vendor.

g. Quality Assurance Management Controls

Pengendalian manajemen jaminan kualitas bertugas untuk

meyakinkan bahwa pengembangan, pelaksanaan, pengoperasian dan

pemeliharaan dari sistem informasi sesuai standard kualitas.

2. Pengendalian Aplikasi (Application Controls)

Menurut Bodnar dan Hopwood yang diterjemahkan oleh Jusuf dan

Tambunan (2000, h186) “Pengendalian Aplikasi berpengaruh khusus

terhadap aplikasi-aplikasi individual”.

Pengendalian Aplikasi (Application Controls) menurut

Gondodiyoto adalah, “Sistem pengendalian intern komputer yang

berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan

(setiap aplikasi berbeda karakteristik dan kebutuhan pengendaliannya)”.

Weber (1999, pp39-40) membagi pengendalian aplikasi menjadi 6

jenis yaitu :

1) Pengendalian Batasan (Boundary Controls)

Menurut Weber (1999, p370) “The boundary subsystem

establishes the interface between the would be user of a computer

system and the computer system itself ”. Inti dari pernyataan tersebut

44

adalah subsistem batasan (boundary) membangun suatu hubungan

(interface) antara pengguna (user) komputer dengan sistem komputer

itu sendiri melalui suatu tampilan.

Menurut Gondodiyoto (2003, h140) Boundary Control adalah

bahwa dalam suatu sistem aplikasi komputer harus jelas desainnya,

mencakup hal-hal :

− Ruang Lingkup Sistem

Suatu sistem komputerisasi harus jelas ruang lingkupnya : apa

dokumen inputnya, dari mana sumbernya, tujuan pengolahan data,

dan siapa para penggunanya (user), siapa sponsornya (pemegang

kewenangan).

− Subsistem dan Keterkaitan

Sistem terdiri dari subsistem, modul program, dan perlu kejelasan

ruang lingkupnya (boundary control), dan keterkaitan (interface)

antar subsistem-subsistem atau modul-modul.

Tiga tujuan pengendalian subsistem boundary adalah sebagai berikut :

− Untuk menetapkan identitas dan kewenangan user dari sistem

komputer.

− Untuk menetapkan identitas dan kewenangan dari sumber daya

yang digunakan user.

− Membatasi tindakan-tindakan yang dilakukan oleh user yang

menggunakan sumber daya komputer terhadap tindakan-tindakan

yang tidak terotorisasi.

45

Jenis-jenis pengendalian dalam subsistem boundary, yaitu :

a) Pengendalian Kriptografi

Kriptografi merupakan suatu teknik mentransformasikan data

menjadi kode/sandi rahasia (cryptograms) sehingga tidak

memiliki arti bagi orang yang tidak memiliki kemampuan untuk

mengubah kembali data tersebut.

b) Pengendalian Akses (Access Control)

Berfungsi untuk membatasi dan mengatur penggunaan sumber

daya sistem informasi dari unauthorized user, membatasi dan

memastikan user mendapatkan sumber daya yang dibutuhkannya.

Mekanisme pengendalian akses terdiri dari tiga tahap, yaitu :

(1) Identifikasi

Suatu mekanisme yang mengharuskan user mengidentifikasi

dirinya kepada sistem sebagai tanda pengenal. Misalnya

dengan menggunakan user name.

(2) Autentifikasi

Mekanisme yang membawa user pada identifikasi tingkat

tinggi untuk membuktikan hak akses user dengan cara

menyediakan :

− Something user know. Sesuatu yang user ketahui,

contohnya password.

− Something user has. Sesuatu yang dimiliki user (kartu).

46

− Something user is. Sesuatu yang merupakan karakteristik

user (sidik jari, retina).

(3) Otorisasi

Suatu mekanisme yang mengatur seberapa luas hak akses

yang dimiliki user sekaligus membatasi user dari aktivitas-

aktivitas diluar wewenangnya.

c) PIN (Personal Identification Number)

PIN adalah teknik yang sering digunakan untuk mengautentifikasi

seseorang. PIN adalah jenis password yang sederhana yang

biasanya berupa nomor rahasia yang diberikan pada seseorang

dengan tujuan untuk memverifikasi keotentikan seseorang.

Tiga macam penciptaan PIN :

- Derived PIN. Penciptaan PIN berdasarkan pada Account

Number Customer (nomor rekening pelanggan). Nomor

rekening itu akan dirubah dengan menggunakan algoritma

kriptografi dan kunci kriptografi untuk menghasilkan sebuah

PIN yang bersifat sementara.

- Random PIN. Institusi membuat PIN berdasarkan nomor acak

dengan panjang tertentu. Keuntungan metode ini adalah PIN

tidak terhubung dengan nomor account sehingga dapat diganti

tanpa merubah nomor account. Kelemahannya : nomor PIN

harus disimpan pada database pembuat PIN sehingga harus

dapat diamankan dari pihak yang tidak berwenang.

47

- Customer-selected PIN. Konsumen memilih sendiri nomor

PINnya. Keuntungannya adalah mereka dapat memilih sendiri

PIN yang memudahkan mereka untuk mengingatnya, tapi hal

ini juga merupakan kelemahan karena konsumen sering

memilih nomor yang berhubungan dengan mereka seperti

tanggal lahir, nama pasangan,PIN ini juga harus disimpan

pada database.

d) Digital Signature

Ketika surat dibuat dalam bentuk formulir elektronik, tanda

tangan yang biasa dilakukan secara manual tidak dapat dilakukan

lagi. Untuk mengantisipasi hal tersebut maka diperlukan tanda

tangan digital (digital signature) untuk mengautentikasi seseorang

yang berhak mengakses surat tersebut.

e) Plastic Card

Plastic Card dimaksudkan untuk mengidentifikasi individu yang

akan melakukan akses terhadap sistem.

f) Audit Trail Control

Audit Trail akan merekam semua kejadian yang terjadi pada

subsistem boundary. Audit Trail juga digunakan untuk

menganalisa bukti-bukti yang berkaitan dengan penggunaan

sumberdaya.

g) Existence Control

Ketika subsistem boundary mengalami kegagalan, existence

control tidak akan berupaya melakukan perbaikan pada kerusakan

48

tersebut. Existence Control akan meminta user untuk melakukan

prosedur sign on ulang. Hal ini melindungi situasi dimana

original user meninggalkan terminal dan digantikan user lain.

2) Pengendalian Input (Input Controls)

Weber (1999, p420) berpendapat, “Components in the input

subsystem are responsible for bringing both data and instructions

into an application controls”. Intinya adalah komponen dalam

subsistem input bertanggung jawab untuk memasukkan data dan

instruksi ke dalam sistem aplikasi. Kedua jenis input tersebut harus

divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol

sehingga input yang dimasukkan akurat, lengkap, dan tepat waktu.

Tiga alasan pentingnya Input Controls, yaitu :

(1) Pada sistem informasi kontrol yang besar jumlahnya adalah pada

subsistem input, sehingga auditor harus memberikan perhatian

yang lebih kepada keandalan input kontrol yang ada.

(2) Kegiatan subsistem input melibatkan jumlah kegiatan yang besar

dan rutin dan merupakan kegiatan yang monoton sehingga dapat

menyebabkan terjadinya kesalahan.

(3) Subsistem input seringkali merupakan target dari fraud, banyak

kegiatan yang tidak seharusnya dilakukan seperti penambahan,

penghapusan, dsb.

49

Menurut Standard IAI yang dinyatakan dalam buku Anies

Basalamah (2003, hh220-222) pengendalian input (input controls)

dirancang untuk memberikan keyakinan yang memadai bahwa :

1. Transaksi diotorisasi sebagaimana mestinya sebelum diolah

dengan komputer.

2. Transaksi diubah dengan cermat ke dalam bentuk yang dapat

dibaca mesin dan dicatat dalam file data komputer.

3. Transaksi tidak hilang, ditambah, digandakan, atau diubah dengan

tidak semestinya.

4. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu,

dimasukkan kembali secara tepat waktu.

Jenis-jenis pengendalian input (Input Controls) menurut IAI

dalam buku Anies Basalamah (2003, hh221-230) :

1. Pengendalian Otorisasi Masukan (Input Authorization Controls)

Pengendalian yang baik tidak memperbolehkan suatu transaksi

diproses apabila transaksi tersebut tidak disertai dengan otorisasi

dari pejabat yang berwenang.

Jenis-jenis pengendalian yang termasuk dalam pengendalian

otorisasi masukan adalah :

(1) Prosedur-Prosedur Persetujuan

Prosedur ini menjelaskan mengenai bagaimana dan oleh siapa

data akan diinput ke dalam dokumen input.

50

(2) Formulir Yang Diberi Nomor Urut

Penggunaan formulir dengan nomor urut dimaksudkan untuk

mencegah terjadinya dokumen yang hilang dan

mempermudah penelusuran dokumen.

(3) Sistem Pengawasan Pencatatan Aktivitas (Transaction Log)

Dengan cara ini semua terminal yang digunakan dicatat dalam

tape atau disk sehingga dapat diketahui frekuensi kesalahan

dalam terminal serta adanya undesirable event lainnya.

2. Pengendalian Validasi Masukan (Input Validation Controls)

Pengendalian ini telah terprogram di dalam sistem yang

dimaksudkan untuk memperoleh keyakinan bahwa semua data

inputan adalah akurat, lengkap, dan memadai (logis).

Pengendalian ini memiliki beberapa fungsi :

1) Untuk mendeteksi kehilangan data.

2) Untuk menguji perhitungan matematis.

3) Untuk menjamin adanya pembukuan transaksi secara benar.

Jenis-jenis pengendalian yang termasuk dalam Input Validation:

1) Numeric and Alphabetic Check

Pengujian angka huruf ini berfungsi dengan cara menetapkan

bahwa field tertentu misalnya harus berbentuk angka

(numeric) sedangkan field lainnya harus berbentuk huruf

(alphabetic). Jika tidak sesuai maka komputer akan

memberikan error message.

51

2) Logic Check

Pengendalian ini dimaksudkan untuk menilai dan

membandingkan suatu logic tertentu dengan keadaan

sebenarnya. Contoh logic : jurnal penyusutan akan dianggap

tidak logis oleh komputer jika kreditnya adalah kas.

3) Sign Check

Membandingkan apakah suatu angka dalam field tertentu

harus positif (dalam data akuntansi berarti didebet) sedangkan

angka lainnya harus kredit (negatif).

4) Valid Field Size Check

Pengujian ini menyerupai sign check, hanya saja bukan berisi

tanda positif atau negatif, melainkan suatu field harus

mempunyai besar tertentu. Misalnya PIN harus sepuluh digit.

5) Limit Check

Pengendalian ini menguji apakah suatu field transaksi

masukan (input) tertentu berada dalam suatu batasan yang

sebelumnya ditetapkan.

6) Valid Code Check

Pengendalian ini menguji apakah suatu transaksi masukan

tertentu memiliki kode yang sama dengan yang ada di dalam

komputer. Kode ini bisa berupa nomor akun, kata sandi.

52

7) Sequence Check

Pengendalian ini menguji urutan-urutan suatu field tertentu,

misalnya untuk mengurutkan apakah order penjualan

berurutan atau ada yang hilang.

3. Transmisi Data

Tujuan dari pengendalian transmisi data adalah untuk mencegah

agar data yang akan diproses tersebut tidak hilang, tidak

ditambah, atau tidak diubah.

Teknik-teknik pengendalian di dalam pengendalian transmisi

data:

1) Batches Logging and Tracking

Meliputi penghitungan batch control totals, penggunaan

nomor urut batch, nomor lembar transmisi serta pencatatan

arus transaksi.

2) Program-Program Aplikasi

Pengendalian ini digunakan untuk melakukan verifikasi

terhadap batch totals dan run-to-run total. Pengendalian total

run-to-run menggunakan jumlah-jumlah (total) dalam

pengendalian keluaran yang berasal dari satu proses sebagai

jumlah-jumlah (total) pengendalian masukan dalam

pemrosesan berikutnya. Dengan kata lain total run-to-run

adalah total pengendalian (control totals) dari penyelesaian

suatu pengolahan (pemrosesan) yang akan digunakan sebagai

total pengendalian untuk pemrosesan berikutnya. Jumlah dari

53

suatu pelaksanaan pemrosesan di tambah dengan total

masukan dalam pemrosesan yang kedua harus sama dengan

jumlah (total) yang dihasilkan setelah pemrosesan yang kedua

tersebut.

3) Teknik-Teknik Verifikasi Dalam Transmisi Online

Jenis-jenis pengendalian yang ada pada teknik ini :

√ Echo Check.

√ Redudancy Check.

√ Completeness Test.

4. Konversi Data

Teknik-teknik pengendalian dalam konversi data antara lain

adalah sebagai berikut :

1) Verifikasi Fisik

Dalam teknik pengendalian ini departemen pemakai harus

menelaah atau secara visual melakukan verifikasi terhadap

transaksi pada waktu transaksi tersebut dikelompokkan

(batched). Selain itu, terminal komputer dapat pula dilengkapi

dengan fasilitas feedback yang secara otomatis akan

menunjukkan suatu tanda yang dapat digunakan sebagai

pengujian visual oleh pemakainya.

2) Penggunaan Cek Digit

Penggunaan cek digit ini dimaksudkan untuk memeriksa atau

menguji validitas angka. Apabila angka tersebut tidak sesuai

54

dengan angka asalnya, maka nomor angka akun yang diproses

tersebut akan dimunculkan sebagai hal yang salah.

3) Penggunaan Batch Control Total

Teknik ini biasanya terdiri dari batch total (seperti nilai total

piutang dan sebagainya); hash total seperti total nomor

pelanggan, atau jumlah transaksi yang diproses. Bukti-bukti

asal dikelompokkan di departemen pemakai dan control group

mencatat nomor batch dan batch control pada lembar

pengendalian masukan batch. Setelah diproses control group

membandingkan total batch keluaran dengan total batch

semula, menyelidiki dan meyelesaikan perbedaan-perbedaan

yang timbul.

5. Penanganan Kesalahan

Pengendalian ini mencakup :

1) Identifikasi atas sebab-sebab penolakan serta penelaahan

terhadap sebab-sebab penolakan tersebut.

2) Penelaahan dan persetujuan perbaikannya.

3) Memproses kembali (re-entry) sesegera mungkin ke sistem.

Yang termasuk dalam pengendalian ini adalah :

1) Error Log

Control group membuat catatan mengenai kesalahan input

yang terjadi (error log) dan semua data input yang ditolak

sekaligus menyelidiki dan memperbaiki kesalahan tersebut.

55

2) Suspended File

Teknik ini menunda file yang error untuk diproses hingga file

tersebut diperbaiki untuk menjamin bahwa kesalahan yang

terjadi telah dikoreksi dan diserahkan kembali ke bagian EDP

untuk diproses ulang.

3) Laporan Kesalahan

Bertujuan untuk mengidentifikasi mengenai catatan yang ada,

kesalahan data beserta penyebabnya.

3) Pengendalian Output (Output Controls)

Gondodiyoto (2003, h145) berpendapat bahwa “Pengendalian output

merupakan pengendalian intern untuk mendeteksi jangan sampai

informasi yang disajikan tidak akurat, tidak lengkap, tidak up-to-date

(mutakhir) datanya, atau didistribusikan kepada orang-orang yang

tidak berwenang”. Berdasarkan sifatnya metode output controls

terdiri dari tiga jenis, yaitu :

− Preventive Objective. Misalnya dengan menggunakan tabel

laporan yang terdiri dari jenis laporan, periode laporan, tanda

terima konfirmasi, siapa penggunanya, prosedur permintaan

laporan.

− Detection Objective. Misalnya perlunya dibuat nilai-nilai subtotal

dan total yang dapat diperbandingkan untuk mengevaluasi

keakurasian laporan.

56

− Corrective Objective. Misalnya tersedianya help desk dan contact

person.

Yang termasuk pengendalian output (Output Controls):

a) Rekonsiliasi Output Dengan Input

Dengan melakukan rekonsiliasi maka akan diperoleh jaminan

bahwa input telah diproses dengan benar sehingga hasilnya benar.

b) Pendistribusian Output

Pengendalian ini mencakup :

− Output hanya didistribusikan kepada user yang berwenang.

− Pendistribusian output harus dilakukan secara tepat waktu.

− Hanya output yang diperlukan saja yang didistribusikan.

− Tanggal penerimaan dan nama penerima hendaknya dicatat

secara reguler setiap kali output didistribusikan.

c) Pengawasan Terhadap Catatan (Record Retention)

− Menjaga jangka waktu pencatatan tertentu untuk menjaga

keamanan output.

− Menghindari rekonstruksi yang tidak perlu terhadap file.

− Mengendalikan output-output yang sudah tidak diperlukan

lagi (dihancurkan).

4) Pengendalian Proses (Process Controls)

Menurut Gondodiyoto (2003, h144) “Pengendalian proses

(process controls) adalah pengendalian intern untuk mendeteksi

jangan sampai data (khususnya data yang sesungguhnya sudah valid)

57

menjadi error karena adanya kesalahan proses. Kemungkinan

penyebab terjadinya error adalah kesalahan logika program, salah

rumus, salah urutan program, ketidakterpaduan antara subsistem

ataupun kesalahan teknis lainnya”.

5) Pengendalian Komunikasi (Communication Controls)

Weber (1999, p474) berpendapat bahwa “The communication

subsystem is responsible for transporting data among all the other

subsystems within a system and for transporting data to or receiving

data from another system “. Intinya adalah subsistem komunikasi

bertanggung jawab untuk pengiriman data ke subsistem yang lain

pada suatu sistem dan untuk pengiriman data ke penerima data dari

sistem yang lain.

6) Pengendalian Basis Data (Database Controls)

Weber (1999, h563) berpendapat bahwa “The database subsystem

provides function to define, create, modify, delete, and read data in

an information system”. Intinya adalah bahwa subsistem database

menyediakan fungsi-fungsi untuk mendefinisikan, menciptakan,

memodifikasi, menghapus, dan membaca data di dalam suatu sistem

informasi.

2.4.4 Pentingnya Audit dan Control Terhadap Sistem Informasi

Menurut Weber (1999, p5) ada tujuh faktor yang mempengaruhi

kebutuhan perusahaan terhadap audit dan control, yakni :

58

1) Organizational Cost of Data Loss (Biaya Yang Harus Dikeluarkan Karena

Kehilangan Data)

Data merupakan salah satu aset penting perusahaan, kehilangan data

merupakan suatu hal yang paling dihindari perusahaan karena selain dapat

menghambat dan mengacaukan kinerja perusahaan, kehilangan data juga

memerlukan biaya yang sangat mahal. Salah satu faktor inilah yang

mendasari perusahaan untuk melakukan audit dan control guna memastikan

keamanan data dari kehilangan ataupun sabotase lainnya.

2) Cost of Incorrect Decision Making (Biaya Dari Pengambilan Keputusan

Yang Salah/Keliru)

Kesalahan atau kekeliruan dalam decision making biasanya disebabkan

karena penyajian informasi yang tidak memenuhi dimensi informasi yang

berkualitas (akurat, lengkap, relevan, tepat waktu). Untuk itulah agar

informasi yang disajikan selalu terjaga keakuratan dan integritasnya maka

perlu dilakukan audit dan control guna memastikan sistem selalu andal dalam

menyajikan informasi sehingga informasi yang dihasilkan tidak lagi

menyesatkan si pengguna informasi dalam membuat keputusan.

3) Cost of Computer Abuse (Biaya Yang Harus Dikeluarkan Karena

Penyalahgunaan Komputer)

Salah satu hal utama yang mendasari pentingnya audit dan control terhadap

sistem informasi adalah cost of computer abuse (biaya yang harus

dikeluarkan karena penyalahgunaan komputer/sistem). Selain dapat

mengakibatkan gangguan atau kerusakan (pencurian, pengungkapan ilegal,

penghancuran) yang fatal atau luar biasa pada sistem informasi perusahaan,

59

penyalahgunaan komputer memerlukan biaya yang sangat besar dalam

penanggulangan dan perbaikannya, untuk itu guna mengantisipasi

penyalahgunaan itu maka perlu dilakukan audit dan control agar perusahaan

dapat mencegah dan menekan tingkat penyalahgunaan komputer.

4) Value of Hardware, Software, Personnel (Nilai dari Hardware, Software,

Personil)

Disamping data, hardware, software, dan personil juga merupakan sumber

daya yang sangat kritikal bagi suatu organisasi, walaupun investasi hardware

perusahaan sudah dilindungi oleh asuransi tetapi kehilangan hardware baik

terjadi karena kesengajaan maupun ketidaksengajaan dapat mengganggu

jalannya kegiatan organisasi. Jika software rusak akan mengganggu jalannya

operasional dan bila software dicuri orang maka informasi yang rahasia dapat

dijual kepada kompetitor. Personil adalah sumber daya yang paling berharga,

mereka harus dididik dengan baik agar menjadi tenaga di bidang komputer

yang profesional.

5) High Cost of Computer Error (Biaya Tinggi dari Kesalahan Komputer)

Saat ini pemakaian komputer sudah sangat luas dan dilakukan juga terhadap

fungsi kritis pada kehidupan kita. Oleh karena itu kesalahan komputer dapat

menimbulkan dampak yang luar biasa. Misalnya error komputer yang

menyebabkan jatuhnya pesawat di Antartika yang menyebabkan 257 orang

meninggal. Untuk itulah audit dan control diperlukan guna menekan error

komputer hingga tingkat yang bisa diterima.

60

6) Maintenance of Privacy (Pemeliharaan Privacy)

Banyak data tentang kita yang saat ini dapat diperoleh dengan cepat, dengan

adanya komputerisasi maka data seseorang dapat diketahui termasuk hal-hal

pribadi yang seharusnya menjadi rahasia pribadi seseorang. Pemakaian data

komputer yang tidak seharusnya dapat mengakibatkan orang-orang

kehilangan hak privacynya.

7) Controlled Evolution of Computer Use (Evolusi Control dari Penggunaan

Komputer)

Jangan sampai suatu organisasi melakukan komputerisasi secara tidak

terkendali sehingga terjadi pemborosan-pemborosan atau tingkat keamanan

yang kurang memadai dan malah sebaliknya hanya akan menimbulkan

dampak sosial yang besar, misalnya komputerisasi yang berlebihan malah

akan meningkatkan jumlah pengangguran.

2.4.5 Metode Audit Sistem Informasi

Menurut Weber (1999, pp55-57) ada dua jenis metode audit sistem informasi,

yaitu :

1. Audit Around The Computer

Merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai

black box, artinya metode ini tidak menguji langkah-langkah proses secara

langsung tetapi hanya berfokus pada masukan (input) dan keluaran (output)

dari sistem komputer. Diasumsikan bahwa jika masukan (input) benar maka

akan diwujudkan pada keluaran (output) yang benar pula.

Keunggulan dari metode Audit Around The Computer, yaitu:

61

1) Pelaksanaan audit lebih sederhana.

2) Memungkinkan auditor yang kurang mahir di bidang komputer dapat

dilatih dengan mudah untuk melaksanakan audit.

3) Hanya memerlukan biaya yang murah.

Kelemahan dari metode Audit Around The Computer adalah :

1) Tidak menciptakan sarana bagi auditor untuk memahami dan mendalami

liku-liku sistem komputer.

2) Kemampuan komputer sebagai fasilitas pendukung pelaksanaan audit

menjadi sia-sia.

3) Cara ini membatasi auditor untuk mengetahui kelemahan yang terdapat

pada sistem.

2. Audit Through The Computer

Suatu metode audit yang tidak hanya berorientasi pada input dan output

semata melainkan juga membuka black box, artinya secara langsung berfokus

pada operasi pemrosesan komputer. Auditor biasanya menggunakan teknik

ini untuk menguji proses logika dan pengendalian dalam sistem. Metode

audit ini juga umumnya mencakup pemeriksaan keandalan atau kelayakan

proses dan akurasi program atau aplikasi. Dengan asumsi apabila pemrosesan

tidak memadai maka output yang dihasilkan belum tentu akurat meskipun

input yang dimasukkan benar.

Keunggulan dari metode Audit Through The Computer :

1) Dapat meningkatkan kualitas audit sistem informasi menjadi lebih efektif,

hal ini dikarenakan ruang lingkup dan kemampuan dari pengujian

62

menjadi lebih komprehensif sehingga tingkat reliabilitas dari

pengumpulan dan pengevaluasian bukti dapat lebih ditingkatkan.

2) Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.

3) Auditor dapat menilai kemampuan sistem komputer tersebut untuk

menghadapi perubahan lingkungan.

Kelemahan dari metode Audit Through the Computer adalah :

1) Metode ini membutuhkan biaya yang relatif tinggi karena memerlukan

jam kerja yang lebih banyak untuk dapat lebih memahami pengendalian

internal dari sistem aplikasi.

2) Metode ini memerlukan tenaga ahli terampil yang memiliki keahlian

khusus dan teknik mendalam dalam bidang komputer untuk memahami

cara kerja sistem sehingga proses audit hanya dapat dilakukan oleh

auditor yang sangat berkompeten dalam sistem aplikasi.

Gondodiyoto dan Idris (2003, hh155-158) berpendapat bahwa ada tiga

metode audit sistem informasi antara lain :

1. Audit Around the Computer

Untuk menerapkan metode ini, auditor pertama kali harus menelusuri dan

menguji pengendalian masukan, kemudian menghitung hasil yang

diperkirakan dari proses transaksi, lalu auditor membandingkan hasil

sesungguhnya dengan hasil yang dihitung secara manual.

Disamping masalah minimnya pengetahuan auditor mengenai aspek

teknis komputer atau keterbatasan lain, metode audit around the

computer cocok untuk dilaksanakan pada situasi sebagai berikut :

63

1) Dokumen sumber tersedia dalam bentuk kertas (bahasa non mesin),

artinya masih kasat mata dan dilihat secara visual.

2) Dokumen-dokumen disimpan dalam file dengan cara yang mudah

ditemukan.

3) Keluaran (output) dapat diperoleh dari daftar yang terinci dan auditor

mudah menelusuri setiap transaksi dari dokumen sumber kepada

output dan sebaliknya.

4) Sistem komputer yang diterapkan masih sederhana.

5) Sistem komputer yang diterapkan masih menggunakan software yang

umum digunakan, dan telah diakui, serta digunakan secara massal.

2. Audit Through the Computer

Pada metode ini, auditor tidak hanya melakukan pengujian pada input dan

output melainkan juga pemeriksaan secara langsung terhadap pemrosesan

komputer melalui pemeriksaan logika dan akurasi program meliputi

koding program, desain aplikasi, serta hal lain yang berkaitan dengan

program aplikasinya.

Pendekatan audit langsung ke sistem komputerisasi cocok dalam kondisi :

1) Sistem aplikasi komputer memproses input yang cukup besar dan

menghasilkan output yang cukup besar pula, sehingga memperluas

audit untuk meneliti keabsahannya.

2) Bagian penting dari struktur pengendalian intern perusahaan terdapat

di dalam komputerisasi yang digunakan.

3) Sistem logika komputer sangat kompleks dan memiliki banyak

fasilitas pendukung.

64

4) Adanya jurang yang besar dalam melaksanakan audit secara visual,

sehingga memerlukan pertimbangan antara biaya dan manfaatnya.

3. Audit With the Computer

Pada metode ini audit dilakukan dengan menggunakan komputer dan

software untuk mengotomatisasi prosedur pelaksanaan audit. Metode ini

sangat bermanfaat dalam pengujian substantif atas file dan record

perusahaan. Salah satu software audit yang dapat digunakan adalah GAS

(Generalized Audit Software) dan SAS (Specialized Audit Software).

2.4.6 Tahapan Audit Sistem Informasi

Menurut Weber (1999, pp47-55), ada 5 tahap audit sistem informasi, yaitu :

1). Planning the Audit (Perencanaan Audit)

Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor

eksternal hal ini berarti melakukan investigasi terhadap klien untuk

mengetahui apakah penugasan audit (audit engagement) dapat diterima,

menempatkan staff audit, mendapatkan surat penugasan, mendapatkan

informasi mengenai latar belakang klien, memahami informasi mengenai

kewajiban hukum klien dan melakukan analisa terhadap prosedur yang ada

untuk memahami bisnis klien dan mengidentifikasi area-area yang berisiko.

Pada tahap ini auditor juga harus memahami pengendalian intern organisasi

lalu menentukan tingkat resiko pengendalian yang berhubungan dengan

setiap segmen audit.

65

2). Tests of Controls (Pengujian Pengendalian)

Auditor melakukan test of controls ketika mereka menilai bahwa

tingkat resiko pengendalian berada pada level kurang dari maksimum

(pengendalian masih dapat dipercaya). Test of controls diarahkan kepada

efektifitas pengendalian intern perusahaan, baik dalam rancangan maupun

operasinya (pelaksanaannya).

Tahap ini diawali dengan fokus pada pengendalian manajemen

(management controls), jika pengendalian manajemen dinilai beroperasi

secara tidak andal, maka auditor hanya akan melakukan sedikit pengujian

pada pengendalian aplikasi (application controls). Namun jika auditor

menemukan kelemahan yang serius pada pengendalian manajemen maka

auditor akan memberikan opini tidak wajar (adverse opinion) terhadap

pengendalian yang ada di dalam perusahaan atau melakukan pengujian

substantif (substantive test) atas transaksi dan pengujian keseimbangan dan

hasil keseluruhan (balances or overall result).

Jika auditor menyatakan pengendalian manajemen beroperasi secara

memadai, maka auditor akan melakukan evaluasi terhadap keandalan

pengendalian aplikasi dengan menelusuri jenis-jenis materialitas dari

transaksi melalui masing-masing pengendalian yang dijalankan pada

subsistem pengendalian aplikasi.

3). Tests of Transaction (Pengujian Transaksi)

Auditor menggunakan test ini untuk mengevaluasi apakah kesalahan-

kesalahan atau pemrosesan yang keliru terhadap transaksi telah mengarah

pada kesalahan yang material pada pernyataan laporan keuangan. Tes

66

pembuktian ini mencakup penelusuran terhadap jurnal hingga ke dokumen

sumbernya, menguji kebenaran file, menguji akurasi perhitungan. Jika hasil

tes transaksi mengindikasikan terjadi kehilangan atau kesalahan pencatatan

yang material maka auditor dapat mengembangkan tingkat pengujiannya

dengan melakukan test of balances or overall result untuk mendapatkan

estimasi yang lebih baik terhadap kehilangan/kesalahan pencatatan.

4). Tests of Balances or Overall Results

Auditor melakukan tes ini untuk memperoleh bukti yang cukup

dalam membuat penilaian akhir (final judgment) mengenai tingkat

kehilangan atau kesalahan pencatatan yang terjadi ketika fungsi sistem

informasi gagal melindungi aset, memelihara integritas data, mencapai

efektifitas dan efisiensi sistem informasi.

5). Completion of the Audit

Tahap ini merupakan tahap akhir dari tahapan audit sistem informasi. Pada

tahap ini auditor merumuskan opininya terhadap kehilangan material dan

kesalahan pencatatan yang terjadi sekaligus membuat rekomendasi untuk

manajemen yang nantinya disajikan pada laporan audit.

Adapun jenis-jenis opini yang berlaku umum adalah :

a. Unqualified Opinion (Wajar Tanpa Pengecualian)

Auditor menyatakan bahwa laporan keuangan disajikan secara wajar.

b. Qualified Opinion (Wajar Dengan Pengecualian)

Auditor menyatakan bahwa laporan keuangan disajikan secara wajar,

kecuali pada pos tertentu.

67

c. Adverse Opinion (Pendapat Tidak Wajar)

Auditor merasa yakin bahwa keseluruhan laporan keuangan yang

disajikan memuat salah saji yang material atau menyesatkan sehingga

tidak menyajikan secara wajar posisi keuangan perusahaan sesuai dengan

prinsip akuntansi berlaku umum.

d. Disclaimer of Opinion (Tidak Memberikan Pendapat)

Auditor menolak memberikan pendapat dikarenakan beberapa kondisi

antara lain : pembatasan lingkup audit, hubungan yang tidak independen

antara auditor dan klien, dsb.

2.5 Persediaan

2.5.1 Definisi Persediaan

Mulyadi (2001, h112) berpendapat bahwa, “inventory atau persediaan

terdiri dari barang dagangan yang dimaksudkan untuk diperjualbelikan serta

bahan baku dan bahan pembantu yang dipakai dalam proses produksi barang

yang akan dijual”.

Menurut Puradiredja (1998, h134), persediaan adalah barang yang

tersedia untuk dijual dalam kasus bisnis normal dan dalam kasus produksi barang

dalam produksi atau yang ditempatkan dalam produksi.

Berdasarkan pendapat diatas, penulis menyimpulkan bahwa persediaan

adalah barang atau material yang dapat berupa bahan baku, bahan setengah jadi

dan bahan jadi yang tersedia di gudang yang dapat digunakan untuk mendukung

perusahaan dalam mencapai tujuannya.

68

2.5.2 Jenis Persediaan

Menurut Mulyadi (2001, h114), kita dapat membagi jenis persediaan

kedalam lima bentuk yaitu :

1. Persediaan Bahan Baku.

2. Persediaan Suku Cadang.

3. Persediaan Bahan Penolong.

4. Persediaan Produk Dalam Proses.

5. Persediaan Produk Jadi.

2.5.3 Metode Pencatatan Persediaan

Menurut Mulyadi (2002, h126), ada dua macam metode pencatatan

persediaan, yaitu :

– Metode Mutasi Persediaan (Perpetual Inventory Method)

Dalam metode mutasi persediaan, setiap mutasi persediaan dicatat dalam

kartu persediaan.

– Metode Persediaan Fisik (Physical Inventory Method)

Dalam metode persediaan fisik, hanya tambahan persediaan dari

pembelian saja yang dicatat, sedangkan mutasi berkurangnya persediaan

karena pemakaian tidak dicatat dalam kartu persediaan.

2.5.4 Metode Penilaian Persediaan

Menurut Skousen (2001, h524), ada tiga metode dalam melakukan penilaian

persediaan, yaitu :

69

1. Metode FIFO (First In First Out)

Metode ini didasarkan asumsi bahwa harga yang sudah terjual, dinilai

menurut harga pembelian barang yang terdahulu (pertama) masuk. Dengan

demikian, persediaan akhir dinilai menurut harga pembelian barang yang

terakhir masuk.

2. Metode LIFO (Last In First Out)

Metode ini didasarkan atas asumsi bahwa harga yang telah terjual dinilai

menurut harga pembelian barang yang terakhir masuk sehingga persediaan

yang masih ada dinilai berdasarkan harga pembelian barang yang terdahulu.

3. Metode Rata-Rata (Weight Average Method)

Metode ini didasarkan atas harga rata-rata, dimana harga tersebut

dipengaruhi jumlah barang yang diperoleh pada masing-masing harganya.

Dengan demikian persediaan dinilai berdasarkan harga rata-rata.

2.5.5 Fungsi Persediaan

Menurut Mulyadi (2002, h242), ada 5 fungsi dari persediaan, yaitu:

1. Untuk melakukan pembatasan terhadap inflasi dan perubahan harga.

2. Untuk menghindari dari kekurangan stok yang dapat terjadi karena cuaca,

kekurangan pasokan, masalah mutu, atau pengiriman yang tidak tepat.

3. Untuk memberikan suatu stok barang-barang agar dapat memenuhi

permintaan yang diantisipasi akan timbul dari konsumen.

4. Untuk mengambil keuntungan dari potongan jumlah, karena pembelian

dalam jumlah besar dapat secara substansial menurunkan biaya produk.

70

5. Untuk memasangkan produksi dengan distribusi. Misalnya, bila permintaan

produknya tinggi hanya pada musim panas, suatu perusahaan dapat

membentuk stok selama musim dingin, sehingga biaya kekurangan stok dan

kehabisan stok dapat dihindari.

2.5.6 Pengendalian Internal atas Persediaan

Menurut Render dan Heizer (2001, p318) elemen yang harus ada untuk

mendukung pengendalian internal yang baik atas persediaan adalah :

1. Pengendalian yang efektif atas semua barang yang keluar dari fasilitas.

2. Pengendalian yang ketat atas barang yang datang melalui sistem kode barang

(bar code)

3. Pemilihan karyawan, pelatihan dan disiplin yang baik. Hal ini tidak pernah

dilakukan, tetapi sangat penting dalam bisnis makanan, perdagangan besar,

dan operasi bisnis eceran dimana karyawannya mempunyai akses kepada

barang-barang yang langsung dikonsumsi.

2.6 Sistem Informasi Persediaan

2.6.1 Definisi Sistem Informasi Persediaan

Berdasarkan definisi sistem informasi dan persediaan, penulis menyimpulkan

definisi sistem informasi persediaan sebagai “suatu pengorganisasian peralatan

yang saling berinteraksi untuk mengumpulkan, menginput, memproses,

menyimpan, mengatur, mengontrol, dan melaporkan informasi yang berkaitan

dengan persediaan perusahaan dalam rangka mendukung perusahaan dalam

mengelola persediaannya”.

71

2.7 Audit Sistem Informasi Persediaan

2.7.1 Definisi Audit Sistem Informasi Persediaan

Berdasarkan definisi auditing dan sistem informasi persediaan yang

dikemukakan oleh para ahli, penulis menyimpulkan bahwa definisi dari audit

sistem informasi persediaan adalah suatu proses pengumpulan dan

pengevaluasian bukti-bukti yang dilakukan oleh orang yang kompeten dan

independen terhadap sistem informasi persediaan suatu perusahaan untuk

mengetahui apakah sistem informasi persediaan tersebut telah dapat memberikan

perlindungan terhadap aset perusahaan (persediaan), meningkatkan integritas

data, meningkatkan efektifitas dan efisiensi kinerja perusahaan dalam mengelola

persediaannya.

2.7.2 Pentingnya Audit Persediaan

Menurut Mulyadi (2001, h135), persediaan umumnya mendapat perhatian

yang lebih besar dari auditor didalam auditnya karena berbagai alasan berikut ini:

1. Umumnya persediaan merupakan komponen aktiva lancar yang jumlahnya

cukup material dan merupakan objek manipulasi serta tempat terjadinya

kesalahan-kesalahan besar.

2. Penentuan besarnya nilai persediaan secara langsung mempengaruhi biaya

barang yang dijual (cost of good sales) sehingga berpengaruh pula terhadap

perhitungan laba tahun yang bersangkutan.

3. Verifikasi kuantitas, kondisi, dan nilai persediaan merupakan tugas yang

lebih kompleks dan sulit dibandingkan dengan verifikasi sebagian besar

unsur laporan keuangan yang lain.

72

4. Seringkali persediaan disimpan di berbagai tempat sehingga menyulitkan

pengawasan dan perhitungan fisiknya.

5. Adanya berbagai macam persediaan menimbulkan kesulitan bagi auditor

dalam melaksanakan auditnya.

2.7.3 Tujuan Audit Persediaan

Menurut Mulyadi (2001, h146), ada 6 tujuan audit terhadap persediaan :

1. Memperoleh keyakinan tentang keandalan catatan akuntansi yang

bersangkutan dengan persediaan.

2. Membuktikan asersi keberadaan persediaan yang dicantumkan di neraca dan

keterjadian transaksi yang berkaitan dengan persediaan.

3. Membuktikan asersi kelengkapan transaksi yang berkaitan dengan persediaan

yang dicatat dalam catatan akuntansi dan kelengkapan saldo persediaan yang

disajikan di neraca.

4. Membuktikan asersi hak kepemilikan klien atas persediaan yang

dicantumkan di neraca.

5. Membuktikan asersi penilaian persediaan yang dicantumkan di neraca.

6. Membuktikan asersi penyajian dan pengungkapan persediaan di neraca.

2.7.4 Matriks Penetapan Penilaian Resiko dan Pengendalian pada Sistem

Informasi Persediaan

Setelah memperoleh bukti audit yang berkualitas dan cukup beserta

temuannya dengan menggunakan instrumen pengumpulan bukti, auditor

menggunakan metode Matriks Penetapan Penilaian Resiko dan Pengendalian

73

guna merumuskan dan mempertajam analisa terhadap bukti audit dan temuan

agar dapat merumuskan dan menyimpulkan opini yang andal dengan melakukan

perbandingan dan penilaian terhadap tingkat resiko dan control yang ada.

Metode Penetapan Penilaian Resiko dan Pengendalian ini didasari oleh teori

Pickett yang dinyatakan dalam bukunya yang berjudul The Essential Handbook

of Internal Auditing (2005, pp56-60) yang sebagian dari esensi buku ini juga

didukung oleh Thomas R. Peltier dalam bukunya yang berjudul Information

Security Risk Analysis (2001, pp60-63).

1. Matriks Penilaian Resiko

Matriks penilaian resiko adalah suatu cara untuk menganalisa seberapa

besar resiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan

cara menganalisa pengaruh dan korelasi antara tingkat impact (dampak)

yang ditimbulkan dari suatu resiko dengan tingkat likelihood

(keterjadian) dari resiko tersebut. Besarnya tingkatan dampak dan

keterjadiaan suatu resiko dinyatakan sebagai berikut :

− L atau Low diberi nilai -1

− M atau Medium diberi nilai -2

− H atau High diberi nilai -3

Nilai negatif (-) hanya menyimbolkan bahwa nilai tersebut merupakan

nilai dari resiko(karakteristik resiko yang bersifat negatif).

Teknik perhitungan dalam matriks penilaian resiko menggunakan fungsi

perkalian antara dampak (impact) dengan keterjadian (likelihood).

Adapun kriteria dari hasil penilaian dari matriks resiko terdiri dari :

74

a. Resiko kecil (Low) nilainya berkisar antara -1 dan -2, hal ini

dihasilkan dari beberapa kondisi seperti dibawah ini :

− Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai resiko

adalah -1.

− Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai

resiko adalah -2.

− Jika dampak Medium (-2) dan keterjadian Low (-1), maka nilai

resiko adalah -2. Artinya nilai resiko dari dampak dan keterjadian

adalah kecil.

b. Resiko sedang (Medium) nilainya berkisar antara -3 dan -4, hal ini

dihasilkan dari beberapa kondisi seperti dibawah ini :

− Jika dampak Low (-1) dan keterjadian High (-3), maka nilai resiko

adalah -3.

− Jika dampak Medium (-2) dan keterjadian Medium (-2), maka

nilai resiko adalah -4.

− Jika dampak High (-3) dan keterjadian Low (-1), maka nilai resiko

adalah -3. Artinya nilai resiko dari dampak dan keterjadian adalah

sedang.

c. Resiko tinggi (High) nilainya berkisar antara -6 dan -9, hal ini

dihasilkan dari beberapa kondisi seperti dibawah ini :

− Jika dampak Medium (-2) dan keterjadian High (-3), maka nilai

resiko adalah -6.

75

− Jika dampak High (-3) dan keterjadian Medium (-2), maka nilai

resiko adalah -6.

− Jika dampak High (-3) dan keterjadian High (-3), maka nilai

resiko adalah -9. Artinya nilai resiko dari dampak dan keterjadian

adalah tinggi.

2. Matriks Penilaian Pengendalian

Matriks penilaian pengendalian adalah suatu cara untuk menganalisa

seberapa efektif dan efisiennya suatu pengendalian yang ada dalam

mengcover suatu resiko atau ancaman. Hal ini dilakukan dengan cara

menganalisa pengaruh dan korelasi antara tingkat efektifitas pengendalian

dengan desain dari pengendalian tersebut. Desain pengendalian

mencerminkan seberapa baikkah control yang ada atau yang dimiliki

perusahaan dalam mengcover resiko sedangkan untuk efektifitas

-3 H

-2 M

-1 L

L M H -3-2-1

LIKELIHOOD

I M P A C T -1 -2 -3

-2 -4 -6

-3 -6 -9

Gambar 2.3 Matriks Penilaian Resiko

Sumber : Dikembangkan Penulis Berdasarkan Landasan Teori

76

mencerminkan seberapa besar tingkat ketaatan/komitmen karyawan

dalam menjalankan control yang ada.

Besarnya tingkatan efektifitas dan desain suatu pengendalian yang

dimiliki perusahaan dinyatakan sebagai berikut :

− L atau Low diberi nilai 1

− M atau Medium diberi nilai 2

− H atau High diberi nilai 3

Teknik perhitungan dalam matriks penilaian pengendalian menggunakan

fungsi perkalian antara efektifitas (ketaatan penerapan control) dengan

desain (keandalan konsep control). Adapun kriteria dari hasil penilaian

dalam matriks pengendalian terdiri dari :

a. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, hal ini

dihasilkan dari beberapa kondisi seperti dibawah ini :

− Jika efektifitas Low (1) dan desain Low (1), maka nilai

pengendalian adalah 1.

− Jika efektifitas Low (1) dan desain Medium (2), maka nilai

pengendalian adalah 2.

− Jika efektifitas Medium (2) dan desain Low (1), maka nilai

pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas

dan desain adalah kecil.

b. Pengendalian sedang (Medium) nilainya berkisar antara 3 dan 4,

seperti:

77

− Jika efektifitas Low (1) dan desain High (3), maka nilai

pengendalian adalah 3.

− Jika efektifitas Medium (2) dan desain Medium (2), maka nilai

pengendalian adalah 4.

− Jika efektifitas High (3) dan desain Low (1), maka nilai

pengendalian adalah 3. Artinya nilai pengendalian dari efektifitas

dan desain adalah sedang.

c. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9, seperti:

− Jika efektifitas Medium (2) dan desain High (3), maka nilai

pengendalian adalah 6.

− Jika efektifitas High (3) dan desain Medium (2), maka nilai

pengendalian adalah 6.

− Jika efektifitas High (3) dan desain High (3), maka nilai

pengendalian adalah 9. Artinya nilai pengendalian dari efektifitas

dan desain adalah tinggi.

3 H

2 M

1 L

H

EFETIFITAS

1 2 3

2 4 6

3 6 9

L M1 2 3

DESAIN

Gambar 2.4 Matriks Penilaian Pengendalian

Sumber : Dikembangkan Penulis Berdasarkan Landasan Teori

78

Penetapan tingkat efektifitas pengendalian terhadap resiko adalah sebagai

berikut:

− Jika hasil akumulasi antara resiko dan pengendalian adalah 0, maka tingkat

pengendalian dan resiko adalah standard, artinya pengendalian yang ada

masih dapat diandalkan untuk mengcover resiko, namun perlu dilakukan

pengawasan secara berkelanjutan agar resiko tidak dapat melampaui

pengendalian di kemudian hari.

− Jika hasil akumulasi antara resiko dan pengendalian adalah positif, maka

pengendalian adalah baik. Artinya pengendalian yang ada dapat sepenuhnya

diandalkan untuk mengcover resiko yang ada.

Namun perlu diperhatikan bahwa jika hasil akumulasi antara resiko dan

pengendalian terlalu tinggi (bernilai positif) maka ada kemungkinan telah

terjadi over control yang dapat menyebabkan terjadinya inefisiensi.

− Jika hasil akumulasi antara resiko dan pengendalian adalah negatif, maka

pengendalian adalah buruk. Artinya pengendalian yang ada tidak dapat

mengcover resiko sepenuhnya (tidak dapat diandalkan) sehingga perlu

dilakukan perubahan/peningkatan pengendalian guna mengendalikan dan

menghindari resiko yang lebih besar.

Namun perlu diperhatikan bahwa semakin tinggi hasil akumulasi antara

resiko dan pengendalian (bernilai negatif) maka semakin tinggi tingkat resiko

yang akan dihadapi perusahaan sehingga memerlukan

peningkatan/pengembangan pengendalian untuk mengendalikan/menghindari

resiko yang lebih besar.