8

BAB 2

LANDASAN TEORI

2.1 Sistem Informasi

2.1.1 Pengertian Sistem

Menurut Mulyadi (2001, p2), sistem merupakan kelompok unsur

yang erat berhubungan satu dengan yang lainnya, yang berfungsi bersama-

sama untuk mencapai tujuan tertentu. Suatu sistem terdiri dari struktur dan

proses, dimana struktur sistem merupakan unsur-unsur yang membentuk

sistem tersebut, sedangkan proses sistem menjelaskan cara kerja setiap

unsur sistem tersebut dalam mencapai tujuan sistem. Setiap sistem

merupakan bagian dari sistem lain yang lebih besar dan terdiri dari

berbagai sistem yang lebih kecil, yang disebut sebagai suatu subsistem.

Menurut O’Brien (2005, p714), sistem merupakan sekelompok

komponen yang bekerja bersama menuju tujuan yang bersama dengan

menerima input serta menghasilkan output dalam proses transformasi yang

teratur.

Menurut McLeod (2001, p11), sistem adalah sekelompok elemen

yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan.

Dari pendapat-pendapat di atas maka dapat disimpulkan bahwa

“sistem” adalah sekelompok elemen yang saling berkaitan dan membentuk

kesatuan serta bekerja bersama dalam mencapai tujuan tertentu.

  9

2.1.2 Pengertian Sistem Informasi

Menurut O’Brien (2005, p5), sistem informasi dapat merupakan

kombinasi teratur apapun dari orang–orang, hardware, software, jaringan

komunikasi dan sumber daya data yang mengumpulkan, mengubah, dan

menyebarkan informasi dalam sebuah organisasi.

Menurut Hall (2001, p7), sistem informasi diartikan sebagai

rangkaian prosedur formal dimana data dikumpulkan, diproses menjadi

informasi dan didistribusikan kepada para pemakai.

Maka dapat disimpulkan sistem informasi merupakan kumpulan dari

orang-orang, hardware, software, jaringan komunikasi, sumber daya data

yang berinteraksi untuk mengumpulkan, memproses, menyimpan dan

menyediakan sebagai output informasi yang diperlukan untuk mendukung

sebuah organisasi.

2.2 Evaluasi

2.2.1 Pengertian Evaluasi

Menurut Suharsimi Arikunto (2004), evaluasi adalah kegiatan untuk

mengumpulkan informasi tentang bekerjanya sesuatu, yang selanjutnya

informasi tersebut digunakan untuk menentukan alternatif yang tepat dalam

mengambil keputusan.

Menurut Arikunto (1999), evaluasi adalah suatu rangkaian kegiatan

yang dilakukan dengan sengaja untuk melihat keberhasilan program.

Dari pengertian-pengertian tentang evaluasi yang telah dijabarkan

diatas, maka dapat disimpulkan bahwa evaluasi merupakan alat bantu bagi

  10

pimpinan suatu organisasi dalam membuat suatu keputusan. Evaluasi

merupakan sebuah proses yang dilakukan oleh seseorang untuk mencari

informasi tentang prosedur tertentu dan sejauh mana keberhasilan program

yang digunakan oleh suatu organisasi dalam mendukung operasional

bisnisnya.

2.3 Sistem Informasi Akuntansi

2.3.1 Pengertian Sistem Informasi Akuntansi

Menurut Jones dan Rama (2003, p4), sistem informasi akuntansi

merupakan kumpulan kegiatan yang mendukung aktivitas sistem informasi

manajemen, dimana sistem informasi manajemen merupakan sistem yang

menangkap data organisasi, menyimpan dan memelihara data tersebut dan

menyediakan informasi yang bermanfaat untuk fungsi produksi,

pemasaran, sumber daya manusia, akuntansi dan keuangan.

Menurut Bodnar dan Hopwood (2001, p1), sistem informasi

akuntansi adalah kumpulan dari sumber daya, seperti manusia dan

peralatan yang diatur untuk mengubah data keuangan dan data lainnya

menjadi informasi.

Menurut Romney dan Steinbart (2003, p691), sistem informasi

akuntansi adalah manusia dan sumber daya di dalam sebuah organisasi

yang bertanggung jawab untuk mempersiapkan informasi keuangan dan

informasi yang diperoleh dengan mengumpulkan dan memproses transaksi-

transaksi perusahaan.

  11

Dari beberapa pengertian di atas maka dapat disimpulkan bahwa

sistem informasi akuntansi merupakan proses pengolahan data yang

hasilnya berguna untuk membuat laporan keuangan untuk fungsi-fungsi

yang ada dalam organisasi sehingga dapat mendukung aktivitas sistem

informasi manajemen.

Menurut Romney dan Steinbart (2003, p2), Komponen dalam sistem

informasi akuntansi terdiri dari lima, antara lain:

a. People

Orang yang menjalankan sistem dan berbagai fungsi.

b. Procedures and Instructions

Keduanya manual dan otomatis, terlibat dalam pengumpulan,

pengolahan, dan penyimpanan data mengenai aktivitas organisasi.

c. Data

Data mengenai proses bisnis organisasi.

d. Software

Software digunakan untuk memproses data organisasi.

e. Information Technology Infrastructure

Information Technology Infrastructure termasuk komputer, perangkat-

perangkat lainnya, dan perangkat jaringan komunikasi yang digunakan

untuk mengumpulkan, menyimpan, mengolah, dan mengirimkan data

dan informasi.

  12

2.3.2 Tujuan Pengembangan Sistem Informasi Akuntansi

Menurut Jones dan Rama (2003, p6), tujuan sistem informasi

akuntansi adalah :

a. Producting External Report

Bisnis menggunakan sistem informasi manajemen untuk menghasilkan

laporan-laporan khusus untuk kepuasan kebutuhan investor, kreditor,

tax collector, regulatory, agencies, dan lain-lain.

b. Supporting Routine Activities

Manager memerlukan sistem informasi manajemen untuk menangani

kegiatan operasi rutin perusahaan selama masa operasi perusahaan.

c. Decision Support

Informasi juga dibutuhkan untuk mengambil keputusan non rutin pada

sebuah tingkat dalam organisasi.

d. Planning and Control

Sistem informasi diperlukan untuk aktivitas perencanaan dan

pengendalian yang baik.

e. Implementating Internal Control

Yang termasuk dalam internal control adalah kebijakan, prosedur, dan

sistem informasi yang digunakan untuk melindungi asset perusahaan

dari kehilangan dan memelihara keakuratan data finansial.

  13

2.4 Sistem Informasi Penjualan

2.4.1 Pengertian Sistem informasi Penjualan

Menurut Mulyadi (2001, p202), kegiatan penjualan barang dan jasa

dapat dibedakan menjadi dua jenis yaitu :

a. Sistem Penjualan Tunai

Penjualan secara tunai dilakukan perusahaan dengan cara mewajibkan

pembeli melakukan pembayaran terlebih dahulu sebelum barang

diserahkan. Setelah uang diterima oleh perusahaan, barang kemudian

diserahkan kepada pembeli.

b. Sistem Penjualan Kredit

Penjualan secara kredit dilaksanakan dengan cara mengirim barang

dahulu kepada pembeli berdasarkan pesanan, dengan pembayaran

ditagih dalam jangka waktu tertentu.

2.4.2 Sistem Penjualan Kredit

2.4.2.1 Fungsi-Fungsi yang Terkait Dalam Sistem Penjualan Kredit

Menurut Mulyadi (2001, p211), fungsi-fungsi yang terkait

dalam sistem penjualan kredit adalah sebagai berikut :

a. Fungsi Penjualan

Fungsi ini bertanggung jawab untuk menerima surat order

dari pembeli, mengedit order dari pelanggan untuk

menambahkan informasi yang belum ada pada surat order

tersebut (seperti spesifikasi barang dan rute pengiriman),

meminta organisasi kredit, menentukan tanggal pengiriman,

  14

dan dari gudang mana barang akan dikirim, serta mengisi

surat order pengiriman.

b. Fungsi Kredit

Fungsi ini bertanggung jawab untuk meneliti status kredit

pelanggan dan memberikan otorisasi pemberian kredit kepada

pelanggan. Sebelum order dari pelanggan dipenuhi, harus

terlebih dahulu diperoleh otorisasi penjualan kredit dari fungsi

kredit. Pengecekan status kredit perlu dilakukan sebelum

fungsi penjualan mengisi surat order penjualan.

c. Fungsi Gudang

Fungsi ini bertanggung jawab untuk menyimpan barang dan

menyiapkan barang yang dipesan oleh pelanggan, serta

menyerahkan barang ke fungsi pengiriman.

d. Fungsi Pengiriman

Fungsi ini bertanggung jawab untuk menyerahkan barang atas

surat order pengiriman yang diterimanya dari fungsi

penjualan. Selain itu bertanggung jawab untuk menjamin

bahwa tidak ada barang yang keluar dari perusahaan tanpa

ada otorisasi dari yang berwenang.

e. Fungsi Penagihan

Fungsi ini bertanggung jawab untuk membuat dan

mengirimkan faktur penjualan kepada pelanggan, serta

menyediakan copy faktur bagi kepentingan catatan transaksi

penjualan oleh fungsi akuntansi.

  15

f. Fungsi akuntansi

Fungsi ini bertanggung jawab untuk mencatat piutang dari

transaksi penjualan kredit, membuat dan mengirimkan

pernyataan piutang kepada para debitur, serta membuat

laporan penjualan. Selain itu bertanggung jawab untuk

mencatat harga pokok persediaan yang dijual ke dalam

persediaan.

2.4.2.2 Prosedur Sistem Penjualan Kredit

Menurut Mulyadi (2001, p210), penjualan kredit

dilaksanakan oleh perusahaan dengan cara mengirimkan baran g

sesuai dengan order yang diterima dari pembeli dan untuk jangka

waktu tertentu perusahaan mempunyai tagihan kepada pembeli

tersebut.

Menurut Mulyadi (2001, p219), jaringan prosedur yang

membentuk sistem penjualan kredit adalah sebagai berikut :

a. Prosedur Order Penjualan

Dalam prosedur ini, fungsi penjualan menerima order dari

pembeli dan menambahkan informasi penting pada surat

order dari pembeli. Fungsi penjualan kemudian membuat

surat order pengiriman dan mengirimkannya kepada berbagai

fungsi lain yang memungkinkan fungsi tersebut memberikan

kontribusi dalam melayani order dari pembeli.

  16

b. Prosedur Persetujuan Kredit

Dalam prosedur ini, fungsi penjualan meminta persetujuan

kredit kepada pembeli tertentu dari fungsi kredit.

c. Prosedur Pengiriman

Dalam prosedur ini, fungsi pengiriman mengirimkan barang

kepada pembeli sesuai dengan informasi yang tercantum

dalam surat order pengiriman yang diterima dari fungsi

pengiriman.

d. Prosedur Penagihan

Dalam prosedur ini, fungsi penagihan membuat faktur

penjualan dan mengirimkannya kepada pembeli. Dalam

metode tertentu faktur penjualan dibuat oleh fungsi penjualan

sebagai tembusan pada waktu bagian ini membuat surat order

pengiriman.

e. Prosedur Pencatatan Piutang

Dalam prosedur ini, fungsi akuntansi mencatat tembusan

faktur penjualan kedalam kartu piutang atau dalam metode

pencatatan tertentu mengarsipkan dokumen tembusan

menurut abjad yang berfungsi sebagai catatan piutang.

f. Prosedur Distribusi Penjualan

Dalam prosedur ini, fungsi akuntansi mendistribusikan data

penjualan menurut informasi yang diperlukan oleh

manajemen.

  17

g. Prosedur Pencatatan Harga Pokok Penjualan

Dalam prosedur ini, fungsi akuntansi mencatat secara periodik

total harga pokok produk yang dijual dalam periode akuntansi

tertentu.

2.4.2.3 Dokumen Penjualan

Menurut Mulyadi (2001, p214), dokumen yang digunakan

dalam penjualan meliputi:

a. Surat Order Pengiriman dan Tembusannya

Surat Order Pengiriman yang memberikan otorisasi kepada

fungsi pengiriman untuk mengirimkan jenis barang dan

jumlah barang yang tertera dalam dokumen.

b. Faktur dan Tembusannya

Faktur penjualan diserahkan kepada pelanggan serta tanda

bukti bahwa barang telah diterima pelanggan dan perusahaan

menggunakannya untuk menagih kepada pelanggan dan

dipakai sebagai dasar pencatatan timbulnya piutang.

c. Rekapitulasi Harga Pokok Penjualan

Dokumen yang digunakan untuk menghitung total HPP (

Harga Pokok Penjualan ) yang dijual dalam periode tertentu.

d. Bukti Memorial

Dokumen sumber untuk dasar pendapatan ke dalam jurnal

umum. Pada penjualan kredit, bukti memorial ini merupakan

  18

dokumen sumber untuk mencatat HPP ( Harga Pokok

Penjualan ) yang dijual dalam periode tertentu.

2.5 Audit

2.5.1 Pengertian Audit

Menurut Arens dan Loebbecke yang diterjemahkan Jusuf (2003, p 1),

auditing adalah proses pengumpulan dan pengevaluasian bahan bukti

tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang

dilakukan seorang kompeten dan independen untuk dapat menentukan dan

melaporkan kesesuaian informasi dimaksud dengan kriteria-kriteria yang

telah ditetapkan.

Menurut James A. Hall (2001, p42), auditing adalah salah satu

bentuk pengujian independen yang dilakukan oleh seorang auditor yang

menunjukkan pendapatnya tentang kejujuran laporan keuangan.

Jadi dapat disimpulkan bahwa pengertian audit adalah kegiatan

memperoleh dan mengevaluasi bukti audit oleh auditor berdasarkan standar

atau kinerja yang telah ditetapkan untuk menghasilkan laporan keuangan

yang jujur.

2.5.2 Jenis – Jenis Audit

Pada umumnya kegiatan audit dapat diklasifikasikan di dalam

beberapa jenis audit. Menurut Aren & Loebbecke (2003, p4), terdapat

tiga jenis audit yaitu :

  19

1. Audit Laporan Keuangan (Financial Statement Audit)

Audit laporan keuangan bertujuan untuk menentukan apakah laporan

keuangan secara keseluruhan yang merupakan informasi terukur yang

akan diverifikasi telah disajikan sesuai dengan kriteria-kriteria

tertentu.

2. Audit Ketaatan (Compliance Audit)

Audit ketaatan bertujuan umtuk mempertimbangkan apakah audit

telah mengikuti prosedur atau aturan yang telah ditetapkan pihak yang

memiliki otoritas lebih tinggi.

3. Audit Operasional (Operational Audit)

Audit operasional merupakan penelahaan atas bagian manapun dari

prosedur dan metode operasional untuk menilai efisiensi dan

efektivitasnya.

2.6 Audit Sistem Informasi

2.6.1 Pengertian Audit Sistem informasi

Menurut Arens dan Loebbecke (2003, p1), untuk melakasanakan

audit diperlukan informasi yang dapat diverifikasi dan sejumlah standar

atau kriteria yang dapat digunakan sebagai penangananan pengevaluasian

informasi tersebut. Supaya dapat diverifikasi, informasi harus dapat diukur.

Menurut Weber (1999, p10), audit sistem informasi adalah proses

pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah

sistem komputer dapat melindungi aktiva-aktiva, menjaga integritas data,

  20

mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya

secara efisien.

Dapat disimpulkan bahwa pengertian audit sistem informasi adalah

proses pengumpulan dan pengevaluasian bukti oleh orang yang kompeten

dan independen untuk menetapkan apakah sistem yang dijalankan sesuai

dengan kriteria yang telah ditetapkan.

2.6.2 Tujuan Audit Sistem informasi

Menurut Gondodiyoto (2007, p474-475), tujuan audit sistem

informasi adalah :

a. Pengamanan Aset

Aset informasi suatu perusahaan seperti perangkat keras (hardware),

perangkat lunak (software), sumber daya manusia, dan file/data harus

dijaga dengan sistem pengendalian intern yang baik agar tidak terjadi

penyalahgunaan aset perusahaan.

b. Efektifitas Sistem

Efektifitas sistem informasi perusahaan memiliki peranan dalam

proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan

efektif bila sistem informasi tersebut sudah dirancang dengan benar,

telah sesuai dengan kebutuhan user.

c. Efisiensi Sistem

Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya

terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka

pihak manajemen harus mengevaluasi apakah efisiensi sistem masih

  21

memadai atau harus menambah sumber daya, karena suatu sistem

dapat dikatakan efisien jika sistem informasi dapat memenuhi

kebutuhan user dengan sumber daya informasi yang minimal.

d. Ketersediaan (Avaibility)

Berhubungan dengan ketersediaan dukungan/layanan teknologi

informasi (TI). TI hendaknya dapat mendukung secara kontinyu

terhadap proses bisnis (kegiatan perusahaan). Makin sering terjadi

gangguan (system down) maka berarti tingkat ketersediaan sistem

rendah.

e. Kerahasiaan (Confidentiality)

Fokusnya ialah pada proteksi terhadap informasi dan supaya

terlindungi dari akses dari pihak-pihak yang tidak berwenang.

f. Kehandalan (Realibilty)

Berhubungan dengan kesesuaian dan keakuratan bagi manajemen

dalam pengelolaan organisasi, pelaporan dan pertanggungjawaban.

g. Menjaga integritas data

Integritas data (data integrity) adalah salah satu konsep dasar sistem

informasi. Data memiliki atribut-atribut seperti: kelengkapan,

kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka

suatu perusahaan tidak akan lagi memiliki informasi/laporan yang

benar, bahkan perusahaan dapat menderita kerugian karena

pengawasan tidak tepat atau keputusan-keputusan yang salah.

  22

2.6.3 Tahapan Audit Sistem Informasi

Menurut Gondodiyoto ( 2007, p487 ), tahapan audit terdiri dari :

1. Subjek Audit

Tentukan/identifikasi unit/lokasi yang diaudit

2. Sasaran Audit

Tentukan sistem secara spesifik, fungsi atau unit organisasi yang akan

diperiksa.

3. Jangkauan Audit

Identifikasi sistem secara spesifik, fungsi atau unit organisasi untuk

dimasukkan lingkup pemeriksaan.

4. Rencana Pre-audit

a. Identifikasi kebutuhan keahlian teknik dan sumber daya yang

diperlukan untuk audit.

b. Identifikasi sumber bukti untuk tes atau review seperti fungsi flow

chart, kebijakan, standard prosedur dan kertas kerja audit

sebelumnya.

5. Prosedur Audit dan Langkah-Langkah Pengumpulan Bukti Audit

a. Identifikasi dan pilih pendekatan audit untuk memeriksa dan

menguji pengendalian intern.

b. Identifikasi daftar individu untuk interview.

c. Identifikasi dan menghasilkan kebijakan yang berhubungan dengan

bagian, standard dan pedoman untuk interview.

d. Mengembangkan instrument audit dan metodologi pengujian dan

pemeriksaan control internal.

  23

6. Prosedur Untuk Evaluasi

a. Organisasikan sesuai kondisi dan situasi

b. Identifikasi prosedur evaluasi atas tes efektifitas dan efisiensi

sistem, evaluasi kekuatan dari dokumen, kebijakan dan prosedur

yang diaudit.

7. Pelaporan Hasil Audit

Siapkan laporan yang obyektif, konstruktif (bersifat membangun) dan

menampung penjelasan auditee.

2.6.4 Standard Audit

Menurut Gondodiyoto dan Hendarti (2007, p197), Standard Audit

yang termuat dalam Standar Profesional Akuntan Publik (Ikatan Akuntan

Indonesia, 2001) terdiri dari :

1. Standard Umum

a. Audit harus dilaksanakan oleh seorang atau lebih yang memiliki

keahlian dan pelatihan teknis cukup sebagai auditor.

b. Dalam semua hal yang berhubungan dengan penugasan,

independensi dalam sikap mental harus dipertahankan oleh

auditor.

c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor

wajib menggunakan kemahiran profesionalnya dengan cermat dan

seksama.

  24

2. Standard Pekerjaan Lapangan

a. Pekerjaan harus direncanakan sebaik-baiknya dan jika digunakan

asisten harus disupervisi dengan semestinya.

b. Pemahaman yang memadai atas struktur pengendalian intern harus

diperoleh untuk merencanakan audit dan menentukan sifat, saat

dan lingkup pengujian yang akan dilakukan.

c. Bahan bukti kompeten yang cukup harus diperoleh melalui

inspeksi, pengamatan, pengajuan pertanyaan, dan konfirmasi

sebagai dasar yang memadai untuk menyatakan pendapat atas

laporan keuangan yang diaudit.

3. Standard Pelaporan

a. Laporan audit harus menyatakan apakah laporan keuangan telah

disusun sesuai dengan prinsip akuntansi berterima umum.

b. Laporan audit harus menunjukkan keadaan yang di dalamya

prinsip akuntansi tidak secara konsisten diterapkan dalam

penyusunan laporan keuangan periode berjalan dalam

hubungannya dengan prinsip akuntansi yang diterapkan dalam

periode sebelumnya.

c. Pengungkapan informatif dalam laporan keuangan harus

dipandang memadai, kecuali dinyatakan lain dalam laporan audit.

d. Laporan audit harus memuat suatu pernyataan pendapat mengenai

laporan keuangan secara keseluruhan tidak dapat diberikan, maka

alasannya harus dinyatakan.

  25

2.6.5 Metode Audit Sistem Informasi

Menurut Gondodiyoto (2007, p451-454), ada 3 metode Audit Sistem

Informasi yang dapat dilakukan oleh auditor, sebagai berikut :

1. Audit Around the computer

Auditor tidak perlu menguji pengendalian SI berbasis teknologi

informasi klien (file program/pengendalian atas file/data di komputer),

melainkan cukup terhadap input (dokumen) serta output (laporan)

sistem aplikasi saja. Dari penilaian terhadap kualitas dan kesesuaian

antara input dengan output sistem aplikasi ini, auditor dapat

mengambil kesimpulan tentang kualitas pemrosesan data yang

dilakukan klien (meskipun proses/program komputernya tidak

diperiksa) dan memberikan opini. Auditor yang memiliki pengetahuan

minimal di bidang komputer dapat dilatih dengan mudah untuk

melaksanakan audit.

2. Audit Through the Computer

Dalam pendekatan audit ke sistem komputer (audit through the

computer) auditor melakukan pemeriksaan langsung terhadap

program-program dan file-file komputer pada audit SI berbasis TI.

Auditor memperoleh kemampuan yang besar dan efektif dalam

melakukan pengujian terhadap sistem komputer. Auditor akan merasa

lebih yakin terhadap kebenaran hasil kerjanya.

  26

Audit through the computer memerlukan tenaga ahli auditor yang

terampil dalam pengetahuan teknologi informasi, dan mungkin perlu

biaya yang besar pula.

3. Audit With the Computer

Audit With the Computer merupkan suatu pendekatan audit dengan

bantuan komputer, Menggunakan komputer sebagai alat bantu dalam

audit, menyangkut pengujian program, file atau data yang

dipergunakan dan dimiliki oleh perusahaan (sebagai software bantuan

audit). Metode ini merupakan pendekatan audit yang dengan

menggunakan komputer dan software untuk mengotomatisasi prosedur

pelaksanaan audit.

2.7 Sistem Pengendalian Internal

2.7.1 Pengertian Sistem Pengendalian Internal

Menurut Mulyadi (2001, p163), sistem pengendalian internal

meliputi struktur organisasi, metode, dan ukuran-ukuran yang

dikoordinasikan untuk menjaga kekayaan organisasi dan mengecek

ketelitian dan kehandalan data akuntansi, mendorong efisiensi, dan

mendorong dipatuhinya kebijakan manajemen.

Menurut Romney (2003, p195), sistem pengendalian internal adalah

suatu rencana dari organisasi dan metode sebuah bisnis yang digunakan

untuk melindungi asset, mendukung akurasi dan kebenaran informasi,

  27

menyebarkan dan menambah efisiensi operasional serta meningkatkan

ketepatan dalam pengambilan keputusan manajerial.

Berdasarkan definisi di atas dapat disimpulkan bahwa sistem

pengendalian internal merupakan sebuah sistem yang dirancang oleh pihak

manajemen sebuah organisasi untuk mengendalikan dan mengawasi

seluruh kegiatan organisasi tersebut dalam rangka menjaga asset

perusahaan, menjamin dipatuhinya kebijakan manajemen, meningkatkan

efisiensi operasional serta ketepatan pengambilan keputusan.

2.7.2 Tujuan Sistem Pengendalian Internal

Menurut Mulyadi (2001, p163), mengungkapkan empat tujuan

sistem pengendalian internal, yaitu untuk:

a. Menjaga kekayaan organisasi.

b. Mengecek ketelitian dan kehandalan data akuntansi.

c. Meningkatkan efisiensi usaha.

d. Mendorong dipatuhinya kebijakan manajemen.

Sedangkan menurut Gondodiyoto (2007, p260), sistem pengendalian

internal dijalankan bertujuan untuk:

a. Meningkatkan pengamanan ( improve safeguard ) asset informasi dan

data atau catatan akuntansi ( accounting records ).

b. Meningkatkan integritas data ( improve data integrity ) sehingga

dengan data yang benar dan konsisten akan dapat dibuat laporan yang

benar.

  28

c. Meningkatkan efektivitas sistem (improve system effectiveness).

d. Meningkatkan efesiensi sistem ( improve system efficiency ).

2.7.3 Komponen Sistem Pengendalian Internal

Menurut Weber (1999, p49), pengendalian internal terdiri dari lima

komponen yang saling terintegrasi, antara lain:

a. Lingkungan pengendalian ( Control Environment )

Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian

wewenang dan tanggung jawab yang harus dilakukan, cara komite

audit berfungsi, dan metode-metode yang digunakan untuk

merencanakan dan memonitor kinerja.

b. Penaksiran Resiko ( Risk Assesment )

Mencakup tentang identifikasi resiko, analisa resiko, dan cara

pengendalian resiko.

c. Aktivitas pengendalian ( Control Activities )

Aktivitas pengendalian resiko meliputi otorisasi, pengendalian fisik,

pemeriksaan independen, dokumentasi yang memadai, pemisahan

tugas dan fungsi.

d. Pemrosesan informasi dan komunikasi (Information and

Communication)

Komponen utama informasi digunakan untuk mengidentifikasikan,

mendapatkan, dan menukarkan data yang dibutuhkan untuk

mengendalikan dan mengatur operasi perusahaan.

  29

e. Pemantauan

Memastikan pengendalian internal beroperasi dengan baik sepanjang

waktu.

2.8 Sistem Pengendalian Intern Pada Sistem Berbasis Komputer

Menurut Weber (1999, p 38), struktur pengendalian internal yang perlu

dilakukan pada sistem berbasis komputer adalah sebagai berikut:

1. Pengendalian umum.

2. Pengendalian aplikasi.

2.8.1 Pengendalian Umum

Pengendalian yang berlaku umum, artinya ketentuan-ketentuan yang

berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan

komputerisasi di dalam pengendalian tersebut. Apabila tidak dilakukan

pengendalian ini atau pengendaliannya lemah maka berakibat negatif

terhadap pengendalian aplikasi.

Pengendalian umum terdiri dari:

1. Pengendalian Top Manajemen ( Top Level Management Control ).

Mengendalikan peranan manajemen dalam perencanaan

kepemimpinan dan pengawasan fungsi sistem.

2. Pengendalian Manajemen Sistem Informasi (Information System

Management Control ).

  30

Mengendalikan alternatif dari model pengembangan proses informasi

sehingga dapat digunakan sebagai dasar pengumpulan dan

pengevaluasian bukti.

3. Pengendalian Manajemen Pengembangan Sistem (System

Development Management Control ).

Mengendalikan tahapan utama dari daur hidup program dan

pelaksanaan dari tiap tahap.

4. Pengendalian Manajemen Sumber Data (Data Resource Management

Control).

Mengendalikan peranan dan fungsi dari data administrator atau

database administrator.

5. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance

Management Control).

Mengendalikan fungsi utama yang harus dilakukan oleh Quality

Assurance Management untuk meyakinkan bahwa pengembangan,

pelaksanaan, dan pengoperasian, dan pemeliharaan dari sistem

informasi sesuai dengan standar kualitas.

6. Pengendalian Manajemen Keamanan ( Security Management Control )

Menurut Weber (1999, p257-266), dapat disimpulkan bahwa

pengendalian terhadap manajemen keamanan secara garis besar

bertanggung jawab dalam menjamin asset sistem informasi tetap

aman. Ancaman utama terhadap keamanan asset sistem informasi

adalah:

  31

a. Ancaman kebakaran

Beberapa pelaksanaan kemananan untuk ancaman kebakaran:

1. Memiliki alarm kebakaran otomatis yang diletakan pada

tempat di mana asset-asset sistem informasi berada.

2. Memiliki tabung kebakaran yang diletakkan pada lokasi yang

mudah diambil.

3. Memiliki tombol utama ( termasuk AC ).

4. Gedung tempat penyimpanan asset sistem informasi dibangun

dari bahan tahan api.

5. Memiliki pintu / tangga darurat yang diberi tanda dengan jelas

sehingga karyawan mudah menggunakannya.

6. Ketika alarm berbunyi, signal langsung dikirim ke stasiun

pengendalian yang selalu dijaga oleh staff.

7. Prosedur pemeliharaan gudang yang baik menjamin tingkat

polusi sesuatunya telah dirawat dengan baik.

b. Ancaman banjir

Beberapa pelaksanaan keamanan untuk ancaman banjir:

1. Usahakan bahan untuk atap, dinding, dan lantai tahan air.

2. Menyediakan alarm pada titik strategis dimana material asset

sistem informasi dilakukan.

3. Semua material asset sistem informasi diletakkan di tempat

yang tinggi.

4. Menutup peralatan hardware dengan bahan yang tahan air

sewaktu tidak digunakan.

  32

c. Perubahan tenaga sumber energi

Pelaksanaan pengamanan untuk mengantisipasi perubahan

tegangan sumber energi listrik, misalnya menggunakan stabilizer

ataupun Uninteruptable Power Supply ( UPS ) yang memadai dan

mampu meng-cover tegangan listrik jika tiba-tiba turun.

d. Kerusakan struktural

Pelaksanaan struktural terhadap asset sistem informasi dapat

terjadi karena adanya gempa, angin, dan salju. Beberapa

pelaksanaan pengamanan untuk mengantisipasi kerusakan

struktural misalnya adalah memiliki lokasi perusahaan yang jaran g

terjadi gempa dan angin ribut.

e. Polusi

Beberapa pelaksanaan pengamanan untuk mengantisipasi polusi,

misalnya situasi kantor yang bebas debu dan tidak diperbolehkan

membawa binatang peliharaan atau melarang karyawan membawa

atau meletakkan minuman di dekat peralatan komputer.

f. Penyusup

Pelaksanaan pengamanan untuk mengantisipasi penyusup, dapat

dilakukan dengan penempatan penjaga dan penggunaan alarm .

g. Virus

Pelaksanaan keamanan untuk mengantisipasi virus meliputi

tindakan:

1. Preventive, seperti meng-install anti virus dan meng-update

secara rutin, melakukan scan file yang digunakan.

  33

2. Detective, seperti melakukan scan secara rutin.

3. Corrective, seperti memastikan back up data bebas virus,

pemakaian anti virus terhadap file yang terinfeksi.

h. Hacking

Beberapa pelaksanaan pengamanan untuk mengantisipasi

hacking:

1. Penggunaan control logical seperti penggunaan password

yang sulit untuk ditebak.

2. Petugas keamanan secara teratur memonitor sistem yang

digunakan.

7. Pengendalian Manajemen Operasi ( Operations Management Control )

Menurut Weber (1999, p 293-320), secara garis besar pengendalian

manajemen Operasi ( Operations Management Control ) bertanggung

jawab pada hal-hal sebagai berikut:

a. Pengoperasian komputer ( Computer Operations )

Tipe pengendalian yang harus dilakukan:

1. Menentukan fungsi-fungsi yang harus dilakukan operator

komputer maupun fasilitas operasi otomatis.

2. Menentukkan penjadwalan kerja pada pemakaian hardware

atau software.

3. Menentukan perawatan terhadap hardware agar dapat berjalan

baik.

4. Pengendalian perangkat keras berupa hardware control dari

produsen untuk deteksi hardware malfunction.

  34

b. Pengoperasian Jaringan ( Network Operations )

Pengendalian yang dilakukan ialah memonitor dan memelihara

jaringan dan pencegahan terhadap akses oleh pihak yang tidak

berwenang. Pengendalian sistem komunikasi data antara lain jalur

komunikasi, hardware, cryptology, software.

c. Persiapan dan Pengentrian Data ( Preparation and Entry Data )

Fasilitas-fasilitas yang ada harus dirancang untuk memiliki

kecepatan dan keakuratan data serta telah dilakukan terhadap

pengentrian data.

d. Pengendalian Produksi ( Production Control )

Fungsi yang harus dilakukan untuk pengendalian produksi adalah:

1. Penerimaan dan pengiriman input dan output.

2. Penjadwalan kerja.

3. Manajemen pelayanan.

4. Peningkatan pemanfaatan komputer.

e. File Library

Fungsi yang harus dilakukan pada file library adalah:

1. Penyimpanan media penyimpanan ( storage of storage media )

2. Penggunaan media penyimpanan ( use of storage media ).

3. Pemeliharaan dan penempatan media penyimpanan

( maintainance and disposal of storage media ).

4. Lokasi media penyimpanan ( location of storage media ).

  35

f. Documentation and Program Library

Orang yang bertanggung jawab atas dokumentasi mempunyai

beberapa fungsi yang harus dilakukan yaitu:

1. Memastikan bahwa semua dokumentasi disimpan secara

aman.

2. Memastikan bahwa hanya orang yang memiliki otorisasi saja

yang bisa mengakses dokumentasi.

3. Memastikan bahwa dokumentasi tersebut selalu up to date.

4. Memastikan adanya back up yang cukup untuk dokumentasi

yang ada.

g. Help Desk / Technnical Support

Ada dua fungsi utama help desk atau technical support yaitu :

1. Membantu end user dalam menggunakan hardware dan

software yang berhubungan dengan end user seperti

microcomputer, spreadsheet packages, database management

packages, dan local area networks.

2. Menyediakan technical support untuk sistem produksi dengan

dilengkapi suatu penyelesaian masalah yang berhubungan

dengan hardware, software,dan database.

h. Capacity Planning dan Performance Monitoring

Tujuan utama dari fungsi sistem informasi ini adalah untuk

mencapai tujuan dari penggunaan sistem informasi dengan biaya

serendah mungkin.

  36

i. Management of Outsourced Operations

Saat ini banyak organisasi yang melakukan outsource terhadap

beberapa fungsi dari sistem informasi mereka. Alasan utama

dilakukannya outsource karena mereka ingin memfokuskan pada

fungsi inti bisnis mereka.

2.8.2 Pengendalian Aplikasi

2.8.2.1 Pengendalian Boundary (Boundary Control)

Pengendalian Boundary menentukan hubungan antara

pemakai komputer dengan sistem komputer itu sendiri, ketika

pemakai menggunakan komputer maka fungsi boundary berjalan.

a. Pengendalian Kriptografi (Cryptographic Control)

Pengendalian Kriptografi dirancang untuk mengamankan data

pribadi dan untuk menjaga modifikasi data oleh orang yang

tidak berwenang, cara ini dilakukan dengan mengacak data

sehingga tidak memiliki arti bagi orang yang tidak dapat

menguraikan data tersebut.

b. Pengendalian Akses (Access Control)

Pengendalian Akses berfungsi untuk membatasi penggunaan

sumber daya sistem komputer, membatasi dan memastikan

user untuk mendapatkan sumber daya yang mereka butuhkan.

  37

Menurut Weber (1999, p380-383), mekanisme pengendalian

akses terdiri dari :

1. Identifikasi dan Otentifikasi (Identification and

Authentification)

User mengidentifikasi dirinya pada mekanisme pengendalian

akses dengan memberi informasi seperti nama atau nomor

rekening. Informasi tersebut memungkinkan mekanisme

untuk menentukan bahwa data yang masuk sesuai dengan

informasi pada file otentifikasi. Terdapat tiga bagian yang

dapat diisi oleh user untuk informasi otentifikasi yaitu :

a. Informasi yang mudah diingat, contohnya : nama, tanggal

lahir, nomor account, password, PIN dan lain – lain.

b. Objek yang berwujud yang dimiliki, contohnya : Badge,

plastic card, kunci, cincin.

c. Karakter pribadi, contohnya : sidik jari, ukuran tangan,

suara, tanda tangan, pola retina mata.

2. Sumber Daya Objek

Sumber Daya yang digunakan oleh user berdasarkan sistem

informasi berbasis komputer dapat dibagi menjadi empat jenis

yaitu:

a. Hardware, contohnya : terminal, printer, prossesor, disk.

b. Software, contohnya : program sistem aplikasi, storage

space.

c. Komoditi, contohnya : Processor time, storage space

  38

d. Data, contohnya : files, groups, data item ( termasuk

images dan sound ).

3. Hak istimewa (Action Privilages)

Hak istimewa diberikan kepada user berdasarkan pada

tingkatan kewenangan user dan jenis sumber daya yang

diperlukan oleh user. Contoh hak istimewa ini adalah user

hanya dapat melakukan akses berupa membaca tetapi tidak

bisa mengubah atau menambah (dikenal dengan istilah read

only), atau user hanya memiliki fasilitas menambah data

tetapi tidak bisa mengubah atau menghapus data.

2.8.2.2 Pengendalian Input

Menurut Weber (1999, p420-450). Komponen pada

subsistem input, bertanggung jawab untuk memasukkan data dan

intruksi pada sistem aplikasi. Kedua jenis input tersebut harus

divalidasi, setiap kesalahan data harus dapat diketahui dan

dikontrol sehingga input yang dimasukkan akurat, lengkap, unik

dan tepat waktu.

2.8.2.3 Pengendalian Output

Menurut Weber (1999, p615 – 646), subsistem output

menyediakan fungsi-fungsi yang menentukan isi dari data yang

akan disediakan bagi pengguna, cara dimana data dapat diformat

  39

dan dipersembahkan bagi pengguna, dan cara dimana data dapat

diperbaiki dan dikeluarkan untuk pengguna.

Tipe pengendalian yang berhubungan dengan pengendalian

Output :

a. Inference Control

Pengendalian model akses memperbolehkan atau menolak

akses terhadap item data berdasarkan nama dari data item, isi

dari data item atau beberapa karakteristik dari serangkaian

data yang terdapat pada data item.

b. Batch Output and Distribution Control

Batch Output adalah output yang dihasilkan pada beberapa

fasilitas operasi dan setelah itu dikirim atau disimpan oleh

pemakai output tersebut. Output ini menggunakan banyak

formulir, contohnya : keluaran laporan pengendalian

manajeman berisi tabel, grafik, atau image. Pengendalian

terhadap batch output dilakukan dengan tujuan untuk

memastikan bahwa laporan tersebut akurat, lengkap dan tepat

waktu yang akan dikirim atau diserahkan kepada pemakai

yang berhak.

c. Batch Report Design Controls

Elemen penting untuk melihat pengendalian efektivitas

pelaksanaan terhadap produksi, distribusi, laporan keluaran

batch adalah dengan melihat kualitas dari desainnya. Desain

  40

laporan yang baik akan membuat pemakai mudah untuk

membaca output yang dihasilkan.

d. Online Output Production and Distribution Control

Pengendalian terhadap produksi dan distribusi atas output

yang dilakukan melalui online secara garis lurus, tujuan

utama adalah untuk memastikan bahwa hanya bagian yang

memiliki wewenangan saja dapat melihat output online

tersebut.

e. Audit Trail Controls

Pengendalian jejak audit pada subsistem output dilakukan

untuk menjaga kronologi kejadian yang terjadi dari saat

output diterima sampai pemakai melakukan penghapusan

output tersebut karena sudah tidak dipakai atau disimpan lagi.

f. Existence Controls

Output dapat hilang atau rusak karena berbagai alasan, seperti

invoice hilang, online output terkirim pada alamat yang salah,

output terbakar karena kebakaran. Recovery terhadap

subsistem output secara akurat, lengkap dan tepat merupakan

hal yang sangat membantu kelangsungan hidup banyak

organisasi.

  41

2.9 Teknik Penilaian Resiko

Menurut Peltier (2001, p74), resiko dibagi menjadi tiga tingkatan yaitu:

1. High Vulnerability

Kelemahan yang sangat besar didalam sistem atau rutinitas operasi di mana

dampak potensial pada bisnis adalah penting untuk itu harus ada

pengendalian yang ditingkatkan.

2. Medium Vulnerability

Beberapa kelemahan yang terdapat pada sistem dan dimana dampak potensial

pada bisnis adalah penting, untuk itu akan ada pengendalian yang perlu

ditingkatkan.

3. Low Vulnerability

Sistem telah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada

penambahan pengendalian yang diperlukan untuk mengurangi kelemahan

(vulnerability).

2.10 Standard ISACA (Information Systems Audit and Control Association)

Menurut buku Audit Sistem Informasi + Pendekatan CobIT, Gondodiyoto

(2007, p85-86), standar untuk audit sistem informasi adalah :

1. Audit Chapter

1.1 Responsibility, Authority, and Accountability

Perlunya dibuat Audit Charter atau Letter of Engagement dalam penugasan

audit sistem informasi. Hal yang diatur tentang perlunya audit charter bagi

audit internal (letter of engagement untuk auditor ekstern), mencakup

  42

Responsibility, Authority, and Accountability, yaitu meliputi tanggung

jawab, otoritas dan accountability dari fungsi audit sistem informasi pada

suatu organisasi (perlu didokumentasikan dalam suatu surat keputusan

pimpinan atau perjanjian).

2. Independence

2.1 Profesional Independence

Dalam permasalahan yang berkaitan dengan audit, auditor sistem informasi

harus bersikap independen dalam tingkah laku dan tindakannya. Auditor

atau unit / fungsi audit harus mempunyai posisi independen terhadap pihak-

pihak yang terkait dalam audit (untuk menjaga agar tidak terjadi conflict of

interest).

2.2 Organizational Relationship

Fungsi audit sistem informasi harus berada independen dari area yang

diaudit untuk mencapai tujuan objektivitas dari suatu proses audit.

3. Profesional Ethics and Standards

3.1 Code of Profesional Ethics

Auditor dari sistem informasi harus menghormati dan menaati etika

profesional dari Information System Audit and Control Association.

3.2 Due Profesional Care

Standard auditing profesional harus diterapkan dalam segala aspek

pekerjaan yang dilakukan oleh auditor sistem informasi.

  43

4. Competence

4.1 Continuing Professional Education

Auditor harus memiliki kompetensi yang dibutuhkan untuk melaksanakan

tugasnya. Auditor sistem informasi harus me-maintain kompetensi teknikal

melalui pendidikan profesional berkelanjutan.

5. Planning

5.1 Audit Planning

Auditor sistem informasi harus merencanakan kegiatan audit, agar tujuan

audit tercapai sesuai dengan standar profesional audit. Perencanaan audit

atau audit planning diperlukan dalam tiap pelaksanaan suatu penugasan

audit.

6. Performance of Audit Work

6.1 Supervision

Staf dari audit sistem informasi harus tepat untuk dapat menjamin tujuan dari

audit dijalankan dan standar profesional auditing dapat terpenuhi.

6.2 Evidence

Selama masa pekerjaan audit, auditor sistem informasi harus mendapatkan

bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai

tujuan objektif dari suatu audit.

  44

7. Reporting

7.1 Report Content and Form

Auditor sistem informasi harus menyediakan report dalam bentuk yang

tepat pada saat penyelesaian tugas audit. Laporan Audit berupa lingkup,

tujuan, periode audit, dan lingkungan dimana audit dijalankan. Laporan

audit harus mengidentifikasikan permasalahan yang terjadi dalam jangka

waktu audit. Laporan audit juga untuk memberikan rekomendasi dari

layanan atau kualisifikas i yang diberikan auditor terhadap tugas audit yang

dijalankan.

8. Follow Up Activities

8.1 Follow Up

Tindak lanjut atas rekomendasi temuan audit, auditor sistem informasi harus

meminta dan mengevaluasi informasi yang sesuai dari penemuan yang

terdahulu dan rekomendasi yang dihasilkan pada periode audit terdahulu

untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan

dalam satu periode waktu.