9

BAB 2

LANDASAN TEORI

2.1 Sistem Informasi

2.1.1 Pengertian Sistem Informasi

Berdasarkan pendapat dari Gelinas, Ulric, dan Dull (2010: 12), “An

information system is a man made system generally consists of an integrated set

of computer-based components and manual components establish to collect,

store, and manage data and to provide output information to users”.

Menurut O’Brien dan Marakas (2008: 7), “information system can be

any organized combination of people, hardware, software, communication

networks and data resources that collect, transform, disseminates information in

a organization”.

Berdasarkan pendapat IBISA (2010: 1), sistem informasi dapat

didefinisikan sebagai suatu sistem yang terdiri dari:

• Pengumpulan data

• Pengolahan data

• Penyimpanan data

• Penyajian informasi

Dari beberapa pengertian sistem informasi di atas, maka dapat

disimpulkan bahwa sistem informasi adalah kumpulan komponen seperti

hardware, software, network, dan sumber daya yang lain untuk menghasilkan

informasi yang berguna bagi perusahaan untuk mencapai tujuannya.

10

2.1.2 Tujuan Sistem Informasi

Hall (2007: 21) mengatakan bahwa tujuan-tujuan sistem informasi

adalah sebagai berikut:

1. Mendukung fungsi penyediaan pihak manajemen

Administrasi mengacu pada tanggung jawab pihak manajemen untuk

mengelola dengan baik sumber daya perusahaan. Sistem informasi

menyediakan informasi mengenai penggunaan sumber daya kepada para

pengguna eksternal melalui laporan keuangan tradisional serta dari

berbagai laporan lain yang diwajibkan. Secara internal, pihak manajemen

menerima informasi pelayanan dari berbagai laporan

pertanggungjawaban.

2. Mendukung pengambilan keputusan pihak manajemen

Sistem informasi memberikan informasi kepada pihak manajemen

informasi yang dibutuhkan untuk melaksanakan tanggung jawab

pengambilan keputusan tersebut.

3. Mendukung operasional harian perusahaan

Sistem informasi menyediakan informasi bagi para personel operasional

untuk membantu mereka melaksanakan pekerjaan hariannya dengan cara

yang efisien dan efektif.

Oleh karena itu, sistem informasi sangat diperlukan untuk menunjang

kemudahan dalam penyampaian informasi yang berguna untuk membantu pihak

manajemen dalam membuat suatu keputusan.

11

2.2 Pengendalian Internal

2.2.1 Pengertian Pengendalian Internal

Menurut Gramling, Rittenberg, dan Johnstone (2012: 208), “Internal

control is a process related to the achievement of the organization’s objectives.

Organizations identify the risks to achieving those objectives and implement

various controls to mitigate those risks”.

Pengendalian internal diperlukan untuk mengidentifikasi risiko agar

proses bisnis perusahaan tidak terganggu.

2.2.2 Tujuan Pengendalian Internal

Menurut Gondodiyoto (2007: 260), tujuan disusunnya system control

atau pengendalian internal komputer adalah sebagai berikut:

1. Meningkatkan pengamanan (improve safeguard) aset sistem

informasi (data/catatan akuntansi (accounting records) yang bersifat

logical assets, maupun physical assets seperti hardware,

infrastructures, dan sebagainya).

2. Meningkatkan integritas data (improve data integrity), sehingga

dengan data yang benar dan konsisten akan dapat dibuat laporan

yang benar.

3. Meningkatkan efektifitas sistem (improve system effectiveness).

4. Meningkatkan efisiensi sistem (improve system efficiency).

2.2.3 Komponen Pengendalian Internal

2.2.3.1 Pengendalian Umum (General Control)

Menurut Gondodiyoto (2007: 301), pengendalian umum

adalah sistem pengendalian intern komputer yang berlaku umum

12

meliputi seluruh kegiatan komputerisasi sebuah organisasi secara

menyeluruh. Ruang lingkup dalam pengendalian umum adalah sebagai

berikut:

1. Pengendalian Top Management

Dalam lingkup ini termasuk pengendalian manajemen sistem

operasi (information system management controls).

Pengendalian top level management adalah sistem pengendalian

internal yang ada pada suatu organisasi yang mendorong

keterlibatan, kepedulian dan tanggung jawab pucuk pimpinan

organisasi terhadap kegiatan teknologi informasi pada organisasi

tersebut.

2. Pengendalian Manajemen Pengembangan Sistem (system

development management controls termasuk manajemen

program (programming management controls)

Pengendalian pengembangan dan pemeliharan sistem diperlukan

untuk mencegah dan mendeteksi kemungkinan kesalahan pada

waktu pengembangan dan pemeliharaan sistem (system

development maintenance), serta untuk memperoleh keyakinan

memadai bahwa sistem berbasis teknologi informasi

dikembangkan dan dipelihara dengan cara yang efisien dan

melalui proses otorisasi yang semestinya.

3. Pengendalian Manajemen Sistem Informasi (Information System

Management Controls)

13

Mengendalikan alternatif model pengembangan proses sistem

informasi sehingga digunakan sebagai dasar pengumpulan dan

pengevaluasian bukti.

4. Pengendalian Manajemen Sumber Data (data resources

management controls)

Di dalam suatu sistem berbasis teknologi informasi,

pengendalian sumber data (data resources management

controls) yang baik adalah:

a. User harus dapat berbagi data (data sharing among users)

b. Data harus tersedia untuk digunakan kapan saja, di

manapun, dan dalam bentuk apapun (sudah tentu dengan

aturan akses/wewenang yang jelas)

c. Sistem manajemen data harus menjamin adanya sistem

penyimpanan yang efisien, tidak terjadi redudansi data,

adanya data security, data integrity, dan data

independence.

d. Data harus dapat dimodifikasi dengan mudah (user

friendly) oleh yang berwenang seusuai dengan kebutuhan

user.

5. Pengendalian Manajemen Operasi (operational management

controls)

Merupakan jenis pengendalian intern yang didesain untuk

menciptakan kerangka kerja organisasi, pendayagunaan sumber

daya informasi, dan pembagian tugas yang baik dalam suatu

14

organisasi yang menggunakan sistem berbasis teknologi

informasi. Sumber daya informasi meliputi hardware, software,

netware, brainware, data itu sendiri dan seluruh komponen yang

diperlukan untuk mendukung berlangsungnya operasi sistem

informasi yang baik.

6. Pengendalian Manajemen Keamanan (security management

controls)

Pengendalian ini dimaksudkan untuk menjamin agar aset sistem

informasi tetap aman. Aset sumber daya informasi mencakup

fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak

berwujud (non fisik, misalnya data/informasi, dan program

aplikasi komputer). Keamanan sistem komputer mencakup

keamanan perangkat keras, perangkat lunak, data/informasi,

sistem prosedur dan manusia.

7. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance

Management Controls)

Mengendalikan fungsi utama yang harus dilakukan Quality

Assurance Management Controls untuk meyakinkan bahwa

pengembangan, pelaksanaan, pengoperasian, dan pemeliharaan

dari sistem informasi sesuai dengan standar kualitas.

Sesuai dengan ruang lingkup evaluasi yang akan

dilakukan, maka pengendalian umum yang akan dibahas lebih

lanjut adalah:

15

1. Pengendalian Manajemen Keamanan (security management

controls)

Menurut Weber (1999: 257) pengendalian terhadap manajemen

keamanan secara garis besar bertanggung jawab dalam

menjamin aset sistem informasi tetap aman. Ancaman utama

terhadap keamanan dapat bersifat karena alam, oleh manusia

yang bersifat kelalaian maupun kesengajaan, antara lain:

a. Ancaman kebakaran

Beberapa pelaksanaan pengamanan untuk ancaman

kebakaran adalah:

• Memiliki alarm kebakaran otomatis yang diletakkan

pada tempat dimana asset-aset sistem informasi

berada.

• Memiliki tabung kebakaran yang diletakkan pada

lokasi yang mudah diambil.

b. Ancaman banjir

Beberapa pelaksanaan pengamanan untuk ancaman banjir

adalah:

• Semua material aset sistem informasi diletakkan di

tempat yang tinggi.

c. Perubahan tegangan sumber energi

Pelaksanaan pengamanan untuk mengantisipasi perubahan

tegangan sumber energi listrik, misalnya menggunakan

stabilizer ataupun uninteruptable power supply (UPS) yang

16

memadai yang mampu meng-cover tegangan listrik jika tiba-

tiba turun.

d. Kerusakan struktural

Kerusakan struktural biasanya terjadi karena bencana alam

seperti gempa, angin ribut.

e. Hacker

Pelaksanaan pengamanan terhadap hacker, yaitu:

• Penggunaan kontrol logika seperti penggunaan

password yang sulit untuk ditebak.

• Penggunaan firewall.

f. Virus dan worm

Pelaksanaan pengamanan terhadap virus dan worm, yaitu:

1. Tindakan preventive, seperti meng-install anti virus dan

meng-update secara rutin, melakukan scan file yang akan

digunakan.

2. Tindakan detective, seperti melakukan scan secara rutin.

3. Tindakan corrective, seperti memastikan back up data

bebas virus, pemakaian anti virus terhadap file yang

terinfeksi.

2. Pengendalian Manajemen Operasi (operational management

controls)

Menurut Weber (1999: 291) terdapat delapan fungsi utama yang

menjadi tanggung jawab manajemen operasional, yaitu:

a. Operasional Komputer

17

b. Pengendalian Jaringan Komputer

c. Persiapan Data dan Entri

d. Kontrol Produksi

e. Perpustakaan File

f. Dokumentasi dan Program Kepustakaan

g. Help Desk / Technical Support

h. Perencanaan Kapasitas dan Pengawasan Kinerja

2.2.3.2 Pengendalian Aplikasi (Application Control)

Menurut Gondodiyoto (2007: 372), pengendalian aplikasi

adalah sistem pengendalian intern pada sistem informasi berbasis

teknologi informasi yang berkaitan dengan pekerjaan atau aplikasi

tertentu (setiap aplikasi memiliki karakteristik dan kebutuhan

pengendalian yang berbeda). Pengendalian aplikasi diperlukan untuk

mengurangi terjadinya risiko, atau jika risiko ternyata terjadi juga,

hendaknya tingkat kerugiannya seminimal mungkin.

Pengendalian aplikasi menurut Gondodiyoto (2007: 374) terdiri dari:

1. Boundary Controls (pengendalian batasan)

2. Input Controls (Pengendalian Masukan)

3. Process Controls (Pengendalian Proses)

4. Database Controls (Pengendalian Database)

5. Communication Controls (Pengendalian Komunikasi)

6. Output Controls (Pengendalian Keluaran)

Sesuai dengan ruang lingkup evaluasi yang akan dilakukan, maka

pengendalian aplikasi yang akan dibahas lebih lanjut adalah:

18

1. Boundary Controls (pengendalian batasan)

Boundary adalah interface antara pengguna (user) dengan sistem

berbasis TI.

Tujuan utama boundary controls ialah:

a. Untuk mengenal identitas dan otentik atau tindakan

user/pemakai sistem

b. Untuk menjaga agar sumber daya informasi digunakan oleh

user tersebut dengan cara yang ditetapkan.

Beberapa pengendalian yang diimplementasikan dalam boundary

controls :

a) Chryptographic Control

Adalah sistem pengendalian internal yang didesain untuk

menjaga privacy, serta menjaga agar orang/pihak yang tidak

berwenang tidak dapat melakukan kegiatan yang berkaitan

dengan merubah atau menambah dan menghapus data.

b) Access Control

Access Control bertujuan agar sumber daya sistem digunakan

hanya oleh orang-orang yang berhak, menjamin agar kegiatan

pengguna dilakukan sesuai dengan ketentuan, dan menjamin

bahwa peralatan yang digunakan sesuai dengan semestinya.

Ada beberapa cara yang diterapkan dalam kontrol ini, antara

lain dengan password. Kelemahan password antara lain:

password dicatat, sehingga kemungkinan diketahui orang lain,

orang cenderung membuat password dengan kata kunci yang

mudah ditebak, password tidak diperbaharui, password sering

19

dianggap tidak penting dan dibuat menjadi rahasia umum

dengan membuat orang mengetik password kita.

c) Audit Trail

Adalah catatan-catatan atau data tertentu yang disimpan di

dalam sistem komputer dengan tujuan apabila di kemudian

hari ada masalah, maka catatan/data tersebut dapat digunakan

untuk melakukan pelacakan. Cakupan audit trail: identitas

user, informasi otentiknya, identitas sumber daya yang

digunakan, jenis kegiatan yang dilakukan, apakah yang

bersangkutan harus mencoba akses beberapa kali karena akses

gagal, dan kapan mulai serta berakhirnya kegiatan.

d) Existance Control

Didesain untuk menjaga agar jika aktivitas user terhenti

karena suatu sebab kegagalan tertentu, akses tersebut tidak

diproses lebih lanjut untuk menjaga integritas data maupun

pengamanan aset.

2. Input Controls (Pengendalian Masukan)

Input merupakan salah satu tahap dalam sistem komputerisasi yang

paling penting dan mengandung risiko. Input controls dirancang

dengan tujuan untuk mendapat keyakinan bahwa data transaksi

input adalah valid, lengkap, serta bebas dari kesalahan dan

penyalahgunaan.

a. Metode Input Data

- Direct Entry (personal computer)

20

- Direct Reading ( ATM, point of sale device)

b. Desain Dokumen Sumber

c. Rancangan Tampilan Data Entry

d. Kontrol Kode Data

e. Validasi Data Input

- Adanya error message.

f. Instruksi Input

3. Output Controls (Pengendalian Keluaran)

Output controls merupakan pengendalian yang dilakukan untuk

menjaga output sistem agar akurat, lengkap dan digunakan

sebagaimana mestinya. Output controls ini didesain untuk menjamin

agar output atau informasi dapat disajikan secara akurat, lengkap,

mutakhir dan didistribusikan kepada orang-orang yang berhak

secara cepat dan tepat waktu. Kemungkinan risiko yang terkait

dengan keluaran dan harus dideteksi ialah: laporan tidak akurat,

tidak lengkap, terlambat atau data tidak up-to-date, banyak item

data yang tidak relevan, bisa dibaca oleh pihak yang tidak berhak.

a. Distribution Controls

b. Storage Controls

c. Retention Controls (berapa lama laporan disimpan)

d. Destruction Controls (penghancuran laporan)

e. Report Design Controls

21

2.2.4 Aktivitas Pengendalian

Menurut Weygandt (2011: 102), terdapat enam prinsip aktivitas

pengendalian, yaitu:

1. Penetapan tanggung jawab

2. Pembagian tugas

3. Prosedur dokumentasi

4. Pengendalian fisik

5. Verifikasi internal yang dilakukan secara independen

6. Pengendalian sumber daya manusia

2.2.5 Fungsi Internal Auditor

Menurut Hunton et.al. dalam Basalamah (2011: 17), seorang auditor TI

sebaiknya mampu melakukan pekerjaan-pekerjaan sebagai berikut:

1. Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup

analisis terhadap risiko dan pengendalian atas aplikasi-aplikasi seperti e-

business, sistem perencanaan sumber daya perusahaan.

2. Memberikan asersi (assurance) atas proses-proses tertentu, seperti audit

dengan prosedur-prosedur tertentu yang disepakati bersama dengan auditee

mengenai lingkup asersi.

3. Memberikan asersi atas aktifitas pengolahan data pihak ketiga dengan tujuan

untuk memberikan asersi bagi pihak lain yang memerlukan informasi

mengenai aktifitas pengendalian data yang dilakukan oleh pihak ketiga

tersebut.

22

4. Pengujian penetrasi, yaitu upaya untuk mengakses sumber daya informasi

guna menemukan kelemahan-kelemahan yang ada dalam pengolahan data

tersebut.

5. Memberikan dukungan atas pekerjaan audit keuangan yang mencakup

evaluasi atas risiko dan pengendalian TI yang dapat mempengaruhi

kehandalan sistem pelaporan keuangan.

6. Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan-catatan

komputer dalam investigasi kecurangan.

2.3 Audit Sistem Informasi

2.3.1 Evaluasi

Menurut Umar (2008: 36), definisi evaluasi adalah suatu proses untuk

menyediakan informasi tentang sejauh mana suatu kegiatan tertentu telah

dicapai, bagaimana perbedaan pencapaian itu dengan suatu standar tertentu

untuk mengetahui apakah ada selisih diantara keduanya, serta bagaimana

manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan

yang ingin diperoleh.

Menurut Akmal (2009: 9), evaluasi adalah penilaian tentang bagaimana

program dijalankan, apakah proses dan dampaknya sudah sesuai dengan yang

diharapkan, serta mengecek faktor-faktor penghambat yang dihadapi, dan

faktor-faktor pendukung yang dimiliki, untuk mencapai tujuan.

Jadi, dapat disimpulkan evaluasi adalah proses untuk menilai sejauh

mana kesesuaian proses yang berjalan dengan yang diharapkan oleh perusahaan

agar dapat mencapai tujuan.

23

2.3.2 Pengertian Audit Sistem Informasi

Menurut Gondodiyoto (2007: 443), audit sistem informasi dimaksudkan

untuk mengevaluasi tingkat kesesuaian antara sistem informasi dengan prosedur

bisnis (business processes) perusahaan atau kebutuhan pengguna (user needs),

untuk mengevaluasi apakah suatu sistem informasi telah didesain dan

diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme

pengamanan asset, serta menjamin integritas data yang memadai.

Kemudian pengertian audit sistem informasi ditegaskan kembali oleh

Restianto dan Bawono (2011: 15), Audit Sistem Informasi dapat didefinisikan

sebagai sebuah proses pengumpulan dan pengevaluasian bukti untuk menilai

apakah sistem komputer dapat menjaga asset, menjaga integritas data, menjamin

tercapainya tujuan organisasi dengan efektif dan penggunaan sumber daya

dengan efisien.

Jadi, dapat disimpulkan audit sistem informasi merupakan proses

pengumpulan dan pengevaluasian terhadap kesesuaian sistem informasi dengan

kebutuhan perusahaan, penyediaan informasi yang relevan agar dapat mencapai

tujuan organisasi secara efektif dan memberi manfaat bagi perusahaan.

2.3.3 Jenis-Jenis Audit

Jenis-jenis audit juga dijabarkan menurut Tunggal (2012: 1-24) sebagai

berikut:

1. Financial Auditing, pemeriksaan yang berhubungan dengan pengesahan

kebenaran dan kewajaran laporan keuangan yang disusun sesuai dengan

standar-standar yang berlaku umum.

24

2. Internal Auditing,pemeriksaan yang mencakup penilaian yang independen

sebagai bagian dari sistem pengendalian intern dan dalam waktu

bersamaan memberikan nasehat untuk memperbaiki kinerja perusahaan.

Tujuannya adalah memberikan keyakinan kepada manajemen tentang

efisiensi dan efektivitas operasi serta kontribusi mereka terhadap

pencapaian tujuan organisasi.

3. Management Auditing/ Operational Auditing/ Performance Auditing

Pemeriksaan manajemen merupakan suatu penilaian dari organisasi

manajerial dan efisiensi dari suatu perusahaan, departemen, atau setiap

entitas dan sub entitas yang dapat diaudit. Penekanannya adalah pada

proses manajemen, khususnya prosedur untuk perencanaan, organisasi

dan pengendalian aktivitas yang dipilih untuk diaudit, guna menetapkan

bagaimana baiknya pengelolaan. Tujuannya adalah untuk mencapai

efisiensi yang lebih besar, efektivitas, dan ekonomisasi dalam usaha dan

organisasi yang lain.

2.3.4 Tujuan Audit Sistem Informasi

Menurut Gondodiyoto (2007: 474), “audit objectives pada audit atas IT

governance menurut CobIT ialah: effectiveness, confidentiality, data integrity,

availability, efficiency, dan realibility”.

Penjelasan setiap tujuannya adalah sebagai berikut:

1. Pengamanan Aset

Aset informasi suatu perusahaan seperti perangkat keras (hardware),

perangkat lunak (software), sumber daya manusia, file/data, dan

fasilitas lain harus dijaga dengan sistem pengendalian internal yang

25

baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan

demikian sistem pengamanan aset merupakan suatu hal yang sangat

penting harus dipenuhi oleh perusahaan.

2. Efektifitas Sistem

Efektifitas sistem informasi perusahaan memiliki peranan penting

dalam proses pengambilan keputusan. Suatu sistem informasi dapat

dikatakan efektif bila sistem informasi tersebut sudah dirancang

dengan benar (doing the right thing), telah sesuai dengan kebutuhan

user. Informasi yang dibutuhkan oleh para manajer dapat dipenuhi

dengan baik.

3. Efisiensi Sistem

Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya

terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka

pihak manajemen harus mengevaluasi apakah efisiensi sistem masih

memadai atau harus menambah sumber daya, karena suatu sistem

dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan

user dengan sumber daya informasi yang minimal. Cara kerja sistem

benar (doing thing right).

4. Ketersediaan (availability)

Berhubungan dengan ketersediaan dukungan/layanan teknologi

informasi (TI), TI hendaknya dapat mendukung secara terus menerus

terhadap proses bisnis (kegiatan perusahaan). Makin sering terjadi

gangguan (system down) maka berarti tingkat ketersediaan sistem

rendah.

5. Kerahasiaan (confidentiality)

26

Fokusnya ialah pada proteksi terhadap informasi dan supaya

terlindungi dari akses dari pihak-pihak tidak berwenang.

6. Kehandalan (realibility)

Berhubungan dengan kesesuaian dan keakuratan bagi manajemen

dalam pengelolaan organisasi, pelaporan, dan pertanggungjawaban.

7. Menjaga Integritas Data

Integritas data (data integrity) adalah salah satu konsep dasar

dari sistem informasi data memiliki atribut-atribut seperti:

kelengkapan, kebenaran, keakuratan.

Menurut Romney dan Steinbart (2008: 329), tujuan audit sistem

informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang

melindungi sistem tersebut.

Oleh karena itu dapat disimpulkan bahwa tujuan audit adalah

mengevaluasi dan memastikan keamanan, ketersediaan, kehandalan,

kerahasiaan, dan integritas data dan sumber daya yang ada agar proses bisnis

dapat berjalan dengan efektif dan efisien.

2.3.5 Tahapan–Tahapan Audit Sistem Informasi

Tahapan Audit

Subjek Audit Tentukan/identifikasi unit/lokasi yang diaudit

Sasaran Audit Tentukan sistem secara spesifik, fungsi atau unit organisasi yang akan diperiksa

Jangkauan Audit Tentukan sistem secara spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan

27

Tabel 2.1 Tahapan Audit

(Sumber : Gondodiyoto (2007: 487) yang mengutip dari CISA Review Manual

(2003: 35))

2.3.6 Prosedur Audit

Prosedur Audit menurut Bastian (2007: 13) ada tiga jenis, yaitu:

1. Mewawancarai personel dinas/ instansi yang berkaitan dengan

unsur struktur pengendalian.

2. Melakukan inspeksi terhadap dokumen dan catatan.

3. Melakukan pengamatan atas kegiatan perusahaan.

Prosedur audit kemudian dikembangkan oleh Cannon (2011: 137), the

audit program policy informs everyone that the overall auditing program

is important. We use standards as a uniform rule of measurement and

Rencana Pre-Audit 1. Identifikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit.

2. Identifikasi sumber bukti untuk tes atau review seperti fungsi flowchart, kebijakan, standar prosedur dan kertas kerja audit sebelumnya.

Prosedur Audit dan Langkah-Langkah Pengumpulan Bukti Audit

1. Identifikasi dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian intern.

2. Identifikasi daftar individu untuk interview.

3. Identifikasi dan menghasilkan kebijakan yang berhubungan dengan bagian, standar, dan pedoman untuk interview.

4. Mengembangkan instrumen audit dan metodologi penelitian dan pemeriksaan control internal.

Prosedur untuk Evaluasi 1. Organisasikan sesuai kondisi dan situasi.

2. Identifikasi prosedur evaluasi atas tes efektivitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijakan dan prosedur yang diaudit.

Pelaporan Hasil Audit Siapkan laporan yang objektif, konstruktif (bersifat membangun) dan menampung penjelasan auditee.

28

each standar is supported by a set of procedures. The audit program is

run in the same manner as an ISO 9001 quality management program.

Every auditor needs to ensure that the following procedures are in the

toolkit:

a) Audit planning

b) Scheduling audits

c) Assuring competence of auditors and audit team leaders

d) Selecting appropriate audit teams

e) Assigning roles and responsibilities

f) Conducting audits

g) Maintaining audit program records

h) performance and effectiveness

i) Complaint tracking

j) Reporting to top management an overall achievement.

Jadi, dapat disimpulkan bahwa prosedur audit meliputi beberapa

kegiatan, yaitu: perencanaan audit, penjadwalan audit, menjamin

kompetensi auditor dan pemimpin tim audit, memilih tim audit yang

sesuai, menetapkan peran dan tanggung jawab, melakukan audit,

mempertahankan catatan program audit, pemantauan kinerja dan

efektifitas, pengaduan pelacakan, melaporkan kepada manajemen pusat

atas mengenai prestasi keseluruhan.

29

2.3.7 Metode Audit Sistem Informasi

Menurut Restianto dan Bawono (2011: 20), metode yang dapat

digunakan dalam melakukan audit sistem informasi adalah:

1. Audit around the computer

Auditor menelaah struktur pengendalian internal, menguji transaksi

dan prosedur verifikasi saldo akun dengan cara yang sama seperti

dalam sistem manual atau bukan teknologi informasi. Auditor tidak

menguji pengendalian pada sistem informasi tetapi sebatas pada

masukan dan keluaran sistem informasi. Berdasarkan penilaian pada

kualitas masukan dan keluaran sistem tersebut, auditor mengambil

kesimpulan tentang kualitas pemrosesan data dalam sistem. Oleh

karena itu, auditor harus mendapatkan dokumen sumber dan dokumen

keluaran yang cukup dalam bentuk cetakan (hardcopy) atau dalam

bentuk yang mudah dibaca oleh pemakai. Dalam pendekatan ini

sistem komputer dapat diibaratkan sebagai sebuah kotak hitam (black

box).

Keunggulan audit around the computer adalah

kesederhanaannya sehingga auditor yang memiliki pengetahuan

minimal di bidang komputer dapat terlatih dengan mudah untuk

melaksanakan audit. Sementara itu, kelemahan metode ini adalah jika

terjadi perubahan lingkungan organisasi, ada kemungkinan sistem itu

pun akan berubah sehingga auditor tidak dapat menilai dan menelaah

sistem yang baik. Oleh karena itu, auditor harus dapat menilai

kemampuan sistem informasi dalam menyesuaikan diri dengan

perubahan lingkungan.

30

2. Audit through the computer

Pendekatan ini digunakan untuk melakukan audit pada lingkungan

sistem yang kompleks (complex automated processing system).

Dalam pendekatan ini, auditor menggunakan komputer untuk menguji

logika dan pengendalian yang ada dalam sistem komputer dan

keluaran yang dihasilkan oleh sistem. Besar kecilnya peranan

komputer dalam audit tergantung pada kompleksitas dari sistem

komputer yang diaudit. Dalam pendekatan ini fokus perhatian auditor

langsung tertuju pada operasi pemrosesan data di dalam sistem

komputer.

Keunggulan pendekatan ini adalah sebagai berikut:

a. Auditor akan memperoleh bukti-bukti audit yang memadai

b. Auditor lebih efektif dalam menguji sistem komputer

c. Auditor akan memiliki keyakinan yang lebih memadai terhadap

kualitas auditnya

d. Auditor dapat menilai kemampuan sistem komputer dalam

menghadapi perubahan lingkungan

Sedangkan kelemahan dari pendekatan ini adalah dibutuhkannya

biaya yang relatif besar dan dibutuhkannya tenaga ahli yang terampil,

tidak hanya di bidang auditing, tetapi di bidang komputer,

pengembangan sistem, komunikasi data, dan bidang lain yang terkait

dengan teknologi informasi.

31

3. Audit with the computer

Pada pendekatan ini, audit dilakukan dengan menggunakan komputer

dan perangkat lunak audit untuk menjalankan prosedur audit secara

otomatis. Pendekatan ini menggunakan beberapa jenis Computer

Assisted Audit Techniques (CAAT), seperti System Control Audit

Review File (SCRAF) dan pemotretan (snapshoot). Pendekatan ini

sangat bermanfaat dalam pengujian substantif atas file-file basis data.

Menurut Sarno (2009: 33), metodologi dalam audit sistem informasi

terdiri atas:

1. Analisis kondisi eksisting

Merupakan aktivitas dalam memahami kondisi saat ini dari

perusahaan yang diaudit termasuk hukum dan regulasi yang

berpengaruh terhadap operasional proses bisnis.

2. Penentuan tingkat risiko

Dengan mengklarifikasikan proses bisnis yang tingkat risikonya

tinggi (proses bisnis utama) maupun proses bisnis pendukung. Hasil

penentuan tingkat risiko tersebut kemudian dijadikan sebagai bahan

dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan

kepada proses bisnis yang didukung oleh IT.

3. Pelaksanaan audit sistem informasi

4. Penentuan rekomendasi

Berisi laporan dari hasil audit yang dilakukan

32

2.3.8 Instrumen Audit

Menurut Gondodiyoto (2007: 596), terdapat berbagai teknik pemeriksaan

yang bisa diterapkan dalam melaksanakan audit. Teknik-teknik pemeriksaan

tersebut sering disebut dengan istilah instrument audit. Berikut ini adalah

contoh-contoh instrumen audit yang dapat digunakan pada saat pelaksanaan

audit:

1. Observasi (Observation)

Observasi adalah cara memeriksa dengan menggunakan panca indra

terutama mata, yang dilakukan secara berkelanjutan selama kurun

waktu tertentu untuk membuktikan suatu keadaan atau masalah.

2. Wawancara (Interview)

Wawancara adalah teknik pemeriksaan berupa tanya-jawab secara

lisan antara auditor dengan auditee untuk memperoleh bahan bukti

audit. Tanya-jawab dapat dilakukan secara lisan (wawancara) atau

tertulis.

3. Kuesioner (Questionaire)

Teknik ini merupakan teknik pemeriksaan yang mudah dan praktis

karena tertulis. Dengan metode ini, responden ditentukan, kemudian

dikirim surat pengantar beserta daftar pertanyaan (questionaire)

tentang hal-hal yang ditanyakan dengan pedoman pengisian dan

tanggal jawab yang ditentukan.

4. Inspeksi fisik (physical inspection)

Inspeksi merupakan cara memeriksa dengan memakai panca indra

terutama mata, untuk memperoleh bukti atas suatu keadaan atau

suatu masalah pada saat tertentu. Inspeksi merupakan usaha

33

pemeriksa untuk memperoleh bukti-bukti secara langsung di tempat

dimana keadaan atau masalah ingin dibuktikan.

5. Prosedur analisis

Analisis artinya memecah atau menguraikan suatu keadaan atau

masalah ke dalam beberapa bagian atau elemen dan memisahkan

bagian tersebut untuk digabungkan dengan keseluruhan atau

dibandingkan dengan yang lain. Dengan analisis pemeriksa dapat

melihat hubungan penting antar satu unsur dengan unsur lainnya.

6. Penelaahan dokumen

Pada teknik ini dilakukan penelaahan pada dokumen yang tersedia

pada suatu organisasi, seperti bagan arus, bagan organisasi, manual

program, manual operasi, manual referensi, notulen rapat, surat

perjanjian, dan catatan-catatan historis lainnya.

Menurut Chris, Mike, dan Kevin (2007: 110-112), Master Checklist is

“the following table summarize the steps listed herein for auditing data centers

and disaster recovery”. Checklist merupakan tabel yang memiliki option

jawaban “ya” atau “tidak” mengenai hal-hal apa saja yang akan diaudit.

2.3.9 Standar Audit Sistem Informasi

2.3.9.1 Standar ISACA (Information System Audit and Control

Association)

Menurut ISACA (Information System Audit and Control

Association) dalam Grocholski, et.al (2012) terdiri dari 16

34

Standards dan 42 Guidelines. Standar untuk audit sistem

informasi adalah:

S1 Audit Charter

1.1. Responsibility, Authority & Accountability

Definisi dari tanggung jawab, otoritas, dan akuntabilitas dari fungsi

audit sistem informasi lebih tepat bila didokumentasikan dalam

suatu surat perjanjian.

S2 Independence

2.1 Professional Independence

Dalam permasalahan yang berkaitan dengan audit, auditor sistem

informasi harus bersikap independen dalam tingkah laku dan

tindakannya.

2.2 Organizational Relationship

Fungsi audit sistem informasi harus berada independen dari area

yang diaudit untuk mencapai tujuan objektivitas dari suatu proses

audit.

S3 Professional Ethics & Standards

3.1 Code of Professional Ethics

Auditor dari sistem informasi harus menghormati dan menaati etika

professional dari Information Systems Audit and Control

Association.

3.2 Due Professional Care

Standard auditing proffessional harus diterapkan dalam segala

aspek dalam pekerjaan yang dilakukan oleh auditor sistem

informasi.

35

S4 Competence

4.1 Skills & Knowledge

Auditor sistem informasi harus mampu profesional, mempunyai

pengetahuan, dan keahlian teknis untuk melakukan tugas audit.

Continuing Professional Education

Auditor sistem informasi harus me-maintain kompetensi teknikal

melalui pendidikan lanjut professional.

S5 Planning

5.1 Audit planning

Auditor sistem informasi harus merencanakan perencanaan audit

sistem untuk menempatkan tujuan audit dan untuk melengkapi

standar professional audit.

S6 Performance of Audit Work

6.1 Supervision

Staf dari audit sistem informasi harus tepat untuk dapat menjamin

tujuan dari audit dijalankan dan standar professional auditing dapat

terpenuhi.

6.2 Evidence

Selama masa pekerjaan audit, auditor sistem informasi harus

mendapatkan bukti yang tepat, dapat dipercaya, relevan, dan

berguna untuk mencapai tujuan objektif dari suatu audit.

S7 Reporting

Report Content & Form, auditor sistem informasi harus

menyediakan report dalam bentuk yang tepat pada saat

penyelesaian tugas audit. Laporan audit berupa lingkup, tujuan,

36

periode audit, dan lingkungan dimana audit dijalankan. Laporan

audit harus mengidentifikasikan permasalahan yang terjadi dalam

jangka waktu audit. Laporan audit juga untuk memberikan

rekomendasi dari layanan atau kualifikasi yang diberikan auditor

terhadap tugas audit yang dijalankan.

S8 Follow-up Activities

Auditor sistem informasi harus meminta dan mengevaluasi

informasi yang sesuai dari penemuan yang terdahulu dan

rekomendasi yang dihasilkan pada periode audit terdahulu untuk

mendefinisikan tindakan yang tepat yang harus diimplementasikan

dalam satu periode tertentu.

S9 Irregularities and Illegal Acts

Hal-hal yang berkaitan dengan ketidakwajaran dan penyimpangan

(Irregularities and Illegal Acts).

S10 IT Governance

Hal-hal yang berkaitan dengan tata kelola teknologi informasi pada

suatu organisasi/perusahaan, agar TI dikelola secara efektif, efisien,

ekonomis, terjamin integrity, security, availability, realibility, dan

continuity. Auditor sistem informasi harus melakukan peninjauan

dan penilaian apakah fungsi sistem informasi sudah selaras dengan

visi, misi, tata nilai, dan strategi serta tujuan organisasi.

S11 Use of Risk Assessment in Audit Planning

37

Auditor sistem informasi harus menggunakan teknik penilaian

risiko yang cocok dalam pengembangan rencana kerja audit sistem

informasi.

S12 Audit Materiality

Konsep materialitas dalam hubungannya dengan risiko audit

(khususnya audit sistem informasi).

S13 Using the Work of Other Experts

Penggunaan hasil audit lain (expert lainnya) dalam pelaksanaan

audit.

S14 Audit Evidence

Auditor sistem informasi harus memiliki bukti audit yang cukup

dan layak (lengkap dan kompeten) untuk dapat menarik

kesimpulan hasil audit.

S15 IT Controls

Auditor sistem informasi harus membantu manajemen dengan

memberikan saran mengenai desain, implementasi, operasi dan

peningkatan pengendalian TI

S16 E-commerce

Auditor sistem informasi harus mengevaluasi kontrol yang berlaku

dan menilai risiko ketika meninjau lingkungan e-commerce untuk

memastikan bahwa e-commerce benar dikontrol.

2.3.9.2 Guidelines yang Berkaitan dengan Evaluasi Aplikasi

Berbasis Web

1. G6 Materiality Concepts for Auditing Information

38

Auditor sistem informasi harus menentukan peran dan

tanggung jawab serta mengklasifikasikan aset informasi terkait

kerahasiaan, ketersediaan dan terintegrasi. Hal ini bisa

diwujudkan dengan membuat aturan pengendalian terkait

manajemen hak privileges (istimewa) dan mengklasifikasi

informasi berdasarkan derajat kritis dan risiko

eksposur/pembongkaran.

Penilaian risiko harus mempertimbangkan:

• Informasi yang tersimpan

• Hardware sistem informasi

• Arsitektur dan software sistem informasi

• Infrastruktur jaringan sistem informasi

• Operasional sistem informasi

• Pengembangan dan lingkungan pengujian

2. G14 Application Systems Review

1. Keterkaitan dengan Standar

Standar S6 Performance of Audit Work yaitu “Selama proses

audit, auditor sistem informasi harus memperoleh bukti yang

cukup, handal dan relevan untuk mencapai tujuan audit.

Temuan audit dan kesimpulan harus didukung dengan analisis

yang tepat dan merupakan penafsiran dari bukti yang ada.”

2. Performance of Audit Work

2.1 Documenting the Flow of Transactions

39

Informasi yang terkumpul harus terdiri dari aspek

komputerisasi maupun aspek manual dari sistem. Fokus

lebih tertuju pada penginputan (baik secara elektronik

maupun manual), pemrosesan, penyimpanan, dan output

data. Auditor sistem informasi mungkin menemukan bahwa

alur dalam mendokumentasikan transaksi tidak praktis baik

dari segi proses maupun teknologi yang digunakan. Bila

terjadi hal demikian, auditor harus menyiapkan diagram

alur data ataupun narasi dokumentasi sistem. Auditor juga

harus mempertimbangkan pendokumentasian dengan

menggunakan interface aplikasi dengan sistem lain.

2.2 Identifying and Testing the Application System Controls

Pengendalian yang spesifik untuk mengurangi risiko

aplikasi mungkin sudah teridentifikasi dan bukti audit yang

diperoleh sudah cukup untuk memastikan bahwa

pengendalian berjalan sesuai dengan yang diinginkan. Hal

ini dapat dicapai melalui prosedur:

• Permintaan (Inquiry) dan observasi

• Review dokumentasi

• Pengujian pengendalian sistem aplikasi mungkin dapat

menggunakan Computer-assisted audit techniques

(CAATs).

3. Reporting

3.1 Weaknesses

40

3.1.1 Kelemahan yang teridentifikasi dalam review

aplikasi baik karena ketidakadaan ataupun karena

ketidaksesuaian kontrol harus dikomunikasikan kepada

pemilik perusahaan untuk mempertanggungjawabkan

manajemen sistem informasi yang mendukung aplikasi.

Kelemahan yang teridentifikasi selama review sistem

aplikasi, baik yang signifikan ataupun mendasar harus

segera diatasi dengan melakukan tindakan perbaikan

yang tepat.

3.1.2 Karena keefektivitas pengendalian aplikasi yang

terkmputerisasi sangat bergantung pada pengendalian

umum teknologi informasi, kelemahan dalam area ini

harus dilaporkan. Jika pengendalian umum teknologi

informasi tidak di review, maka fakta ini juga harus

dimasukkan ke dalam laporan. .

3.1.3 Auditor sistem informasi juga harus memasukkan

ke dalam laporan, rekomendasi yang tepat untuk

menguatkan pengendalian yang ada.

3. G31 Privasi

3.1 Keterkaitan dengan Standar

Standard S1 Audit Charter mengatakan, "Tujuan,

tanggung jawab, wewenang dan akuntabilitas dari fungsi audit

sistem informasi atau tugas audit sistem informasi harus

didokumentasikan dalam audit charter.

41

3.2 Tujuan Pedoman

Tujuan dari pedoman ini adalah untuk membantu

auditor sistem informasi menghargai privasi dan dapat

mengatasi masalah privasi dengan tepat dalam melaksanakan

fungsi audit sistem informasi.

4. G33 Pertimbangan Umum tentang Penggunaan Internet

1. Keterkaitan dengan Standar

1.1 Standar Kompetensi S4 menyatakan, “Auditor Sistem

Informasi harus professional dan kompeten,

mempunyai keahlian dan pengetahuan untuk

melakukan tugas audit

1.2 Standar Perencanaan S5 menyatakan, “Auditor Sistem

Informasi harus merencanakan cakupan audit sistem

informasi untuk mengatasi tujuan audit dan patuh pada

hukum yang berlaku dan standar audit profesional.

1.3 Standar Performa S6 Kinerja Audit menyatakan,

“Proses audit harus didokumentasikan,menggambarkan

kerja audit dan bukti audit yang mendukung temuan

auditor Sistem Informasi dan kesimpulan.

2. Kebutuhan dan Tujuan Pedoman

2.1 Pedoman berguna untuk memberikan panduan dalam

menerapkan standar audit Sistem Informasi untuk

memperoleh bukti yang diandalkan, relevan dan

berguna selama peninjauan koneksi internet. Auditor

42

Sistem Informasi harus mempertimbangkan itu dalam

menentukan bagaimana cara mencapai penerapan

standar di atas, menggunakan penilaian professional

dalam aplikasinya.

2.2 Internet lebih dan lebih menjadi bagian dari

infrastruktur dalam perusahaan dan sering digunakan

beberapa tujuan. Secara umum, penggunaan internet

dapat dibagi menjadi empat bagian. Internet

digunakan sebagai:

• Sebagai sumber untuk mengumpulkan dan berbagi

informasi

• Saluran komunikasi

• Sebagai media penyampaian informasi bagi

perusahaan,organisasi maupun individu

• Sebagai pasar elektronik untuk perdagangan

2.3 Pedoman ini mencakup penggunaan internet sebagai

saluran komunikasi yang utama dan sebagai sumber

infomasi bagi perusahaan atau organisasi. Pedoman

ini juga memiliki fungsi lain berkaitan dengan internet

sebagai media presentasi dan media perdagangan.

3. Pertimbangan mengenai internet

3.1 Layanan Internet

3.1.1 Ada beberapa layanan yang tersedia di

internet dan beberapa layanan baru yang

43

sering muncul. Layanan yang paling

populer saat ini adalah:

• E-mail

• WWW (World Wide Web)

• File transfer protocol (FTP)

• Berita

• Akses interaktif jarak jauh

• Internet relay chat (IRC)/Instant

messaging

4. Langkah-Langkah Keamanan

4.1 Firewalls

Firewall adalah tindakan keamanan yang paling sering

digunakan ketika membangun koneksi internet. Firewall

adalah kombinasi dari hardware yang mencegah setiap

penembusan ilegal. Firewall harus mencerminkan kebijakan

keamanan perusahaan. Hanya layanan yang berwenang saja

yang dapat melaluinya. Firewall dapat berfungsi sebagai

berikut:

• Packet filtering routers—Memeriksa paket data yang

masuk atau meninggalkan jaringan

• Application gateways—Menerapkan mekanisme

keamanan ke dalam aplikasi yang spesifik seperti

FTP/Telnet

44

• Circuit level gateways—Sebagai pasokan mekanisme

keamanan ketika koneksi TCP atau UDP dibentuk

• Proxy servers—Mencegah pesan masuk atau keluar

jaringan sehingga memungkinkan alamat IP yang

benar disembunyikan .

5. Isu Teknikal dan Langkah-Langkah Keamanan

5.1 Isu teknikal meliputi:

• Terdapat alat untuk mendeteksi kejadian yang tidak sah

harus diaktifkan dalam software

• Hubungan antara jaringan lokal dan internet harus

dilindungi melalui firewall

• Hanya layanan yang diperbolehkan oleh manajemen yang

dapat melewati firewall

• Firewall harus menghentikan semua protokol jaringan

yang tidak diijinkan

• Firewall harus menghentikan semua akses ketika terjadi

sebuah kesalahan sistem atau gangguan dalam produksi

terjadi.

5.2 Layanan terkait Pengukuran (WWW) meliputi:

• Bila menggunakan layanan internet, seseorang harus

menggunakan username dan password yang berbeda

daripada yang digunakan di jaringan lokal.

45

• Informasi yang di-download dari WWW harus diverifikasi

dan dikendalikan sebelum digunakan

• Hanya sebuah browser internet yang disetujui yang dapat

digunakan dan perubahan konfigurasi atau instalasi plug-

in tidak diperbolehkan

• Semua file yang di-download dari internet harus

dilakukan scanning terhadap virus atau kode berbahaya

lain seperti spyware.

2.3.10 Laporan Audit

Menurut Sarno (2009: 168), laporan audit SI/TI yang didokumentasikan

harus berisi:

a. Perencanaan dan persiapan audit SI/TI yang mencakup ruang

lingkup dan tujuan audit (scope/objective).

b. Kondisi sistem informasi.

c. Program audit SI/TI yang dilakukan.

d. Langkah audit SI/TI yang dilakukan dan bukti (evidence) audit

SI/TI yang dikumpulkan.

e. Temuan audit (findings) dan tingkat kedewasaan proses TI.

f. Kesimpulan dari hasil temuan.

g. Laporan-laporan lain terkait sebagai hasil dari pekerjaan audit

SI/TI.

h. Tinjauan pengawas berupa rekomendasi untuk perbaikan

berkelanjutan.

46

2.3.11 Perlunya Kontrol dan Audit

Christianti dan Bobby (2011), mengatakan bahwa kontrol dan audit

dibutuhkan untuk meminimalkan suatu risiko atau pengeluaran serta

memaksimalkan keuntungan yang diperoleh oleh perusahaan.

Menurut Gondodiyoto (2007: 479), “kontrol internal dan audit sangat

penting bagi suatu organisasi/perusahaan, karena :

1. Jika data sistem komputer hilang, atau rusak maka kerugiannya akan tidak

terkirakan (kerugian yang sangat besar)

2. Bila data pada sistem komputerisasi tidak benar, atau prosesnya salah,

sehingga laporan yang dihasilkan error, maka mungkin terjadi

pengambilan keputusan yang tidak benar (karena menggunakan data yang

salah)

3. Nilai hardware, software, infrastructure komputer dan pegawai yang

terlatih bernilai sangat tinggi. Perusahaan telah mengeluarkan investasi

yang sangat besar untuk mendapatkan aset sistem informasi (data,

hardware, software dan barainware) dan sekaligus merupakan sumber

daya kritis dari perusahaan. Beberapa perusahaan memiliki hardware dan

software yang bernilai sangat tinggi dan apabila terjadi kerusakan maka

berarti kerugian besar. Selain itu terhentinya proses juga merupakan

kerugian yang tak ternilai

4. Biaya tinggi akibat error-nya komputer

Pada saat ini banyak kegiatan perusahaan yang dilakukan secara

terotomatisasi berbasis komputer, mengolah data, mengontrol pasien,

mengontrol pesawat terbang, mengontrol misil nuklir, dan semua

dilakukan secara otomatis oleh komputer. Apabila terjadi error pada

47

komputer, atau komputer rusak sehingga organisasi tidak dapat beroperasi

dengan normal, maka dapat dibayangkan apa yang akan terjadi dan

berapa besar biaya yang disebabkannya

5. Data pada sistem komputerisasi banyak yang bersifat pribadi seperti

pajak, kredit, kesehatan dan sebagainya. Data pribadi yang seharusnya

menjadi rahasia seseorang pada jaringan TI dapat tersebar, sehingga

mengakibatkan orang-orang kehilangan hak privacy-nya.

6. Bila perkembangan komputerisasi tidak dikelola dan dikontrol dengan

baik, mungkin akan terjadi perkembangan yang makin tidak terarah.

7. Biaya penyalahgunaan komputer bisa berakibat fatal.”

2.4 Internet

2.4.1 Pengertian Internet

Levine (2010: 9-10) menjelaskan mengenai pengertian internet yaitu

jaringan komputer terbesar di dunia. Internet sendiri bukan merupakan

satu jaringan, melainkan suatu jaringan dari banyak jaringan. Jaringan

tersebut jaringan yang besar, seperti jaringan komputer di suatu

perusahaan hingga jaringan kecil yang berada di rumah antar dua

komputer atau lebih.

2.4.2 Jenis Akses Internet

Akses internet menurut Judy dan Raymond (2012: 28) terbagi menjadi 3,

yaitu:

1. Public internet

48

Jaringan luas yang dapat diakses oleh siapapun, kapanpun, dan

dimanapun.

2. Intranet

Jaringan yang berjalan hanya secara internal dalam perusahaan tetapi

menggunakan standar internet seperti HTML dan browsers. Intranet

merupakan mini-internet tetapi memiliki password proteksi untuk

internal perusahaan seperti firewall.

Fungsi intranet adalah sebagai berikut:

1. Meningkatkan komunikasi dan kolaborasi antara individu dan tim

dalam sebuah perusahaan.

2. Mempublikasikan dan berbagi informasi bisnis yang berharga

mudah, murah, efektif melalui portal informasi perusahaan dan

situs web intranet.

3. Extranet

Jaringan antara dua atau lebih yang bergabung untuk tujuan berbagi

informasi. Jika dua perusahaan atau perusahaan dan pemasok atau

pelanggan, menghubungkan intranet mereka, mereka akan memiliki

extranet.

2.4.3 Pengertian World Wide Web (WWW)

Menurut Levine (2010: 89), World Wide Web (WWW) adalah kumpulan

halaman informasi yang saling terhubung antara satu dengan yang lain di

seluruh dunia. Setiap halaman dapat berisi kombinasi dari teks, gambar, klip

suara, klip video, animasi, dan lain-lain.

49

Menurut Yuhefizar (2009: 2) Website adalah keseluruhan halaman-

halaman web yang terdapat dalam sebuah domain yang mengandung

informasi. Sebuah website biasanya dibangun atas banyak halaman web yang

saling berhubungan.

2.5 Aplikasi Berbasis Web

2.5.1 Pengertian Aplikasi

Menurut Dhanta (2009: 32), aplikasi (application) adalah software yang

dibuat oleh suatu perusahaan komputer untuk mengerjakan tugas-tugas tertentu.

Dari pengertian di atas, dapat disimpulkan bahwa aplikasi merupakan

software yang berfungsi untuk melakukan berbagai bentuk pekerjaan atau tugas-

tugas seperti pengolahan data.

Menurut O’Brien (2010: 124), software komputer terbagi menjadi 2,

yaitu:

1. Application Software

Mengarahkan kinerja penggunaan tertentu atau aplikasi komputer

untuk memenuhi kebutuhan pengolahan informasi dari pengguna.

Contohnya: word processing.

2. System Software

Mengendalikan dan mendukung operasi dari sistem komputer karena

melakukan berbagai tugas pengolahan informasi. Contohnya:

operating system, network management, database management.

2.5.2 Pengertian Aplikasi Berbasis Web

Menurut O’Brien (2010: 157), Web service merupakan komponen

software yang berbasis framework web dan standar object-oriented dan

50

teknologi untuk penggunaan web yang secara elektronik menghubungkan

aplikasi user yang berbeda dan platform yang berbeda. Web service dapat

menghubungkan fungsi bisnis untuk pertukaran data secara real time dalam

aplikasi berbasis web.

Menurut artikel yang didapat dari website Webarq (2010) menjelaskan

bahwa Aplikasi Berbasis Web adalah sebuah aplikasi yang dapat diakses melalui

internet atau intranet.

Banyak dari perusahaan-perusahaan berkembang yang menggunakan

Aplikasi Berbasis Web dalam merencanakan sumber daya mereka dan untuk

mengelola perusahaan mereka. Aplikasi berbasis Web ini menggunakan protokol

HTTP, Aplikasi di sisi server berkomunikasi dengan client melalui Web server.

Aplikasi di sisi client umumnya berupa Web browser jadi, Aplikasi berbasis

Web (client/server-side script) berjalan di atas Aplikasi berbasis Internet.

Menurut Simarmata (2010: 185), aplikasi berbasis web adalah sistem

perangkat lunak yang berdasarkan pada teknologi dan standar World Wide Web

Consortium (W3C). Mereka menyediakan sumber daya web spesifik, seperti

konten dan layanan melalui sebuah antarmuka pengguna dan browser web.

2.5.3 Tujuan Aplikasi Berbasis Web

Tujuan Aplikasi Berbasis Web, yaitu:

1. Aplikasi Berbasis Web dapat digunakan untuk membantu

operasional perusahaan seperti membuat invoice, sistem informasi

persediaan.

2. Memudahkan dalam penyimpanan data di database.

51

3. Aplikasi Berbasis Web juga dapat bekerja memonitoring sistem

dalam hal tampilan, dapat didesain dan disesuaikan untuk berbagai

jenis industri.

2.5.4 Kelebihan dan Kelemahan Aplikasi Berbasis Web

Kelebihan kompetitif dari Aplikasi Berbasis Web:

1. Aplikasi tersebut ‘ringan’ dan dapat diakses selama ada

koneksi internet atau intranet ke server.

2. Dapat diakses dengan menggunakan browser tanpa harus

menginstall aplikasi tersebut.

Kekurangan menggunakan Aplikasi Berbasis Web:

1. Antarmuka yang dapat dibuat terbatas sesuai spesifikasi

standar untuk membuat dokumen Web dan keterbatasan

kemampuan Web browser untuk menampilkannya

2. Terbatasnya kecepatan internet mungkin membuat respon

aplikasi menjadi lambat.

3. Tingkat keamanan yang lebih rentan untuk diakses oleh orang

lain atau pihak yang tidak berhak.

Oleh karena itu dapat disimpulkan, user dapat mengakses data atau

informasi perusahaan mereka melalui laptop, smartphone, atau bahkan

komputer PC dengan mudah tanpa harus menginstal terlebih dahulu aplikasi

tersebut.

52

2.6 Teori Rich Picture

Berdasarkan pendapat Tan dan Lambe (2008: 116) Rich Picture are a way to

representing knowledge domains where you want to communicate different

perpectives and concerns in the same space.

Jadi, rich picture merupakan suatu gambaran umum mengenai proses bisnis

yang ada di dalam perusahaan termasuk pelaku yang melakukan kegiatan tersebut

secara berkaitan untuk memudahkan memahami proses bisnis perusahaan tersebut.

Dalam hal ini adalah gambar keseluruhan orang, objek, dan proses bisnis yang

ada di perusahaan. Tujuan Rich Picture adalah untuk memudahkan memahami

proses bisnis perusahaan tersebut.

2.7 Teori Event Table

Menurut Rama dan Jones (2008: 4), event adalah suatu aktifitas-aktifitas yang

terjadi pada suatu waktu tertentu dalam kegiatan bisnis perusahaan.

Jadi, dapat dijelaskan bahwa event table adalah tabel yang berisi mengenai

aktifitas-aktifitas yang terjadi pada suatu waktu tertentu dalam kegiatan bisnis.

2.8 Teori Overview Activity Diagram (OAD)

Menurut Rama dan Jones (2008: 79), Overview Activity Diagram adalah

diagram yang menyajikan suatu pandangan tingkat tinggi dari proses bisnis dengan

mendokumentasikan kejadian- kejadian penting, urutan kejadian-kejadian ini, dan

aliran informasi antar kejadian.

53

2.9 Teori Detailed Activity Diagram (DAD)

Menurut Rama dan Jones (2008: 111), detailed activities diagram memberikan

suatu gambaran proses bisnis secara detail yang menjelaskan setiap event yang

terjadi pada overview diagram. Diagram ini menyediakan suatu penyajian yang lebih

detail dari aktivitas yang berhubungan dengan satu atau dua kejadian yang

ditunjukkan pada overview diagram.

2.10 Teori Use Case Diagram

Menurut Rama dan Jones (2008: 355), Use Case Diagram adalah daftar use

case yang terjadi di suatu aplikasi dan yang menunjukkan actor yang bertanggung

jawab atas setiap use case.

2.11 Teori Penjualan

2.11.1 Pengertian Penjualan

Menurut Bodnar dalam Puspitawati dan Anggadini (2011: 166),

penjualan adalah suatu usaha yang terpadu untuk mengembangkan rencana-

rencana strategis yang diarahkan pada usaha pemuasan kebutuhan dan

keinginan pembeli, guna mendapatkan penjualan yang menghasilkan laba.

Penjualan merupakan sumber hidup suatu perusahaan, karena dari penjualan

dapat diperoleh laba serta suatu usaha memikat konsumen yang diusahakan

untuk mengetahui daya tarik mereka sehingga dapat mengetahui hasil produk

yang dihasilkan.

Penjualan terdapat 2 jenis, yaitu Penjualan tunai dan penjualan kredit.

Menurut Samiaji Sarosa (2009: 39), Penjualan tunai adalah tidak ada jeda

waktu yang cukup lama antara penjualan dan pembayaran.

54

Menurut Mulyadi (2008: 210), Penjualan kredit dilaksanakan oleh

perusahaan dengan cara mengirimkan barang sesuai dengan order yang

diterima dari pembeli dan untuk jangka waktu tertentu perusahaan mempunyai

tagihan kepada pembeli tersebut.

2.11.2 Siklus Penjualan

Siklus pendapatan lebih mengacu pada proses menyediakan barang

dan jasa untuk para pelanggan. Menurut Rama dan Jones (2008: 23) , siklus

penjualan meliputi:

1. Merespon permintaan informasi pelanggan

2. Membuat perjanjian dengan para pelanggan untuk menyediakan barang dan

jasa dimasa mendatang

3. Menyediakan jasa atau mengirim barang ke pelanggan

4. Menagih pelanggan

5. Menyetorkan uang kas ke bank

6. Menyusun laporan

2.12 Penilaian Risiko

2.12.1 Pengertian Risiko

Djohanputron (2008: 32) mendefinisikan risiko sebagai ketidakpastian

yang bisa dikuantitaskan yang dapat menyebabkan kerugian atau kehilangan.

2.12.2 Matriks Penilaian Risiko dan Pengendalian

Metode penilaian risiko dan pengendalian yang didasari oleh teori

Peltier (2001 : 60-63) yang dikutip dalam buku Gondodiyoto (2007: 559)

adalah sebagai berikut:

55

1. Matriks Penilaian Risiko

Matriks penilaian risiko adalah metoda analisis dengan menghitung aspek

risiko (dampak) dan tingkat keterjadian risiko tersebut, dengan nilai L (Low)

nilai -1, M (Medium) nilai -2, dan H (High) diberi nilai -3.

Teknik perhitungan nilai risiko menggunakan rasio antara risiko (dampak)

dengan keterjadian.

a. Risiko kecil (Low) nilainya berkisar antara -1 dan -2, seperti:

• Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai risiko

adalah -1. Artinya nilai risiko dari dampak dan keterjadian adalah

kecil.

• Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai risiko

adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah

kecil.

• Jika dampak Medium (-2) dan keterjadian Low (-1), maka nilai risiko

adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah

kecil.

b. Risiko sedang (Medium) nilainya berkisar antara -3 dan -4, seperti:

• Jika dampak Low (-1) dan keterjadian High (-3), maka nilai risiko

adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah

sedang.

• Jika dampak Medium (-2) dan keterjadian Medium (-2), maka nilai

risiko adalah -4. Artinya nilai risiko dari dampak dan keterjadian

adalah sedang.

56

• Jika dampak High (-3) dan keterjadian Low (-1), maka nilai risiko

adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah

sedang.

c. Risiko tinggi (High) nilainya berkisar antara -6 dan -9, seperti:

• Jika dampak Medium (-2) dan keterjadian High (-3), maka nilai risiko

adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah

tinggi.

• Jika dampak High (-3) dan keterjadian Medium (-2), maka nilai risiko

adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah

tinggi.

• Jika dampak High (-3) dan keterjadian High (-3), maka nilai risiko

adalah -9. Artinya nilai risiko dari dampak dan keterjadian adalah

tinggi.

2. Matriks Penilaian Pengendalian

Matriks penilaian pengendalian adalah metoda analisis desain (rancangan)

dan tingkat efektifitas pengendalian internal. Besarnya tingkatan efektifitas

dan desain (rancangan) dinyatakan dengan : L (Low) diberi nilai 1, M

(Medium) nilai 2, dan H (High) diberi nilai 3.

Teknik perhitungan nilai pengendalian menggunakan fungsi perkalian

antara efektifitas dengan desain (rancangan). Kriteria penilaian dalam matriks

pengendalian terdiri dari:

a. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, seperti:

• Jika efektifitas Low (1) dan desain (rancangan) Low (1), maka nilai

risiko adalah 1. Artinya nilai pengendalian dari efektifitas dan desain

(rancangan) adalah kecil.

57

• Jika efektifitas Low (1) dan desain (rancangan) Medium (2), maka

nilai risiko adalah 2. Artinya nilai pengendalian dari efektifitas dan

desain (rancangan) adalah kecil.

• Jika efektifitas Medium (2) dan desain (rancangan) Low (1), maka

nilai risiko adalah 2. Artinya nilai pengendalian dari efektifitas dan

desain (rancangan) adalah kecil.

b. Pengendalian sedang (Medium) nilainya berkisar antara 3 dan 4, seperti:

• Jika efektifitas Low (1) dan desain (rancangan) High (3), maka nilai

risiko adalah 3. Artinya nilai pengendalian dari efektifitas dan desain

(rancangan) adalah sedang.

• Jika efektifitas Medium (2) dan desain (rancangan) Medium (2), maka

nilai risiko adalah 4. Artinya nilai pengendalian dari efektifitas dan

desain (rancangan) adalah sedang.

• Jika efektifitas High (3) dan desain (rancangan) Low (1), maka nilai

risiko adalah 3. Artinya nilai pengendalian dari efektifitas dan desain

(rancangan) adalah sedang.

c. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9, seperti:

• Jika efektifitas Medium (2) dan desain (rancangan) High (3), maka

nilai risiko adalah 6. Artinya nilai pengendalian dari efektifitas dan

desain (rancangan) adalah tinggi.

• Jika efektifitas High (3) dan desain (rancangan) Medium (2), maka

nilai risiko adalah 6. Artinya nilai pengendalian dari efektifitas dan

desain (rancangan) adalah tinggi.

58

• Jika efektifitas High (3) dan desain (rancangan) High (3), maka nilai

risiko adalah 9. Artinya nilai pengendalian dari efektifitas dan desain

(rancangan) adalah tinggi.

Penetapan tingkat efektifitas antara risiko dan pengendalian adalah sebagai

berikut:

1. Jika jumlah penilaian risiko dan pengendaliannya adalah 0, maka tingkat

pengendalian dan risiko adalah standar. Artinya setiap risiko yang terjadi dapat

ditanggulangi oleh pengendalian yang ada.

2. Jika jumlah penilaian risiko dan pengendaliannya adalah positif, maka

tingkat pengendalian dan risiko adalah baik. Tetapi jika nilai pengendalian

terlalu tinggi dibandingkan dengan risiko, maka kemungkinan akan terjadi

kelebihan pengendalian (over control) yang menyebabkan terjadinya

pemborosan dalam operasional.

3. Jika jumlah penilaian risiko dan pengendaliannya adalah negatif, maka

tingkat pengendalian dan risiko adalah buruk. Sehingga perlu dilakukan

peningkatan terhadap pengendalian karena risiko yang dihadapi besar.