9

BAB 2

LANDASAN TEORI

2.1 Definisi Sistem Informasi

Menurut J. Hall (2001, p7), sistem informasi adalah sebuah rangkaian

prosedur formal dimana data dikumpulkan, diproses menjadi informasi dan

didistribusikan kepada pemakai.

Menurut Muchtar (1999, p3), sistem informasi adalah suata

pengorganisasian peralatan untuk mengumpulkan, meng-input, memproses,

menyimpan, mengatur, mengontrol, dan melaporkan informasi untuk mencapai

tujuan perusahaan.

Menurut O’brien (2003, p7), sistem informasi adalah perpaduan

terorganisasi dari manusia, hardware, software, jaringan komunikasi dan sumber

daya data dimana dia mengumpulkan, mengubah, dan juga menyebarkan informasi

itu ke organisasi.

Jadi dapat disimpulkan bahwa sistem informasi adalah suatu kegiatan

mengumpulkan data kemudian diproses menjadi informasi yang bermanfaat bagi

pemakai dalam pengambilan keputusan.

2.2 Audit Sistem Informasi

2.2.1 Definisi Audit Sistem Informasi

Menurut Weber (1999, p10), audit sistem informasi adalah proses

pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem

10

komputer dapat mengamankan aset, menjaga integritas data, membantu

organisasi mencapai tujuan secara efektif, dan menggunakan sumber daya

secara efisien.

Menurut Gondodiyoto (2003, p150), pengertian audit sistem

informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti

untuk menentukan apakah suatu sistem aplikasi komputerisasi telah

menetapkan dan menerapkan sistem pengendalian intern yang memadai,

semua aktiva dilindungi dengan baik atau tidak disalahgunakan, serta

terjaminnya integritas data keandalan serta efektifitas dan efisiensi

penyelenggaraan sistem informasi berbasis komputer.

Jadi dapat disimpulkan audit sistem informasi adalah proses

pengumpulan dan pengevaluasian bukti-bukti untuk dapat menentukan

apakah sistem komputerisasi perusahaan telah menggunakan sistem

informasi secara tepat dalam pencapaian tujuan perusahaan.

2.2.2 Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi menurut Weber (1999, pp 11-13),

adalah:

1. Meningkatkan keamanan aset-aset perusahaan

Aset informasi suatu perusahaan seperti perangkat keras (hardware),

perangkat lunak (software), sumber daya manusia, file (data) harus

dijaga oleh suatu sistem pengendalian internal yang baik agar tidak

terjadi penyalahgunaan aset perusahaan. Dengan demikian, sistem

11

pengamanan aset perusahaan merupakan suatu hal yang sangat

penting dan harus dipenuhi oleh perusahaan.

2. Meningkatkan integritas data

Integritas data adalah salah satu konsep dasar sistem informasi. Data

memiliki atribut-atribut tertentu seperti: kelengkapan, kebenaran, dan

keakuratan. Jika integritas data tidak terpelihara, maka suatu

perusahaan tidak lagi memiliki hasil atau laporan yang benar dan

akurat sehingga dapat merugikan perusahaan.

3. Meningkatkan efektifitas sistem

Efektifitas sistem informasi perusahaan memiliki peranan penting

dalam proses pengambilan keputusan. Suatu sistem informasi dapat

dikatakan efektif bila sistem informasi tersebut telah sesuai dengan

kebutuhan pengguna (user).

4. Meningkatkan efisiensi sistem

Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak

lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem

aplikasi komputer menurun maka pihak manajemen harus

mengevaluasi apakah efisiensi sistem masih memadai atau harus

menambah sumber daya manusia. Karena suatu sistem dapat

dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan

user dengan sumber daya manusia yang minimal. Ekonomis

mencerminkan kalkulasi untung rugi ekonomi (cost/benefit) yang

lebih bersifat kuantitatif nilai moneter (uang). Efisiensi berarti sumber

12

daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis

lebih bersifat pertimbangan ekonomi.

Menurut Weber (1999, p6), disimpulkan audit dilakukan

untuk:

1. Biaya yang dikeluarkan perusahaan akibat kehilangan data

(Organizational cost of data loss)

Data merupakan sumber yang sangat diperlukan oleh sebuah

organisasi untuk kelanjutan operasionalnya. Kehilangan data akan

menimbulkan ketidakmampuan kontrol terhadap pemakaian

komputer, manajemen yang tidak menyediakan cadangan (backup)

yang memadai terhadap file komputer, sehingga dapat terjadi

kehilangan file karena adanya program yang rusak, sabotase, atau

kerusakan normal yang membuat file tersebut tidak dapat diperbaiki

sehingga akhirnya membuat kelanjutan operasional organisasi itu

menjadi terganggu.

2. Pengambilan keputusan yang salah (Incorrect decision making)

Membuat keputusan yang berkualitas tergantung pada kualitas

data dan kualitas aturan pengambilan keputusan yang ada pada sistem

informasi berbasis komputer.

Data yang akurat pada sistem komputer tergantung pada tipe

keputusan yang diambil oleh orang-orang yang berkepentingan di

perusahaan.

13

3. Penyalahgunaan komputer (Computer abuse)

Penyalahgunaan komputer didefinisikan sebagai setiap

kecelakaan yang berhubungan dengan teknologi komputer dimana

korbannya menderita kehilangan dan pelakunya memperoleh

keuntungan dari kecelakaan tersebut.

Beberapa tipe dari penyalahgunaan komputer antara lain:

a. Perusakkan aset

Hardware, software, data, fasilitas, dokumentasi, atau pemasok

dapat dirusak.

b. Pencurian aset

Hardware, software, data, fasilitas, dokumentasi, atau pemasok

dapat dipindahkan secara ilegal.

c. Memodifikasi aset

Hardware, software, data, fasilitas, dokumentasi dapat

dimodifikasi pada cara yang tidak seharusnya.

d. Pelanggaran privasi

Data pribadi personil atau perusahaan dapat diakses bebas.

e. Gangguan operasi

Operasi dari sistem informasi tiap harinya dapat terhapus atau

hilang secara perlahan-lahan.

f. Penggunaan aset diluar wewenang

Hardware, software, data, fasilitas, dokumentasi, atau pemasok

dapat digunakan untuk tujuan yang tidak seharusnya.

14

g. Membahayakan secara fisik bagi personil

Personil dapat menderita secara fisik.

4. Nilai dari perangkat keras, perangkat lunak, dan personil komputer

(Value of computer hardware, software, and personnel)

Di samping data, hardware, dan sofware, serta personil

komputer juga merupakan sumber daya yang kritis bagi perusahaan.

Kehilangan hardware baik karena kesengajaan maupun

ketidaksengajaan dapat mengakibatkan gangguan. Jika software

rusak, maka akan mengganggu jalannya operasional dan bila dicuri

maka informasi yang sangat rahasia bisa dijual pada kompetitor.

Personil adalah sumber daya yang paling berharga. Mereka harus

dididik dengan baik agar menjadi tenaga dibidang komputer yang

profesional.

5. Biaya yang tinggi dari kesalahan komputer (High cost of computer

error)

Biaya yang dikeluarkan perusahaan jika terjadi kesalahan

komputer dapat menjadi tinggi. Perusahaan harus segera memperbaiki

kerusakan akibat kesalahan desain, implementasi, atau operasi dari

sistem komputer mereka untuk mencegah kerugian yang lebih besar.

6. Privasi (Privacy)

Banyak data tentang kita yang saat ini dapat diperoleh dengan

cepat, misalnya pajak, kredit, kesehatan, pendidikan, pekerjaan, dan

lainnya. Privasi merupakan hak dasar setiap individu. Oleh

karenanya, merupakan tanggung jawab orang-orang yang

15

berkepentingan dengan proses data komputer untuk memastikan

bahwa penggunaan komputer tidak dapat mengumpulkan,

mengintegrasikan, dan mengambil data personal tiap orang.

7. Mengendalikan evolusi dari penggunaan komputer (Controlled

evolution of computer use)

Teknologi adalah hal yang alami, tidak ada teknologi yang baik

atau buruk. Pengguna teknologi tersebut yang dapat menentukan

apakah teknologi itu akan menjadi baik atau menimbulkan gangguan.

Banyak keputusan yang harus diambil untuk mengetahui apakah

komputer digunakan untuk suatu hal, misalnya apakah pemakaian

komputer dapat dilakukan untuk menggantikan suatu satuan kerja

yang akan menimbulkan dampak pengangguran besar walaupun akan

memberikan efisiensi bagi pengguna.

2.2.3 Jenis Audit Sistem Informasi

Menurut Weber (1999, p106), jenis audit sistem informasi

meliputi:

1. Concurrent audit

Auditor sebagai bagian dari tim pengembangan sistem,

terlibat untuk meningkatkan kualitas sistem yang sedang

dikembangkan.

2. Postimplementation audit

Auditor membantu organisasi untuk mempelajari aplikasi

sistem yang sedang dijalankan. Auditor dapat melakukan evaluasi

16

apakah sistem yang ada perlu dibuang, dilanjutkan, atau

dimodifikasi.

3. General audit

Auditor melakukan evaluasi terhadap pengembangan

sistem secara keseluruhan. Auditor menentukan apakah mereka

dapat mengurangi pengecekan terhadap data untuk memberikan

opini audit tentang hubungan pernyataan manajemen dengan

laporan keuangan atau sistem yang efektif dan efisien.

2.2.4 Metode Audit Sistem Informasi

Menurut Gondodiyoto (2003, pp155-159), metode audit sistem

informasi meliputi:

1. Audit di sekitar komputer (Audit around the computer)

Dalam metode audit disekitar komputer (audit around the

computer), auditor dapat melangkah pada perumusan pendapat hanya

dengan menelaah struktur pengendalian dan melaksanakan pengujian

transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama

seperti pada sistem manual (bukan sistem informasi berbasis

komputer). Auditor tidak perlu menguji pengendalian sistem

informasi berbasis komputer klien (yaitu terhadap file program/data di

dalam komputer), malainkan cukup terhadap input dan output sistem

aplikasi saja. Dari penilaian terhadap kualitas dan kesesuaian antara

input dan output sistem aplikasi ini, auditor dapat mengambil

17

kesimpulan tentang kualitas pemrosesan data yang dilakukan klien

(meskipun proses/program komputer tidak diperiksa).

Metode audit di sekitar komputer cocok untuk dilaksanakan pada

situasi:

a. Dokumen sumber tersedia dalam bentuk kertas (bahasa non-

mesin), artinya masih kasat mata dan terlihat secara visual.

b. Dokumen-dokumen disimpan dalam file dengan cara yang mudah

ditemukan.

c. Keluaran dapat diperoleh dari daftar yang terinci dan auditor

mudah menelusuri setiap transaksi dari dokumen sumber kepada

keluaran.

d. Sistem komputer yang diterapkan masih sederhana.

e. Sistem komputer yang diterapkan masih menggunakan software

yang umum digunakan, dan telah diakui, serta digunakan secara

massal.

Keunggulan metode audit di sekitar komputer adalah:

a. Pelaksanaan audit lebih sederhana.

b. Auditor yang memiliki pengetahuan minimal di bidang komputer

dapat dilatih dengan mudah untuk melaksanakan audit.

Kelemahan metode audit di sekitar komputer ini adalah jika

lingkungan berubah, kemungkinan sistem itu akan berubah dan perlu

penyesuaian sistem atau program-programnya, bahkan struktur

data/file, sehingga auditor tidak dapat menilai dan menelaah apakah

sistem masih berjalan dengan baik.

18

2. Audit melalui komputer (Audit through the computer)

Dalam metode audit melalui komputer (audit through the

computer), auditor melakukan pemeriksaan langsung terhadap

program-program dan file komputer pada audit sistem informasi

berbasis komputer. Auditor menggunakan komputer (software bantu)

atau dengan cek logika atau listing program (desk test on logic or

program source code) untuk menguji logika program dalam rangka

pengujian pengendalian yang ada dalam komputer.

Metode audit melalui komputer cocok digunakan dalam kondisi:

a. Sistem aplikasi komputer memproses input yang cukup besar dan

menghasilkan output yang cukup besar pula, sehingga

memperluas audit untuk meneliti keabsahannya.

b. Bagian penting dari sistem pengendalian internal terdapat di

dalam komputerisasi yang digunakan.

c. Sistem logika komputer sangat kompleks dan memiliki banyak

fasilitas pendukung.

d. Adanya jurang yang besar dalam melaksanakan audit secara

visual, sehingga memerlukan pertimbangan antara biaya dan

manfaatnya.

Keunggulan metode audit melalui komputer ini adalah:

a. Auditor memperoleh kemampuan yang besar dan efektif dalam

melakukan pengujian terhadap sistem komputer.

b. Auditor akan merasa lebih yakin terhadap kebenaran hasil

kerjanya.

19

c. Auditor dapat menilai kemampuan sistem komputer tersebut

untuk menghadapi perubahan lingkungan.

Kelemahan metode ini yaitu memerlukan biaya yang besar

dan tenaga ahli yang terampil.

Pada Standar Profesional Akuntan Publik (2001, p335.1-

335.4) ditetapkan standar auditing seksi 335 tentang auditing dalam

lingkungan Sistem informasi Komputer (SIK). Dan pada Standar

Profesional Akuntan Publik (2001, p335.2) tertera bahwa auditor

harus pula memiliki pengetahuan sistem informasi komputer yang

memadai untuk menerapkan prosedur audit, tergantung atas

pendekatan audit yang digunakan.

Sedangkan pada Standar Profesional Akuntan Publik (2001,

p335.2) menjelaskan bahwa keahlian minimum yang harus dimiliki

oleh auditor atau stafnya dalam melaksanakan audit di lingkungan

SIK adalah:

a. Pengetahuan dasar-dasar komputer dan fungsi komputer secara

umum.

b. Pengetahuan dasar tentang sistem operasi (operating system) dan

perangkat lunak.

c. Pemahaman tentang tekhnik pengolahan file dan struktur data.

d. Kemampuan bekerja dengan perangkat lunak audit.

e. Kemampuan me-review sistem dokumentasi.

20

f. Pengetahuan dasar tentang pengendalian SIK untuk

mengidentifikasi dan mengevaluasi dampak penggunaan SIK

terhadap operasi entitas.

g. Pengetahuan yang memadai dalam pengembangan perancangan

audit dan supervisi pelaksanaan audit dalam lingkungan SIK.

h. Pemahaman dinamika perkembangan dan perubahan sistem dan

program dalam suatu entitas.

3. Audit dengan komputer (Audit with the computer)

Pada metode audit dengan komputer (audit with the

computer), dilakukan dengan menggunakan komputer dan piranti

lunak (software) untuk mengotomatisasi prosedur pelaksanaan audit.

Metode audit dengan komputer merupakan cara audit yang sangat

bermanfaat, khususnya dalam pengujian subtantif atas file dan record

perusahaan. Software audit yang digunakan merupakan program

komputer auditor untuk membantu pengujian dan evaluasi kehandalan

data, file, atau record perusahaan.

Keunggulan metode audit dengan komputer ini adalah:

a. Dapat melaksanakan tugas audit yang terpisah dari catatan klien,

yaitu dengan mengambil copy data atau file untuk diuji dengan

komputer lain.

b. Merupakan program komputer yang diproses untuk membantu

pengujian pengendalian sistem komputer klien itu sendiri.

Kelemahan utama metode audit dengan komputer adalah

upaya dan biaya pengembangan yang relatif besar.

21

2.2.5 Tahapan Audit Sistem Informasi

Menurut Weber (1999, pp47-55), tahapan-tahapan audit sistem

informasi terdiri dari:

1. Planning the audit (Perencanaan Audit)

Perencanaan audit merupakan fase pertama dalam audit bagi

auditor eksternal yang berarti menyelidiki dari awal atau melanjutkan

yang ada untuk menentukan apakan pemeriksaan tersebut dapat

diterima, penempatan staf audit yang sesuai, melakukan pengecekan

informasi latar belakang klien, mengerti kewajiban utama dari klien

dan mengidentifikasikan resiko. Auditor harus mengerti tentang

penggunaan pengendalian internal (internal controls) pada

perusahaan.

2. Test of Controls (Pengujian atas Kontrol)

Biasanya dalam fase ini diawali dengan pemfokusan pada

pengendalian manajemen. Apabila hasil yang ada tidak sesuai dengan

harapan, maka pengendalian manajemen tidak berjalan sebagaimana

mestinya. Bila auditor menemukan kesalahan serius pada

pengendalian manajemen, mereka akan mengemukakan opini atau

mengambil keputusan dalam pengujian transaksi dan saldo untuk

mengetahui hasilnya.

3. Test of Transaction (Pengujian atas Transaksi)

Pengujian transaksi termasuk, pengecekan jurnal yang masuk

dari dokumen utama, menguji nilai kekayaan dan ketepatan

perhitungan. Auditor menggunakan pengujian atas transaksi untuk

22

mengevaluasi apakah transaksi atau kejadian (event) telah ditangani

dengan efektif dan efisien.

Pengujian atas transaksi dapat dilaksanakan dengan pengujian

subtantif. Pengujian subtantif dimaksudkan untuk memvalidasi bahwa

suatu transaksi tertentu telah diotorisasikan secara memadai, disertai

bukti-bukti pendukung yang akurat.

Ada lima jenis pengujian subtantif, yaitu:

a. Pengujian untuk mengidentifikasikan pemrosesan yang salah

b. Pengujian mengakses kualitas data

c. Pengujian mengidentifikasikan data yang tidak konsisten

d. Pengujian membandingkan data dengan perhitungan fisik

e. Mengkonfirmasikan data dengan yang berasal dari sumber-

sumber ekstrem

4. Test of Ballance or Overall Results (Pengujian Keseimbangan atau

Hasil Keseluruhan)

Auditor melakukan pengujian keseimbangan atau hasil

keseluruhan untuk memelihara bukti penting untuk membuat

penilaian akhir dari kehilangan atau kesalahan pencatatan yang

menyebabkan kegagalan fungsi sistem informasi untuk mengamankan

aset, memelihara integritas data, dan mencapai sistem yang efektif

dan efisien.

23

5. Completion of The Audit (Penyelesaian Audit)

Pada fase terakhir dalam penyelesaian audit, auditor eksternal

melakukan beberapa pengujian tambahan untuk mengumpulkan bukti

akhir. Kemudian, mereka akan memberikan pernyataan pendapat.

Empat tipe pernyataan pendapat auditor:

a. Disclaimer of Opinion

Dari hasil audit yang dilakukan, auditor tidak memberikan

pendapat.

b. Adverse Opinion

Auditor menyimpulkan telah terjadi kehilangan material atau

dalam laporan keuangan terdapat salah saji material.

c. Qualified Opinion

Auditor menyimpulkan terjadi kesalahan atau salah saji pada

laporan keuangan tapi nilainya tidak material.

d. Unqualified Opinion

Auditor menyimpulkan bahwa tak ada kehilangan material atau

salah saji.

24

Mulai

Tugas utama audit

Memiliki pengendalian

Mengerti struktur pengendalian

Menilai resiko pengendalian

Melakukan pengujian subtantif

Pemberian pendapat audit

dan laporan permasalahan

Pengujian subtantif terbatas

Menaksir resiko pengendalian

Pengujian pengendalian

Masih memiliki

pengendalilan

Meningkatkan pengendalian?

Selesai

Gambar 2.1 Tahapan Audit Sistem Informasi

Sumber: Information Systems Control And Audit

Tidak

Tidak

Tidak

Ya Ya

Ya

25

2.3 Pengendalian Internal

2.3.1 Definisi Pengendalian Internal

Menurut Weber (1999, p 35), pengendalian internal merupakan

suatu sistem untuk mencegah, mendeteksi, dan mengoreksi kejadian yang

timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi

secara sah, tidak akurat, tidak lengkap, mengandung redundan, tidak

efektif, dan tidak efisien.

Menurut COSO yang dikutip oleh Romney (2003, p196),

pengendalian internal merupakan suatu proses:

a. Mempengaruhi seluruh direksi, manajemen, dan para karyawan

lainnya.

b. Didesain untuk memberikan jaminan yang meyakinkan dalam

pencapaian tujuan yang dibagi menjadi beberapa kategori:

1) Efisiensi dan efektifitas operasi, yang merupakan dasar dari suatu

tujuan bisnis, yang meliputi kinerja dan pencapaian tujuan, dan

pengamanan aset.

2) Dipercayanya laporan keuangan, yang berhubungan dengan

keercayaan publik, terhadap laporan keuangan tersebut.

3) Kepatuhan terhadap hukum dan peraturan yang ada.

Dengan demikian, tujuan dari pengendalian adalah untuk

mengurangi resiko atau mengurangi pengaruh yang sifatnya merugikan

akibat suatu kejadian (penyebab).

Berdasarkan pengertian diatas maka pengendalian dikelompokkan

menjadi tiga bagian, yaitu:

26

1. Preventive Control

Pengendalian ini digunakan untuk mencegah masalah sebelum

masalah tersebut muncul.

2. Detective Control

Pengendalian ini digunakan untuk menemukan masalah yang

berhubungan dengan pengendalian segera setelah masalah tersebut

muncul.

3. Corrective Control

Pengendalian ini digunakan untuk memperbaiki masalah yang

ditemukan pada pengendalian detektif. Pengendalian ini mencakup

prosedur untuk menentukan penyebab masalah yang timbul,

memperbaiki kesalahan atau kesulitan yang timbul, serta

memodifikasi sistem proses. Dengan demikian bisa mencegah

kejadian yang sama dimasa mendatang.

2.3.2 Komponen Pengendalian Internal

Menurut Weber (1999, p 49), pengendalian internal terdiri dari

lima komponen yang saling terintegrasi, yaitu:

1. Lingkungan Pengendalian (Control Environment)

Komponen ini diwujudkan dalam cara pengoperasian, cara

pembagian wewenang dan tanggung jawab yang harus dilakukan,

cara komite audit berfungsi, dan metode-metode yang digunakan

untuk merencanakan dan memonitor kinerja.

27

2. Penilaian Resiko (Risk Assesment)

Komponen untuk mengidentifikasi dan menganalisa resiko yang

dihadapi oleh perusahaan dan cara untuk menghadapi resiko tersebut.

3. Aktivitas Pengendalian (Control Activities)

Komponen yang beroperasi untuk memastikan transaksi telah

terotorisasi, adanya pembagian tugas, pemeliharaan terhadap

dokumen dan record, perlindungan aset dan record, pengecekan

kinerja, dan penilaian dari jumlah record yang terjadi.

4. Informasi dan Komunikasi (Information and Communication)

Komponen dimana informasi digunakan untuk mengidentifikasi,

mendapatkan, dan menukarkan data yang dibutuhkan untuk

mengendalikan dan mengatur operasi perusahaan.

5. Pengawasan (Monitoring)

Komponen yang memastikan pengendalian internal beroperasi secara

dinamis.

2.3.3 Jenis Pengendalian Sistem Informasi

Menurut Weber (1999, p39), secara garis besar sistem

pengendalian internal yang perlu dilakukan pada sistem berbasis

komputer adalah sebagai berikut:

a. Pengendalian manajemen (Management controls)

b. Pengendalian aplikasi (Application controls)

28

2.3.4 Pengendalian Manajemen (Management Controls)

Pengendalian manajemen atau pengendalian umum adalah

ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku

untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Apabila

tidak dilakukan pengendalian ini ataupun pengendaliannya lemah, maka

dapat berakibat negatif terhadap aplikasi.

Pengendalian manajemen dilakukan untuk meyakinkan barwa

pengembangan, pengimplementasian, pengoperasian, dan pemeliharaan

sistem informasi telah diproses sesuai dengan rencana dan terkontrol.

Pengendalian ini berguna untuk menyediakan infrastruktur yang stabil

hingga sistem informasi dapat dibangun, dioperasikan, dan dipelihara

secara berkesinambungan.

Pengendalian manajemen terdiri dari:

1. Pengendalian Top Manajemen (Top Management Controls)

Pengendalian top manajemen berfungsi untuk memantau

peranan manajemen dalam perencanaan kepemimpinan dan

pengawasan fungsi sistem. Top manajemen bertanggung jawab

terutama pada keputusan jangka panjang.

2. Pengendalian Manajemen Pengembangan Sistem (System

Development Management Controls)

Pengendalian manajemen pengembangan sistem bertanggung

jawab untuk menganalisa, mendesain, membangun,

mengimplementasikan, dan memelihara sistem informasi.

29

3. Pengendalian Manajemen Pemrograman (Programing Management

Controls)

Pengendalian manajemen pemrograman berfungsi untuk

memantau tahapan utama dari daur hidup program dan pelaksanaan

dari setiap tahap. Manajemen pemrograman bertanggungjawab untuk

pemrograman sistem baru, pemeliharaan sistem lama, dan

menyediakan software yang mendukung sistem pada umumnya.

4. Pengendalian Manajemen Sumber Data (Data Resource Management

Controls)

Pengendalian manajemen sumber data berfungsi untuk

memantau peranan dan fungsi dari data administrator dan database

administrator. Manajemen sumber data bertanggung jawab untuk

perancangan, perencanaan, dan persoalan kontrol dalam hubungannya

dengan pengguna data organisasi.

5. Pengendalian Manajemen Keamanan (Security Management

Controls)

Pengendalian manajemen keamanan berfungsi untuk

memantau fungsi utama dari security administrator dalam

mengidentifikasi ancaman utama terhadap fungsi sistem informasi

dan perancangan, perencanaan, pelaksanaan, pengoperasian, dan

pemeliharaan terhadap pengontrolan yang dapat mengurangi

kemungkinan kehilangan dari ancaman ini sampai tingkat yang dapat

diterima.

30

Ada dua jenis aset, yaitu:

a. Aset fisik, misalnya: personil, hardware, fasilitas, dokumentasi,

dan perlengkapan.

b. Aset logikal, misalnya: data atau informasi, serta software (sistem

dan aplikasi).

Program keamanan adalah serangkaian aktivitas yang terus-

menerus, teratur, ditelaah secara berkala untuk memastikan bahwa

harta yang berhubungan dengan fungsi sistem informasi cukup aman.

Langkah-langkah yang harus dijalankan dalam penerapan

program keamanan sistem informasi, yaitu:

a. Menyiapkan rencana proyek

Rencana proyek di bidang keamanan harus mencakup hal-hal

sebagai berikut:

1) Tujuan review

Menentukan tujuan dari pelaksanaan review, baik secara luas

maupun sempit. Misalnya, review bisa bertujuan untuk

meningkatkan keamanan fisik server atau untuk meningkatkan

kontrol terhadap ancaman keamanan.

2) Bidang review

Menentukan bidang apa yang akan di-review sangat penting.

3) Tugas yang harus dikerjakan

Menentukan tugas yang harus dilakukan, baik umum maupun

khusus.

31

4) Organisasi tim proyek

Banyaknya orang dalam tim proyek tergantung dari besarnya

dan kompleksitas yang akan di-review.

5) Budget kebutuhan sumber daya

Budget yang diperlukan sangat tergantung pada besaran dan

kompleksitas materi yang akan di-review. Dalam menentukan

budget, harus diperinci mengenai jam kerja, bahan dan dana

yang diperlukan untuk menentukan review.

6) Jadwal penyelesaian tugas

Rencana harus memperhatikan tanggal penyelesaian tugas.

b. Melakukan identifikasi harta

Dalam melakukan identifikasi harta, administrator keamanan

dapat membuat kategori harta sebagai berikut:

1) Personil, misalnya: user, sistem analis, programer, operator,

clerk, dan penjaga.

2) Hardware, misalnya: komputer, mainframe, komputer mini,

komputer PC, disket, printer, line komunikasi, konsentrator,

terminal.

3) Fasilitas, misalnya: furniture, ruangan kantor, ruang

komputer, rak penyimpanan tape/disk.

4) Dokumentasi, misalnya: dokumentasi sistem dan program,

dokumentasi database, standar, rencana, kebijaksanaan

asuransi, dan kontrak.

32

5) Perlengkapan, misalnya: instrumen negosiasi, formulir yang

sudah dicetak, kertas, disk, kaset.

6) Data atau informasi, misalnya: master file, transaksi file, file

arsip.

7) Software aplikasi, misalnya: pelanggan, kreditur, pembayaran

gaji, bukti bahan baku, penjualan, dan persediaan.

8) Software sistem, misalnya: compiler, peralatan, sistem

database manajemen, sistem operasi, software komunikasi,

kertas kerja.

c. Menilai harta

Penilaian terhadap harta sulit dilakukan karena penilaian ini

sangat tergantung pada orang yang melakukan penilaian, cara

hilangnya harta, periode terjadinya kehilangan, dan umur harta

tersebut.

d. Melakukan identifikasi ancaman

Salah satu cara yang dapat digunakan untuk mengidentifikasi

ancaman adalah dengan mengetahui sumber dari ancaman

tersebut dan tipe ancaman yang timbul.

Ada dua macam sumber ancaman, yaitu:

1) Ancaman yang berasal dari luar perusahaan

i Alam, misalnya: gempa bumi, banjir, kebakaran, bakteri,

gas, radiasi elektomagnetik, temperatur yang ekstrem.

ii Hardware supplier, misalnya: hardware yang tidak handal,

tidak kompetibel, layanan purna jual yang buruk.

33

iii Software supplier, misalnya: software yang tidak tepat, tidak

efektif, dokumentasinya jelek.

iv Kontraktor, misalnya: software yang salah dan tidak efektif,

perbaikan hardware dan software yang salah, pelayanan

yang tidak tepat waktu, informasi yang konfidensial

diungkapkan.

v Supplier lainnya, misalnya: gangguan jaringan komunikasi,

pelayanan yang tidak tepat waktu.

vi Saingan, misalnya: sabotase, spionase, tuntutan hukum,

masalah keuangan karena kompetisi yang fair maupun tidak

fair.

vii Pemilik utang dan modal, misalnya: kehilangan kemampuan

keuangan karena adanya tuntutan hukum.

viii Serikat pekerja, misalnya: pemogokan, sabotase, dan

gangguan.

ix Pemerintah, misalnya: kehilangan kemampuan keuangan

karena adanya regulasi pemerintah.

x LSM lingkungan, misalnya: pemberitaan yang memojokkan,

gangguan.

xi Kriminal/hackers, misalnya: kehilangan data, sabotase,

spionase, pemerasan.

2) Ancaman yang berasal dari dalam perusahaan

i Manajemen, misalnya: gagal mendapatkan sumber daya,

perencanaan dan kontrol yang tidak memadai.

34

ii Karyawan, misalnya: kerusakan, pencurian, kecurangan,

sabotase, pemerasan, penggunaan yang tidak tepat.

iii Sistem yang tidak handal, misalnya: kerusakan hardware,

software, dan fasilitas lainnya.

e. Penilaian terhadap ancaman

Tahap selanjutnya adalah melakukan taksiran kemungkinan

terjadinya setiap ancaman selama satu periode waktu tertentu.

Misalnya dengan menganalisis kemungkinan terjadinya ancaman

dari perusahaan lain yang sejenis.

f. Menganalisis ancaman

Analisis ancaman terdiri dari empat fase tugas, yaitu:

1) Mengidentifikasi pengendalian

2) Menilai keadaan pengendalian

3) Evaluasi terhadap kemungkinan terjadinya ancaman, dapat

diatasi dengan cara memberikan peralatan pengendalian

4) Menilai kerugian yang akan timbul bila tidak dapat mencegah

terjadinya ancaman

g. Penyesuaian pengendalian

Setelah menganalisis, administrator keamanan harus melakukan

evaluasi apakah setiap level analisis dapat diterima. Evaluasi ini

dimaksudkan untuk melakukan penilaian apakah setelah

pengendalian didesain, diimplementasikan, dan dijalankan sudah

sesuai dengan biaya yang dikeluarkan untuk mengurangi

kehilangan yang terjadi sesuai dengan yang diharapkan.

35

h. Menyiapkan laporan keamanan

Tahap terakhir yaitu membuat laporan kepada manajemen.

Laporan ini berisi hal-hal yang diperoleh dari review dan beberapa

rekomendasi yang diusulkan untuk diimplementasikan, serta

beberapa pengamanan yang harus diganti atau dimodifikasi.

Beberapa jenis ancaman utama terhadap keamanan adalah

sebagai berikut:

a. Kerusakan karena kebakaran

Beberapa cara untuk mengatasi ancaman kebakaran antara lain:

1) Alarm kebakaran, baik manual maupun otomatis, yang

diletakkan pada tempat yang strategis.

2) Tabung pemadam kebakaran yang diletakkan pada tempat

yang strategis.

3) Bangunan tempat diletakkannya aset sistem informasi

dibangun dengan konstruksi khusus yang tahan panas.

4) Tempat diletakkannya tabung pemadam kebakaran dan arah

keluar diberi tanda yang jelas, sehingga memudahkan untuk

melihat tanda tersebut.

5) Prosedur kebersihan yang baik dapat memastikan bahwa

barang-barang yang mudah menyebabkan kebakaran minimal

sekali keberadaannya di ruang sistem informasi.

b. Kerusakan karena air

Beberapa cara penanganan terhadap kerusakan karena air antara

lain:

36

1) Jika memungkinkan, plafon, dinding, dan lantai tahan air

(waterproof)

2) Pastikan bahwa tersedia sistem drainase yang memadai

3) Tempatkan alarm pada tempat yang strategis dimana aset

sistem informasi disimpan

4) Pada lokasi yang sering banjir, tempatkan aset sistem

informasi pada tempat yang tinggi

5) Memiliki master switch untuk semua kran air

6) Gunakan sistem dry-pipe automatic sprinkler yang dijalankan

oleh alarm dan api

7) Tutup hardware dengan kain pengaman ketika tidak

digunakan

c. Naik turunnya tegangan listrik

Naik turunnya tegangan listrik juga merupakan ancaman di

bidang sistem informasi. Hal ini dapat dicegah dengan

menggunakan peralatan yang dapat menstabilkan tegangan listrik

seperti penggunaan UPS untuk setiap komputer dan peralatan

sistem informasi lainnya.

d. Kerusakan struktual

Kerusakan struktural pada aset sistem informasi dapat terjadi

karena gempa, angin ribut, salju, tanah longsor, kecelakaan, dll.

e. Polusi

Polusi dapat merusak disk drive, hard disk, dll. Polusi juga dapat

mengakibatkan kebakaran.

37

f. Gangguan dari orang-orang yang tidak bertanggungjawab

Gangguan dari orang-orang yang tidak bertanggungjawab terdiri

dari dua jenis, yaitu:

1) Secara fisik masuk ke perusahaan dan mengambil aset sistem

informasi atau melakukan perusakan.

2) Tidak masuk secara fisik ke perusahaan tetapi menggunakan

cara lain seperti menggunakan reciever, melakukan

penyadapan.

g. Virus dan worms

Untuk mengurangi kemungkinan terjangkitnya virus dan worms,

administrator keamanan dapat melakukan pengendalian antara

lain:

1) Tindakan preventive

Misalnya: hanya dengan menggunakan software yang bersih

dan asli, lakukan akses read-only terhadap software, lakukan

pengecekan dengan antivirus sebelum file digunakan.

2) Tindakan detective

Misalnya: secara berkala menjalankan program anti virus

untuk mendeteksi ada tidaknya virus.

3) Tindakan corrective

Misalnya: memastikan adanya backup yang bersih,

menjalankan program antivirus untuk memindahkan file yang

sudah terkena virus.

38

h. Kesalahan penggunaan software, data, dan jasa

Beberapa tipe penyalahgunaan yang dapat terjadi:

1) Software yang dikembangkan oleh perusahaan dicuri oleh

karyawan atau saingan sehingga perusahaan kehilangan

pendapatan dari penjualan software tersebut.

2) Perusahaan tidak berhasil menjaga privacy data yang disimpan

pada database yang dapat mengakibatkan pemberitaan yang

memojokkan.

3) Karyawan menggunakan jasa pelayanan sistem informasi

untuk kegiatan pribadinya.

Walaupun seluruh cara telah digunakan, tetapi bencana masih

saja dapat terjadi. Untuk mengurangi kerugian dan memulihkan

operasional, dapat dilakukan dengan:

a. Disaster recovery plan

1) Emergency plan

Emergency plan merupakan tindakan khusus yang akan

dilakukan segera setelah terjadinya bencana.

2) Backup plan

Backup plan meliputi jangka waktu backup dilaksanakan,

prosedur untuk melakukan backup, letak perlengkapan

backup, serta karyawan yang bertanggungjawab untuk

melakukan backup.

39

3) Recovery plan

Recovery plan merupakan kelanjutan dari backup plan karena

recovery adalah tindakan yang dilakukan agar sistem

informasi dapat berjalan seperti biasa.

4) Test plan

Test plan berfungsi untuk memastikan bahwa ketiga rencana

di atas berjalan dengan baik.

b. Asuransi

Memiliki asuransi untuk peralatan fasilitas, media penyimpanan,

biaya tambahan, gangguan bisnis, dokumen dan kertas yang

berharga, serta media transportasi.

6. Pengendalian Manajemen Operasi (Operation Management Controls)

Menurut Weber (1999, p288), pengendalian manajemen

operasi bertanggung jawab terhadap jalannya hardware maupun

software setiap hari sehingga sistem aplikasi produksi dapat

menjalankan tugasnya, dan staf pengembangan dapat mendesain,

mengimplementasi, dan memelihara aplikasi sistem.

Delapan fungsi utama yang menjadi tanggung jawab

manajemen operasi adalah:

a. Operasi komputer (Computer operations)

Tiga tipe pengendalian pada operasi komputer adalah:

1) Pengendalian operasional

Banyak jenis kegiatan yang harus dilakukan untuk mendukung

jalannya program komputer, misalnya program yang harus

40

dijalankan dan dimatikan, media penyimpanan harus tersedia,

formulir harus disediakan di printer, dan informasi yang

dihasilkan harus dikirim ke user.

2) Pengendalian penjadwalan

Pengendalian penjadwalan dilakukan untuk memastikan

bahwa komputer digunakan untuk kegiatan yang seharusnya

dan menggunakan sumber daya dengan efisien.

3) Pengendalian pemeliharaan

Kegiatan pemeliharaan terhadap hardware komputer

merupakan tindakan pencegahan yang harus dilakukan agar

kerusakan hardware dapat dicegah.

b. Jaringan operasional (Network operation)

Pengendalian terhadap jaringan operasional dilakukan dengan

memonitor dan memelihara jaringan dan pencegahan terhadap

akses oleh pihak yang tidak berwenang, baik pada area yang luas

(WAN) maupun pada lokal area (LAN) perusahaan.

c. Persiapan data dan entry (Data preparation and entry)

Secara umum, semua sumber data untuk aplikasi sistem dikirim

ke bagian persiapan data untuk diketik dan diverifikasi sebelum

dimasukkan ke dalam sistem komputer. Kegiatan ini biasanya

dilakukan oleh operator komputer.

Hal-hal yang harus diperhatikan agar pekerjaan operator komputer

dapat berjalan efektif dan efisien adalah tinggi meja komputer,

41

angle monitor, kursi duduk yang dapat disesuaikan baik tinggi

maupun punggungnya.

d. Pengendalian produksi (Production control)

Pengendalian produksi mencakup lima tugas, yaitu:

1) Menerima dan mengirim input dan output

2) Menjadwal pekerjaan

3) Melakukan perjanjian jasa layanan dengan pemakai

4) Menetapkan harga

5) Pembelian kebutuhan

e. Perpustakaan file (File library)

Fungsi file library adalah bertanggungjawab untuk mengelola

manajemen penyimpanan data dengan:

1) Penyimpanan media penyimpanan

2) Penggunaan media penyimpanan

3) Pemeliharaan pemakaian media penyimpanan

4) Lokasi media penyimpanan

f. Dokumentasi dan program kepustakaan (Documentation and

program library)

Fungsi kepustakaan dokumentasi adalah:

1) Memastikan bahwa dokumen disimpan dengan aman

2) Memastikan bahwa hanya orang berwenang yang mendapat

akses ke dokumen tersebut

3) Memastikan bahwa dokumen selalu up-to-date

42

4) Memastikan bahwa telah ada backup yang memadai terhadap

dokumen tersebut

g. Dukungan teknis (Help desk/technical support)

Fungsi dari dukungan teknis, yaitu:

1) Menyediakan hardware dan software bagi end user

2) Membantu menyelesaikan masalah hardware dan software

end user

3) Memberikan pelatihan pemakaian hardware, software dan

database kepada end user

4) Menjawab pertanyaan end user

5) Memonitor perkembangan teknologi dan memberikan

informasi kepada end user tentang perkembangan tersebut

6) Menentukan sumber masalah dan cara penyelesaiannya

7) Memberikan informasi kepada end user tentang masalah

hardware dan software atau database yang akan berdampak

pada pekerjaan mereka

8) Mengawasi upgrade hardware dan software

9) Melakukan perubahan terus-menerus untuk mencapai efisiensi

yang lebih baik

h. Perencanaan kapasitas dan pengawasan kerja (Capacity planning

and performance monitoring)

Dengan menggunakan perhitungan statistik pengawasan kinerja,

manager operasional harus membuat tiga keputusan, yaitu:

43

1) Mengevaluasi apakah profil kinerja memperlihatkan adanya

kegiatan oleh bagian yang tidak berwenang

2) Memastikan bahwa kinerja sistem dapat diterima oleh user

3) Tersedianya hardware dan software yang diperlukan

7. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance

Management Controls)

Pengendalian manajemen jaminan kualitas (Quality assurance

manajement controls) bertanggung jawab untuk memastikan bahwa

sistem informasi yang dihasilkan oleh fungsi sistem informasi telah

mencapai tujuan dan berkualitas, serta pengembangan, implementasi,

operasi, dan pemeliharaan sistem informasi telah sesuai dengan

standar kualitas yang sudah ditetapkan.

2.3.5 Pengendalian Aplikasi (Application Controls)

Pengendalian khusus atau pengendalian aplikasi adalah sistem

pengendalian internal komputer yang berkaitan dengan pekerjaan atau

kegiatan tertentu yang telah ditentukan.

Pengendalian khusus dilakukan dengan tujuan untuk menentukan

apakah pengendalian internal dalam sistem yang terkomputerisasi pada

aplikasi komputer tertentu sudah memadai untuk memberikan jaminan

bahwa data telah dicatat, diolah, dan dilaporkan secara akurat, tepat

waktu dan sesuai dengan kebutuhan manajemen untuk proses jalannya

pengambilan keputusan untuk perusahaan.

Pengendalian aplikasi terdiri dari:

44

1. Pengendalian Batasan (Boundary Controls)

Subsistem batasan membangun tampilan (interface) antara

pengguna sistem komputer dan sistem komputer.

Tujuan dari pengendalian batasan (boundary controls) adalah:

a. Untuk menetapkan identitas dan keaslian para pemakai sistem

komputer.

b. Untuk menetapkan identitas dan keaslian sumber daya yang ingin

dikerjakan pengguna.

c. Untuk membatasi tindakan yang dilakukan pengguna yang

mencoba mendapatkan sumber daya dengan cara yang tidak sah.

Pengendalian cryptographic didesain untuk melindungi

privasi dari data dan untuk mencegah penyalahgunaan modifikasi

data. Pengendalian cryptographic menjadi sangat penting dalam

sistem komputer untuk mencegah penyalahgunaan akses terhadap

data.

Cryptographic adalah ilmu tentang kode rahasia. Cryptology

menyertakan studi ilmu membaca sandi dan pemecahan tulisan

rahasia.

Tiga tehnik cryptographic:

a. Perubahan kode (Transposition chiper)

Perubahan kode (Transposition chiper) menggunakan beberapa

aturan untuk mengubah urutan karakter dalam string data.

45

b. Penggantian kode (Substitution chiper)

Penggantian kode (Substitution chiper) mempertahankan posisi

dari karakter di dalam pesan dan menyembunyikan identitas dari

karakter dengan mengganti mereka dengan karakter lain

berdasarkan beberapa peraturan.

c. Produk kode (Product chiper)

Produk kode (Product chiper) menggabungkan kombinasi metode

perubahan kode (Transposition chiper) dan penggantian kode

(Substitution chiper).

Untuk mengawasi pengendalian batasan, digunakan

pengendalian akses (access controls). Pengendalian akses membatasi

penggunaan sumber daya sistem komputer bagi pengguna yang sah,

membatasi tindakan yang dapat dilakukan pengguna ke sumber daya

tersebut, dan memastikan bahwa pengguna mendapatkan sumber daya

komputer yang sah.

Auditor harus memiliki dua pemahaman mengenai

pengendalian akses. Pertama, auditor harus menentukan sebaik apa

mekanisme pengendalian akses digunakan untuk menjaga aset dan

integritas data. Kedua, memberikan kapabilitas mekanisme

pengendalian akses yang tersedia untuk sistem aplikasi tertentu.

PIN (Personal Identification Number) adalah tipe password

yang merupakan nomor persetujuan rahasia yang dimiliki seseorang

yang digunakan untuk pengidentifikasian seseorang.

46

Tiga metode dalam pembuatan PIN adalah:

a. Derived PIN

Derived PIN adalah PIN yang dibuat berdasaran nomor account

konsumen.

b. Random PIN

Random PIN adalah PIN yang dibuat secara acak dengan panjang

PIN yang tetap.

c. Customer-selected PIN

Customer-selected PIN adalah PIN yang nomornya ditentukan

sendiri oleh konsumen.

Dua cara untuk memvalidasi PIN, yaitu:

a. Local PIN Validation

Local PIN Validation terjadi pada saat PIN dimasukkan di

terminal pengendalian oleh pembuat PIN.

b. Interchange PIN Validation

Interchange PIN Validation terjadi pada saat PIN dimasukkan ke

sebuah terminal pengendalian selain dari institusi yang membuat

PIN.

2. Pengendalian Masukan (Input Controls)

Komponen-komponen dalam subsistem input bertugas

membawa data dan instruksi ke dalam sistem informasi. Tipe data dan

input tersebut harus divalidasi, kemudian segala kesalahan (error)

yang terdeteksi harus dikendalikan sehingga perubahan masukan

menjadi akurat, lengkap, unik, dan tepat waktu.

47

Tiga alasan mengapa pengendalian input perlu diperhatikan:

a. Dalam sistem informasi jumlah terbanyak pengendalian berada

dalam subsistem masukan.

b. Aktifitas subsistem masukan terkadang mengandung banyak

rutinitas dan kegiatan monoton hasil campur tangan manusia.

c. Subsistem masukan sering menjadi target kecurangan. Banyak

penyimpangan yang ditemukan termasuk penambahan,

penghapusan, atau penggantian dalam transaksi masukan.

Delapan komponen pengendalian masukan, yaitu:

a. Metode data input

1) Keyboarding, misalnya: Personal Computer (PC)

2) Direct reading, misalnya: Optical Character Recognition

(OCR), Automated Teller Machine (ATM)

3) Direct entry, misalnya: touch screen, joystick, mouse

Tipe dari metode input data yang digunakan dalam sistem

informasi mempengaruhi keamanan, integritas data, keefektifan

data dan keobjektifitas efisiensi sistem.

b. Perancangan dokumen sumber

Dokumen sumber (source document) digunakan untuk

menampung input data. Desain dokumen sumber yang baik

penting untuk mencapai keamanan aset, integritas data, efektifitas

sistem, dan efisiensi sistem.

48

Tujuan dari perancangan dokumen sumber adalah:

1) Mengurangi kemungkinan dari kesalahan penyimpanan data

2) Meningkatkan kecepatan dalam merekam data

3) Mengendalikan arus kerja (work flow)

4) Memfasilitasi pemasukan data ke dalam sistem komputer

5) Meningkatkan kecepatan data dan keakuratan dimana data

dapat dibaca

6) Memberi fasilitas pengecekan referensi

c. Perancangan layar data entry

Jika data dimasukan melalui monitor, maka diperlukan

desain yang berkualitas tinggi terhadap layar tampilan data entry

agar mengurangi kemungkinan terjadinya kesalahan dan agar

tercapai efisiensi dan efektivitas data pada subsistem input.

1) Screen Organization

Layar harus dirancang agar rapi dan seimbang. Elemen data

harus dikelompokkan sesuai dengan fungsinya. Semua

informasi yang diperlukan untuk membuat tugas entry data di

komputer menjadi mudah harus ditampilkan pada layar.

Penataan data yang akan direkam harus dapat dilakukan

dengan cepat dan terstruktur sehingga mengurangi

kemungkinan kesalahan entry.

2) Caption Design

Judul data yang harus di-entry, yang tampil di layar

memberikan keterangan tentang data apa yang harus

49

dimasukkan pada field di layar. Desain yang dibuat harus

memepertimbangkan struktur, ukuran, jenis huruf, intensity

tampilan, format, jarak baris, dan spasi.

3) Data Entry Field Design

Tempat yang harus diisi data berada di sebelah judul data

yang harus di-entry dan dapat dibuat dengan berbagai cara,

misalnya garis atau kotak.

Contoh: Tanggal (dd/mm/yy) : ________________ atau

Tanggal (dd/mm/yy) :

4) Tabbing and Skipping

Alasan penggunaan otomatis skipping ke field baru dihindari

pada saat melakukan entry data pada layar monitor adalah:

i Dengan metode otomatis, maka operator dapat membuat

ukuran field menjadi error dan hal ini tidak dapat dideteksi

karena krusor sudah melompat ke field berikutnya.

Tambahan karakter pada satu field akan membuat aplikasi

error.

ii Pada beberapa aplikasi yang ada, beberapa field tidak perlu

diisi oleh operator karena akan terisi secara otomatis.

Sehingga akan lebih baik apabila operator harus melakukan

tabbing setiap kali meng-entry data daripada mereka harus

memilih kapan melakukan tabbing.

50

5) Color

Pemilihan warna yang baik akan membuat proses entry data

dapat dilakukan dengan cepat, tepat, dan tidak membuat

operator cepat lelah. Penggunaan warna yang sangat terang

akan membuat mata operator cepat merasa lelah dan akan

menimbulkan kemungkinan kesalahan entry menjadi lebih

besar. Disarankan untuk menggunakan warna-warna yang

lembut seperti biru dan hijau.

6) Response Time

Selama proses entry data, waktu respon adalah interval antara

satu data yang sudah selesai di-entry dan disimpan sampai

dengan waktu layar siap untuk di-entry kembali. Agar proses

entry data dapat dilakukan dengan baik, maka waktu respon

harus cepat dan konstan.

7) Display Rate

Display rate adalah kecepatan karakter atau image yang

tampak pada layar yang berfungsi sebagai indikasi kecepatan

komunikasi data antara terminal dengan komputer (boud rate).

8) Prompting and Help Facilities

Fasilitas prompting (bantuan) memberikan bantuan secara

cepat atau memberikan informasi kepada pemakai apa yang

harus dilakukan ketika mereka melakukan entry data ke

komputer.

51

d. Pengendalian kode data

Pengkodean data digunakan untuk mengidentifikasi

sebuah entiti secara unik. Desain kode data yang tidak bagus

menyebabkan perekaman dan pengambilan data menjadi error.

Kode data juga dipakai untuk tujuan identifikasi.

Ada lima tipe dalam kesalahan pemasukan pengkodean data,

yaitu:

1) Addition

Adalah penambahan karakter dalam kode.

2) Truncation

Adalah sebuah karakter dihilangkan dari kode.

3) Transcription

Adalah kesalahan penulisan kode.

4) Transposition

Adalah pembatasan karakter dari kode yang disediakan.

5) Double Transposition

Adalah karakter dipisahkan oleh satu karakter atau lebih yang

disediakan.

Empat tipe dari pengkodean sistem yang dipakai adalah:

1) Serial Codes

Serial codes menggunakan angka atau huruf yang berurutan

untuk sebuah entiti.

52

2) Block Sequence Codes

Block sequence codes menggunakan blok angka untuk

menentukan kategori partikular dari entiti. Atribut utama dari

masing-masing kategori entiti harus dipilih dan nomor blok

harus diberikan untuk setiap nilai dari atribut.

3) Hierarchical Codes

Hierarchical codes memerlukan satu set atribut pilihan dari

entiti yang akan diberi kode dari pemilihan tersebut

berdasarkan kepentingan. Nilai kode tersebut adalah

kombinasi dari nilai kode setiap atribut entiti. Misalnya:

C65 / 423 / 3956

Kode divisi Kode departemen Kode biaya

4) Association Codes

Pada association codes atribut dari entiti yang akan diberi

kode dipilih dan kode yang unik diberikan kepada setiap

atribut. Kode tersebut dapat berupa angka, huruf, atau

kombinasi angka dan huruf. Misalnya:

SHM32DRCOT

SH = shrit

M = male

32 = nomor baju

DR = dress shirt

COT = bahan cotton

53

e. Cek digit

Cek digit adalah penambahan digit pada kode yang dapat

membuat keakuratan karakter lain pada kode tersebut dapat

diperiksa. Cek digit dapat ditambahkan pada awal maupun akhir

karakter atau dapat ditempatkan dimana saja di tengah kode.

Ketika kode dimasukkan, sebuah program melakukan kalkulasi

ulang terhadap cek digit untuk menentukan apakah cek digit yang

dimasukkan dan cek digit yang dihitung sama.

Cek digit hanya dilakukan pada field yang bersifat kritis.

Pengecekan ini hanya dapat dilakukan dengan menggunakan

mesin pada saat memasukkan atau dengan program input.

Contohnya: airline ticketing, proses kartu kredit, dan proses

rekening bank.

f. Pengendalian batch (Batch control)

Batching adalah proses pengelompokan transaksi secara

bersama yang menunjukan tipe hubungan satu dengan yang

lainnya.

Dua tipe dari batch, yaitu:

1) Physical Batch

Pengelompokan transaksi yang terdiri dari unit fisik.

2) Logical batch

Pengelompokan dari transaksi yang dibentuk secara bersama-

sama pada sebuah dasar logical daripada fisik.

54

Penilaian dalam pengendalian batch, yaitu:

1) Batch cover sheet

Memuat jenis informasi seperti: angka batch yang unik, total

kontrol batch, tanggal saat batch disiapkan, kesalahan

informasi yang terdeteksi pada batch, dan tanda tangan

personil yang bertanggung jawab dalam menangani batch.

2) Batch register control

Mencatat perpindahan physical batches antara berbagai lokasi

dalam suatu organisasi.

g. Validasi input data

Empat tipe pengecekan validasi yang dapat dilakukan

melalui input data yaitu dengan:

1) Field Check

Dengan field check, validasi tes yang dilakukan terhadap field

tidak bergantung pada field lain dalam record input atau

dalam record input lainnya.

2) Record Check

Dengan record check, validasi tes yang dilakukan pada field

tergantung pada hubungan logika field tersebut dengan field

yang lain pada record input.

3) Batch Check

Dengan batch check, validasi tes melakukan pengujian apakah

karakteristik dari batch record yang dimasukkan sama dengan

karakteristik yang telah ditetapkan pada batch.

55

4) File Check

Dengan file check, validasi tes melakukan pengujian apakah

karakteristik pada file yang digunakan selama entry data sama

dengan karakteristik data pada file.

Terdapat enam pendekatan dalam validasi input:

1) Menu Driven Languages

Menu driven languages membiarkan user untuk memilih

sebuah instruksi dari sebuah daftar pilihan.

2) Question Answer Dialogue

Question answer dialogue memungkinkan user untuk

mengindikasikan instruksi yang mereka inginkan untuk

digunakan dalam merespon pertanyaan yang ditanyakan oleh

sistem aplikasi.

3) Command Languages

Command languages memungkinkan user untuk memanggil

dan memulai instruksi pada sistem aplikasi.

4) Form Based Languages

Form based languages memungkinkan user untuk

menspesifikasikan instruksi dari beberapa bentuk input atau

output.

5) Natural Languages Interface

Natural languages interface membuat user dapat memanggil

instruksi dalam interaksi bentuk bebas dengan sistem aplikasi.

56

6) Direct Manipulation Interface

Direct manipulation interface membuat user dapat memanggil

instruksi melalui manipulasi dari sebuah obyek pada sebuah

tampilan.

h. Validasi instruksi input

Tiga tipe pemeriksaan validasi dapat dilakukan melalui instruksi

input:

1) Lexical Validation

Mengecek validitas dari setiap kata yang dimasukan users.

2) Syntactic Validation

Mengecek validitas dari sebuah string dari kata yang

dimasukan users.

3) Semantic Validation

Mengecek validitas dari arti string dari kata yang dimasukan

olah users.

3. Pengendalian Komunikasi (Communication Controls)

Menurut Weber (1999, p474) pengendalian komunikasi

digunakan untuk mengendalikan pendistribusian subsistem

komunikasi, komponen fisik, kesalahan jalur komunikasi,

pengendalian arus, pengendalian topologi, pengendalian akses

hubungan, pengendalian atas ancaman kerusakan, pengendalian

internet working, dan pengendalian arsitektur komunikasi.

57

4. Pengendalian pemrosesan (Processing controls)

Pengendalian pemrosesan bertanggung jawab untuk

menghitung, menyorting, mengklasifikasi, dan mengikthisarkan data.

Komponen utama dalam subsistem ini adalah prosesor sentral dimana

program dieksekusikan, memori dimana program diinstruksikan dan

menyimpan data, sistem operasi yang mengatur sumber daya sistem,

serta program aplikasi yang mengeksekusi program untuk permintaan

khusus user.

Empat tipe pengendalian yang digunakan untuk mengurangi

kerugian dari kesalahan dan ketidakwajaran yang berhubungan

dengan proses, yaitu:

a. Deteksi kesalahan dan koreksi (Error detection and corection)

Kesalahan dalam prosesor dapat dideteksi dengan cek

keseimbangan (parity check) atau cek benar tidaknya instruksi

yang diberikan (instruction validity check).

b. Multiple execution states

Untuk mencegah ketidakwajaran (irreguleritas), instruksi

dapat dieksekusi hanya jika prosesor berada dalam bagian

pengawasan.

c. Pengendalian waktu (Timing control)

Pengendalian waktu dapat digunakan untuk mencegah

prosesor berada dalam sebuah perulangan yang tak berujung.

(endless loop) karena kesalahan program.

58

d. Replikasi komponen (Component replication)

Komponen prosesor dapat ditiru untuk melanjutkan

pemrosesan jika terjadi kegagalan komponen prosesor.

Memori nyata (Real memory) dari sistem komputer sama

dengan tempat penyimpanan utama dimana setiap program dan data

harus melaluinya untuk dijalankan atau dipakai oleh prosesor utama.

Pengendalian pada real memory adalah mendeteksi dan

mengoreksi kesalahan yang muncul pada sel-sel memori serta

melindungi area memori terhadap program yang berasal dari akses

ilegal dari program lain.

Memori virtual (Virtual memory) muncul ketika ruang alamat

penyimpanan yang dibutuhkan lebih besar daripada ruang memori

nyata yang tersedia.

Dua pengendalian yang dapat dilakukan pada memori virtual

adalah:

a. Mekanisme yang berjalan harus mengecek apakah memori yang

direferensikan berada dalam batasan dari blok yang dialokasikan

untuk proses tersebut.

b. Mekanisme pengendalian akses harus mengecek untuk melihat

bahwa proses akan dijalankan dalam sebuah blok berada dalam

jumlah yang tepat.

Sistem operasi (operating system) adalah program-program

yang telah diimplementasikan dalam software, firmware, atau

59

hardware yang mengijinkan pembagian (sharing) dan penggunaan

terhadap sumber daya dalam sistem komputer.

Sebuah sistem operasi yang dapat diandalkan harus mencapai

lima tujuan berikut:

a. Sistem operasi dapat melindungi dirinya dari proses yang

dilakukan user.

b. Sistem operasi dapat melindungi user dari user lain.

c. Sistem operasi dapat melindungi user dari user itu sendiri.

d. Sistem operasi dapat melindungi dirinya dari dirinya sendiri.

e. Saat terjadi kegagalan akibat lingkungan sekitar, maka sistem

operasi dapat berhenti secara teratur.

Empat jenis kecurangan dalam sistem operasi yang sering

terjadi adalah:

a. Penyalahgunaan oleh personil yang berwenang

b. Penetrator yang menipu orang yang berwenang untuk

memberikan wewenang khusus

c. Alat khusus digunakan untuk mendeteksi radiasi elektromagnetik,

pancaran radiasi elektromagnetik, atau jalur komunikasi yang

disadap

d. Penetrator yang berinteraksi dengan sistem operasi untuk

menentukan dan mengekspolitasi kesalahan dalam sistem.

60

Beberapa tipe kesalahan yang sering ditemukan dalam sistem

operasi adalah:

a. Validasi parameter yang tidak lengkap

Sistem tidak mengecek validasi dari semua atribut yang diminta

user.

b. Validasi parameter yang tidak konsisten

Sistem mengajukan kriteria validasi yang berbeda pada konstruksi

yang sama dalam sistem.

c. Pembagian data yang tidak terlihat

Sistem operasi menggunakan area umum untuk melayani dua atau

lebih proses yang dilakukan oleh user.

d. Validasi yang tidak serempak

Jika sistem melakukan proses validasi yang tidak serempak, user

dapat mengambil keuntungan waktu untuk mengacaukan

integritas.

e. Pengendalian akses yang tidak memadai

Sistem operasi menampilkan pengecekan yang tidak lengkap pada

satu bagian sistem dengan asumsi bagian lain telah ditampilkan.

f. Adanya keterbatasan

Sistem dokumentasi memiliki keterbatasan.

Monitor acuan (Reference monitor) adalah suatu mekanisme

abstrak yang memeriksa setiap permintaan oleh subyek untuk

menggunakan obyek serta memastikan bahwa permintaan tersebut

mematuhi suatu kebijakan keamanan. Monitor acuan

61

diimplementasikan melalui keamanan kernel, yang merupakan

mekanisme pendukung dari hardware, firmware, atau software.

Karena sistem operasi merupakan hal yang kompleks, maka

pembuatan desain dan implementasinya harus dilakukan dengan hati-

hati. Desain atas-bawah (top-down design) dan aturan struktur

pemrograman dapat digunakan. Sistem seharusnya didesain dan

dispesifikasikan sebagai lapisan-lapisan hirarki yang berhubungan

dengan level berbeda dari fungsi-fungsi yang akan ditampilkan.

Aplikasi software dapat ditugaskan pada tiga tingkat

pengecekan dalam permosesan masing-masing sistem, yaitu:

62

Tingkat

pengecekan

Tipe

pengecekan

Penjelasan

Overflow

Overflow dapat terjadi jika suatu

field yang digunakan untuk

perhitungan pada awalnya tidak

kosong, beberapa kesalahan di

dalam perhitungan terjadi atau

nilai-nilai yang tidak diduga

muncul

Field

Range

Nilai range mungkin dapat

dimasukkan dalam suatu field

Reasonableness

Isi dari suatu field dapat ditentukan

nilainya

Record

Sign

Isi dari suatu field

File

Crossfooting

Memisahkan total pengendalian

dapat dikembangkan hubungan

field dan crossfooted pada akhir

pengendalian.

63

Control totals

Pengendalian total run-to-run

dapat dikembangkan dan

dibandingkan dengan hasil dari

pengendalian.

Beberapa elemen dari gaya pemrograman yang membantu

menghindari terjadinya kesalahan antara lain:

a. Mengatasi ketepatan berurutan (Handle rounding correctly)

Mengatasi ketepatan berurutan (Handle rounding correctly)

digunakan ketika tingkat ketepatan memerlukan suatu kalkulasi

perhitungan yang kurang dari tingkat ketepatan yang benar-benar

telah dihitung.

b. Pencetakan total pengendalian yang berjalan (Print run-to-run

control totals)

Pada waktu tertentu pada program online, atau pada masing-

masing langkah utama sepanjang pengolahan data dalam batch,

keseluruhan pengendalian yang berjalan harus dicetak.

Pengendalian ini menyediakan bukti bahwa semua input data

telah diproses dengan teliti dan akurat.

c. Meminimalkan intervensi manusia (Minimize human intervention)

Memenimalkan intervensi manusia untuk menghasilkan nilai

parameter untuk menentukan tipe dari proses yang akan diambil.

64

d. Mengerti akan bahaya hardware / software / numerikal

(Understand hardware / software / numerical hazzard)

Mengerti akan bahaya hardware / software / numerikal pada saat

penulisan program yang memerlukan kalkulasi numerikal yang

kompleks.

e. Menggunakan kalkulasi berulang (Use redundant calculation)

Menggunakan kalkulasi berulang untuk mengecek keakuratan dari

kalkulasi numerikal.

f. Menghindari rutinitas tertutup (Avoid closed routines)

Menghindari rutinitas tertutup yang melibatkan eksistensi nilai

pada saat pengujian dimana semua nilai gagal.

5. Pengendalian database (Database controls)

Pengendalian basis data bertanggung jawab untuk

mendefinisikan, menciptakan, memodifikasi, menghapus, dan

membaca data dalam sistem informasi.

6. Pengendalian Keluaran (Output Contrlos)

Subsistem keluaran (output) menghasilkan fungsi untuk

mengetahui isi data yang akan dihasilkan ke user, cara data akan

diformat dan ditampilkan pada user, dan cara data akan disiapkan dan

dikirimkan pada user.

Auditor harus memperhatikan tiga hal sehubungan dengan

eksekusi laporan program, yaitu:

a. Data rahasia hanya diberikan pada orang-orang tertentu yang

diberi wewenang.

65

b. Tedapat perlakuan khusus dalam penugasan untuk memberikan

hak kepada para pemakai laporan program sesuai dengan

kebutuhan mereka.

c. Setiap laporan program harus memiliki fasilitas pengecekan nilai

(checkpoint).

Auditor harus mengevaluasi seberapa baik organisasi klien

mereka mencapai sasaran sehubungan dengan queuing dalam

pencetakan file, yaitu:

a. Pencetakan file tidak dapat diubah

b. Salinan cetakan file yang tidak sah tidak dapat dibuat

c. Pencetakan file hanya bisa dilakukan sekali

d. Salinan file yang digunakan sebagai cadangan tidak dapat

digunakan untuk membuat salinan laporan

Tiga tujuan dalam pengendalian pencetakan adalah:

a. Untuk memastikan bahwa laporan dicetak pada pencetak yang

benar.

b. Untuk mencegah pihak yang tidak berwenang mengambil data

penting dari laporan.

c. Untuk memastikan bahwa pengendalian yang diperlukan selama

pencetakan telah dilakukan.

Saat output dihasilkan, output harus diamankan untuk

mencegah kehilangan atau pemindahan yang tidak sah, terutama jika

output merupakan istrumen penting. Pengendalian harus dilakukan

66

untuk mengidentifikasi saat output tidak diawasi secara berkala dan

aman.

Sebelum output didistribusikan pada user, wakil kelompok

user/client harus mengecek kemungkinan terjadinya kesalahan.

Beberapa tipe pengecekan yang dapat diambil adalah:

a. Apakah halaman dalam suatu laporan yang dicetak tidak terbaca

akibat habisnya tinta printer

b. Apakah kualitas output memuaskan

c. Apakah cartridges atau CR-ROMs telah diberi label

d. Apakah ada halaman yang hilang dari laporan yang dicetak

e. Apakah ada halaman yang dicetak tidak sesuai dalam laporan

Distribusi output dapat dilakukan melalui berbagai cara,

diantaranya:

a. Output mungkin diletakkan pada tempat penyimpanan yang

terkunci yang selalu dihilangkan secara periodik oleh user.

b. Output mungkin dikirimkan secara langsung pada user.

c. Output mungkin dikirimkan via pos.

d. Output mungkin diberikan melewati kelompok wakil

client/service yang bertugas untuk mengumpulkan output.

e. Output mungkin diberikan pada user melalui kurir.

f. Output mungkin diberikan pada user melalui distribusi pos

organisasi.

67

Desain laporan yang baik akan memudahkan arus laporan

melalui tahapan pengujian output sebelumnya. Pengendalian

informasi yang seharusnya ada pada desain laporan yang baik adalah:

a. Nama laporan (Report name)

Memungkinkan identifikasi laporan dengan cepat.

b. Waktu dan tanggal produksi (Time and date production)

Untuk mengetahui kapan laporan dibuat.

c. Daftar distribusi (Distribution list)

Memfasilitasi distribusi penggandaan laporan pada orang yang

tepat.

d. Periode pemrosesan yang terjadi (Processing period covered)

User dapat mengetahui tanggal dan waktu laporan dihasilkan.

e. Program yang menghasilkan laporan (Program producing report)

Memungkinkan identifikasi pengorganisasian sistem program

dengan cepat.

f. Orang yang dapat dihubungi (Contact person)

Mengindikasikan siapa yang seharusnya dihubungi pada saat

laporan dihasilkan dan siapa yang harus dihubungi pada saat

terjadi kesalahan dan ketidakwajaran pada laporan.

g. Klasifikasi keamanan (Security classification)

Mengingatkan kewaspadaan operator pada data penting dalam

laporan.

h. Periode waktu (Retention date)

Mengindikasikan tanggal kapan laporan dihancurkan.

68

i. Metode penghancuran (Method of destruction)

Mengindikasikan prosedur khusus yang diperlukan untuk

mengatur laporan.

j. Judul halaman (Page heading)

Menunjukkan isi dari halaman laporan.

k. Nomor halaman (Page number)

Mencegah pemindahan halaman laporan yang tidak terdeteksi.

l. Penyelesai tugas (End-of-job marker)

Mencegah pemindahan halaman terakhir laporan yang tidak

terdeteksi.

2.4 Tehnik Audit Berbantuan Komputer

Menurut Standar Profesional Akuntan Publik yang dikutip dari Anies

Basalamah (2003, p267), berbagai macam penggunaan komputer dalam audit

disebut dengan istilah Tehnik Audit Berbantuan Komputer (TABK) atau

Computer Assisted Audit Techniques (CAATs). TABK dapat digunakan dalam

pelaksanaan berbagai prosedur audit berikut ini:

1. Untuk mengakses data dalam bentuk yang hanya dapat dibaca oleh mesin

2. Untuk meringkas, mengelompokkan, dan memanipulasi (mengolah data)

3. Untuk menelaah data guna mencari pengecualian-pengecualian yang terjadi

4. Untuk menguji hasil perkalian dan penjumlahan

5. Untuk melaksanakan sampling statistik dari populasi yang ada

6. Untuk memilih dan mencetak konfirmasi

69

7. Untuk membandingkan data yang sama tetapi disimpan dalam file yang

berbeda guna melihat kebenaran dan kekonsistensiannya

8. Untuk melaksanakan prosedur-prosedur review analitik, seperti

mengidentifikasikan unsur atau fluktuasi yang tidak biasa

9. Untuk menguji perincian mengenai transaksi dan saldo, baik secara sensus

(seluruh populasi) ataupun secara sampel

10. Untuk melakukan pengujian pengendalian (umum maupun aplikasi)

11. Untuk mengakses file,yaitu membaca file yang mempunyai record dan

format yang berbeda

12. Untuk mengorganisasikan file, misalnya dengan melakukan pemilihan

(sortir) dan penggabungan beberapa file

13. Untuk membuat laporan, melakukan pengeditan, dan membuat format

keluaran

14. Untuk membuat persamaan dengan operasi logis seperti “AND, OR, =, <>, <,

>, ≤, ≥, IF,” dan sebagainya

Tehnik data uji (test data atau test decks) menurut Ikatan Akuntan

Indonesia yang dikutip Anies Basalamah (2003, p279), dilakukan dengan cara

memasukkan data ke dalam sistem komputer dan membandingkan hasil yang

diperoleh dengan hasil yang ditentukan sebelumnya.

Tujuan dari pengujian ini adalah untuk menilai bagaimana sistem yang

ada melakukan pemrosesan atas data yang benar, dan bagaimana reaksinya

terhadap data yang salah. Metode ini bermaksud untuk menguji bagaimana suatu

program memvalidasi data input untuk memastikan keakuratan dan kelengkapan

pemrosesannya.

70

Data yang digunakan meliputi data yang benar (real data) dan data yang

salah (dummy data). Selanjutnya, keluaran yang dihasilkan dibandingkan dengan

hasil yang diharapkan.

2.5 Bagan Alir Data (Data Flow Diagram)

Menurut Mulyadi (2001, p57), bagan alir data adalah suatu model yang

menggambarkan aliran data atas proses untuk mengolah data dalam suatu sistem.

Menurut J. Hall (2001, p69), diagram alir data menggunakan simbol-

simbol untuk mencerminkan proses, sumber-sumber data, arus data dan entitas

dalam suatu sistem.

Jadi dapat disimpulkan bahwa bagan alir data adalah suatu model yang

menggunakan simbol-simbol untuk menggambarkan aliran data dan proses untuk

mengolah data dalam suatu sistem.

Dalam diagram alir data terdapat tingkatan-tingkatan dimana masing-

masing tingkatan menggambarkan isi dari sistem, yaitu:

a. Diagram hubungan atau diagram kontes

Diagram konteks merupakan diagram tunggal. Diagram ini menggambarkan

hubungan sistem aliran data (data flow) dan entiti eksternal (external entity).

b. Diagram nol

Diagram nol menggambarkan subsistem dari diagram hubungan yang

diperoleh dengan memecahkan proses konteks.

c. Diagram rinci

Diagram rinci merupakan uraian diagram nol yang berisi proses-proses yang

menggambarkan bab dari subsistem pada diagram nol.

71

Berikut adalah contoh-contoh simbol standar yang digunakan dalam bagan alir

data, yaitu:

Entitas, sumber input atau tujuan output data.

Proses, menggambarkan hasil atau kegiatan yang dikerjakan oleh sistem.

Data store, suatu alat penyimpanan bagi file transaksi, file induk, atau file

referensi.

Aliran data, arah arus data dari suatu entiti ke entiti lainnya.

2.6 Penilaian Karya

2.6.1 Definisi Penilaian Karya

Penilaian karya menurut Kelompok Kompas Gramedia (2005, p1)

adalah rangkaian proses kegiatan untuk mengukur, menganalisa dan

menilai proses kerja dan hasil kerja karyawan yang telah dicapai, secara

terbuka dan sistematis dalam kurun waktu tertentu, formal, secara terus

menerus.

72

Hakekat penilaian karya ialah tercapainya pengertian bersama

antara atasan dan bawahan dalam tingkat keberhasilan serta faktor yang

mempengaruhi keberhasilan tersebut.

2.6.2 Tujuan Dan Manfaat Sistem Penilaian Karya

Tujuan dan manfaat dari sistem penilaian karya menurut KKG

(2005, p2) adalah:

a. Meningkatkan kuantitas, kualitas kerja serta produktifitas kerja.

b. Membina dan mengembangkan sumber daya manusia dalam bentuk

antara lain: pendidikan dan pelatihan, rotasi, serta kaderisasi sesuai

dengan kepentingan karyawan.

c. Memberikan penghargaan secara adil dalam bentuk bonus berjenjang

seseuai dengan kemampuan karyawan (reward system).

d. Sebagai sarana komunikasi atasan dengan bawahan.

2.6.3 Aspek Penilaian Pada Sistem Penilaian Karya

1. Aspek Kinerja

Aspek kinerja ditinjau dari tugas pokok atau tanggung jawab dari

pemangku jabatan. Tugas pokok diambil atau diturunkan langsung

dari uraian pekerjaan yang bersangkutan, kemudian ditetapkan

sasaran atau target kerjanya. Penetapan target sedapat mungkin

dilakukan secara diagonal antara atasan (penilai) dan bawahan (yang

dinilai).

73

2. Aspek Perilaku

Aspek perilaku terdiri dari lima faktor, yaitu:

a. Kerjasama

Unsur-unsur kerjasama adalah:

1) Membantu/menolong

2) Terbuka

3) Tanggap

Menunjukkan usaha seseorang dalam membantu/menolong teman

kerja secara efektif dan harmonis, disertai sikap terbuka dan

tanggap terhadap rekan sekerjanya guna penyelesaian tugasnya.

b. Disiplin

Unsur-unsur disiplin adalah:

1) Taat peraturan

2) Taat tugas

3) Taat waktu

4) Taat asas

Menunjukkan usaha seorang karyawan untuk mematuhi peraturan

dan ketentuan yang berlaku di perusahaan dengan tertib, termasuk

ketentuan-ketentuan yang berkaitan dengan tugas-tugasnya.

c. Semangat kerja

Unsur-unsur semangat kerja adalah:

1) Kesediaan memperbaiki diri terus-menerus

2) Bekerja sepenuh hati

3) Tidak kenal lelah

74

4) Ramah dan gembira

Menunjukkan usaha seorang karyawan untuk memperbaiki diri

secara terus-menerus, dapat bekerja sepenuh hati, ramah dan

gembira, tak kenal lelah, sehingga hasil karyanya dapat memacu

ke arah perbaikan.

d. Inisiatif

Unsur-unsur inisiatif adalah:

1) Usaha proaktif

2) Mempelopori

Menunjukkan usaha proaktif serta mempelopori upaya

menciptakan hal-hal baru yang bermanfaat bagi perusahaan.

e. Tanggung jawab

Unsur-unsur tanggung jawab adalah:

1) Tekad

2) Tuntas

3) Berani menanggung resiko

Menunjukkan usaha yang penuh tekad untuk bekerja tuntas dalam

rangka mencapai hasil sebaik-baiknya, serta berani menanggung

resiko.

3. Aspek Managerial

Aspek managerial khusus untuk karyawan yang membawahi suatu

unit kerja dan atau mempunyai bawahan.

75

Aspek manajerial mencakup lima faktor, yaitu:

a. Pengambilan keputusan

Unsur-unsur pengambilan keputusan adalah:

1) Keterampilan merumuskan masalah.

2) Keterampilan mengumpulkan dan menganalisis data/informasi

yang relevan

3) Kemampuan memutuskan alternatif pemecahan masalah yang

tepat

Mampu merumuskan masalah, mengumpulkan, dan menganalisis

data/informasi yang relevan, sehingga dapat memutuskan

alternatif pemecahan masalah yang tepat, cepat, dan tegas.

b. Pembinaan dan pengembangan bawahan

Unsur-unsur pembinaan dan pengembangan bawahan adalah:

1) Kepedulian terhadap kepentingan bawahan

2) Transfer pengetahuan

3) Menyiapkan kader

4) Menghargai kinerja

5) Bersedia menyampaikan umpan balik

Kepedulian seorang karyawan terhadap kepentingan bawahan

disertai kemampuan dan kesediaan mentransfer pengetahuan,

menyiapkan kader, menghargai kinerja, dan kesediaannya

menyampaikan umpan balik kepada bawahan.

76

c. Komunikasi

Unsur-unsur komunikasi adalah:

1) Kemampuan mendengarakan

2) Kemampuan menyampaikan gagasan

Mampu mendengarkan, menyampaikan gagasan, lisan maupun

tulisan, dengan penalaran dan sistematis, sehingga dapat

ditangkap secara benar, jelas, dan utuh.

d. Perencanaan dan pengoranisasian

Unsur-unsur perencanaan dan pengorganisasian adalah:

1) Kemampuan merumuskan sasaran dan strategi

2) Kemampuan menggerakkan bawahan

Mampu merumuskan sasaran dan strategi, menggerakkan

bawahan untuk mencapai sasaran secara efektif dan efisien.

e. Pengendalian

Unsur-unsur pengendalian:

1) Memantau

2) Mengarahkan

Mampu memantau dan mengarahkan pelaksanaan rencana secara

konsisten sehingga tidak menyimpang dari sasaran yang

ditetapkan.