Embed Size (px)
Citation preview
7
BAB 2
LANDASAN TEORI
2.1 Audit Sistem Informasi
2.1.1 Pengertian Sistem
Definisi sistem menurut Mulyadi (2001,p1) merupakan sekelompok
unsur yang erat berhubungan satu dengan yang lainnya, yang berfungsi
bersama-sama untuk mencapai tujuan tertentu.
2.1.2 Pengertian Informasi
Secara umum informasi adalah data yang sudah diolah menjadi suatu
bentuk lain yang lebih berguna yaitu pengetahuan atau keterangan yang
ditujukan bagi penerima dalam pengambilan keputusan, baik masa sekarang
atau yang akan datang.
2.1.3 Pengertian Sistem Informasi
Definisi sistem informasi menurut James O’Brien yang diterjemahkan
oleh Dewi Fitriasari dan Deny Arnos Kwary (2005,p5), Sistem informasi dapat
merupakan kombinasi teratur apa pun dari orang-orang, harware, software,
jaringan, komunikasi, dan sumber daya data yang mengumpulkan, mengubah,
dan menyebarkan informasi dalam sebuah organisasi.
8
2.1.4 Jenis jenis audit
Jenis-jenis audit menurut Arens, Elder, dan Beasly (2006,p15) :
1. Operational audit evaluates the efficiency and efectiveness of any
part of an organization’s operating procedures and methods. At
the completion of any operation of an operational audit,
management normally expects reccomendations for improving
operations. In operational audit the reviews are not limited to
accounting. They can include the evaluation of organizational
structure, computer operations, production methods, marketting,
and any other area in which the auditor is qualified.
2. Compliance audit is conducted to determine whether the auditee
is following specific procedures, rules, or regulations set by some
higher authority. A compliance audit for a private business could
include :
a. Determining wheteher accounting personnel are following
the procedures prescribed by the company controller.
b. Reviewing wage rates for compliance with minimum wage,
laws or,
c. Examining contractual aggrements with bankers and other
lenders to be sure the company is complying with legal
requirements.
3. Financial statement audit is conducted to determine whether the
overall financial statements are stated in accordance with
specified criteria. Normally the criteria are GAAP,, athough it is
9
common to conduct audits of financial statements prepared using
the cash basis or some other basis of accounting appropiate for
the organization.
Pernyataan di atas diterjemahkan sebagai berikut :
1. Audit operasional mengevaluasi efektivitas dan effisiensi dari setiap
bagian prosedur dan metode operasional perusahaan. Dalam setiap
pelaksanaan audit operasional, management biasanya mengharapkan
rekomendasi untuk meningkatkan kinerja perusahaan. Dalam audit
operasional reviews tidak dibatasi dalam lingkup accounting. Dapat
termasuk didalamnya evaluasi dari struktur organisasi, operasi
komputer, metode produksi, marketting, dan wilayah lain dimana
auditor memenuhi syarat untuk melakukan audit.
2. Audit Ketaatan dibuat untuk mememukan apakah pihak yang akan
diaudit mengikuti beberapa prosedur, aturan, atau relgulasi yang telah
ditetapkan oleh otoritas yang lebih tinggi kedudukannya. Compliance
audit untuk bisnis privat mencakup:
a. menemukan apakah personel accounting mengikuti aturan
yang telah ditetapkan oleh perusahaan.
b. mereview tingkat penghasilan sesuai dengan upah
minimum yang ditetapkan undang.undang.
c. memeriksa kontrak perusahaan dengan bank atau kreditur
lainnya untuk memastikan perusahaan tersebut memenuhi
persyaratan hukum yang berlaku.
10
3. Financial statement audit dilakukan untuk menemukan apakah
seluruh laporan keuangan dilaporkan sesuai dengan kriteria-kriteria
yang telah ditetapkan sebelumnya. Biasanya kriteria yang dipakai
adalah GAAP. Meskipun dalam mengaudit laporan keuangan
biasanya menggunakan basis kas atau basis lain yang merupakan
aplikasi accounting dalam suatu organisasi.
2.1.5 Pengertian Audit Sistem Informasi
Menurut Weber (1999,p10), Information Sys tem Auditing is the process
of collecting and evaluating evidence to determine whether a computer systems
safeguards assets, maintains data integrity , allows organizational goals to be
achieves effectively and uses resources efficiently.
Dengan kata lain, Audit Sistem Informasi adalah proses pengumpulan
dan pengevaluasian bukti-bukti untuk menentukan apakah sistem komputer
telah memenuhi tujuan untuk mengamankan asset perusahaan, menjaga
integritas data dan meningkatkan efektivitas serta mendorong efisiensi dalam
penggunaan sumber daya.
2.1.6 Tujuan Audit Sistem Informasi
Menurut Weber (1999, p11) tujuan dari audit sistem informasi lebih
ditekankan pada beberapa aspek penting, yaitu pemeriksaan dilakukan untuk
dapat menilai keempat tujuan dibawah ini, yaitu:
11
1. Assets safeguarding objectives
The information system asstes of an organization include hardware,
software, facilities, people (knowledge), data files, system
documentation, and supplies. Like all asstes, they must be protected
by a system of internal control.
2. Data integrity objectives
Data integrity is a fundamental concept in information systsem
auditting. It is a state implying data has certain attributes ;
completeness, soundness, purity, and veracity. If data integrity is not
maintained, an organization no longer has a true representation of
itsefl or of events.
3. System effectiveness objectives
An effective information system accomplishes its objectives.
Evaluating effectivenesss implies knowledge of user needs/ to
evaluate whether a system reports information in a way that
facilitates decision making by its users, auditors ports information in
a way that facilitates decision making by its users, auditors must
know the characteristic of users and the decision making
environment.
4. System efficiency objectives
An efficient information system uses minimum resources to achieve its
required objectives. Information system consume various resources:
machine time, peripherals, system software, and labor. These
12
resources are sarce, and different application systems usuually
complete for their use.
Pernyataan di atas diterjemahkan sebagai berikut :
1. Pengamanan Aset
Asset sistem informasi suatu organisasi termasuk hardware, software,
fasilitas, sumber daya manusia (skill), informasi, dokumentasi dan
persediaan. Semua asset tersebut harus dilindungi dengan sistem
pengendalia internal.
2. Menjaga integritas Data
Integritas data dalah konsep fundamental di dalam audit sistem
informasi. Ini mengemukakan bahwa data mempunyai atribut-atribut
tertentu : kelengkapan, keaslian, kejujuran. Jika integritas data tidak di
pertahankan maka sebuah organisasi tidak mempunyai gambarang atas
keadaan perusahaan yang sebenarnya.
3. Efektifitas Sistem
Sistem informasi yang effektif mebantu mencapai tujuan perusahaan.
Mengevaluasi efektivitas atas kebutuhan user/ untuk mengevaluasi
apakah laporan yang diberikan dapat mempermudah dalam proses
pengambilan keputusan oleh orang yang menggunakannya. Auditor
sisstem informasi harus menemukan cara untuk memudahkan user
sistem tersebut dalam mengambil keputusan. Auditor harus
mengetahui karakteristik user dan lingkungan pengambilan keputusan
tersebut.
13
4. Efisiensi Sistem
Sistem informasi yang effisien menggunakan sumber daya yang
terbatas untuk mencapai tujuannya. Sistem informasi mempergunakan
beberapa sumber daya yaitu : mesin, waktu, perlengkapan, software,
dan user. Sumber daya tersebut penting, dan aplikasi berbeda biasanya
melengkapi untuk kebutuhan user.
2.1.7 Tahapan Audit Sistem Informasi
Menurut Weber (1999, p47) ada 5 (lima) tahap dalam Audit Sistem
Informasi yaitu:
1. Planning the audit
Planning is the first phase of an audit. For an external auditor, this
means investigating new and continuing clients to determine whether
the audit engagement should be accepted, assigning appropiate staff
to the audit, obtaining an engagement letter, obtaining background
information on the client, understanding the client’s legal obligation
and undertaking analytical review procedures to understand the
client’s business better and identify areas of risk in the audit.
2. Test of controls
Auditors test controls when they asess the control risk for an
assertion at less the maximum level. They rely on controls as a basis
for reducing more costly testing. At this stage in the audit, however,
auditors do not know whether the control identified operate
14
effectively. Test of control, therefore, evaluate whether specific,
material controls are, in fact, reliable.
3. Test of transaction
From an attest perspective, recall auditors use tests of transaction to
evaluate whether errorneous or irregular processing of a transaction
has led to a material misstatement of financial information. Typical
attest test of transaction include tracing journal entries to their
source documents, examining price files for propriety, and testing
computational accuracy.
4. Test of balances or overall results
Auditor conduct test of balances or overall results to obtain sufficient
evidence for making a final judgement on the extent of looses or
account misstatement that occur when the information system
function fails to safeguard assets, maintain data integrity, and
archieve system effectiveness and efficiency.
5. Completion of the audit
In the final pashe of the audit, etxernal auditors undertake severals
additional tests to bring the collection of evidence to a close.they
must than formulate an opinion about whether material looses or
account misstatement have occured and issue a report. The
proffesionals standards in many countries require one of four types of
opinion be issued;
a. Disclaimer of oppinion: on the basis of the audit work
conducted, the auditor is unable to reach an opinion.
15
b. Adverse opinion: the auditor concludes the material losses
have occured or that the financial statements are materiality
mistated.
c. Qualified opinion : the auditor concludess that material losses
have occured or that the financial statements are misstated
but that the amoubnts are not material.
d. Unqualified opinion. : the auditor belives that no material
losses or account mistatement have occured.
Pernyataan di atas diterjemahkan sebagai berikut :
1. Perencanaan Audit (Planning the audit)
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor
eksternal hal ini berarti melakukan investigasi terhadap klien untuk
mengetahui apakah penugasan audit (audit engagement) dapat
diterima, menempatkan staf audit, mendapatkan surat penugasan,
mendapatkan informasi mengenai latar belakang klien, memahami
informasi mengenai kewajiban hukum klien dan melakukan analisa
terhadap prosedur yang ada untuk memahami bisnis klien dan
mengidentifikasi area-area yang berisiko. Pada tahap ini auditor juga
harus memahami pengendalian intern organisasi lalu menentukan
tingkat risiko pengendalian yang berhubungan dengan setiap segmen
audit.
16
2. Pengujian Pengendalian (Tests of controls)
Auditor melakukan test of controls ketika mereka menilai bahwa
tingkat risiko pengendalian berada pada level kurang dari maksimum
(pengendalian masih dapat dipercaya). Test of controls diarahkan
kepada efektifitas pengendalian perusahaan, baik dalam rancangan
maupun operasinya (pelaksanaannya). Tahap ini diawali dengan fokus
pada pengendalian manajemen (management controls), jika
pengendalian manajemen dinilai beroperasi secara tidak handal, maka
auditor hanya akan melakukan sedikit pengujian pada pengendalian
aplikasi (application controls). Namun jika auditor menemukan
kelemahan yang serius pada pengendalian manajemen maka auditor
akan memberikan opini tidak wajar (adverse opinion) terhadap
pengendalian yang ada di dalam perusahaan atau melakukan pengujian
substantif (substantive test) atas transaksi dan pengujian keseimbangan
dan hasil keseluruhan (balances or overall result). Jika auditor
menyatakan pengendalian manajemen telah beroperasi secara
memadai, maka auditor akan melakukan evaluasi terhadap kehandalan
pengendalian aplikasi dengan menelusuri jenis-jenis materialitas dari
transaksi melalui masing-masing pengendalian yang dijalankan pada
subsistem pengendalian aplikasi.
3. Pengujian Transaksi (Tests of transaction)
Auditor menggunakan pengujian ini untuk mengevaluasi apakah
kesalahan atau pemrosesan yang keliru terhadap transaksi telah
mengarah pada kesalahan yang material pada pernyataan laporan
17
keuangan. Pengujian pembuktian ini mencakup penelusuran terhadap
jurnal hingga ke dokumen sumbernya, menguji kebenaran data, dan
menguji akurasi perhitungan. Jika hasil pengujian transaksi
mengindikasikan terjadi kehilangan atau kesalahan pencatatan yang
material maka auditor dapat mengembangkan tingkat pengujiannya
dengan melakukan test of balances or overall result untuk
mendapatkan estimasi yang lebih baik terhadap kehilangan / kesalahan
pencatatan.
4. Tests of balances or overall results
Auditor melakukan pengujian ini untuk memperoleh bukti yang cukup
dalam membuat penilaian akhir (final judgement) mengenai tingkat
kehilangan atau kesalahan pencatatan yang terjadi ketika fungsi sistem
informasi gagal melindungi aset, memelihara integritas data, mencapai
efektifitas dan efisiensi sistem informasi.
5. Completion of the audit
Tahap ini merupakan tahap akhir dari tahapan audit sistem informasi.
Pada tahap ini auditor merumuskan opininya terhadap kehilangan
material dan kesalahan pencatatan yang terjadi sekaligus membuat
rekomendasi untuk manajemen yang nantinya disajikan pada laporan
audit.
18
2.1.8 Standar Audit
Menurut Information System Audit and Control Association (ISACA),
Standar Audit adalah sebagai berikut :
S1 Audit Charter
The purpose, responsibility, authority and accountability of the
information systems audit function or information systems audit
assignments should be appropriately documented in an audit charter
or engagement letter.
S2 Independence
03 Profesional Independence
In all matters related to the audit, the IS auditor should be
independent of the auditee in both attitude and appearance.
04 Organiational Independence
The IS audit function should be independent of the area or activity
being reviewed to permit objective completion of the audit
assignment.
S3 Proffesional Ethics and Standards
03 Code of professional Ethics
The IS auditor should adhere to the ISACA Code of Professional
Ethics.
04 Due Profesional Care
The IS auditor should exercise due professional care, including
observance of applicable professional auditing standards.
19
S4 Competence
03 The IS auditor should be professionally competent, having the skills
and knowledge to conduct the audit assignment.
04 The IS auditor should maintain professional competence through
appropriate continuing professional education and training.
S5 Planning
03 The IS auditor should plan the information systems audit coverage
to address the audit objectives and comply with applicable laws and
professional auditing standards.
04 The IS auditor should develop and document a risk-based audit
approach.
05 The IS auditor should develop and document an audit plan
detailing the nature and objectives, timing and extent, and
resources required.
06 The IS auditor should develop an audit program and procedures.
S6 Performance of Audit Work
03 Supervision-IS audit staff should be supervised to provide
reasonable assurance that audit objectives are accomplished and
applicable professional auditing standards are met.
04 Evidence-During the course of the audit, the IS auditor should
obtain sufficient, reliable and relevant evidence to achieve the audit
objectives. The audit findings and conclusions are to be supported
by appropriate analysis and interpretation of this evidence.
05 Documentation-The audit process should be documented,
20
describing the audit work and the audit evidence that supports the
IS auditor's findings and conclusions.
S7 Reporting
03 The IS auditor should provide a report, in an appropriate form,
upon completion of the audit. The report should identify the
organisation, the intended recipients and any restrictions on
circulation.
04 The audit report should state the scope, objectives, period of
coverage and the nature, timing and extent of the audit work
performed.
05 The report should state the findings, conclusions and
recommendations and any reservations, qualifications or
limitations in scope that the IS auditor has with respect to the audit.
06 The IS auditor should have sufficient and appropriate audit
evidence to support the results reported.
07 When issued, the IS auditor's report should be signed, dated and
distributed according to the terms of the audit charter or
engagement letter.
S8 Follow Up Activities
03 After the reporting of findings and recommendations, the IS auditor
should request and evaluate relevant information to conclude
whether appropriate action has been taken by management in a
timely manner.
21
S9 Irregularities and Illegal Acts
03 In planning and performing the audit to reduce audit risk to a low
level, the IS auditor should consider the risk of irregularities and
illegal acts.
04 The IS auditor should maintain an attitude of professional
skepticism during the audit, recognising the possibility that material
misstatements due to irregularities and illegal acts could exist,
irrespective of his/her evaluation of the risk of irregularities and
illegal acts.
05 The IS auditor should obtain an understanding of the organisation
and its environment, including internal controls.
06 The IS auditor should obtain sufficient and appropriate audit
evidence to determine whether management or others within the
organisation have knowledge of any actual, suspected or alleged
irregularities and illegal acts.
07 When performing audit procedures to obtain an understanding of
the organisation and its environment, the IS auditor should
consider unusual or unexpected relationships that may indicate a
risk of material misstatements due to irregularities and illegal acts.
08 The IS auditor should design and perform procedures to test the
appropriateness of internal control and the risk of management
override of controls.
22
09 When the IS auditor identifies a misstatement, the IS auditor should
assess whether such a misstatement may be indicative of an
irregularity or illegal act. If there is such an indication, the IS
auditor should consider the implications in relation to other aspects
of the audit and in particular the representations of management.
10 The IS auditor should obtain written representations from
management at least annually or more often depending on the audit
engagement
11 If the IS auditor has identified a material irregularity or illegal act,
or obtains information that a material irregularity or illegal act
may exist, the IS auditor should communicate these matters to the
appropriate level of management in a timely manner.
12 If the IS auditor has identified a material irregularity or illegal act
involving management or employees who have significant roles in
internal control, the IS auditor should communicate these matters
in a timely manner to those charged with governance.
13 The IS auditor should advise the appropriate level of management
and those charged with governance of material weaknesses in the
design and implementation of internal control to prevent and detect
irregularities and illegal acts that may have come to the IS
auditor’s attention during the audit.
14 If the IS auditor encounters exceptional circumstances that affect
the IS auditor’s ability to continue performing the audit because of
a material misstatement or illegal act, the IS auditor should
23
consider the legal and professional responsibilities applicable in
the circumstances, including whether there is a requirement for the
IS auditor to report to those who entered into the engagement or in
some cases those charged with governance or regulatory
authoritiesor consider withdrawing from the engagement.
15 The IS auditor should document all communications, planning,
results, evaluations and conclusions relating to material
irregularities and illegal acts that have been reported to
management, those charged with governance, regulators and
others.
S10 IT Governance
03 The IS auditor should review and assess whether the IS function
aligns with the organisation’s mission, vision, values, objectives
and strategies.
04 The IS auditor should review whether the IS function has a clear
statement about the performance expected by the business
(effectiveness and efficiency) and assess its achievement.
05 The IS auditor should review and assess the effectiveness of IS
resource and performance management processes.
06 The IS auditor should review and assess compliance with legal,
environmental and information quality, and fiduciary and security
requirements.
07 A risk-based approach should be used by the IS auditor to evaluate
the IS function.
24
08 The IS auditor should review and assess the control environment of
the organisation.
09 The IS auditor should review and assess the risks that may
adversely effect the IS environment.
S11 Use of Risk Assessment in Audit Planning
03 The IS auditor should use an appropriate risk assessment technique
or approach in developing the overall IS audit plan and in
determining priorities for the effective allocation of IS audit
resources.
04 When planning individual reviews, the IS auditor should identify
and assess risks relevant to the area under review.
S12 Audit Materiality
03 The IS auditor should consider audit materiality and its
relationship to audit risk while determining the nature, timing and
extent of audit procedures.
04 While planning for audit, the IS auditor should consider potential
weakness or absence of controls and whether such weakness or
absence of control could result into significant deficiency or a
material weakness in the information system.
05 The IS auditor should consider the cumulative effect of minor
control deficiencies or weaknesses and absence of controls to
translate into significant deficiency or material weakness in the
information system.
25
06 The report of the IS auditor should disclose ineffective controls or
absence of controls and the significance of the control deficiencies
and possibility of these weaknesses resulting in a significant
deficiency or material weakness.
S13 Using the Work of Other Experts
03 The IS auditor should, where appropriate, consider using the work
of other experts for the audit.
04 The IS auditor should assess and be satisfied with the professional
qualifications, competencies, relevant experience, resources,
independence and quality control processes of other experts, prior
to engagement.
05 The IS auditor should assess, review and evaluate the work of other
experts as part of the audit and conclude the extent of use and
reliance on expert’s work.
06 The IS auditor should determine and conclude whether the work of
other experts is adequate and complete to enable the IS auditor to
conclude on the current audit objectives. Such conclusion should be
clearly documented.
07 The IS auditor should apply additional test procedures to gain
sufficient and appropriate audit evidence in circumstances where
the work of other experts does not provide sufficient and
appropriate audit evidence.
26
08 The IS auditor should provide appropriate audit opinion and
include scope limitation where required evidence is not obtained
through additional test procedures.
S14 Audit Evidence
03 The IS auditor should obtain sufficient and appropriate audit
evidence to draw reasonable conclusions on which to base the audit
results.
04 The IS auditor should evaluate the sufficiency of audit evidence
obtained during the audit.
S15 IT Controls
03 The IS auditor should evaluate and monitor IT controls that are an
integral part of the internal control environment of the
organisation.
04 The IS auditor should assist management by providing advice
regarding the design, implementation, operation and improvement
of IT controls.
S16 E-commerce
03 The IS auditor should evaluate applicable controls and assess risk
when reviewing e-commerce environments to ensure that e-
commerce transactions are properly controlled.
27
Standar-standar di atas diterjemahkan sebagai berikut :
S1 Audit Charter
Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi
audit system informasi atau penilaian audit system harus
didokumentasikan dalam audit charter atau engagement letter.
S2 Independence
03 Professional independen :
Dalam setiap hal yang berkaitan dengan audit, auditor SI harus
independent terhadap pihak yang akan diaudit.
04 Organizational independen:
Fungsi audit SI harus independent dalam wilayah atau aktivitas
yang sedang direview untuk menyelesaikan audit.
S3 Proffesional Ethics and Standards
03 Auditor SI harus menjaga kempetensi professional melalui
pelatihan dan pembelajaran professional secara berkelanjutan.
04 Auditor si harus secara professional mampu, mempunyai keahlian
dan kemampuan untuk melakukan tugas audit.
S4 Competence
03 Auditor Si harus menjaga profesionalitas, mencakup ketaatan yang
berlaku dalam standar audit professional.
04 Auditor Si harus mematuhi ISACA Code of Professional Ethics.
S5 Planning
03 Auditor SI harus merencanakan perencanaan audit sistem informasi
28
untuk menempatkan tujuan audit dan untuk melengkapi hukum dan
standar auditing profesional yang berlaku.
04 Auditor SI harus mengembangkan dan mendokumentasikan sebuah
pendekatan audit berbasis risiko.
05 Auditor SI harus mengembangkan dan mendokumentasikan
rencana audit dengan rincian sifat dan tujuan, waktu dan luas, dan
sumber daya yang diperlukan.
06 Auditor SI harus mengembangkan program audit dan prosedur.
S6 Performance of Audit Work
03 Pengawasan - Staff audit SI harus diawasi untuk dapat menjaminan
bahwa tujuan audit yang dijalankan dan standar profesional auditing
dapat terpenuhi.
04 Bukti - Selama audit, auditor SI harus mendapatkan bukti yang
tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan
dari suatu audit. Temuan audit dan kesimpulan harus didukung oleh
analisis dan interpretasi yang tepat melalui bukti ini.
05 Dokumentasi - proses audit harus didokumentasikan,
menggambarkan pekerjaan dan bukti audit yang mendukung
temuan dan kesimpulan auditor sistem informasi.
S7 Reporting
03 Auditor SI harus memberikan laporan dalam bentuk yang tepat,
setelah selesainya audit. Laporan harus mengidentifikasikan sebuah
organisasi, yang dimaksudkan penerima dan semua larangan pada
sirkulasi.
29
04 Laporan Audit harus berupa lingkup, tujuan, periode audit, jangka
waktu dan luasnya pekerjaan audit yang dilakukan.
05 Laporan harus menyatakan temuan, kesimpulan dan rekomendasi
dan setiap layanan atau kualifikasi yang diberikan auditor terhadap
tugas audit yang dijalankan.
06 Auditor SI harus mempunyai bukti-bukti audit yang cukup dan
tepat untuk mendukung hasil yang dilaporkan.
07 Ketika diterbitkan, laporan auditor SI harus ditandatangani,
tertanggal dan didistribusikan sesuai dengan ketentuan audit charter
atau surat engagement.
S8 Follow Up Activities
03 Setelah melaporkan temuan dan rekomendasi, auditor SI harus
meminta dan mengevaluasi informasi yang relevan untuk
menyimpulkan apakah tindakan yang telah diambil oleh manajemen
telah sesuai rencana dan pada jangka waktu yang tepat.
S9 Irregularities and Illegal Acts
03 Dalam merencanakan dan melakukan audit untuk memperkecil
resiko audit ke tingkat yang rendah, Auditor IS harus
mempertimbangkan resiko penyimpangan dan tindakan illegal.
04 Auditor SI harus menjaga sikap skeptis professional dalam
melakukan audit, mempertimangkan kemungkinan kesalahan akibat
penyimpangan dan tindakan illegal yang muncul,
05 Auditor si harus memiliki pemahaman mengenai organisasi dan
lingkungannya, meliputi control internal.
30
06 Auditor Si harus memiliki bukti audit yang cukup dan sesuai untuk
menentukan apakah management atau pihak lain dalam organisasi
mempunyai pengetahuan mengenai adanya dugaan penyimpangan
dan tindakan illegal
07 Ketika melakukan prosedur audit untuk memperoleh pengertian
mengenai organisasi dan lingkungannya. Auditor Si harus
mempertimbangkan hubungan yang tidak wajar, yang
mengindikasikan resiko terjadinya penyimpangan dan tindakan
illegal.
08 Auditor SI harus mendesign dan melakukan prosedur untuk
menguji kelayakan internal control dan resiko management
mengesampingkan control.
09 Ketika auditor SI menemukan kesalahan, auditor SI harus
menilai apakah kesalahan tersebut merupaka indikasi dari
penyimpangan dan tindakan illegal. Jika ada indikasi terjadinya
penyimpangan, auditor si harus mempertimbangkan implikasi
dalam kaitannya dengan aspek audit lainnya dan terutama
representasi management.
10 Auditor SI harus memperoleh representasi tertulis dari management
setidaknya secara berkala atau lebih sering tergantung perjanjian
audit.
31
11 Jika auditor SI telah menemukan penyimpangan atau tindakan
ilegal atau menemukan informasi yang membuktkan terjadinya
penyimpangan dan tindakan illegal. Auditor SI harus
menyampaikan masalah ini kepada level management yang sesuai
secepatnya.
12 Jika auditor SI telah menemukan penyimpangan atau tindakan
ilegal yang mencakup management atau karyawan yang mempunyai
peran yang besar dalam internal control, auditor SI harus
menyampaikan masalah ini secepatnya kepada pihak yang
berwenang dengan pemerintahan.
13 Auditor SI harus menyarankan management dan pihak berwenang
mengenai kelemahan dalam design dan implementasi control
internal untuk mencegah dan mendeteksi penyimpangan dan
tindakan illegal yang akan menyita perhatian auditor.
14 Jika auditor si menemukan keadaan luar biasa yang memperngaruhi
kemampuan auditor dalam melanjutkan audit karena kesalahan atau
tindakan illegal, auditor harus mempertimbangkan tanggung jawab
legal dan professional dalam keadaan tersebut. Mencakup apakah
ada keharusan bagi auditor si untuk melaporkan seseorang yang
muncul dalam perjanjian tersebut atau dalam beberapa kasus
mereka yang berwenang dengan pemerintahan atau menarik diri
dari keterlibatannya.
32
15 Auditor SI harus mendokumentasikan setiap komunikasi,
perencanaan, hasil, evaluasi, dan kesimplan terkait penyimpangan
dan tindakan illegal yang telah dilaporkan kepada pihak
management, mereka yang berwenang, regulator, dan yang lainnya.
S10 IT Governance
03 Auditor SI harus mereview dan menilai apakah fungsi si sejalan
dengan visi, misi, nilai, tujuan, dan strategi organisasi.
04 Auditor SI harus mereview apakah fungsi SI mempunyai
pernyataan yang jelas mengenai kinerja yang diharapkan
(efektivitas dan efisiensi) dan menilai pencapaiannya.
05 Auditor SI harus mereview dan menilai evektivitas sumber daya SI
dan proses kinerja management.
06 Auditor SI harus mereview dan menilai kepatuhan terhadap hukum,
lingkungan dan kualitas informasi , dan persyarata keamanan.
07 Pendekatan berbasis resiko harus digunakan oleh auditor SI untuk
mengevaluasi fungsi SI.
08 Auditor SI harus mereview dan menilai kontrol lingkungan dari
organisasi.
09 Auditor si harus mereview dan menilai resiko yang mungkin
mempengaruhi lingkungan SI.
S11 Use of Risk Assessment in Audit Planning
03 Auditor Si harus menggunakan teknik penilaian resiko yang sesuai
33
atau pendekatan dalam mengembangkan perencanaan audit secara
keseluruhan dan dalam menentukan prioritas dari efektivitas
pengalokasian sumber daya audit SI.
04 Ketika merencanakan review individual, auditor Si harus
mengidentifikasi dan menilai resiko yang relevant yang mencakup
area yang sedang direview.
S12 Audit Materiality
03 Auditor SI harus mempertimbangkan materiality audit dan
hubungannya dengan resiko audit ketika menentukan sifat, waktu,
dan cakupan prosedur audit.
04 Ketika merencanakan audit, auditor SI harus mempertimbangkan
kelemahan potensial atau tidakadanya control dan apakah
kelemahan atau tidak adanya control dapat membuat kerugian
signifikan atau kelemahan material dalam system informasi.
05 Auditor SI harus mempertimbangkan efek kumulatif dari
kelemahan atau tidak adanya control untuk memperkirakan
kerugian signifikan atau kelemahan materian dalam system
informasi.
06 Laporan audit Si harus mengungkapkan ketidakefektifan control
atau tidak adanya control dan kekurangan control signifikan dan
kemungkinan dari kelemahan ini menghasilkan kerugian signifikan
dan kelemahan material.
S13 Using the Work of Other Experts
03 Auditor SI harus, dimana tepat, mempertimbangkan untuk
34
menggunakan karya para ahli lainnya untuk audit.
04 Auditor SI harus menilai dan merasa puas dengan kualifikasi
profesional, kompetensi, pengalaman yang relevan, sumber daya,
kemandirian dan pengendalian mutu proses ahli lain, sebelum
pertunangan.
05 Auditor SI harus menilai, meninjau dan mengevaluasi kerja ahli
lain sebagai bagian dari audit dan menyimpulkan tingkat
penggunaan dan ketergantungan pada pekerjaan para ahli.
06 Auditor SI harus menentukan dan menyimpulkan apakah karya para
ahli lain telah memadai dan lengkap untuk memberikan hak kepada
auditor SI untuk menyimpulkan tujuan audit saat ini. Kesimpulan
seperti itu harus secara jelas didokumentasikan.
07 Auditor SI harus menerapkan prosedur pengujian tambahan yang
memadai untuk memperoleh bukti audit yang tepat di mana
pekerjaan ahli lain tidak cukup untuk memberi bukti-bukti audit
yang tepat.
08 Auditor SI harus memberikan opini audit yang sesuai dan
mencakup ruang lingkup di mana bukti yang diperlukan tidak
diperoleh melalui prosedur tes tambahan.
S14 Audit Evidence
03 Auditor SI harus mendapatkan bukti-bukti audit yang cukup dan
tepat untuk menarik kesimpulan yang masuk akal yang berdasarkan
pada hasil audit.
35
04 Auditor SI harus mengevaluasi kecukupan bukti audit yang
diperoleh selama proses audit.
S15 IT Controls
03 Auditor SI harus mengevaluasi dan memonitor pengendalian IT
yang merupakan bagian integral dari lingkungan pengendalian
internal organisasi.
04 Auditor SI harus membantu manajemen dengan memberikan saran \
mengenai rancangan, pelaksanaan, operasi dan peningkatan
pengendalian IT.
S16 E-commerce
03 Auditor SI harus mengevaluasi pengedalian yang berlaku dan
menilai risiko ketika meninjau lingkungan e-commerce untuk
memastikan bahwa transaksi e-commerce berjalan dengan baik.
2.1.9 Prosedur Audit S istem Informasi
Menurut Weber (1999, p45) ada 5 (lima) prosedur dalam Audit Sistem
Informasi yaitu:
1. Procedures to obtain an understanding of control, inquiries :
inquiries, inspection, and observation can be used to gain an
understanding of what controls supposedly exixt, how well they have
been designed, and whether they have been placed in operation.
2. Tests of control : inquiries, inspection, observation, and
reperformance of control procedures can be ussed to evaluate
wheteher control are operating effectively.
36
3. Substantive test of detail of transaction : these test are designed to
detect dollar errors or irregularities in transaction that would affect
the financeial statements.
4. Substantive test of detail of account balance : these test focus on the
ending general ledger balances in the balance sheet and income
statement.
5. Analytical review procedures these test focus on relationship among
data items with the objective of identifying areas that require further
audit work.
Pernyataan di atas diterjemahkan sebagai berikut :
1. Prosedur untuk mendapatkan pemahaman tentang kontrol, pertanyaan
: pertanyaan, inspeksi, dan observasi dapat digunakan untuk
mendapatkan pemahaman mengenai bagaimana kontrol seharusnya
bekerja, seberapa baik kontrol tersebut didesain, dan dimana kontrol
tersebut digunakan dalam perusahaan.
2. Pengujian terhadap kontrol : pertanyaan, inspeksi, observasi, dan
prosedur kontrol dapat digunakan untuk mengevaluasi apakah kontrol
berjalan secara efektif.
3. Pengujian substantif terhadap detail transaksi : pengujian ini didesain
untuk mendeteksi kesalahan atau hal-hal yang tidak wajar dalam
transaksi yang dapat mempengaruhi laporan keuangan.
4. Pengujian substantif dari detail neraca : pengujian ini difokuskan
keseimbangan jurnal umum di dalam neraca dan laporan keuangan.
37
5. Prosedur review analisis : pengujian ini difokuskan pada hubungan
antara data dengan tujuan mengidentifikasi area yang membutuhkan
proses audit lebih lanjut.
2.1.10 Teknik dan Praktek Audit S istem Informasi
Menurut Gondodiyoto dan Hendarti (2006, p447) terdapat berbagai
teknik pemeriksaan yang bisa diterapkan dalam melaksanakan audit. Teknik-
teknik pemeriksaan tersebut sering disebut dengan istilah instrumen audit.
Berikut ini adalah contoh-contoh instrumen audit yang dapat digunakan pada
saat pelaksanaan audit :
1. Observasi (Observation)
Observasi adalah cara memeriksa dengan menggunakan panca indera
terutama mata, yang dilakukan secara berkelanjutan selama kurun
waktu tertentu untuk membuktikan suatu keadaan atau masalah.
2. Wawancara (Interview)
Wawancara merupakan teknik pemeriksaan berupa tanya-jawab
secara lisan antara auditor dengan auditee untuk memperoleh bahan
bukti audit. Tanya-jawab dapat dilakukan secara lisan (wawancara)
atau tertulis.
3. Kuesioner (Questionaire)
Teknik ini merupakan teknik pemeriksaan yang mudah dan praktis
karena tertulis. Dengan metode ini, responden ditentukan, kemudian
dikirim surat pengantar beserta daftar pertanyaan (Questionaire)
38
tentang hal-hal yang ditanyakan dengan pedoman pengisian dan
tanggal jawab yang ditentukan.
4. Inspeksi fisik (physical inspection)
Inspeksi merupakan cara memeriksa dengan memakai panca indera
terutama mata, untuk memperoleh bukti atas suatu keadaan atau
suatu masalah pada saat tertentu. Inspeksi merupakan usaha
pemeriksa untuk memperoleh bukti-bukti secara langsung di tempat
dimana keadaan atau masalah ingin dibuktikan.
5. Prosedur analisis
Analisis artinya memecah atau menguraikan suatu keadaan atau
masalah ke dalam beberapa bagian atau elemen dan memisahkan
bagian tersebut untuk digabungkan dengan keseluruhan atau
dibandingkan dengan yang lain. Dengan analisis pemeriksa dapat
melihat hubungan penting antara satu unsur dengan unsur lainnya.
6. Penelaahan dokumen
Pada teknik ini dilakukan penelaahan pada dokumen yang tersedia
pada suatu organisasi, seperti bagan arus, bagan organisasi, manual
program, manual operasi, manual referensi, notulen rapat, surat
perjanjian, dan catatan-catatan historis lainnya. Jika mungkin,
dokumen-dokumen penting harus ditelaah sebelum wawancara.
Dokumentasi yang bermanfaat adalah diagram (flowchart / Bagan
Alir) dan DFD (data flow diagram / diagram arus data). DFD
menekankan pada hubungan arus data dan pemrosesan. DFD sangat
sederhana dan mudah digunakan.
39 2.2. Sistem Pengendalian Intern
2.2.1 Pengertian Sistem Pengendalian Intern
Menurut Weber (1999,p35), “A control is a system that prevents, detects,
or correct unlawful events”. Pengendalian adalah suatu sistem untuk mencegah,
mendeteksi, dan mengkoreksi kejadian yang timbul saat transaksi dari
serangkaian pemrosesan yang tidak terotorisasi secara sah.
Menurut Mulyadi (2001,p165), Sistem Pengendalian Intern meliputi
struktur organisasi, prosedur pencatatan, tugas dan fungsi organisasi dan
ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi,
mengecek ketelitian dan kehandalan data akuntansi, mendorong efisiensi dan
dipatuhinya kebijakan manajemen.
2.2.2 Alasan Perlunya Sistem Pengendalian Intern
Menurut Gondiyoto, Sanyoto (2009,p136), pada sistem informasi
berbasis TI, system controls menjadi semakin penting alasannya ialah antara
lain :
1. Besarnya biaya dan kerugian kalau sampai data komputer hilang.
2. “Biaya yang harus dibayar” bila sampai mutu keputusan buruk akibat
pengolahan data yang salah (informasi untuk bahan pengambilan
keputusan salah).
3. Potensi kerugian kalau terjadi kesalahan/ penyalahgunaan komputer.
4. Nilai (investasi ) yang tinggi dalam pengadaan maupun perawatan
mesin (hardware & software).
40
5. Nilai atau biaya yang tinggi yang dikeluarkan untuk pendidikan
personil.
6. Biaya yang tinggi bila terjadi computer errors.
7. Perlunya dijaga privacy, mengingat di komputer tersimpan data
rahasia.
8. Agar perkembangan dan pertumbukan komputerisasi dapat terkendali
(controlled evaluation of computer used).
2.2.3 Tujuan dan Keuntungan Sistem Pengendalian Intern
Menurut Gondiyoto (2009,p146), strong internal control tidak hanya
berkaitan dengan akuntansi (financial audits dan reliabel financial reports).
Sound internal control system juga terkait dengan corporate strategis, dan
memberi peluang auditor intern untuk memberi sumbangan dalam pencapaian
tujuan perusahaan. Tersedianya informasi yang relevan, reliable, dan tepat
waktu memberikan knowledge dalam rangka effective decision-making. Selain
untuk corporate objectives, pengendalian intern juga untuk melindungi assets
dan untuk komunikasi. Oleh karena itu dilihat dari manajemen tujuan
dedesainnya sistem pengendalian intern khusus (atau tambahan) bagi sistem
berbasis komputer adalah untuk membantu manajemen dalam mencapai tujuan
kontrol internal menyeluruh, termasuk kegiatan manual, mekanis, maupun yang
terkait dengan Teknologi Informasi.
Tujuan dirancangnya sistem pengendalian intern yang sudah mencakup
ruang lingkup yang lebih luas pada hakekatnya adalah :
41
1. Pencatatan, pengolahan data dan penyajian informasi yang dapat
dipercaya.
2. Mengamankan aktiva perusahaan.
3. Meningkatkan efektivitas dan efisiensi operasional.
4. Mendorong pelaksanaan ken=bijaksanaan dan peraturan (hukum)
yang ada.
Secara lebih khusus lagi terkait dengan teknologi informasi, tujuan
disusunnya sistem kontrol atau pengendalian intern komputerisasi adalah untuk:
1. Meningkatkan pengamanan (improve safeguards) assets sistem
informasi (data / catatan akuntansi (accountung records) yang bersifat
logical assets, maupun physical assets seperti hardware,
infrastructure, dan sebagainya).
2. Meningkatkan integritas data (improve data integrity) sehingga
dengan data yang benar dan konsisten akan dapat dibuat laporan yang
benar.
3. Meningkatkan efektifitas sitem (improve system effectiveness).
4. Meningkatkan effisiensi sistem (improve efisiensi sistem).
Ada 5 (lima) keuntungan dari sebuah pengendalian intern, yaitu :
1. Dapat memperkecil kesalahan-kesalahan dalam penyajian data
akuntansi, sehingga akan menghasilkan laporan yang benar.
2. Melindungi atau membantasi kemungkinan terjadinya kecurangan
dan penggelapan-penggelapan.
3. Kegiatan organisasi akan dapat dilaksanakan dengan effisien.
42
4. Mendorong dipatuhinya kebijakan pimpinan.
5. Tidak memerlukan detail audit dalam bentuk pengujian substantif atas
bahan bukti / data perusahaan yang cukup besar oleh akuntan publik.
2.2.4 Control Objectives for Information and related Technology (COBIT)
COBIT menurut Gondiyoto (2009,p181) merupakan a set of best practice
(framework) bagi pengelolaan teknologi informasi (IT management). COBIT
disusun oleh the IT Governance Institute (ITGI) dan Information System Audit
and Control Asosiation (ISACA), tepatnya Information System Audit an
Control Foundation’s (ISACF).
COBIT adalah sekumpulan dokumentasi best practice untuk IT
governance yang dapat membantu auditor, pengguna (user), dan manajemen,
untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-
masalah teknis IT. COBIT bermanfaat bagi auditor karena merupakan tekhnik
yang dapat membantu dalam identifikasi IT controls Issues. COBIT berguna
bagi para IT user karenan memperoleh keyakinan atas kehandalan sistem
aplikasi yang dipergunakan.
Sedangkan para manager memperoleh manfaat dalam keputusan investasi
di bidang TI serta infrastrukturnya, menyusun strategic IT plan, menentukan
Information Architecture, dan keputusan atas procurement mesin. Disamping itu
dengan keterandalan sistem informasi yang ada pada perusahaannnya
diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada.
43
2.2.5 Kriteria Kinerja COBIT
Menurut Gondiyoto (2009,p164), COBIT dapat dikategorikan menjadi 7
(tujuh) criteria, yakni :
Efektifitas Untuk memperoleh informasi yang relevan dan berhubungan
dengan proses bisnis seperti penyampaian informasi dengan
benar, konsisten, dapat dipercaya dan tepat waktu.
Effisiensi Memfokuskan pada ketentuan informasi melalui penggunaan
sumber daya yang optimal
Kerahasiaan Memfokuskan proteksi terhadap informasi yang penting dari
orang yang mempunyai hak otorisasi.
Integritas Berhubungan dengan keakuratan dan kelengkapan informasi
sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan
dalam proses bisnis sekarang dan yang akan datang.
Kepatuhan Sesuai menurut hukum, peraturan dan rencana perjanjian untuk
proses bisnis.
Keakuratan
Informasi
Berhubungan dengan ketentuan kecocokan informasi untuk
manajemen mengoperasikan entitasndan mengatur pelatihan
keuangan dan kelengkapan laporan pertanggung jawaban.
Tabel 2.1 Kriteria Kinerja COBIT
44
2.2.6 COBIT Framework
Menurut Gondiyoto (2009,p166), COBIT mendefinisikan control
objectives sebagai “statement of the desired result, or purpose to be archieved
by implementing control procedures in a particular control objectives”. COBIT
framework terdiri dari 34 high level control objectives, dan selanjutnya dirinci
ke dalam 215 detail control objectives yang dikelompokan dalam 4 domains :
plan and organize, aquire and implement, deliver and support, and monitor and
evaluate.
1. Perencanaan dan organisasi
Yaitu mencakup pembahasan tentang identifikasi dan strategi
investasi IT yang dapat memberikan yang terbaik untuk mendukung
pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategis
perlu direncanakan, dikomunikasikan, dan diatur pelaksanaannya.
2. Perolehan dan implementasi
Yaitu untuk merealisasi strategi TI, pelu diatur kebutuhan TI,
diidentifikasikan, dikembangkan, atau diimplementasikan secara
terpadu dalam proses binsis perusahaan.
3. Penyerahan dan pendukung
Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI
terhadap kegiatan operasional bisnis (Tingkat jasa layanan TI aktual
atau service level) dan aspek urutan (prioritas implementasi dan untuk
pelatihannya).
4. Monitoring
45
Yaitu semua Proses TI yang pelu dinilai secara berkala agar kualitas
dan tujuan dukungan TI tercapai, dan kelengkapannya berdasarkan
pada syarat kontrol internal yang baik.
Empat domain pada COBIT framework tersebut selanjutnya dirinci
menjadi 34 high-level control objectives :
COBIT domain High Level Objectives
1. Plan and
organize
PO1 Define a Strategic IT Plan and direction
PO2 Define the Information Architecture
PO3 Determine Technological Direction
PO4 Define the IT Processes, Organization and
Relationships
PO5 Manage the IT Investment
PO6 Communicate Management Aims and
Direction
PO7 Manage IT Human Resources
PO8 Manage Quality
PO9 Assess and Manage IT Risks
PO10 Manage Projects
2. Aquire and
implement
AI1 Identify Automated Solutions
AI2 Acquire and Maintain Application Software
AI3 Acquire and Maintain Technology
Infrastructure
AI4 Enable Operation and Use
46
AI5 Procure IT Resources
AI6 Manage Changes
AI7 Install and Accredit Solutions and Changes
3. Deliver and
support
DS1 Define and Manage Service Levels
DS2 Manage Third-party Services
DS3 Manage Performance and Capacity
DS4 Ensure Continuous Service
DS5 Ensure Systems Security
DS6 Identify and Allocate Costs
DS7 Educate and Train Users
DS8 Manage Service Desk and Incidents
DS9 Manage the Configuration
DS10 Manage Problems
DS11 Manage Data
DS12 Manage the Physical Environment
DS13 Manage Operations
4. Monitor and
evaluate
ME1 Monitor and Evaluate IT Processes
ME2 Monitor and Evaluate Internal Control
ME3 Ensure Regulatory Compliance
ME4 Provide IT Governance
Tabel 2.2 Control Objectives pada COBIT
47
2.2.7 Pengendalian Manajemen
Menurut Weber (1999,p67), management controls are important
components of this overall internal control structure.
1. Top Management Controls
Discusses top management’s role in planning, organizing, leading,
and controlling the information system function.
2. System development management controls
Provide a contingency perspective on models of the information
system development process that auditors can use as a basis for
evidence collection and evaluation.
3. Programming management controls
Discuss the major phases in the program lifecycle and the important
controls that should be excersised in each phase.
4. Data resource management control
Discusses the roles of the data administrator and the database
administrator and the control that should be excersised over the
functions they perform.
5. Security management controls
Discuss the major function performed by security administrators to
identify major threats to the information systems function and to
design, implement, operate, and maintain controls that reduce
expected losses from these threats to an acceptable level.
6. Operations management controls
48
Discuss the major function performed by operations management to
ensure the day to day operations of the information systems function
are well controlled.
7. Quality assurance management control.
Discuss the major functions that quality assurance management
should perform to ensure that the development, implementation ,
operation, and maintenance of informations system confirm to quality
standards.”
Diterjemahkan sebagai berikut :
Pengendalian manajemen (management controls) ialah sistem
pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan
komputerisasi sebuah organisasi secara menyeluruh.
1. Pengendalian Top Manajemen (Top Management Controls)
Mengendalikan peranan manajemen dalam perencanaan
kepemimpinan dan pengawasan fungsi sistem.
2. Pengendalian Manajemen Pengembangan Sistem (System
Development Management Controls)
Mengendalikan alternatif dari model proses pengembangan sistem
informasi sehingga dapat digunakan sebagai dasar pengumpulan dan
pengevaluasian bukti.
49
3. Pengendalian Manajemen Pemrograman (Programming Management
Controls)
Mengendalikan tahapan utama dari daur hidup program dan
pelaksanaan dari tiap tahap.
4. Pengendalian Manajemen Sumber Data (Data Resources
Management Controls)
Mengendalikan peranan dan fungsi dari data administrator atau
database administrator.
5. Pengendalian Manajemen Keamanan (Security Administration
Management Controls)
Mengendalikan fungsi utama dari security administrator dalam
mengidentifikasi ancaman utama terhadap fungsi sistem informasi
dan perancangan, pelaksanaan, pengoperasian dan pemeliharaan
terhadap pengawasan yang dapat mengurangi kemungkinan
kehilangan dari ancaman ini sampai pada tingkat yang dapat diterima.
6. Pengendalian Manajemen Operasi (Operation Management Controls)
Mengendalikan fungsi utama dari manajemen operasional untuk
meyakinkan bahwa pengoperasian sehari-hari dari fungsi sistem
informasi diawasi dengan baik.
7. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance
Management Controls)
Mengendalikan fungsi utama yang harus dilakukan oleh Quality
Assurance Management meyakinkan bahwa pengembangan,
50
pelaksanaan, pengoperasian dan pemeliharaan dari sistem informasi
sesuai standar kualitas.
2.2.8 Pengendalian Aplikasi
Menurut Gondodiyoto (2009,p260), kontrol aplikasi terbagi atas 3 (tiga),
yaitu :
1. Input Controls
Input controls harus fokus pada menjaga integrity data entry dan
kelengkapan (completeness and existence/occurrence, artinya tidak
ada data missing, sebaiknya jangan ada data fiktif). Kontrol ini
didesain untuk menjaga agar data yang diinput ke sistem
komputerisasi valid, akurat, dan lengkap, dengan sistem batch
maupun direct. Proses yang melibatkan manusia mengandung potensi
error. Berikut ini hal-hal yang perlu mendapat perhatian:
a. Source document controls
b. Data coding controls
c. Batch controls
d. Validation controls
e. Input error correction controls
2. Processing Controls
Processing controls adalah tahap yang sangat penting dan
menyangkut the computer processing steps inside the system, dan
karena itu auditornya harus seseorang yang paham (sebaiknya CIA /
CISA).
51
Hal-hal yang perlu diperhatikan antara lain:
a. Run-to-run controls (during posting)
b. Audit trail Controls
c. Logic testing (formula, dan sebagainya)
d. Authenticity tests, untuk memverivikasi bahwa akses ke sistem
authentic
e. Accuracy tests, untuk menjaga agar akurasi mekanis cermat
f. Completeness tests, bahwa data yang diolah lengkap
g. Redudancy tests, bahwa tidak terdapat duplikasi data
h. Access tests, untuk menjaga agar akses hanya oleh authorized users
i. Audit trail tests, sistem aplikasi menyediakan an adequate audit trail
j. Rounding error tests, untuk menjaga perhitungan/pembulatannya tidak
salah.
3. Output Controls
Output controls didesain untuk menjaga agar keluaran yang
dihasilkan oleh sistem komputerisasi tidak hilang/dibaca oleh orang
yang tidak berhak atau tidak tepat sasaran, tidak akurat, tidak tepat
waktu, tidak terjaga privasinya. Berikut ini hal-hal yang perlu
diperhatikan:
a. Batch sistem output controls
b. Output spooling controls
c. Print program controls
d. Bursting controls
e. Waste controls
f. Data control group controls
52
g. Report distribution controls
h. End user controls
i. Real-time systems output controls
2.2.9 Penetapan Penilaian Resiko
Menurut McLeod dan Schell (2004,p214), langkah langkah dalam
menentukan resiko dapat dibagi ke dalam 4 kategori:
1. Identify business assets to be protected from risks
2. Recognize the risks
3. Determine the level of impact on the firm should the risks materialize
4. Analyze the vulnerability of the firm.
At the completion of risk analysis, the findings should be documented in
risk analysiiis report. Content of this report should include information such as
the following for each risk:
1. A description of the risk
2. Source of the risk
3. Severity of the risk
4. Control that are being applied to the risk
5. The owners of the risk
6. Recomended action to adress the risk
7. Recomended time frame for adressing the risk.
Dengan kata lain, artinya :
1. mengidentifikasi aset perusahaan agar terlindungi dari resiko.
53
2. mengenali resiko.
3. menentukan dampak dari resiko tersebut terhadap perusahaan.
4. menganalisa kerentanan perusahaan.
Setelah selesai dalam menganalisis resiko, hasil temuan harus
didokumentasikan dalam laporan analisis resiko. Isi dari laporan tersebut harus
mencakup informasi untuk setiap resiko yang dapat muncul:
1. gambaran resiko
2. sumber resiko
3. tingkat resiko
4. kontrol yang sedang diterapkan dalam pengendalian resiko
5. owner resiko
6. rekomendasi langkah untuk mengatasi resiko
7. rekomendasi jenjang waktu untuk mengatasi resiko.
2.3 Evaluasi Sistem Informasi Persediaan
2.3.1 Pengertian Persediaan
Menurut Standar Akuntansi Keuangan (PSAK No. 14, hal 14.1 – IAI,
2004) : “Persediaan adalah aktiva :
(a) Tersedia untuk dijual dalam kegiatan usaha normal;
(b) Dalam proses produksi dan atau dalm perjalanan; atau
(c) Dalam bentuk bahan atau perlengkapan (supplies) untuk
digunakan dalam proses produksi atau pemberian jasa.”
Definisi persediaan menurut Mulyadi (2001,p1) adalah barang yang
dibeli untuk tujuan dijual kembali.
54
Menurut Stice, Stice, dan Skousen (2004,p653), kata persediaan
ditujukan untuk barang-barang yang tersedia untuk dijual dalam kegiatan bisnis
normal, dan dalam kasus perusahaan manufaktur, maka kata ini ditujukan untuk
barang dalam proses produksi atau yang ditempatkan dalam kegiatan produksi.
2.3.2 Jenis Persediaan
Menurut Stice, Stice, dan Skousen (2004,p654), jenis-jenis persediaan
terbagi atas : Bahan baku (raw materials), barang dalam proses (work in
process), dan barang jadi (finished goods) untuk dijual ditujukan untuk
persediaan di perusahaan manufaktur.
Menurut Mulyadi (2001,p553), persediaan dapat terdiri dari 5 bentuk :
1. Persediaan Produk Jadi
2. Persediaan Produk dalam Proses
3. Persediaan Bahan Baku
4. Persediaan Bahan Penolong
5. Persediaan Suku Cadang
2.3.3 Evaluasi Persediaan pada Sistem Berbasis Komputer
Volume data yang banyak dalam pengelolaan persediaan dan banyaknya
variasi penyajian informasi untuk keperluan manajemen menyebabkan sangat
baik untuk mengaplikasikan komputer dalam sistem persediaan. Penggunaan
komputer yaitu data entry terminal atau database system secara intensif akan
memberikan pengendalian tepat waktu terhadap persediaan.
Pengelolaan dan pengendalian persediaan merupakan bagian dari sistem
55
pengelolaan perusahaan. Kemajuan yang tercapai dalam pengelolaan data
melalui komputer memungkinkan penggunaan teknik yang lebih rumit. Banyak
program komputer yang tersedia yang dengan mudah dapat dipergunakan
untuk memenuhi kebutuhan khusus dari perusahaan tertentu juga telah
dikembangkan berbagai paket program untuk sistem persediaan perusahaan
tertentu.
Dalam pengembangan sebagian besar sistem persediaan yang
dipergunakan adalah sistem database. Database tersebut akan mencakup
banyak informasi sebagai berikut :
1. Data pelanggan
Meliputi alamat, posisi kredit, banyaknya order, produk-produk yang
lazim dan informasi lain.
2. Persediaan
Meliputi uraian kode barang, kuantitas yang tersedia, dan pada jadwal
yang mana, lama penyimpanan, lokasi penyimpanan dalam gudang,
dan lain-lain.
3. Perencanaan produksi
Meliputi daftar uraian barang untuk setiap jenis produk yang
dihasilkan, standar waktu dan jadwal serta urutan operasi.
4. Pengendalian kualitas
Yaitu pengujian yang diperlukan, hasil menurut pengalaman dan
dasar pengujiannya.
5. Catatan dan data historis
Yaitu memelihara sejarah tentang produksi penjualan, tingkat
56
persediaan dan data mengenai semua transaksi persediaan.
6. Laporan
Yaitu catatan mengenai semua laporan yang diterbitkan dan tindakan
yang telah diambil.
2.3.4 Prosedur Sistem Informasi Persediaan
Menurut Mulyadi (2001,p559), ada 9 prosedur yang bersangkutan dengan
sistem persediaan, yaitu :
1. Prosedur pencatatan produk jadi.
Dalam prosedur ini dicatat harga pokok produk, jadi yang didebitkan
ke dalam rekening Persediaan Produk Jadi dan dikreditkan ke dalam
rekening Barang Dalam Proses.
2. Prosedur pencatatan harga pokok produk jadi yang dijual.
Prosedur ini merupakan salah satu prosedur dalam sistem penjualan
disamping prosedur lainnya, seperti : prosedur order penjualan,
prosedur persetujuan kredit, prosedur pengiriman barang, prosedur
penagihan, prosedur pencatatan piutang.
3. Prosedur pencatatan harga pokok produk jadi yang diterima kembali
dari pembeli.
Jika produk jadi yang telah dijual dikembalikan oleh pembeli, maka
transaksi retur penjualan ini akan mempengaruhi persediaan produk
jadi, yaitu menambah kualitas produk jadi dalam kartu gudang yang
diselenggarakan oleh bagian gudang dan menambah kuantitas dan
57
harga pokok produk jadi yang dicatat oleh bagian kartu persediaan
dalam kartu persediaan produk jadi.
4. Prosedur pencatatan tambahan dan penyesuaian kembali harga pokok
persediaan produk dalam proses.
Pencatatan produk dalam proses umumnya dilakukan oleh perusahaan
pada akhir periode, pada saat dibuat laporan keuangan bulanan dan
laporan keuangan tahunan.
5. Prosedur pencatatan harga pokok persediaan yang dibeli.
Prosedur ini merupakan salah satu prosedur yang membentuk sistem
pembelian. Dalam prosedur ini dicatat harga pokok persediaan yang
dibeli.
6. Prosedur pencatatan harga pokok persediaan yang dikembalikan
kepada pemasok.
Jika persediaan yang telah dibeli dikembalikan kepada pemasok,
maka transaksi retur pembelian ini akan mempengaruhi persediaan
yang bersangkutan, yaitu mengurangi kuantitas persediaan dalam
kartu gudang yang diselenggarakan oleh bagian gudang dan
mempengaruhi kuantitas dan harga pokok persediaan yang dicatat
oleh bagian kartu persediaan dalam kartu persediaan yang
bersangkutan.
7. Prosedur permintaan dan pengeluaran barang gudang.
Prosedur ini merupakan salah satu prosedur yang membentuk sistem
akuntansi biaya produksi. Dalam prosedur ini dicatat harga pokok
persediaan bahan baku, bahan penolong, bahan habis pakai pabrik,
58
dan suku cadang yang dipakai dalam kegiatan produksi dan kegiatan
non-produksi.
8. Prosedur pencatatan tambahan harga pokok persediaan karena
pengembalian barang gudang.
Transaksi pengembalian barang gudang mempengaruhi biaya dan
menambah persediaan barang di gudang.
9. Sistem perhitungan fisik persediaan.
Dalam sistem akuntansi persediaan dengan metode mutasi persediaan,
dibagian kartu persediaan diselenggarakan catatan akuntansi berupa
kartu persediaan yang digunakan untuk mencatat mutasi tiap jenis
persediaan yang disimpan di bagian gudang.
2.3.5 Hal yang Perlu Diperiksa Dalam Melakukan Audit Pada Sistem Informasi
Persediaan
Menurut Gondodiyoto (2009,p280), ada 7 (tujuh) hal yang perlu diperiksa
dalam melakukan audit sistem informasi persediaan, yakni :
1. Pemeriksaan fisik secara periodik.
2. Jumlah barang on hand, in transit, in storage, or on consignment
dicatat dengan benar.
3. Penerimaan,mutasi, dan sebagainya dicatat dengan benar dan tepat
waktu.
4. Aktivitas produksi dan harga pokok secara cermat dan cepat dicatat
dan dilaporkan.
5. Penilaian persediaan sesuai standar akuntansi keuangan.
59
6. Kelebihan fisik persediaan (di atas catatan), barang rusak. Produk
gagal dicatat sesuai aturan.
7. Nilai akhir persediaan dicatat dengan benar dan sesuai standar
akuntansi keuangan.
2.3.6 Fungsi yang terkait
a. Panitia penghitungan fisik persediaan.
Panitia ini terdiri dari:
• Pemegang kartu penghitungan fisik yang bertugas untuk menyimpan
dan mendistribusikan kartu penghitungan fisik kepada para
penghitung, melaksanakan perbandingan hasil penghitungan fisik
persediaan yang telah dilaksanakan oleh penghitung dan pengecek,
mencatat hasil penghitungan fisik persediaan dalam daftar hasil
penghitungan fisik.
• Penghitung yang bertugas melaksanakan penghitungan pertama
terhadap persediaan dan mencatat hasil penghitungan tersebut kedalam
bagian ketiga kartu penghitungan fisik dan menyobeknya untuk
diserahkan kepada pemegang kartu penghitungan fisik.
• Pengecek bertugas untuk melaksanakan penghitungan kedua
terhadap persediaan yang telah dihitung oleh penghitung dan
mencatatnya dalam bagian kedua kartu persediaan fisik serta
menyobeknya untuk diserahkan pada pemegang kartu penghitungan
fisik.
60
b. Fungsi akuntansi
Fungsi ini bertanggung jawab mencantumkan harga pokok satuan
persediaan yang dihitung kedalam daftar hasil penghitungan fisik,
mengkalikan kuantitas dan harga pokok per satuan yang tercantum
dalam daftar hasil penghitungan fisik, mencantumkan harga pokok
total dalam daftar hasil penghitungan fisik, melaksanakan penyesuaian
terhadap kartu persediaan berdasar data hasil penghitungan fisik
persediaan, membuat bukti memorial untuk mencatat penyesuaian data
persediaan dalam jurnal umum berdasar hasil penghitungan fisik
persediaan.
c. Fungsi gudang
Bertanggung jawab untuk melaksanakan penyesuaian data jumlah
persediaan yang dicatat dalam kartu gudang berdasar hasil
penghitungan fisik persediaan.
2.3.7 Dokumen yang digunakan
a. Bukti kas keluar
Bukti kas keluar yang dilampiri dengan laporan penerimaan barang,
surat order pembelian, dan faktur dari pemasok dipakai sebagai
dokumen sumber dalam pencatatan harga pokok persediaan yang
dibeli dalam register bukti kas keluar, bukti kas keluar juga dipakai
sebagai dasar pencatatan tambahan kuantitas dan harga pokok
persediaan kedalam kartu persedian.
61
b. Memo debit yang diterima dari bagian pembelian
Digunakan oleh bagian kartu persediaan untuk mencatat jumlah dan
harga pokok persediaan yang dikembalikan kepada pemasok kedalam
kartu gudang.
c. Bukti permintaan dan pengeluaran barang gudang
Bukti ini digunakan oleh bagian gudang untuk mencatat pengurangan
persediaan karena pemakaian intern, digunakan juga oleh bagian kartu
persediaan untuk mencatat berkurangnya jumlah dan harga pokok
persediaan, digunakan juga sebagai dokumen sumber dalam pencatatan
pemakaian persediaan kedalam jurnal pemakaian bahan baku atau
jurnal umum.
d. Bukti pengembalian barang gudang
Bukti ini digunakan oleh bagian gudang untuk mencatat tambahan
jumlah persediaan kedalam kartu gudang, digunakan juga oleh bagian
kartu persediaan untuk mencatat tambahan jumlah dan harga pokok
persediaan kedalam kartu persediaan, untuk mencatat berkurangnya
biaya kedalam kartu biaya dan untuk mencatat pengembalian barang
gudang tersebut kedalam jurnal umum.
2.3.8 Informasi yang Diperlukan
a. Laporan penerimaan barang
Laporan penerimaan barang digunakan oleh bagian gudang sebagai
dasar pencatatan tambahan kuantitas barang dari pembelian kedalam
kartu gudang.
62
b. Laporan pengiriman barang
Digunakan oleh bagian gudang untuk mencatat jumlah persediaan
yang dikirimkam kembali kepada pemasok kedalam kartu gudang.
c. Laporan Stock Opname
Laporan perhitungan barang pada awal dan akhir periode yang
dihitung, cara ini merupakan ketentuan yang harus dilakukan oleh
manajemen untuk menentukan jumlah persediaan akhir.
2.3.9 Metode Pencatatan Persediaan
Menurut Mulyadi (2001,p556), ada dua macam metode pencatatan
persediaan :
1. Metode Mutasi Persediaan (Perpetual Inventory Method)
Dalam metode mutasi persediaan, setiap mutasi persediaan dicatata
dalam kartu persediaan. Metode ini cocok digunakan dalam
penentuan biaya bahan baku dalam perusahaan yang harga pokok
produknya dikumpulkan dengan metode harga pokok pesanan.
2. Metode Persediaan Fisik (Physical Inventory Method)
Dalam metode persediaan fisik, hanya tambahan persediaan dari
pembelian saja yang dicatat, sedangkan mutasi berkurangnya
persediaan karena pemakaian tidak dicatat dalam kartu persediaan.
Metode ini cocok digunakan dalam penentuan biaya bahan baku
dalam perusahaan yang harga pokok produknya dikumpulkan dengan
metode harga pokok proses.
63
2.3.10 Metode Penilaian Persediaan
Menurut Stice, Stice, dan Skousen (2004,p666), metode penilaian
persediaan terdiri dari tiga, yaitu :
1. Metode FIFO (First In First Out)
Metode First In First Out didasarkan pada asumsi bahwa unit yang
terjual adalah unit yang lebih dulu masuk. FIFO dapat dianggap
sebagai sebuah pendekatan yang logis dan realistis terhadap arus
biaya ketika penggunaan metode identifikasi khusus adalah tidak
memungkinkan atau tidak praktis. FIFO mengasumsikan bahwa arus
biaya yang mendekati pararel dengan arus fisik dari barang yang
terjual.
2. Metode LIFO (Last In First Out)
Metode Last In First Out didasarkan pada asumsi bahwa barang yang
paling barulah yang terjual. LIFO sering kali dikritik dari sudut
pandang teoritis. Metode ini tidak cocok dengan arus barang yang
terjadi dalam sebuah perusahaan.
3. Metode Rata-rata (Average)
Metode biaya rata-rata membebankan biaya rata-rata membebankan
biaya rata-rata yang sama ke tiap unit. Metode ini didasarkan pada
asumsi bahwa barang yang terjual seharusnya dibebankan dengan
biaya rata-rata, yaitu rata- rata tertimbang dari jumlah unit yang dibeli
pada tiap harga.
