Upload
lamlien
View
222
Download
0
Embed Size (px)
Citation preview
8
BAB 2
LANDASAN TEORI
2.1 Teori Umum
2.1.1 Pengertian Sistem Informasi
Sistem adalah sekelompok komponen-komponen yang saling
berhubungan dan saling berkaitan satu sama lain untuk mencapai suatu tujuan
tertentu. Hal ini sesuai dengan pendapat O’Brien (2005, p29), Sistem dapat
didefinisikan secara sederhana sebagai sekelompok elemen yang saling
berhubungan atau berinteraksi hingga membentuk satu kesatuan. Menurut Brian
dan Stacey (2005, p457), Sistem merupakan suatu kumpulan dari komponen-
komponen yang saling berhubungan yang saling berinteraksi untuk menjalankan
suatu tugas di dalam mencapai suatu tujuan yang dikehendaki.
Informasi adalah suatu hasil dari pemrosesan data yang telah disimpulkan
sehingga memiliki arti dan dapat digunakan dalam pengambilan suatu keputusan.
Hal ini didukung oleh pendapat Brian dan Stacey (2005, p12), Informasi
merupakan suatu data yang telah disimpulkan atau dengan kata lain yang telah
dimanipulasi untuk digunakan di dalam melakukan pengambilan suatu
keputusan. Menurut McLeod (2001, p15), Informasi adalah data yang telah
diproses atau data yang memiliki arti.
Sistem informasi adalah suatu kesatuan komponen yang terdiri dari
people, hardware, software, network, dan sumber daya lainnya yang diproses
untuk menghasilkan informasi bagi suatu organisasi. Pengertian ini didukung
9
teori yang dikemukakan oleh O’Brien (2005, p5), Sebuah sistem informasi dapat
berupa orang, hardware, software, jaringan komunikasi, dan sumber data yang
diperoleh melalui pengumpulan data, diproses sehingga menjadi informasi bagi
organisasi tersebut. Selain itu menurut Brian dan Stacey (2005, p447), Sistem
Informasi merupakan suatu kombinasi orang (user), hardware, software, jaringan
komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan
menyebarkan suatu informasi di dalam suatu organisasi.
2.1.2 Audit
2.1.2.1 Auditing
Auditing adalah proses pengumpulan dan pengevaluasian bukti dengan
tujuan untuk mengetahui tingkat kesesuaian antara bukti-bukti yang didapat
dengan kriteria yang telah ditetapkan serta menyampaikan hasilnya pada pihak
yang berkepentingan. Pengertian ini didukung teori yang dikemukakan oleh
Arens dan Loebbecke yang diterjemahkan oleh Jusuf (2003, p1), Auditing
adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi
yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang
kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian
informasi dimaksud dengan kriteria-kriteria yang telah ditetapkan. Selain itu
menurut Mulyadi (2002, p7), Auditing adalah suatu proses sistematik untuk
memperoleh dan mengevaluasi bukti secara obyektif mengenai pernyataan
pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk
menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan
10
kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai
yang berkepentingan.
2.1.2.2 Jenis-jenis Audit
Menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf (2003,
p4), berdasarkan bidang yang diperiksa, audit terdiri dari 3 jenis audit yaitu :
1. Financial Statement Audit (Audit Laporan Keuangan )
Bertujuan untuk menentukan apakah laporan keuangan secara
keseluruhan (informasi akan diverifikasi) telah disajikan sesuai
dengan kriteria-kriteria tertentu.
2. Operational Audit (Audit Operasional)
Bertujuan untuk menelaah atas tujuan manapun dari prosedur dan
metode operasi suatu organisasi untuk menilai efisiensi dan
efektivitasnya.
3. Compliance Audit (Audit Ketaatan)
Bertujuan untuk mempertimbangkan apakah auditee (klien) telah
mengikuti prosedur atau aturan tertentu yang telah ditetapkan pihak
yang memiliki otoritas lebih tinggi.
2.1.2.3 Pengertian Laporan Audit
Laporan audit adalah laporan yang berisi tentang hasil-hasil penemuan
dari kegiatan audit yang dilakukan oleh auditor dan juga berisi pendapat-
pendapat dari auditor. Pengertian ini didukung teori yang dikemukakan oleh
Arens & Loebbecke (2003, p36), Laporan audit adalah tahap terakhir dari
11
prosedur audit yang merupakan komunikasi dari penemuan auditor untuk user.
Dan menurut Mulyadi (2002, p10), Laporan audit adalah media yang dipakai
oleh auditor dalam berkomunikasi dengan masyarakat lingkungannya dan media
untuk menyatakan pendapatnya mengenai kewajaran laporan keuangan.
2.1.3 Metodologi Pengumpulan Data
Menurut Indriantoro & Supomo (2002, p152) Ada tiga teknik
pengumpulan data dalam metode survei yaitu :
1. Wawancara
Wawancara merupakan teknik pengumpulan data dalam metode
survei yang menggunakan pertanyaan secara lisan kepada subyek
penelitian. Teknik wawancara dilakukan jika peneliti memerlukan
komunikasi atau hubungan dengan responden. Teknik wawancara
dapat dilakukan dengan dua cara yaitu :
a. Wawancara tatap muka (Personal atau face-to-face interview)
Metode pengumpulan data primer dapat dilakukan dengan cara
komunikasi secara langsung (tatap muka) antara pewawancara
yang mengajukan pertanyaan secara lisan dengan responden yang
menjawab pertanyaan secara lisan. Teknik wawancara tatap muka
mempunyai kelebihan dibandingkan wawancara melalui telepon
dan teknik kuesioner. Teknik ini memungkinkan untuk
mengajukan banyak pertanyaan dan memungkinkan bagi
pewawancara untuk memahami kompleksitas masalah dan
menjelaskan maksud penelitian kepada responden.
12
b. Wawancara dengan telepon (Telephone Interviews)
Teknik ini dapat mengatasi kelemahan wawancara tatap muka
karena dapat mengumpulkan data dari responden yang letak
geografisnya terpencar dengan biaya yang lebih murah dan
diperoleh dengan waktu yang relatif cepat. Kelemahannya,
pewawancara tidak dapat mengamati ekspresi wajah responden
ketika menjawab pertanyaan yang pada kondisi tertentu
diperlukan untuk menyakinkan apakah responden menjawab
pertanyaan sesuai dengan fakta.
2. Observasi
Proses pencatatan pola perilaku subyek (orang), obyek (benda) atau
kejadian yang sistematik tanpa adanya pertanyaan atau komunikasi
dengan individu-individu yang diteliti. Metode observasi dapat
menghasilkan data yang lebih rinci mengenai perilaku (subyek),
benda atau kejadian (obyek) dibandingkan dengan metode survei
lainnya. Teknik observasi dalam penelitian bisnis dapat dilakukan
dengan 2 cara:
a. Observasi langsung (Direct observation)
Tipe observasi yang dilakukan langsung oleh peneliti, terutama
untuk subyek atau obyek penelitian yang sulit diprediksi.
b. Observasi mekanik (Mechanical observation)
Teknik observasi yang dilakukan dengan bantuan peralatan
mekanik, antara lain: kamera foto dan mesin penghitung.
Observasi mekanik umumnya diterapkan pada penelitian terhadap
13
perilaku atau kejadian yang bersifat rutin, berulang-ulang dan
telah terprogram sebelumnya.
3. Pengujian sistem
Penelitian ini dilakukan dengan melakukan pengujian terhadap
program yang dipakai pada perusahaan.
2.1.4 Diagram Aliran Data (DAD)
2.1.4.1 Pengertian DAD
Diagram aliran data adalah uraian model yang menggambarkan aliran
data suatu perusahaan dan proses untuk mengolah data dalam suatu sistem.
Pengertian ini didukung teori yang dikemukakan oleh Romney dan Steinbart
(2003, p155), Diagram aliran data adalah uraian secara grafis dari sumber dan
uraian data yang memperlihatkan aliran data dalam suatu perusahaan, proses data
dan bagaimana data disimpan. Selain itu menurut Mulyadi (2001, p57), Bagan
alir data adalah suatu model yang menggambarkan aliran data dan proses untuk
mengolah data dalam suatu sistem.
2.1.4.2 Tingkatan DAD
Menurut Romney dan Steinbart (2003, p161), dalam diagram aliran
data terdapat tingkatan-tingkatan yang masing-masing tingkatan menggambarkan
isi dari sistem, yaitu :
• Diagram hubungan / Diagram konteks
Diagram konteks merupakan proses tunggal. Digram ini menggambarkan
hubungan sistem data flow dan external entity.
14
• Diagram nol
Menggambarkan subsistem dari diagram hubungan yang diperoleh
dengan memecahkan proses pada diagram hubungan atau konteks.
• Diagram rinci
Merupakan uraian dari diagram nol yang berisi proses-proses yang
menggambarkan bab dari subsistem pada diagram nol.
2.1.4.3 Komponen DAD
Menurut Romney dan Steinbart (2003, p158), Diagram aliran data
terdiri dari 4 komponen dasar sebagai berikut :
a. Entitas
Nama entitas digunakan untuk menggambarkan elemen-elemen
lingkungan, yang menandai titik berakhirnya sistem. Entitas dapat
berupa orang seperti manajer yang menerima laporan dari sistem
organisasi seperti departemen lain dalam perusahaan atau perusahaan
lain, atau sistem yang lainnya yang berada pada lingkungan luarnya
yang akan memberikan input dan menerima output dari sistem. Tiap
simbol entitas diberi label nama elemen lingkungan suatu entitas
dapat disimbolkan dengan suatu notasi kotak (lihat L1).
b. Proses
Proses adalah sesuatu yang mengubah input menjadi output. Tiap
simbol proses diidentifikasikan dengan label. Teknik pembuatan label
yang paling umum adalah dengan menggunakan kata kerja dan
15
obyek, tetapi dapat juga menggunakan nama sistem atau program
komputer. Proses ditunjukkan dengan simbol lingkaran, (lihat L1).
c. Aliran Data
Arus data terdiri dari sekelompok elemen data yang berhubungan
secara logis yang bergerak dari satu titik atau proses ke titik atau
proses yang lain. Arus data di DAD diberi simbol suatu panah (lihat
L1) yang mengalir di antara proses, data store dan entitas. Arus data
ini menunjukkan arus dari data yang berupa masukan untuk sistem
atau hasil dari proses sistem.
d. Data store
Merupakan tempat penyimpanan data dapat berbentuk file, database
ataupun arsip, (lihat L1). Arus data yang menuju ke data store dari
suatu proses menunjukkan suatu update data yang dapat berupa :
1. Menambah atau menyimpan record baru atau dokumen baru ke
dalam data store.
2. Menghapus record atau mengambil dokumen dari data store.
3. Merubah nilai data di suatu record atau di suatu dokumen yang
ada di data store.
2.2 Teori Khusus
2.2.1 Pengertian Evaluasi
Evaluasi merupakan teknik penilaian suatu implementasi sistem atau
suatu kegiatan tertentu apakah telah sesuai dengan yang diharapkan dan telah
mencapai tujuan yang telah ditetapkan sebelumnya dengan menggunakan standar
16
yang berlaku, yang dilakukan secara berkala melalui metode yang tepat.
Pengertian ini didukung dengan teori yang dijabarkan menurut Kamus Besar
Bahasa Indonesia (2008), Evaluasi adalah proses penilaian yang sistematis,
mencakup pemberian nilai, atribut, apresiasi, pengenalan masalah, dan
pemberian solusi atas permasalahan yang ditemukan. Menurut Umar (2005,
p36), Evaluasi adalah suatu proses untuk menyediakan informasi tentang sejauh
mana suatu kegiatan tertentu telah dicapai, bagaimana perbedaan pencapaian itu
dengan suatu standar tertentu untuk mengetahui apakah ada selisih di antara
keduanya, serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan
dengan harapan-harapan yang ingin diperoleh.
2.2.2 Sistem Informasi Penjualan
2.2.2.1 Pengertian Sistem Informasi Penjualan
Pendapatan sebuah perusahaan dagang dihasilkan dari penjualan
persediaan barang dagangannya. Pendapatan dari penjualan barang dagangan itu
biasanya disebut penjualan. Dalam proses akuntansi, aktivitas penjualan
termasuk dalam siklus pendapatan atau revenue cycle. Menurut Romney dan
Steinbart (2003, p359) “Revenue cycle is a recurring set of business activities
and related information processing operations associated with providing goods
and services to cutomers and collecting cash in payment for those sales.” Dapat
diartikan bahwa, siklus pendapatan atau revenue cycle yaitu kumpulan aktivitas
bisnis dan berhubungan dengan proses informasi dalam hal penyediaan barang
dan jasa kepada pelanggan dan mengumpulkan pembayaran atas penjualan
tersebut.
17
2.2.2.2 Prosedur Sistem Informasi Penjualan Tunai
Menurut Mulyadi (2001, p470), Prosedur yang membentuk sistem
penerimaan kas dari penjualan tunai adalah sebagai berikut :
1. Prosedur Order Penjualan
Dalam prosedur ini fungs i penjualan menerima order dari pembeli dan
membuat faktur penjualan tunai untuk meningkatkan pembeli melakukan
pembayaran harga barang ke fungsi kas dan untuk memungkinkan fungsi
gudang dan fungsi pengiriman menyiapkan barang yang akan diserahkan
kepada pembeli.
2. Prosedur Penerimaan Kas
Dalam prosedur ini fungsi kas menerima pembayaran harga barang dari
pembeli dan memberikan tanda pembayaran (Berupa Pita register kas dan
Cap “LUNAS” pada faktur penjualan tunai) kepada pembeli untuk
memungkinkan pembeli tersebut melakukan pengambilan barang yang
dibelinya dari fungsi pengiriman.
3. Prosedur Penyerahan Barang
Dalam prosedur ini fungsi pengiriman menyerahkan barang kepada pembeli.
4. Prosedur Pencatatan Penjualan Tunai
Dalam prosedur ini, fungsi akuntansi melakukan pencatatan transaksi
penjualan tunai dalam jurnal penjualan dan jurnal penerimaan kas, selain itu
fungsi akuntansi juga mencatat berkurangnya persediaan barang yang dijual
dalam kartu persediaan.
5. Prosedur Penyetoran Kas ke Bank
18
Sistem pengendalian intern terhadap kas mengharuskan penyetoran dengan
segera ke bank semua kas yang diterima pada suatu hari.
6. Prosedur Pencatatan Penerimaan Kas
Dalam prosedur ini, fungsi akuntansi mencatat penerimaan kas ke dalam
jurnal penerimaan kas berdasarkan bukti setor bank yang diterima dari bank
melalui fungsi kas.
7. Prosedur Pencatatan Harga Pokok Penjualan
Dalam prosedur ini, fungsi akuntansi membuat rekapitulasi harga pokok
penjualan berdasarkan data yang dicatat dalam kartu persediaan.
2.2.3 Pengendalian dan Risiko Sistem Informasi
2.2.3.1 Pengertian Pengendalian Internal
Pengendalian internal merupakan metode, ukuran-ukuran, dan prosedur
yang dikembangkan untuk mengurangi resiko, menjaga kekayaan organisasi,
mengecek ketelitian dan keandalan akuntansi dan untuk menjamin kelayakan
tujuan organisasi agar dapat tercapai dan mencegah, mendeteksi serta
memperbaiki resiko berdasarkan ketaatan kepada manajemen. Hal ini didukung
teori yang dikemukakan Mulyadi (2001, p163), Sistem pengendalian internal
meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan
untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan dan
akuntansi, mendorong efisiensi dan mendorong dipatuhinya kebijakan
manajemen.
19
2.2.3.2 Tujuan Sistem Pengendalian Internal
Tujuan dari sistem pengendalian internal Mulyadi (2001, p188), adalah
untuk mengurangi resiko atau mengurangi pengaruh yang sifatnya merugikan
akibat suatu kejadian. Berdasarkan pengertian di atas maka pengendalian
dikelompokkan menjadi 3 bagian yaitu :
a) Preventive Control
Pengendalian ini digunakan untuk mencegah masalah-masalah sebelum masalah
tersebut muncul.
b) Detective Control
Pengendalian ini digunakan untuk menemukan masalah yang berhubungan
dengan pengendalian segera setelah masalah tersebut muncul.
c) Corrective Control
Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada
Detective Control. Pengendalian ini mencakup prosedur untuk menentukan
penyebab masalah yang timbul, memperbaiki kesalahan atau kesulitan yang
timbul, memodifikasi sistem proses. Dengan demikian bisa mencegah kejadian
yang sama di masa mendatang.
Menurut Mulyadi (2001, p 163), tujuan sistem pengendalian internal
terdiri dari :
1. Menjaga kekayaan organisasi
2. Mengecek ketelitian dan keandalan data akuntansi
3. Mendorong efisiensi
4. Mendorong dipatuhinya kebijakan manajemen
20
Tujuan pengendalian internal harus dipandang dalam kaitannya dengan
individu yang menjalankan sistem pengendalian tersebut. Sistem harus dirancang
sedemikian rupa sehingga para pegawai merasakannya sendiri dan yakin bahwa
pengendalian bertujuan mengurangi kesulitan-kesulitan dalam operasi,
melindungi organisasi, merupakan persyaratan tercapainya tujuan, dan dengan
demikian mendorong terpenuhinya kebijakan manajemen yang telah digariskan.
2.2.3.3 Komponen Pengendalian Internal
Lima komponen model pengendalian intern yang disajikan dalam buku
Rama dan Jones (2006, p104), adalah :
1. Lingkungan Pengendalian
Inti dari bisnis apapun adalah orang-orangnya, ciri perorangan,
termasuk integritas, nilai-nilai etika, dan kompetensi serta lingkungan
tempat beroperasi. Mereka adalah mesin yang mengemudikan
organisasi dan dasar tempat segala hal terletak.
2. Aktivitas pengendalian
Kebijakan dan prosedur pengendalian harus dibuat dan dilaksanakan
untuk membantu memastikan bahwa tindakan yang diidentifikasikan
oleh pihak manajemen untuk mengatasi resiko pencapain tujuan
organisasi, secara efektif dijalankan.
3. Penilaian resiko
Organisasi harus sadar akan dan berurusan dengan resiko yang
dihadapinya. Organisasi harus menempatkan tujuan, produksi,
pemasaran, keuangan, dan kegiatan lainnya, agar organisasi
21
beroperasi secara otomatis. Organisasi juga harus membuat
mekanisme untuk mengidentifikasi, menganalisis, dan mengelola
risiko yang terkait.
4. Informasi dan komunikasi
Di sekitar aktivitas pengendalian terdapat sistem informasi dan
komunikasi. Mereka memungkinkan orang-orang dalam organisassi
untuk mendapat dan bertukar informasi yang dibutuhkan untuk
melaksanakan, mengelola, dan mengendalikan operasinya.
5. Pengawasan
Seluruh proses harus diawasi, dan perubahan dilakukan sesuai dengan
kebutuhan. Melalui cara ini, sistem dapat beraksi secara dinamis,
berubah sesuai tuntutan keadaan.
2.2.3.4 Unsur-unsur Sistem Pengendalian Internal
Menurut pendapat Mulyadi (2001, p164-172), beberapa unsur yang
terdapat di dalam suatu sistem pengendalian intern adalah sebagai berikut :
a. Struktur organisasi yang memisahkan tanggung jawab fungsional
secara tegas.
Struktur organisasi merupakan kerangka (framework) pembagian
tanggung jawab fungsional kepada unit-unit organisasi yang dibentuk
untuk melaksanakan kegiatan-kegiatan pokok perusahaan.
b. Sistem wewenang dan prosedur pencatatan yang memberikan
perlindungan yang cukup terhadap kekayaan, utang, pendapatan dan
biaya.
22
Dalam organisasi, setiap transaksi hanya terjadi atas dasar otorisasi
dari pejabat yang memiliki wewenang untuk menyetujui terjadinya
transaksi tersebut.
c. Praktik yang sehat dalam melaksanakan tugas dan fungsi setiap unit
organisasi.
Pembagian tanggung jawab fungsional dan sistem wewenang dan
prosedur pencatatan yang telah ditetapkan tidak akan terlaksana
dengan baik jika tidak diciptakan cara-cara untuk menjamin praktik
yang sehat dalam pelaksanaannya.
d. Karyawan yang mutunya sesuai dengan tanggung jawabnya.
Bagaimanapun baiknya struktur organisasi, sistem otorisasi dan
prosedur pencatatan, serta berbagai cara yang diciptakan untuk
mendorong praktik yang sehat, semuanya sangat tergantung kepada
manusia yang melaksanakannya.
Unsur-unsur sistem pengendalian intern sangat penting karena sistem
mempunyai beberapa unsur dan sifat-sifat tertentu yang dapat meningkatkan
kemungkinan dapat dipercayainya data-data akuntansi serta tindakan
pengamanan terhadap aktiva dan catatan perusahaan.
2.2.3.5 Jenis-jenis Sistem Pengendalian Internal
2.2.3.5.1 Pengendalian Umum
Pengendalian umum ialah sistem pengendalian intern komputer yang
berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi
23
secara menyeluruh. Artinya ketentuan-ketentuan yang diatur dalam
pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi pada
organisasi/perusahaan tersebut. Menurut James A. Hall (2002, p352),
Pengendalian umum diterapkan pada serangkaian eksposur yang secara
sistematis mengancam integritas semua aplikasi yang diproses dalam
lingkungan sistem informasi yang berbasiskan komputer. Menurut Romney
dan Steinbart (2003, p251), Pengendalian umum adalah sistem
pengendalian yang memastikan bahwa lingkungan pengendalian perusahaan
stabil dan teratur dengan baik untuk meningkatkan keefektifan pengendalian
aplikasi.
Menurut James A. Hall (2002, p352), Kontrol atau Pengendalian
umum terdiri dari:
1) Pengendalian sistem operasi
2) Pengendalian manajemen data
3) Pengembangan struktur organisasi
4) Pengendalian pengembangan sistem
5) Pengendalian pemeliharaan sistem
6) Keamanan dan pengendalian pusat komputer
7) Pengendalian internet dan intranet
8) Pengendalian pertukaran data elektronik
9) Pengendalian komputer personal
Berdasarkan pada ruang lingkup audit, maka penekanan pada
pengendalian umum menyangkut pengendalian sistem operasi dan pengendalian
manajemen data.
24
2.2.3.5.1.1 Pengendalian Sistem Operasi
Menurut James A. Hall (2002, p352), Sistem operasi merupakan
program kontrol yang dimiliki komputer. Sistem ini memungkinkan para
pemakai dan aplikasi-aplikasi mereka untuk bersama-sama menggunakan dan
mengakses sumber daya komputer, seperti prosesor, memori utama,
database, dan printer.
Jika integritas sistem operasi dirusak, kontrol-kontrol di antara
aplikasi akuntansi individual dapat diakali atau dilumpuhkan. Karena sistem
operasi dikenal baik oleh semua pemakai, maka semakin besar fasilitas
komputer, semakin besar skala potensi kerusakannya. Jadi, dengan semakin
banyaknya sumber daya komputer yang digunakan secara bersama-sama oleh
komunitas pemakai yang selalu meluas, keamanan sistem operasi menjadi
salah satu masalah kontrol yang penting.
Untuk dapat menjaga integritas sistem operasi, terdapat beberapa
macam teknik pengendalian seperti :
1. Pengendalian hak istimewa dalam mengakses
Privilese atau hak istimewa akses untuk pemakai diberikan
kepada individu atau seluruh kelompok kerja yang diotorisasi
untuk menggunakan sistem. Privilese ini menentukan direktori,
file- file, aplikasi-aplikasi dan sumber daya lainnya yang dapat
diakses oleh individu atau kelompok. Keamanan sistem
keseluruhan dipengaruhi oleh cara privilese atau hak istimewa
akses diberikan. Oleh karena itu, privilese-privilese tersebut harus
diadministrasikan dengan hati-hati dan diawasi secara ketat agat
25
sesuai dengan kebijakan organisasi dan prinsip-prinsip kontrol
internal.
2. Pengendalian kata sandi atau password
Password merupakan sebuah kode rahasia yang dimasukkan oleh
pemakai agar dapat mengakses sistem, aplikasi-aplikasi, file- file
data, atau server jaringan. Jika pemakai tidak dapat memasukkan
password dengan benar, maka sistem operasi akan menolak akses
tersebut. Walaupun password dapat memberikan pengamanan,
jika diberikan kepada pemakai yang tidak menganggap penting
sistem ini, prosedur dapat menimbulkan perilaku pemakai akhir
yang nantinya justru melanggar keamanan. Bentuk perilaku
kontra keamanan yang biasa terjadi adalah :
- Lupa password dan terkunci dari sistem.
- Gagal mengubah password secara berkala.
- Sindrom post-it, yaitu password ditulis dan ditampilkan di
layar sehingga yang lainnya dapat melihat.
- Password yang terlalu sederhana sehingga mudah diantisipasi
oleh seorang kriminal komputer.
Metode yang paling umum digunakan untuk kontrol password
adalah password yang dapat dipakai berulang kali, yang bisa
dikatakan bahwa pemakai cukup satu kali menetapkan password
ke sistem dan kemudian memakainya kembali untuk akses di
masa-masa mendatang. Kualitas keamanan yang diberikan oleh
password yang dapat dipakai berulang kali bergantung pada
26
kualitas password itu sendiri. Oleh karena itu, untuk
meningkatkan kontrol akses, sebaiknya pihak manajemen tidak
menggunakan password yang “lemah”.
3. Pengendalian terhadap virus dan program-program destruktif
lainnya
Virus merupakan program yang bersifat merusak yang
melekatkan dirinya ke program yang sah untuk mengacaukan
sistem operasi. Virus menghancurkan program-program aplikasi,
file- file data, dan sistem operasi dalam beberapa cara. Ancaman
dari program-program yang destruktif dapat dikurangi secara
substantial melalui kombinasi kontrol teknologi dan prosedur
administratif. Misalnya dengan menggunakan perangkat lunak
Anti Virus yang secara otomatis memeriksa aplikasi dan program-
program sistem operasi dari ada atau tidaknya virus dan
membersihkannya dari program tersebut, dan juga disertai
aktivitas update dari perangkat lunak Anti Virus itu sendiri.
4. Pengendalian atas jejak audit (audit trail)
Audit trail merupakan catatan harian (logs) yang dapat didesain
untuk mencatat aktivitas pada sistem, aplikasi, dan pada tingkat
pemakai. Ketika diimplementasikan dengan benar, jejak audit
menjadi kontrol deteksi yang penting untuk membantu pencapaian
tujuan dari kebijakan keamanan sistem. Biasanya jejak audit
terdiri dari dua jenis catatan audit: (1) catatan rinci tentang
keystroke individual dan (2) catatan yang berorientasi peristiwa.
27
Pengawasan keystroke melibatkan pencatatan keystroke pemakai
sekaligus tanggapan-tanggapan sistem. Bentuk catatan ini dapat
digunakan setelah fakta untuk merekonstruksi rincian peristiwa
atau sebagai kontrol real-time untuk mengawasi bentuk
penyusupan yang tidak sah.
Pengawasan peristiwa merangkumkan aktivitas-aktivitas kunci
yang berkaitan dengan pemakai, aplikasi dan sumber daya sistem.
Catatan harian peristiwa biasanya mencatat nomor-nomor
identitas semua pemakai yang mengakses sistem; waktu dan
lamanya sesi pemakai; program-program yang dijalankan selama
sesi tersebut; file-file, database, printer dan sumber daya lain yang
diakses.
5. Pengendalian toleransi kesalahan (fault tolerance)
Fault tolerance adalah kemampuan sistem untuk melanjutkan
operasi ketika sebagian sistem gagal karena kegagalan hardware,
kesalahan program aplikasi, atau kesalahan operator.
Implementasi pengendalian fault tolerance ini memastikan bahwa
tidak ada satu pun potensi terjadinya kegagalan sistem. Kegagalan
sistem total dapat terjadi hanya ketika terjadi kegagalan banyak
komponen.
2.2.3.5.1.2 Pengendalian Manajemen Data
Menurut James A. Hall (2002, p363), Pengendalian manajemen data
memiliki dua kategori umum: pengendalian akses (access control) dan
28
pengendalian pendukung (backup). Pengendalian akses dirancang untuk
mencegah individu yang tidak memiliki otorisasi memeriksa, mengambil,
merusak, atau mengkorupsi data organisasi. Pengendalian pendukung
(backup) memastikan bahwa dalam peristiwa hilangnya data karena akses
yang tidak sah, kerusakan peralatan, atau bencana fis ik yang dialami
organisasi dapat dikembalikan dalam database, organisasi harus menerapkan
kebijakan, prosedur dan teknik yang sistematis dan rutin untuk melakukan
backup copies terhadap file-file yang penting.
1. Pengendalian Akses (access controls)
Pengguna sistem mempertahankan kepemilikan yang eksklusif
terhadap data-data mereka. Selain masalah integritas data yang
berkaitan dengan model ini, sistem ini menciptakan lingkungan di
mana akses-akses yang tidak sah dapat dikendalikan dengan
efektif. Pengendalian akses terhadap data dapat berupa :
- Tanggung jawab atas tabel otoritas dan subskemanya
Tabel otorisasi database berisi peraturan-peratuan yang
membatasi tindakan-tindakan para user. Teknik ini mirip
dengan daftar kontrol akses yang digunakan dalam sistem
operasi. Setiap user diberikan privilese tertentu yang memiliki
kode di dalam tabel yang digunakan untuk memverifikasi
permintaan tindakan user.
- Enkripsi data
Enkripsi adalah konversi data menjadi kode rahasia untuk
disimpan dalam database dan ditransmisikan melalui jaringan.
29
Banyak sistem database menggunakan prosedur enkripsi
untuk melindungi data yang sangat sensitif, seperti data
keuangan, file-file password dan lainnya. Enkripsi data
menggunakan algoritma, sehingga tidak dapat dibaca oleh
orang yang tidak berkepentingan.
- Inference control
Salah satu keunggulan dari kapabilitas pertanyaan database
adalah bahwa sistem ini menyediakan rangkuman dan data
statistik untuk pengambilan keputusan. Untuk menjaga
kerahasiaan dan integritas database, kontrol inferensi ini harus
ditempatkan untuk mencegah pemakai menarik kesimpulan
nilai-nilai data spesifik jika ternyata pemakai tersebut
sebenarnya tidak memiliki otoritas untuk mengakses.
2. Pengendalian Pendukung (backup controls)
Teknik backup yang digunakan tergantung pada media dan
struktur file. File sekuensial yang menggunakan teknik
pendukung disebut grandparent-parent-child (GPC), teknik
backup ini merupakan bagian integral dari proses memperbarui
file induk. Di sisi lain, file- file akses langsung, memerlukan
prosedur pendukung terpisah. Backup controls terhadap sumber
data terdiri atas backup terhadap file dan terhadap sumber data
tersebut.
30
2.2.3.5.2 Pengendalian Aplikasi
Menurut James A. Hall (2002, p428), Pengendalian aplikasi
berkenaan dengan eksposur-eksposur dalam aplikasi tertentu. Jadi,
pengendalian aplikasi adalah sistem pengendalian intern pada sistem
informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan,
kegiatan dan aplikasi tertentu. Pengendalian aplikasi, yang dapat berupa
tindakan atau prosedur manual yang diprogram dalam sebuah aplikasi,
dikelompokkan ke dalam tiga kategori yaitu :
1) Pengendalian input
2) Pengendalian proses
3) Pengendalian output
Berdasarkan pada ruang lingkup audit, maka penekanan pada
pengendalian aplikasi yaitu mengenai pengendalian input, proses dan output.
2.2.3.5.2.1 Pengendalian Input
Menurut James A. Hall (2002, p428), Pengendalian input adalah
pengendalian yang didesain oleh perusahaan untuk memastikan informasi
yang diproses oleh komputer telah diotorisasi, akurat dan lengkap.
Pengendalian input yang dibahas meliputi :
1. Source Document Control
Source Document Control adalah dokumer sumber yang pertama
kali digunakan untuk mencatat transaksi yang terjadi. Contoh dari
dokumen sumber yang perlu dikendalikan dalam sistem penjualan
31
adalah Faktur Penjualan. Tujuan dilakukan source document
control adalah :
- Mengurangi kecenderungan kesalahan pencatatan data
- Memudahkan pencatatan data pada source document
Untuk mengendalikan eksposur terhadap source document,
organisasi harus mengimplementasikan prosedur kontrol terhadap
dokumen-dokumen sumber dengan memperhatikan beberapa hal
seperti :
- Dokumen tersebut mempunyai pre-numbered, artinya ialah
dokumen yang tercetak harus diberi nomor urut. Sebaiknya
penomoran tercetak secara otomatis. Fungsi dari pre-
numbered adalah untuk meminimalisasi transaksi yang fiktif
dan memudahkan pencarian dokumen jika dibutuhkan
sewaktu-waktu.
- Dokumen sumber digunakan secara berurutan, artinya ialah
dokumen sumber harus didistribusikan ke pemakai dan
digunakan secara berurutan. Hal ini memerlukan pengamanan
fisik yang memadai terhadap persediaan dokumen sumber di
tempat pemakai. Ketika tidak digunakan, dokumen-dokumen
ini harus disimpan di tempat yang aman. Setiap kali, akses ke
dokumen-dokumen sumber ini harus dibatasi hanya pada
orang-orang yang memiliki otoritas saja.
- Dokumen sumber yang diaudit secara berkala. Hilangnya
dokumen sumber harus bisa diidentifikasi dengan
32
merekonsiliasi nomor-nomor urutan dokumen. Secara berkala,
auditor harus membandingkan nomor-nomor dokumen yang
digunakan sampai saat ini dengan nomor dokumen yang
tersisa dalam persediaan ditambah dengan dokumen yang
salah atau sudah jatuh tempo. Dokumen yang tidak dihitung
harus dilaporkan kepada manajemen.
2. Data Coding Control
Pengendalian pengkodean data (data coding control) merupakan
pemeriksaan terhadap integritas kode-kode data yang digunakan
dalam pemrosesan. Ada beberapa jenis kesalahan yang dapat
mengkorupsi kode data dan menyebabkan kesalahan dalam
pemrosesan, antara lain :
- Transcription errors
Terdapat 3 jenis transcription errors, yaitu :
• Kesalahan tambahan yang terjadi ketika sebuah digit
atau karakter ekstra ditambahkan.
• Kesalahan pembulatan terjadi ketika sebuah digit atau
karakter dipindahkan atau dihilangkan.
• Kesalahan substitusi adalah penggantian satu digit
dalam sebuah kode dengan digit lainnya.
- Transpositions errors
Terdapat dua jenis kesalahan ini, yaitu:
33
• Single transposition errors, kesalahan yang terjadi
karena karakter yang berdekatan atau ketika terdapat
dua digit yang berdampingan dicatat secara terbalik.
• Multiple (double) transposition errors, kesalahan yang
terjadi ketika digit-digit yang letaknya tidak
berdampingan ditukar posisinya.
3. Validation Control
Pengendalian Validasi (Validation Control) bertujuan untuk
mendeteksi kesalahan dalam data transaksi sebelum data tersebut
diproses. Pengendalian validasi terdiri dari :
- Field Interrogation
Field Interrogation melibatkan prosedur yang terprogram
yang memeriksa karakteristik data dalam sebuah field. Berikut
ini adalah beberapa tipe umum dari field interrogation :
• Missing data checks
Memeriksa isi dari field untuk memastikan data-data
penting tetap terisi atau tidak ada field yang kosong.
• Numeric-alphabetic data checks
Menentukan apakah data yang telah diinput sesuai
dengan ketentuan. Misalnya, saldo rekening pelanggan
seharusnya tidak berisikan data alphabetic.
• Zero-value cheks
34
Digunakan untuk memverifikasi bahwa untuk field
yang bertipe data numeric/ currency, jika tidak diisi
tetap dapat disimpan, dengan asumsi data tersebut
dianggap bernilai 0 (nol).
• Limit checks
Menentukan apakah nilai dalam field melampaui
batasan yang sudah ditetapkan. Misalnya, asumsikan
kebijakan perusahaan adalah tidak ada karyawan yang
bekerja lebih dari 44 jam per minggu, program validasi
sistem pembayaran gaji dapat menginterogasi field jam
kerja dalam record pembayaran gaji mingguan untuk
nilai yang lebih besar dari 44.
• Range checks
Menetapkan batas atas dan bawah untuk nilai-nilai
data yang dapat diterima dalam pengisian tipe data
currency/numeric.
• Validity checks
Membandingkan nilai aktual dari field dengan nilai
field lainnya. Kontrol ini digunakan untuk
memverifikasi hal-hal seperti kode transaksi. Jika nilai
dalam field tidak sesuai dengan nilai-nilai yang dapat
diterima, record tersebut dinyatakan salah.
• Check digit
35
Mengidentifikasi kesalahan-kesalahan keystroke dalam
field kunci dengan menguji validitas internal dari
sebuah kode.
- Record Interrogation
Dalam mengotorisasi seluruh record dengan memeriksa relasi
di antara nilai-nilai field, sebagian pengujian yang biasa
dilakukan sebagai berikut:
• Reasonableness checks
Menguji apakah nilai dari sebuah field wajar, jika
dibandingkan dengan field lainnya dalam record yang
terkait dengan field tersebut.
• Sign checks
Merupakan tes untuk menguji apakah tanda pada field
sudah benar untuk tipe data tersebut. Biasanya
digunakan untuk operasional perhitungan, dilihat
apakah data yang dimasukkan boleh negatif atau tidak.
• Sequence checks
Digunakan untuk memastikan apakan ada record yang
tidak pada tempatnya. Oleh karena itu, sebelum setiap
record transaksi diproses, urutannya diverifikasi relatif
dengan record sebelumnya yang diproses.
- File Interrogation
36
Untuk memastikan bahwa file yang benar yang akan diproses
oleh sistem. Dalam File Interrogation ada beberapa
pengendalian yang diuji yaitu :
• Internal label checks
Memverifikasi bahwa file yang diproses adalah file
yang memang dipanggil oleh program. Hal ini
dilakukan dengan memastikan bahwa file yang
diproses adalah file yang benar.
• Version checks
Digunakan untuk memverifikasi bahwa versi file yang
sedang diproses adalah benar.
• Expiration date checks
Mencegah dihapusnya sebuah file sebelum melewati
batas dan file tersebut masih dibutuhkan.
4. Input Error Correction
Tujuan dari pengendalian ini adalah mendeteksi terjadinya error
atau kesalahan sehingga dapat dilakukan perubahan dengan segera
dan diproses ulang. Terdapat 3 teknik untuk menangani error
yaitu :
- Immediate correction
Jika sistem menggunakan pendekatan direct data validation
maka pendeteksian dan perbaikan error dapat juga dilakukan
selama pemasukan data.
37
- Create an error file
Ketika validitas keterlambatan digunakan seperti dalam sistem
batch dengan sequential files, error yang terjadi akan ditandai
untuk melindungi dari pemrosesan. Kemudian pada akhir
prosedur validitas, record yang ditandai sebagai error akan
dipindahkan dari batch dan diletakkan dalam suatu tempat
temporary untuk menampung file-file yang error sampai error
dapat diinvestigasi.
- Reject the batch
Yaitu dengan menghentikan pemrosesan dan mengembalikan
keseluruhan batch ke kontrol data untuk dievaluasi, dikoreksi,
dan diproses ulang.
2.2.3.5.2.2 Pengendalian Proses
Menurut James A. Hall (2002, p444), Pengendalian proses bertujuan
untuk mencegah kesalahan-kesalahan yang terjadi selama proses pengolahan
data yang dilakukan setelah data dimasukkan ke dalam sistem komputer.
Kesalahan pengolahan dapat terjadi karena program aplikasi yang digunakan
untuk mengolah data mengandung kesalahan. Kesalahan-kesalahan yang
terjadi selama tahap pengolahan dapat dikendalikan dengan mengecek proses
dari program. Program dari komputer harus dibuat sedemikian rupa sehingga
kesalahan yang terjadi selama proses pengolahan dapat dideteksi.
Pengendalian proses dibagi menjadi tiga kategori :
1. Run-to-run control
38
Digunakan untuk memastikan bahwa setiap program prosedur dalam
sistem telah memproses input batch dengan benar dan lengkap. Run-to-
run control dapat diuraikan secara spesifik seperti :
- Recalculate control totals, yaitu melakukan perhitungan
jumlah total record.
- Transaction codes, kode transaksi dari setiap record dalam
sebuah batch dibandingkan dengan kode transaksi yang
terdapat dalam record kontrol. Ini memastikan bahwa hanya
jenis transaksi yang benar saja yang diproses.
- Sequence checks, dalam sistem yang menggunakan file induk
sekuensial, urutan record transaksi dalam suatu batch
merupakan hal penting bagi pemrosesan yang benar dan
lengkap. Kontrol sequence checks membandingkan urutan
setiap record dalam batch dengan record sebelumnya untuk
memastikan telah dilakukan proses pernyortiran yang benar.
2. Operator intervention control
Kadang-kadang sistem membutuhkan operator intervention untuk
memulai beberapa aksi. Operator intervention meningkatkan potensial
kesalahan manusia. Sistem membatasi operator intervention melalui
operator intervention controls.
3. Audit trail control
Pemeliharaan audit trail merupakan tujuan penting dari pengendalian
proses. Dalam sistem akuntansi, setiap transaksi harus ditelusuri melalui
39
tahap pemrosesan dari bukti ekonomi sampai laporan keuangan. Teknik-
teknik yang digunakan untuk mengamanakan audit trail :
- Transaction log
Transaction log seharusnya hanya berisi transaksi yang
berhasil yang berpengaruh terhadap saldo account. Transaksi
yang tidak berhasil seharusnya ditempatkan di error file.
- Log of automatic transactions
Untuk menjaga audit trail, semua transaksi yang dihasilkan
secara internal harus ditempatkan di transaction log.
- Listing of automatic transactions
Untuk menjaga kontrol atas automatic transaction yang
diproses oleh sistem, seharusnya end user bertanggung jawab
menerima detail daftar semua transaksi yang dihasilkan secara
internal.
- Unique transaction identifiers
Setiap transaksi yang diproses oleh sistem harus secara unik
diidentifikasi dengan transaction number.
- Error listing
Daftar semua catatan error seharusnya diberikan pada user
yang tepat untuk mendukung koreksi error.
2.2.3.5.2.3 Pengendalian Output
Menurut James A. Hall (2002, p448), Pengendalian output adalah
pengendalian yang dilakukan untuk mengontrol distribusi output kepada
40
siapa data output tersebut dapat dibaca. Pengendalian output bertujuan untuk
memastikan agar suatu output dari sistem tidak hilang, diarahkan ke arah
yang salah atau dimanipulasi, dan agar kerahasiaannya tidak dilanggar.
Eksposur untuk jenis ini dapat menimbulkan suatu gangguan yang serius bagi
kegiatan operasi dan membuat perusahaan merugi dari sudut keuangan.
Misalnya, jika cek-cek yang dihasilkan oleh sistem pengeluaran kas
perusahaan ternyata hilang, atau dihancurkan, akun-akun perdagangan dan
tagihan lainnya tidak akan bisa ditagih.
Pengendalian yang digunakan untuk melindungi output sistem
dipengaruhi oleh jenis metode pemrosesan yang digunakan. Pengendalian
output sistem batch biasanya menghasilkan output dalam bentuk hard copy,
yang biasanya memerlukan keterlibatan perantara dalam kegiatan produksi
dan distribusinya. Sedangkan pengendalian output sistem real-time
mengarahkan output langsung ke layar komputer pemakai, terminal, atau
printer. Pada umumnya, sistem batch lebih sensitif terhadap eksposur dan
memerlukan tingkat pengendalian yang lebih besar dibandingkan dengan
sistem real-time.
Pengendalian output yang dibahas adalah pengendalian output sistem
batch (controlling batch systems output). Teknik-teknik untuk mengontrol
tiap fase dalam proses output adalah sebagai berikut:
1. Output spooling, yaitu program yang dijalankan oleh printer agar
lalu lintas proses print berjalan lancar.
2. Print programs, menghasilkan output berupa hard copy dari file
output. Dalam mencetak output, biasanya membutuhkan campur
41
tangan operator. Kontrol print programs didesain berhubungan
dengan dua jenis masalah yang mungkin timbul yaitu: (1)
produksi pencetakan output yang tidak terotorisasi dan (2)
karyawan yang membuka atau melihat data yang sensitif.
3. Bursting, memisahkan dokumen sesuai dengan user-nya.
4. Waste, berarti memusnahkan dokumen yang salah agar tidak
dibaca oleh user yang tidak bertanggung jawab.
5. Data control, untuk memastikan keakuratan output sebelum
didistribusikan pada user.
6. Report distribution, metode pendistribusian report pada user.
Dapat dilakukan dengan cara report ditempatkan pada kotak surat
yang aman dan hanya user yang memiliki kuncinya, user hadir
sendiri saat penyampaian report dan menandatangani report
tersebut, dan menempatkan penjaga keamanan atau kurir khusus
untuk menyampaikan report kepada user.
7. End user controls, merupakan pengendalian yang dilakukan oleh
user atas report atau laporan yang diterimanya. Hal ini dilakukan
antara lain dengan mengecek jumlah halaman report yang
diterima user, memastikan bahwa report diterima dalam keadaan
baik dan sebagainya.
2.2.3.6 Penetapan Penilaian Resiko
Menurut Maiwald (2003, p 150), level atau tingkatan dari resiko
digolongkan sebagai berikut :
42
- Resiko Kecil (low)
Tingkat kerentanan dari suatu sistem yang dapat berakibat kecil bagi
perusahaan, biasanya resiko ini jarang terjadi atau muncul. Tindakan
yang dapat menghilangkan resiko ini perlu diambil jika mungkin, tetapi
biaya yang dikeluarkan harus sebanding dengan pengurangan akibat dari
resiko ini.
- Resiko Sedang (medium)
Tingkat kerentanan dari suatu sistem yang dapat mengancam kerahasiaan,
integritas, ketersediaan, dan atau kehandalan dari sistem informasi di
suatu perusahaan, ataupun aset perusahaan yang bersifat fisik. Adanya
kemungkinan bahwa resiko ini akan muncul sewaktu-waktu. Tindakan
untuk menghilangkan resiko ini sangat disarankan.
- Resiko tinggi (high)
Tingkat kerentanan yang dapat mengakibatkan bahaya yang tinggi bagi
kerahasiaan, integritas, ketersediaan, dan atau kehandalan dari sistem
informasi di suatu perusahaan, ataupun aset perusahaan yang bersifat
fisik. Tindakan untuk menanggulangi resiko ini harus sesegera mungkin
diambil.
2.2.4 Audit Sistem Informasi
2.2.4.1 Pengertian Audit Sistem Informasi
Audit sistem informasi sebagai suatu proses pengumpulan dan
pengevaluasian bukti-bukti audit oleh seorang yang kompeten dan independen
untuk menentukan apakah sistem informasi yang dijalankan telah sesuai dengan
43
kriteria yang ditentukan dalam rangka mencapai tujuan perusahaan, yaitu:
melindungi aset perusahaan, meningkatkan efektifitas dan efisiensi organisasi
serta meningkatkan integritas data. Pengertian ini didukung teori yang
dikemukakan oleh Weber (1999, p10), Audit sistem informasi adalah proses
pengumpulan dan pengevaluasian bukti-bukti untuk memutuskan apakah dengan
adanya sistem pengamanan asset yang berbasis komputer dan pemeliharaan
integritas data, data dapat mendukung perusahaan untuk mencapai tujuannya
secara efektif dan penggunaan sumber daya secara efisien serta mengetahui
apakah suatu perusahaan memiliki pengendalian internal yang memadai. Selain
itu menurut Romney dan Steinbart (2003, p321), Audit sistem informasi
mengkaji ulang pengendalian sistem informasi akuntansi untuk menilai
pemenuhannya dengan kebijakan dan prosedur pengendalian intern dan
keefektifan perlindungan terhadap asset.
2.2.4.2 Tujuan Audit Sistem Informasi
Menurut Romney dan Steinbart (2003, p325), tujuan Audit Sistem
Informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang
melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para
auditor harus memastikan tujuan-tujuan berikut ini dipenuhi :
1. Perlengkapan keamanan melindungi perlengkapan komputer, program,
komunikasi, dan data dari akses yang tidak sah, modifikasi, atau
penghancuran.
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan
otorisasi khusus dan umum dari pihak manajemen.
44
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak
manajemen.
4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah
akurat dan lengkap.
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang
tepat diidentifikasikan dan ditangani sesuai dengan kebijakan manajerial
yang telah di tetapkan.
6. File data komputer telah akurat, lengkap dan dijaga kerahasiaanya.
2.2.4.3 Tahapan Audit Sistem Informasi
Menurut Weber (1999, p47-55), ada 5 tahap audit sistem informasi,
yaitu:
1. Planning the Audit (Perencanaan Audit)
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor
eksternal hal ini berarti melakukan investigasi terhadap klien untuk mengetahui
apakah penugasan audit (audit engagement) dapat diterima, menempatkan staf
audit, mendapatkan surat penugasan, mendapatkan informasi mengenai latar
belakang klien, memahami informasi mengenai kewajiban hukum klien dan
melakukan analisa terhadap prosedur yang ada untuk memahami bisnis klien dan
mengidentifikasi area-area yang berisiko. Pada tahap ini auditor juga harus
memahami pengendalian intern organisasi lalu menentukan tingkat resiko
pengendalian yang berhubungan dengan setiap segmen audit.
2. Tests of Controls (Pengujian Pengendalian)
45
Auditor melakukan test of controls ketika mereka menilai bahwa tingkat
resiko pengendalian berada pada level kurang dari maksimum (pengendalian
masih dapat dipercaya). Test of controls diarahkan kepada efektifitas
pengendalian intern perusahaan, baik dalam rancangan maupun operasinya
(pelaksanaannya). Tahap ini diawali dengan fokus pada pengendalian
manajemen (management controls), jika pengendalian manajemen dinilai
beroperasi secara tidak handal, maka auditor hanya akan melakukan sedikit
pengujian pada pengendalian aplikasi (application controls). Namun jika auditor
menemukan kelemahan yang serius pada pengendalian manajemen maka auditor
akan memberikan opini tidak wajar (adverse opinion) terhadap pengendalian
yang ada di dalam perusahaan atau melakukan pengujian substantif (substantive
test) atas transaksi dan pengujian keseimbangan dan hasil keseluruhan (balances
or overall result). Jika auditor menyatakan pengendalian manajemen beroperasi
secara memadai, maka auditor akan melakukan evaluasi terhadap keandalan
pengendalian aplikasi dengan menelusuri jenis-jenis materialitas dari transaksi
melalui masing-masing pengendalian yang dijalankan pada subsistem
pengendalian aplikasi.
3. Tests of Transaction (Pengujian Transaksi)
Auditor menggunakan test ini untuk mengevaluasi apakah kesalahan-
kesalahan atau pemrosesan yang keliru terhadap transaksi telah mengarah pada
kesalahan yang material pada pernyataan laporan keuangan. Tes pembuktian ini
mencakup penelusuran terhadap jurnal hingga ke dokumen sumbernya, menguji
kebenaran file, menguji akurasi perhitungan. Jika hasil tes transaksi
mengindikasikan terjadi kehilangan atau kesalahan pencatatan yang material
46
maka auditor dapat mengembangkan tingkat pengujiannya dengan melakukan
test of balances or overall result untuk mendapatkan estimasi yang lebih baik
terhadap kehilangan/ kesalahan pencatatan.
4. Tests of Balances or Overall Results
Auditor melakukan tes ini untuk memperoleh bukti yang cukup dalam
membuat penilaian akhir (final judgment) mengenai tingkat kehilangan atau
kesalahan pencatatan yang terjadi ketika fungsi sistem informasi gagal
melindungi aset, memelihara integritas data, mencapai efektifitas dan efisiensi
sistem informasi.
5. Completion of the Audit
Tahap ini merupakan tahap akhir dari tahapan audit sistem informasi.
Pada tahap ini auditor merumuskan opininya terhadap kehilangan material dan
kesalahan pencatatan yang terjadi sekaligus membuat rekomendasi untuk
manajemen yang nantinya disajikan pada laporan audit.
Adapun jenis-jenis opini yang berlaku umum adalah :
a. Unqualified Opinion (Wajar Tanpa Pengecualian)
Auditor menyatakan bahwa laporan keuangan disajikan secara wajar.
b. Qualified Opinion (Wajar Dengan Pengecualian)
Auditor menyatakan bahwa laporan keuangan disajikan secara wajar, kecuali
pada pos tertentu.
c. Adverse Opinion (Pendapat Tidak Wajar)
Auditor merasa yakin bahwa keseluruhan laporan keuangan yang disajikan
memuat salah saji yang material atau menyesatkan sehingga tidak
47
menyajikan secara wajar posisi keuangan perusahaan sesuai dengan prinsip
akuntansi berlaku umum.
d. Disclaimer of Opinion (Tidak Memberikan Pendapat)
Auditor menolak memberikan pendapat dikarenakan beberapa kondisi antara
lain: pembatasan lingkup audit, hubungan yang tidak independen antara
auditor dan klien, dsb.
2.2.4.4 Standar Audit
Gondodiyoto dan Hendarti (2007, p197-198) menyajikan standar audit
yang termuat dalam standar profesional akuntan publik (Ikatan Akuntasi
Indonesia, 2001) terdiri dari standar umum, standar pekerjaan lapangan dan
standar pelaporan :
b. Standar Umum
1) Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki
keahlian dan pelatihan teknis cukup sebagai auditor.
2) Dalam semua hal yang berhubungan dengan penugasan, independensi
sikap mental harus dipertahankan oleh auditor.
3) Dalam pelaksaan audit dan penyusunan laporannya, auditor wajib
menggunakan kemahiran profesionalnya dengan cermat dan seksama.
c. Standar Pekerjaan Lapangan
1) Pekerjaan harus dilaksanankan sebaik-baiknya dan jika digunakan asisten
harus disupervisi dengan semestinya.
48
2) Pemahaman yang memadai atas struktur pengendalian intern harus
diperoleh untuk merencanakan audit dan menentukan sifat, saat dan
lingkup pengujian yang harus dilakukan.
3) Bukti audit yang kompeten yang cukup harus diperoleh melalui inspeksi,
pengamatan, pengajuan pertanyaan dan konfirmasi sebagai dasar yang
memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit.
d. Standar pelaporan
1) Laporan audit harus menyatakan apakah laporan keuangan telah disusun
dengan prinsip akuntansi yang berlaku umum.
2) Laporan audit harus menunjukkan keadaan yang ada didalamnya prinsip
akuntansi tidak secara konsisten diterapkan dalam penyusunan laporan
keuangan periode berjalan dalam hubungannya dengan prinsip akuntansi
yang diterapkan dalam periode sebelumnya.
3) Pengungkapan informatif dalam laporan keuangan harus dipandang
memadai, kecuali dinyatakan lain dalam laporan audit.
2.2.4.5 Alasan Perlunya Standard Audit SI
Menurut Gondodiyoto dan Hendarti (2007, p203), standar Audit SI diperlukan karena :
a) Audit SI memerlukan standar, karena Audit SI memiliki ciri-ciri khas dan
untuk dapat melaksanakan tugas itu dibutuhkan pengetahuan dan
keterampilan khusus dalam audit SI
b) Salah satu tujuan ISACA ialah melakukan globalisasi (menduniakan) standar
audit SI, oleh karena itu pengembangan dan distribusi standar Audit SI
49
adalah merupakan salah satu konstribusi penting ISACA kepada
komunitas/profesi audit SI.
S1 Audit Chapter (per 1 Januari 2005)
Perlunya dibuat Audit Charter atau Letter of Engagement dalam
penugasan audit sistem informasi.
Hal yang diatur tentang perlunya audit charter bagi audit internal
(atau letter of engagement untuk auditor eksternal), mencakup
Responsibility, Authority and Accountability, yaitu meliputi
tanggung jawab, otoritas dan accountability dari fungsi audit
sistem informasi pada suatu organisasi (perlu didokumentasikan
dalam suatu surat keputusan pimpinan atau perjanjian).
S2 Independence (per 1 Januari 2005)
• Professional independence
Dalam permasalahan yang berkaitan dengan audit, auditor
sistem informasi harus bersikap independen dalam tingkah
laku dan tindakannya.
Auditor atau Unit/Fungsi Audit harus mempunyai posisi
independen terhadap pihak-pihak yang berkaitan dalam audit
(untuk menjaga agar tidak terjadi conflict of interest).
• Organiational Relationship
Fungsi audit sistem informasi harus berada independen dari
area yang diaudit untuk mencapai tujuan obyektivitas dari
suatu proses audit.
S3 Professional Ethics and Standards (per 1 Januari 2005)
50
Audit harus selalu mempedomani profesional ethics dan
standards.
• Code of Professional Ethics
Auditor dari sistem informsi harus menghormati dan menaati
etika profesional dari Information System Audit and Control
Association.
• Due Professional Care
Standard auditing profesional harus diterapkan dalam segala
aspek dalam pekerjaan yang dilakukan oleh auditor sistem
informasi
S4 Professional Competence (per 1 Januari 2005)
Auditor harus memiliki kompetensi yang dibutuhkan untuk
melaksanakan tugasnya. Auditor sistem informasi harus
memaintain kompetensi teknikal melalui pendidikan profesional
berkelanjutan (Continuing Professional Education)
S5 Audit Planning (per 1 Januari 2005)
Auditor sistem informasi harus merencanakan kegiatan audit, agar
tujuan audit tercapai sesuai standar profesional audit.
Perencanaan audit (audit planning) diperlukan dalam tiap
pelaksaan suatu penugasan audit.
S6 Performance of Audit Work (per 1 Januari 2005)
• Supervision
51
Staf dari audit sistem informasi harus tepat untuk dapat
menjamin tujuan dari audit dijalankan dan standar profesional
auditing dapat terpenuhi
• Evidence
Selama masa pekerjaan audit auditor sistem informasi harus
mendapatkan bukti yang tepat, dapat dipercaya, relevan, dan
berguna untuk mencapai tujuan objektif dari suatu audit.
S7 Reporting (per 1 Januari 2005)
Report Content and Form, auditor sistem informasi harus
menyediakan report dalam bentuk yang tepat pada saat
penyelesaian tugas audit. Laporan Audit berupa lingkup, tujuan,
periode, audit, dan lingkungan dimana audit dijalankan. Laporan
audit harus mengindetifikasikan permasalahan yang terjadi dalam
jangka waktu audit. Laporan audit juga untuk memberikan
rekomendasi dari layanan atau kualifikasi yang diberikan auditor
terhadap tugas audit yang dijalankan
S8 Follow Up Activities (per 1 Januari 2005)
Tindak-lanjut atas rekomendasi temuan audit, auditor sistem
informasi harus meminta dan mengevaluasi informasi yang sesuai
dari penemuan yang terdahulu dan rekomendasi yang dihasilkan
pada periode audit terdahulu untuk mendefinisikan tindakan yang
tepat yang harus diimplementasikan dalam satu periode waktu.
S9 Irregularities of Audit Work (per 1 September 2005)
52
Hal-hal yang berkaitan dengan ketidakwajaran dan penyimpangan
(irregularities and illegal acts).
S10 IT Governance (per 1 September 2005)
Hal-hal yang berkaitan dengan tata kelola teknologi informasi
pada suatu organisasi/perusahaan, agar TI dikelola secara efektif,
efisien, ekonomis, terjamin integrity, security, availability,
realibility, dan continuity.
S11 Use of Risks Assessment in Audit Planning (per 1 Nopember 2005)
Teknik-teknik penaksiran risiko dalam perencanaan audit.
S12 Audit Materaility (per 1 Juli 2006)
Konsep materailitas dalam audit (khusus audit sistem informasi).
S13 Using the Work of Other expert (per 1 Juli 2006)
Penggunaan hasil audit lain (expert lainnya) dalam pelaksanaan
audit.
S14 Audit Evidence (per 1 Juli 2006)
Hal-hal yang berkaitan dengan bukti audit.
Selain kode etik dan standar, auditor wajib mengikuti panduan
(guideliness) dan pedoman prosedur audit (procedures) yang dikeluarkan
ISACA. Jadi selain kode etik, aturan ISACA terdiri dari beberapa level:
Information Systems Auditing Standards, Guidelines, dan Procedures.
Information Systems Auditing Guidelines (ISACA, 2007) antara lain
terdiri dari :
53
1) Pelaksanaan tugas audit bila menggunakan bahan bukti yang berasal
dari pekerjaan auditor atau ahli lainnya.
2) Bahan bukti audit.
3) Penggunaan alat bantu software audit (computer assisted audit
techniques).
4) Pemeriksaan pada sistem informasi yang dioutsourcing ke organisasi
lain.
5) Hal-hal yang berkaitan dengan audit charter/letter of engagement.
6) Konsep materialist.
7) Pelaksanaan tugas dengan penuh kehati-hatian (seksama).
8) Dokumentasi dalam audit.
9) Pertimbangan-pertimbangan yang berkaitan dengan irregulatities.
10) Audit sampling.
11) Dampak pervasive IS controls (kontrol internal yang tersebar).
12) Keterkaitan dan Independensi.
13) Penaksiran risiko dalam perencanaan (program) audit.
14) Review sistem aplikasi.
15) Planning dalam Audit.
16) Dampak organization’s IT controls oleh pihak ketiga.
17) Independensi dan peranan auditor dalam bidang non-audit.
18) Tatakelola TI (IT Governance).
19) Irregularities dan illegal acts.
20) Reporting.
21) Enterprise resources planning (ERP).
54
22) Review terhadap B2C e-Commerce.
23) Review Pengembangan Sistem Aplikasi.
24) Internet Banking.
25) Review terhadap Virtual Private Network.
26) Review terhadap Business Process Reengineering (BPR).
27) Mobile Computing.
28) Computer Forensic.
29) Post Implementation Review.
30) Kompetensi.
31) Privacy.
32) Review Business Continuity Plan dari Perspektif TI.
33) General Considerations on Using Internet.
34) Responsibility, authority, and accountability.
35) Follow-up Activities.
36) Biometric Controls.
Sedangkan Informations Systems Auditing Procedures berisi
prosedur untuk :
1) IS Risks Assessment.
2) Digital Signatures.
3) Intrusion Detection.
4) Viruses and Other Malicious Code.
5) Control Risks Self-assessment.
6) Firewalls.
7) Irregularities and Illegal Acts.
55
8) Security Assessment – PenetrationTesting and Vulnerability
Analysis.
9) Evaluation of Management Controls Over Encryption
Methodologies.
10) Business Application Change Control.
11) Electronics Fund Transfer (EFT).