Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
8
BAB 2
LANDASAN TEORI
2.1 Konsep Sistem Informasi
2.1.1 Pengertian Sistem
Menurut Mcleod (2001, p9), sistem adalah sekelompok elemen-elemen
yang berintegrasi dengan maksud yang sama untuk mencapai suatu tujuan.
Pendapat Hall (2001, p5) yang diterjemahkan oleh Amir Abadi Jusuf,
sistem adalah sekelompok dua atau lebih komponen-komponen yang saling
berkaitan (inter-related) atau subsistem-subsistem yang bersatu untuk mencapai
tujuan yang sama (common purpose).
Jadi secara umum sistem dapat diartikan sebagai sekumpulan elemen atau
komponen yang saling berinteraksi dan terkoordinasi untuk melakukan suatu
kegiatan guna mencapai tujuan bersama.
2.1.2 Pengertian Informasi
Menurut Mcleod (2001, p12) informasi adalah data yang telah diproses
atau data sudah memiliki arti tertentu bagi kebutuhan penggunanya.
Pendapat Hall (2001, p14), yang diterjemahkan oleh Amir Abadi Jusuf,
informasi menyebabkan pemakai melakukan suatu tindakan yang dapat ia
lakukan atau tidak dilakukan. Informasi ditentukan oleh efeknya pada pemakai
bukan oleh bentuk fisiknya.
9
Jadi, dapat disimpulkan informasi adalah kumpulan dari data–data yang
telah diproses dimana informasi tersebut haruslah akurat dan terpercaya sehingga
informasi tersebut berguna bagi para penggunanya.
2.1.3 Pengertian Sistem Infromasi
Menurut Husein dan Wibowo (2002, p8), sistem informasi dapat
diartikan sebagai seperangkat komponen yang saling berhubungan yang
berfungsi mengumpulkan, memproses, menyimpan dan mendistribusikan
infromasi untuk mendukung pembuatan keputusan dan pengawasan dalam
organisasi.
Menurut O’brien dalam bukunya yang diterjemahkan oleh Fitriasari
dan Arnos (2005, p5), sistem informasi merupakan kombinasi teratur apapun
dari orang-orang, hardware, software, jaringan komunikasi dan sumber daya
data yang mengumpulkan, mengubah dan menyebarkan informasi dalam
sebuah organisasi.
Sedangkan menurut Sutabri (2005, p42), sistem informasi adalah suatu
sistem didalam suatu organisasi yang mempertemukan kebutuhan pengolahan
transaksi harian yang mendukung fungsi operasi organisasi yang bersifat
manajerial dengan kegiatan strategi dari suatu organisasi untuk dapat
menyediakan kepada pihak luar tertentu dengan laporan-laporan yang
diperlukan. Dengan demikian, dapat disimpulkan bahwa sistem informasi
adalah beberapa komponen, antara lain rangkaian prosedur dimana informasi
10
itu sendiri diolah sedemikian rupa sehingga dapat berguna bagi para pemakai
untuk mencapai sasaran-sasaran perusahaan.
2.1.4 Komponen-Komponen Sistem Informasi
Menurut Sutabri (2005, p42-43), system informasi terdiri dari
komponen-komponen yang disebut blok bangunan (building block), yang
teridri dari blok masukan, blok model, blok keluaran, blok teknologi, blok
basis data dan blok kendali. Sebagai suatu sistem, keenam blok tersebut
masing-masing saling berinteraksi satu dengan yang lain membentuk satu
kesatuan untuk mencapai sasaran.
a. Blok Masukan (Input Block)
Input mewakili data yang masuk ke dalam sistem informasi.
Input disini termasuk metode dan media untuk menangkap data
yang akan dimasukkan, yang dapat berupa dokumen-dokumen
dasar.
b. Blok Model (Model Block)
Blok ini terdiri dari kombinasi prosedur, logika dan model
matematik yang akan memanipulasi data input dan data yang
tersimpan di basis data dengan cara yang sudah tertentu untuk
menghasilkan keluaran yang diinginkan.
11
c. Blok Keluaran (Output Block)
Produk dari sistem informasi adalah keluaran yang merupakan
informasi yang berkualitas dan dokumentasi yang berguna
untuk semua tingkatan manajemen serta semua pemakaian
sistem.
d. Blok Teknologi (Technology Block)
Teknologi merupakan “tool box” dalam sistem informasi.
Teknologi digunakan untuk menerima input, menjalankan
model, menyimpan dan mengakses data, menghasilkan dan
mengirimkan keseluruhan. Teknologi terdiri dari 3 (tiga) bagian
utama, yaitu teknisi (brainware), perangkat lunak (software)
dan perangkat keras (hardware).
e. Blok Basis Data (Database Block)
Basis data (database) merupakan kumpulan data yang saling
berkaitan dan berhubungan satu dengan lain, tersimpan
diperangkat keras komputer dan menggunakan perangkat lunak
untuk memanipulasinya. Data perlu disimpan dalam basis data
untuk keperluan penyediaan informasi lebih lanjut.
12
f. Blok Kendali (Control Block)
Banyak hal yang dapat merusak sistem informasi, seperti
bencana alam, api, temperatur, air, debu, kecurangan-
kecurangan, kegagalan-kegagalan system itu sendiri, ketidak
efisienan dan sabotase. Beberapa pengendalian perlu dirancang
dan ditetapkan untuk meyakinkan bahwa hal-hal yang dapat
merusak sistem dapat dicegah atau bila terlanjur terjadi
kesalahan-kesalahan dapat langsung cepat diatasi.
2.1.5 Pengertian Persediaan
Menurut Mulyadi (2001, p431), persediaan merupakan unsur aktiva
yang disimpan dengan tujuan untuk dijual dalam kegiatan bisnis yang normal
atau barang-barang yang akan dikonsumsi dalam pengolahan produk yang akan
dijual.
Menurut Assauri (1999, p169), persediaan adalah suatu aktiva yang
meliputi barang-barang milik perusahaan dengan maksud untuk dijual dalam
suatu periode usaha yang normal atau masih dalam proses maupun menunggu
penggunaannya dalam suatu proses produksi.
2.1.6 Pengertian Sistem Informasi Pesediaan
Menurut penulis dari konsep-konsep teori diatas merupakan barang atau
produk baik barang mentah maupun barang jadi yang telah diproses untuk
dijual kembali kepada yang membutuhkan. Dimana suatu sistem informasi
13
tersebut melibatkan orang-orang dalam organisasi, data, prosedur dan sarana
pendukung untuk mengoperasikan sistem persediaan hingga dapat
menghasilkan informasi yang mendukung kepentingan bagian persediaan
dalam menganalisis dan mengendalikan keadaan persediaan.
2.2 Sistem Pengendalian Intern
2.2.1 Pengertian Sistem Pengendalian Intern
Menurut Weber (1999, p35), “A Control Is A System That Prevents,
Detects, Or Corrects Unlawful Events”, yang berarti bahwa sistem
pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan
mengoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan.
Menurut Cangemi dan Singleton (2002, p66), pengendalian internal
adalah aturan, praktek, prosedur, dan peralatan yang dirancang untuk :
1) Keamanan asset yang berhubungan dengan badan hukum.
2) Menyakinkan akurasi dan kepercayaan perolehan data dan
informasi produk.
3) Mendapatkan efisiensi.
4) Mengukur pemenuhan dengan aturan yang berhubungan dengan
badan hukum.
5) Mengukur pemenuhan dengan regulasi-regulasi.
6) Mengatur kejadian-kejadian negatif dan pengaruh dari
penyuapan, kejahatan, dan aktivitas pengrusakan.
14
Berdasarkan pengertian diatas maka pengendalian dikelompokkan
menjadi 3 bagian yaitu :
1) Preventive Control
Pengendalian ini digunakan untuk mencegah masalah sebelum
masalah tersebut muncul.
2) Detective Control
Pengendalian ini digunakan untuk menemukan masalah yang
berhubungan dengan pengendalian segera setelah masalah
tersebut muncul.
3) Corrective Control
Pengendalian ini digunakan untuk memperbaiki masalah yang
ditemukan pada detective control. Pengendalian ini mencakup prosedur
untuk menentukan penyebab masalah yang timbul, memperbaiki
kesalahan atau kesulitan yang timbul, memodifikasi sistem proses.
Dengan demikian bisa mencegah kejadian yang sama dimasa
mendatang.
2.2.2 Tujuan Sistem Pengendalian Intern
Menurut Hall (dalam Gondodiyoto, 2006, p156), tujuan sistem
pengendalian intern terdiri dari :
a. Menyajikan data yang dapat dipercaya (To Ensure the Accuracy
and Reliability of the Accounting Records and Information).
15
Pimpinan hendaklah memiliki informasi yang tepat dalam
rangka melaksanakan kegiatannya. Mengingat bahwa berbagai
jenis informasi dipergunakan untuk bahan mengambil keputusan
sangat penting artinya, karena itu suatu mekanisme atau sistem
yang dapat mendukung penyajian informasi yang akurat sangat
diperlukan oleh pimpinan organisasi/perusahaan.
b. Mengamankan Aktiva Dan Pembukuan (Safeguarding Assests
Of The Firm).
Pengamanan atas berbagai harta benda dan catatan pembukuan
menjadi semakin penting dengan adanya komputer.
Data/informasi yang begitu banyaknya disimpan di dalam media
komputer seperti magnetic tape dapat dirusak apabila tidak
diperhatikan pengamanannya.
c. Meningkatkan Efesiensi Operasional (To Promote Efficiency In
The Firm’s Operations).
Pengawasan dalam suatu organisasi merupakan alat untuk
mencegah penghamburan usaha, menghindarkan pemborosan
dalam setiap segi dunia usaha dan mengurangi setiap jenis
penggunaan sumber-sumber yang ada secara tidak efisien.
16
d. Mendorong Pelaksanaan Kebijakan Yang Ada (To Measure
Compliance With Management’s Policies And Procedures)
Pimpinan menyusun tata cara dan ketentuan yang dapat
dipergunakan untuk mencapai tujuan perusahaan. Sistem
pengendalian intern berarti memberikan jaminan yang layak
bahwa kesemuanya itu telah dilaksanakan oleh karyawan
perusahaan.
Tujuan pengendalian intern harus dipandang dalam kaitannya dengan
individu yang menjalankan sistem pengendalian tersebut. Sistem harus
dirancang sedemikian rupa sehingga para pegawai merasakannya sendiri dan
yakin bahwa pengendalian bertujuan mengurangi kesulitan-kesulitan dalam
operasi, melindungi organisasi, merupakan persyaratan tercapainya tujuan, dan
dengan demikian mendorong terpenuhinya kebijakan manajemen yang telah
digariskan.
2.2.3 Unsur-Unsur Sistem Pengendalian Intern
Pendapat Weber (1999, p49), pengendalian internal terdiri dari lima
unsur/komponen yang saling berintegrasi, antara lain :
a) Control Environment
Komponen ini diwujudkan dengan cara pengoperasian, cara
pembagian wewenang dan tanggung jawab yang harus
17
dilakukan, cara komite audit berfungsi, dan metode-metode
yang digunakan untuk merencanakan dan memonitor kinerja.
b) Risk Assessment
Komponen untuk mengidentifikasi dan menganalisa resiko yang
dihadapi oleh perusahaan dan cara-cara untuk menghadapi
resiko tersebut.
c) Control Activities
Komponen yang dioperasikan untuk memastikan transaksi telah
terotorisasi, adanya pembagian tugas, pemeliharaan terhadap
dokumen dan record, perlindungan aset dan record, pengecekan
kinerja dan penilaian dari jumlah record yang terjadi.
d) Information and Communication
Komponen dimana informasi digunakan untuk mengidentifikasi,
mendapatkan, dan menukarkan data yang dibutuhkan untuk
mengendalikan dan mengatur operasi perusahaan.
e) Monitoring
Komponen yang memastikan pengendalian internal beroperasi
secara dinamis.
Unsur-unsur sistem pengendalian intern sangat penting karena sistem
mempunyai beberapa unsur dan sifat-sifat tertentu yang dapat meningkatkan
kemungkinan dapat dipercayainya data-data akuntansi serta tindakan
pengamanan terhadap aktiva dan catatan perusahaan.
18
2.2.4 Jenis Pengendalian Internal Berbasis Komputer
Pendapat Weber (1999, p67), ruang lingkup kontrol dibedakan atas dua
jenis, yaitu pengendalian umum dan pengendalian khusus.
1. Pengendalian Umum
Pengendalian umum artinya ketentuan-ketentuan yang berlaku
dalam pengendalian tersebut, berlaku untuk seluruh kegiatan
komputerisasi di perusahaan tersebut. Apabila tidak dilakukan
pengendalian ini ataupun pengendaliannya lemah maka dapat
berakibat negatif terhadap aplikasi.
Pengendalian umum berupa :
a. Top Management Control
Mengontrol peranan manajemen dalam perencanaan
kepemimpinan dan pengawasan fungsi .
b. System Development Management Control
Mengontrol alternatif dari model proses pengembangan system
informasi sehingga dapat digunakan sebagai dasar perkumpulan
dan pengevaluasian bukti.
c. Control Programming Management
Mengontrol tahapan utama dari siklus program dan pelaksanaan
dari tiap tahap.
19
d. Data Resource Management Control
Mengontrol peranan dan fungsi dari data administrator atau
database administrator.
e. Operation Management Control
Mengontrol fungsi utama yang harus dilakukan oleh quality
assurance management untuk meyakinkan bahwa
pengembangan, pelaksanaan, pengoperasian, pemeliharaan dari
sistem informasi sesuai dengan standar kualitas.
f. Security Management Control
Mengontrol fungsi utama dari security administrator dalam
mengidentifikasi ancaman utama terhadap fungsi sistem
informasi dan perancangan, pelaksanaan, pengoperasian, dan
pemeliharaan terhadap pengontrolan yang dapat mengurangi
kemungkinan kehilangan dari ancaman ini sampai pada tingkat
yang dapat diterima. Secara garis besar pengendalian terhadap
manajemen keamanan bertanggung jawab dalam menjamin aset
sistem informasi tetap aman.
2. Pengendalian Khusus
Pengendalian khusus dilakukan dengan tujuan untuk
menentukan apakah pengendalian sistem informasi dari sistem
yang terkomputerisasi pada aplikasi komputer tertentu sudah
memadai untuk memberikan jaminan bahwa data dicatat, diolah,
20
dan dilaporkan secara akurat, tepat waktu, dan sesuai dengan
kebutuhan manajemen.
Pengendalian khusus berupa :
a) Pengendalian Batasan (Boundary Control)
Mengontrol sifat dan fungsi kontrol akses, penggunaan
pengkodean dalam kontrol akses, PIN, digital signatures, dan
plastic cards.
Menurut Weber (1999, p368), pengendalian boundary adalah
suatu pengendalian yang memiliki tiga tujuan utama yaitu :
1. Mengatur identitas dan otentifikasi dari calon user.
2. Mengatur identitas dan otentifikasi dari sumber daya
komputer yang diminta oleh user.
3. Membatasi tindakan yang dilakukan oleh user yang
menggunakan sumber daya komputer dari serangkaian
hak yang diberikan kepadanya.
Menurut Weber (1999, p370), “The boundary subsystem
establishes the interface between the would be user of a
computer system and the computer system itself”. Inti dari
pernyataan tersebut adalah subsystem batasan (boundary)
membangun suatu hubungan (interface) antara pengguna (user)
21
komputer dengan sistem komputer itu sendiri melalui suatu
tampilan.
Menurut Gondodiyoto (2003, p140), Boundary Control adalah
bahwa dalam suatu sistem aplikasi komputer harus jelas
desainnya, mencakup hal-hal :
1. Ruang lingkup sistem
Suatu sistem komputerisasi harus jelas ruang
lingkupnya, apa dokumen inputnya, dari mana
sumbernya, tujuan pengolahan data, dan siapa para
penggunanya (user), siapa pemegang kewenangan.
2. Bagian-bagian sistem
Sistem terdiri dari subsistem, modul program, dan perlu
kejelasan ruang lingkupnya (boundary control), dan
keterkaitan (interface) antar subsistem-subsistem atau
modul-modul.
Tiga tujuan pengendalian subsistem boundary adalah sebagai berikut :
1. Untuk menetapkan identitas dan kewenangan user dari
sistem komputer.
2. Untuk menetapkan identitas dan kewenangan dari
sumber daya yang digunakan user.
22
3. Membatasi tindakan-tindakan yang dilakukan oleh user
yang menggunakan sumber daya komputer terhadap
tindakan-tindakan yang tidak terotorisasi.
b) Pengendalian Input (Input Control)
Menurut Weber (1999, p420), berpendapat, “Components in the
input subsystem are responsible for bringing both data and instructions
into an application controls”. Intinya adalah komponen dalam
subsistem input bertanggung jawab untuk memasukkan data dan
instruksi ke dalam sisten aplikasi. Kedua jenis input tersebut harus
divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol
sehingga input yang dimasukkan akurat, lengkap dan tepat waktu.
Pengendalian input merupakan hal kritis yang didasarkan tiga
alasan, yaitu jumlah pengendalian yang paling besar pada sistem
informasi terhadap kehandalan subsitem input, aktivitas pada sub yang
bersifat rutin dalam jumlah besar dan campur tangan manusia dapat
mengalami kebosanan sehingga cenderung mengalami error, sub input
sering menjadi target kecurangan. Banyak ketidakberesan yang
ditemukan dengan cara penambahan, penghapusan atau pengubahan
transaksi di input.
23
Pengendalian input sangat penting dilakukan karena :
1. Pada sistem informasi kontrol yang besar jumlahnya adalah
pada subsistem input, sehingga auditor harus memberikan
perhatian yang lebih kepada keandalan pengendalian input yang
ada.
2. Aktivitas subsistem input terkadang melibatkan besarnya
rutinitas, campur tangan manusia yang monoton, sehingga dapat
menyebabkan terjadinya kesalahan.
3. Subsistem input sering menjadi sasaran tindak kejahatan (fraud)
banyak kegiatan yang tidak seharusnya dilakukan yang
melibatkan penambahan, pengurangan, atau perubahan input
transaksi.
c) Process Control
Menurut Gondodiyoto (2003, p144), “Pengendalian proses
adalah pengendalian intern untuk mendeteksi jangan sampai data
(khususnya data yang sesungguhnya sudah valid) menjadi error karena
adanya kesalahan proses. Kemungkinan penyebabnya terjadinya error
adalah kesalahan logika program, salah rumus, salah urutan program,
ketidakterpaduan antara subsistem ataupun kesalahan teknis lainnya”.
24
d) Pengendalian Output (Output Control)
Digunakan untuk memastikan bahwa data yang diproses tidak
mengalami perubahan yang tidak sah oleh operator komputer dan
memastikan hanya orang yang berwenang saja yang menerima output.
Pengendalian output berupa :
1. Mencocokkan data output (khususnya total pengendalian)
dengan total pengendalian yang sebelumnya telah ditetapkan
yang diperoleh dalam tahap input dari siklus pemrosesan.
2. Mereview data output untuk melihat format yang tepat yang
terdiri dari judul laporan, tanggal dan waktu pencetakan,
banyaknya copy laporan untuk masing-masing pihak yang
berwenang, periode laporan, nama program (termasuk versinya
yang menghasilkan laporan), nama personil yang bertanggung
jawab atas dikeluarkannya laporan tersebut, masa berlaku
laporan, nomor halaman, tanda akhir halaman.
3. Mengendalikan data input yang ditolak oleh komputer selama
pemrosesan dan mendistribusikan data yang ditolak itu ke
personil yang tepat.
4. Mendistribusikan laporan-laporan output ke departemen
pemakai tepat pada waktunya.
25
e) Pengendalian Basis Data (Database Control)
Menurut Weber (1999, p563), berpendapat bahwa “the database
subsystem provides function to difine, create, modify, delete, and read
data in an informations system”. Intinya adalah bahwa subsistem
database menyediakan fungsi-fungsi untuk mendefinisikan,
menciptakan, memodifisikan, menghapus, dan membaca data di dalam
suatu sistem inforormasi.
f) Pengendalian Komunikasi (Communication Control)
Menurut Weber (1999, p474), berpendapat bahwa “The
Communication subsystem is responsible for transporting data among
all the others subsystem within a system and for transporting data to or
receiving data from another system”. Intinya adalah subsistem
komunikasi bertanggung jawab untuk pengiriman data ke subsistem
yang lain pada suatu sistem dan untuk pengiriman data ke penerima
data dari sistem yang lain.
2.3 Konsep Audit Sistem Informasi
2.3.1 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p10), audit system informasi adalah proses
pengumpulan dan pengevaluasian bukti untuk menentukan apakah system
komputer dapat melindungi asset kekayaan, memelihara integritas data,
memungkinkan sumber daya yang efisien. Menurut Gondodiyoto (2003, p151),
26
EDP-Audit (Electronic Data Processing) atau sering juga disebut dengan audit
sistem informasi adalah proses pengumpulan dan penilaian bahan bukti audit
untuk dapat menentukan apakah system komputerisasi perusahaan telah
menggunakan aset sistem informasi secara tepat dan mampu mendukung
pengamanan aset tersebut, memelihara kebenaran dan integritas data dalam
pencapaian tujuan perusahaan secata efektif dan efisien. Dengan demikian
dapat disimpulkan bahwa pengertian audit sistem informasi adalah
pengumpulan dan pemeriksaan terhadap sekumpulan elemen-elemen dalam hal
ini yaitu sekumpulan informasi yang membentuk suatu sistem untuk mencapai
tujuan perusahaan.
2.3.2 Pentingnya Audit Sistem Informasi
Menurut Weber (1999, p5-10), faktor yang mendorong pentingnya
audit sistem informasi adalah untuk:
1. Mendeteksi agar komputer tidak dikelolah secara kurang
terarah, tidak ada visi, misi, perencanaan teknologi, pimpinan
organisasi yang tidak peduli dan tidak ada pelatihan serta pola
karir personil yang baik.
2. Mendeteksi resiko kehilangan data.
3. Mendeteksi resiko pengambilan keputusan yang salah akibat
informasi hasil proses sistem terkomputerisasi salah atai lambat
atau tidak lengkap.
27
4. Menjaga aset perusahaan karena nilai hardware, software dam
personil yang lazimnya tinggi.
5. Mendeteksi resiko error pada komputer.
6. Mendeteksi resiko penyalahgunaan komputer (fraud).
7. Menjaga kerahasiaan, maksudnya ialah bahwa system informasi
berbasis komputer (apalagi yang didesain dengan jaringan
publik), hendaknya mempunyai kemampuan untuk memproteksi
data, aman terjaga privacy para penggunanya.
Meningkatkan pengendaliaan evolusi penggunaan komputer, yaitu
jangan sampai suatu organisasi atau perusahaan malakukan komputerisasi
secara tidak terkendali sehingga terjadi pemborosan-pemborosan atau tingkat
keamanan yang kurang memadai.
2.3.3 Tujuan Audit Sistem Informasi
Menurut Weber (1999, p11), secara garis besar dibagi menjadi empat,
antar lain:
1. Meningkatkan keamanan aset-aset perusahaan
2. Meningkatkan integritas data
3. Meningkatkan efektifitas sistem
4. Meningkatkan efisiensi system
28
Dari uraian diatas dapat disimpulkan tujuan audit sistem informasi
adalah untuk menjaga dan meningkatkan keamanan aset-aset perusahaan serta
meningkatkan kehandalan, efektifitas serta efisiensi sistem.
2.3.4 Metode Audit Sistem Informasi
Menurut Weber dalam bukunya “Information System Control And
Audit” (1999, p56 - 57), metode audit terdiri dari :
1. Auditing Around The Computer
Adalah mentrasir balik (traceback) hasil pengelolahan komputer
antara lain output ke bukti dasarnya antara lain input tanpa
melihat prosesnya.
2. Auditing Throught The Computer
Auditor harus memperlakukan komputer sebagai target audit
dan melakukan audit through atau memasuki area program.
Oleh karena itu, pendekatan auditing throught the computer
termasuk juga dalam CAATs (Computer Assisted Audit
Technique), yaitu Teknik Audit Berbantuan Komputer (TABK).
2.3.5 Standar Audit
Standar auditing merupakan pedoman bagi auditor dalam menjalankan
tanggung jawab profesionalnya. Standar-standar ini meliputi pertimbangan
mengenai kualitas profesional mereka, seperti keahlian dan independensi,
29
persyaratan pelaporan dan bahan bukti. Pedoman utama adalah sepuluh (10)
standar auditing atau 10 Generally Accepted Auditing Standar-GAAS.
Kesepuluh standar tersebut adalah :
1) Standar Umum:
a. Audit harus dilaksanakan oleh seseorang atau lebih yang
memiliki keahlian dan pelatihan teknis cukup sebagai auditor.
b. Dalam semua hal yang berhubungan dengan penugasan,
independensi dalam sikap mental harus dipertahankan oleh
auditor.
c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor
wajib menggunakan kemahiran profesionalnya secara cermat
dan seksama.
2) Standar Pekerjaan Lapangan :
a. Pekerjaan harus direncanakan sebaik-baiknya dan jika
digunakan asisten harus disupervisi dengan semestinya.
b. Pemahaman yang memadai atas struktur pengendalian intern
harus diperoleh untuk merencanakan audit dan menentukan
sifat, saat, dan lingkup pengujian yang harus dilakukan.
c. Bukti audit yang kompeten yang cukup harus diperoleh melalui
inspeksi, pengamatan, pengajuan pertanyaan dan konfirmasi
sebagai dasar yang memadai untuk menyatakan pendapat atas
laporan keuangan yang diaudit.
30
3) Standar Lapangan:
a. Laporan audit harus menyatakan apakah laporan keuangan telah
disusun sesuai dengan prinsip akuntansi yang berlaku umum.
b. Laporan audit harus menunjukkan keberadaan yang di dalamnya
prinsip akuntansi tidak secara konsisten ditetapkan dalam
penyusunan laporan keuangan periode berjalan dalam
hubungannya dengan prinsip akuntansi yang ditetapkan dalam
periode sebelumnya.
c. Pengungkapan informatif dalam laporan keuangan harus
dipandang memadai, kecuali dinyatakan lain dalam laporan
audit.
d. Laporan audit harus memuat suatu pernyataan pendapat
mengenai laporan keuangan secara keseluruhan atau suatu asersi
bahwa pernyataan demikian tidak dapat diberikan. Jika pendapat
secara keseluruhan tidak dapat diberikan, maka alasannya harus
dinyatakan. Dalam semua hal yang mana auditor dihubungkan
dengan laporan keuangan, laporan auditor harus memuat
petunjuk yang jelas mengenai sifat pekerjaan auditor, jika ada,
dan tingkat tanggung jawab yang dipikulnya.
31
2.3.6 Standar ISACA (Information Systems Audit and Control
Association)
Adapun menurut Information Systems Audit and Control Association
(ISACA) (dalam Gondodiyoto, 2006, p68-70), standar untuk audit sistem
informasi adalah :
1. Audit Charter
1.1 Responsibility, Authority and Accountability
Definisi dari tanggung jawab, otoritas, dan accountability dari
fungsi audit sistem informasi lebih tepat bila didokumentasi
dalam suatu perjanjian.
2. Independen
2.1 Profesional Independence
Dalam permasalahan yang berkaitan dengan audit, auditor
sistem informasi harus bersikap independen dalam tingkah laku
dan tindakannya.
2.2 Organizational Relationship
Fungsi audit sistem informasi harus berada independen dari area
yang diaudit untuk mencapai tujuan objektivitas dari suatu
proses audit.
3. Profesional Ethics and Standards
3.1 Code of Profesional Ethics
32
Auditor dari sistem informasi harus menghormati dan mentaati
etika profesional dari Information System Audit and Control
Association.
3.2 Due Profesional Care
Standard auditing profesional harus diterapkan dalam segala
aspek dalam pekerjaan yang dilakukan oleh auditor sistem
informasi.
4. Competence
4.1 Continuing Professional Education
Auditor sistem informasi harus me-maintenance kompetensi
teknikal melalui pendidikan lanjut profesional.
5. Planning
5.1 Audit Planning
Auditor sistem informasi harus merencanakan perencanaan
audit sistem untuk menempatkan tujuan audit dan untuk
melengkapi standar profesional audit.
6. Performance of Audit Work
6.1 Supervision
33
Staff dari audit sistem informasi harus tepat untuk dapat
menjamin tujuan dari audit yang dijalankan dan standar
profesional auditing dapat terpenuhi.
6.2 Evidence
Selama masa pekerjaan audit, auditor sistem informasi harus
mendapatkan bukti yang tepat, dapat dipercaya, relevan dan
berguna untuk mencapai tujuan objektif dari suatu audit.
7. Reporting
7.1 Report Content and Form
Auditor sistem informasi harus menyediakan report dalam
bentuk yang tepat pada saat penyelesaian tugas audit. Laporan
audit berupa lingkup, tujuan, periode audit, dan lingkungan
dimana audit dijalankan. Laporan audit harus mengidentifikasi
permasalahan yang terjadi dalam jangka waktu audit. Laporan
audit juga untuk memberikan rekomendasi dari layanan atau
kualifikasi yang diberikan auditor terhadap tugas audit yang
dijalankan.
8. Follow Up Activities
8.1 Follow Up
Auditor sistem informasi harus meminta dan mengevaluasi
informasi yang sesuai dari penemuan yang terdahulu dan
34
rekomendasi yang dihasilkan pada periode audit terdahulu untuk
mendefinisikan tindakan yang tepat yang harus
diimplementasikan dalam satu periode.
2.3.7 Prosedur Audit Sistem Informasi
Menurut Weber dalam bukunya “Information System Control And
Audit” (1999, p45-46), terdapat empat jenis prosedur audit,, yaitu :
1) Prosedures To Obtain An Understanding Of Controls :
Penyelidikan, pemeriksaan, observasi dapat digunakan untuk
memperoleh sebuah pengertian mengenai apakah kontrol itu
ada, seberapa bagus kontrol itu dibuat atau dirancang dan
apakah kontrol itu digunakan dalam kegiatan operasional.
2) Test Of Control :
Penyelidikan, pemeriksaan, pengamatan, dan penerapan
prosedur kontrol dapat digunakan untuk mengevaluasi apakah
kontrol tersebut beroperasi secara efektif.
3) Subtantive Test Of Details Of Account Balances :
Pengujian (test) ini digunakan untuk mengetahui apakah
transaksi telah dibukukan dengan benar.
4) Analytical Review Procedures :
Pengujian (test) ini fokus pada hubungan antara data dengan
tujuan audit.
35
2.3.8 Instrument Audit Sistem Informasi
Menurut Weber dalam bukunya “Information System Control And
Audit” (1999, p789-810) terdapat tiga instrument audit sistem informasi yaitu:
1. Wawancara (Interview)
Auditor merupakan wawancara dengan orang-orang yang
berhubungan dengan sistem yang berjalan dalam perusahaan.
2. Check List
Check list digunakan untuk mengetahui kehandalan sistem
dengan mengajukan pertanyaan kepada pihak-pihak terkait.
Kemudian auditor memeriksa jawaban-jawaban yang diberikan
untuk menentukan kehandalan sistem.
3. Control Flowchart
Control flowchart menunjukkan pengendalian apa yang ada
dalam perusahaan dan dimana letak pengendalian tersebut.
2.4 Persediaan
2.4.1 Definisi Persediaan
Niswonger, Waren, Reeve dan Fess (2002, p350), mendefinisikan
bahwa, “Inventory is merchandise held for sell in the normal course of
business and materials in the process of production or held for production”.
Secara garis besar dapat diartikan bahwa persediaan adalah barang-barang
yang disimpan untuk penjualan dalam proses bisnis ataupun bahan baku dalam
proses produksi yang disimpan dan digunakan untuk keperluan produksinya.
36
Menurut Mulyadi (2001, p112), berpendapat bahwa, “inventory atau
persediaan terdiri dari barang dagangan yang dimaksud untuk diperjualbelikan
serta bahan baku dan bahan pembantu yang dipakai dalam proses produksi
barang yang akan dijual”.
Berdasarkan pendapat diatas penulis menyimpulkan bahwa persediaan
adalah barang atau material yang dapat berupa bahan baku, bahan setengah jadi
dan bahan jadi yang tersedia di gudang yang dapat digunakan untuk
mendukung perusahaan dalam mencapai tujuannya.
2.4.2 Jenis Persediaan
Menurut Mulyadi (2001, p553), kita dapat membagi jenis persediaan ke
dalam lima bentuk yaitu :
1. Persediaan bahan baku.
Yaitu persediaan barang berwujud yang digunakan dalam
produksi, barang tersebut diperoleh dari sumber-sumber alam
ataupun dibeli dari pemasok atau perusahaan lain.
2. Persediaan suku cadang.
Yaitu persediaan yang terdiri dari suku cadang atau komponen-
komponen rakitan yang menunjang proses produksi.
3. Persediaan bahan penolong.
Yaitu persediaan yang diperlukan dalam proses produksi untuk
membantu proses tersebut tetapi bukan merupakan komponen
utama.
37
4. Persediaan barang dalam proses.
Yaitu persediaan yang merupakan keluaran dari bagian dalam
proses produksi yang telah diolah menjadi suatu bentuk, tetapi
perlu diproses lebih lanjut untuk menjadi barang jadi.
5. Persediaan produk jadi.
Yaitu persediaan yang telah selesai diproses atau diolah dalam
pabrik dan siap untuk dipasarkan.
2.4.3 Fungsi Persediaan
Menurut Mulyadi (2002, p242), ada lima fungsi dari persediaan, yaitu:
1) Untuk melakukan pembatasan terhadap inflasi dan perubahan
harga.
2) Untuk menghindari dari kekurangan stok yang dapat terjadi
karena cuaca, kekurangan pasokan, masalah mutu, atau
pengiriman yang tidak tepat.
3) Untuk memberikan suatu stok barang-barang agar dapat
memenuhi permintaan yang diantisipasi akan timbul dari
produsen.
4) Untuk mengambil keuntungan dari potongan jumlah, karena
pembelian dalam jumlah besar dapat secara substansial
menurunkan biaya.
5) Untuk memasangkan produksi dengan distribusi. Misalnya jika
permintaan produk tinggi hanya pada musim panas, suatu
38
perusahaan dapat membentuk stok pada musim tinggi sehingga
biaya kekurangan stok dan kehabisan stok dapat dihindari.
2.4.4 Metode Pencatatan Persediaan
Menurut Mulyadi (2001, p556), ada dua macam metode pencatatan
persediaan yaitu :
a) Metode Mutasi Persediaan (Perpetual Inventory Method)
Dalam metode mutasi persediaan, setiap mutasi persediaan
dicatat dalam kartu persediaan.
b) Metode Persediaan Fisik (Physical Inventory Method)
Dalam metode persediaan fisik, hanya ditambah persediaan dari
pembelian saja yang dicatat, sedangkan mutasi berkurangnya
persediaan karena pemakaian tidak dicatat dalam kartu
persediaan.
2.4.5 Metode Penilaian Persediaan
Menurut Skousen (2001, p524), ada tiga metode dalam melakukan
penilaian persediaan, yaitu :
1. Metode FIFO (First In First Out)
Metode ini didasarkan asumsi bahwa harga yang terjual, dinilai
menurut harga pembelian barang yang terdahulu (pertama)
masuk. Dengan demikian, persediaan akhir dinilai menurut
harga pembelian barang yang terakhir masuk.
39
2. Metode LIFO (Last In First Out)
Metode ini didasarkan atas asumsi bahwa harga yang sudah
terjual dinilai menurut harga pembelian barang yang terakhir
masuk sehingga persediaan yang masih ada dinilai berdasarkan
harga pembelian barang yang terdahulu.
3. Metode Rata-Rata (Weight Average Method)
Metode ini didasarkan atas harga rata-rata, dimana harga
tersebut dipengaruhi jumlah barang yang diperoleh pada
masing-masing harganya. Dengan demikian persediaan dinilai
berdasarkan harga rata-rata.
2.4.6 Pengendalian Pada Persediaan
Mengacu pada Warren (2005), terdapat dua tujuan utama dari
pengendalian internal pada persediaan yaitu: perlindungan terhadap persediaan
yang ada dan pelaporan persediaan yang wajar di dalam laporan keuanga.
Pengendalian internal pada persediaan dapat bersifat preventif maupun detektif:
a) Pengendalian Preventif (Preventive Control)
Pengendalian ini dilakukan untuk mencegah kemungkinan
terjadinya error atau kesalahan dalam penyajian.
b) Pengendalian Detektif (Detective Control)
Pengendalian ini dilakukan untuk mendeteksi error atau
kesalahan penyajian yang telah terjadi.
40
2.4.7 Teknik Penilaian Resiko
Menurut buku Woolf (1999, p167) yang berjudul Auditing Today,
penilaian resiko sistem informasi dibagi menjadi beberapa tingkatan kategori,
yaitu :
a) Low
Resiko dinilai jarang terjadi dan tidak dapat mempengaruhi
operasi perusahaan ataupun sistem internal kontrol dalam suatu
organisasi.
b) Medium
Resiko yang dinilai jarang atua sering terjadi tetapi dapat
memberikan dampak yang tidak terlalu mempengaruhi operasi
perusahaan dan sistem internal kontrol dalam organisasi.
c) High
Resiko yang dinilai sering terjadi dan secara langsung dapat
mempengaruhi kegiatan operasi perusahaan dan mengancam
sistem internal kontrol organisasi.
2.4.8 Penetapan Penilaian Resiko
Penetapan penilaian resiko Sistem Informasi Persediaan Barang Habis
Pakai pada PT. Loka Mampang Indah Realty, menggunakan level penilaian
pesiko. Level Penilaian Resiko merupakan suatu cara untuk menganalisa
seberapa besar pengaruh kemungkinan terjadinya ancaman (Threat Likelihood)
terhadap akibat yang ditimbulkan (Impact).
41
Likelihood Likelihood Definition
High Sumber ancaman dianggap sangat mungkin terjadi, dan
control untuk mencegah vulnerabilitas terjadi dianggap tidak
efektif.
Medium Sumber ancaman mungkin terjadi, tetapi control diterapkan
ditempat yang dapat mengganggu keberhasilan pencegahan
vulnerabilitas.
Low Sumber ancaman kecil kemungkinan terjadi, atau control
diterapkan untuk mencegah, atau sebaliknya menghalangi
vulnerabilitas.
Tabel 2.1 Definisi Likelihood level ( Level Kemungkinan Terjadi ) Sumber : www.nist.org
Risk Level Risk Description and Necessary Action
High Jika sebuah temuan dievaluasi sebagai High Risk, maka
penting untuk mempertimbangkan tindakan perbaikan.
Medium Jika sebuah temuan ditentukan sebagai Medium Risk, tindakan
perbaikan diperlukan dan sebuah rencana harus diterapkan.
Low Jika sebuah temuan ditentukan sebagai Low Risk,
dipertimbangkan apakah diperlukan perbaikan atau
memutuskan untuk menerima resiko.
Tabel 2.2 Definisi Magnitude of Impact (Besar Dampak Resiko) Sumber : www.nist.org
42
Besarnya nilai Threat Likelihood dinyatakan dengan:
a. High (H) diberi nilai 1.0
b. Medium (M) diberi nilai 0.5
c. Low (L) diberi nilai 0.1
Sedangkan besarnya nilai Impact dinyatakan dengan:
a. High (H) diberi nilai 100
b. Medium (M) diberi nilai 50
c. Low (L) diberi nilai 10
Threat Likelihood Impact
Low (10) Medium(50) High(100)
High (1.0) Medium
10 x 1.0 = 10
High
50 x 1.0 = 50
High
100 x 1.0 = 100
Medium (0.5) Low
10 x 0.5 = 5
Medium
50 x 0.5 = 25
High
100 x 0.5 = 50
Low (0.1) Low
10 x 0.1 = 1
Low
50 x 0.1= 5
Medium
100 x 0.1= 10
Tabel 2.3 Matriks Penilaian Resiko Sumber : www.nist.org
43
Teknik perhitungan dalam level penilaian resiko menggunakan fungsi
perkalian antara Threat Likelihood dengan impact. Caranya yaitu:
1. Tentukan kemungkinan terjadinya ancaman (Threat Likelihood)
berdasarkan nilai yang ada, apakah high, medium, atau low.
2. Kemudian tentukan dampak yang mungkin terjadi (Impact) berdasarkan
nilai yang ada apakah high, medium, atau low.
3. Setelah itu kalikan antara Threat Likelihood dengan Impact.
4. Hasil perkalian tersebut dijumlahkan dan dibagi dengan jumlah
pertanyaan.
5. Hasil pembangian tersebut dinilai dengan menggunakan Risk Scale
apakah termasuk kategori high, medium, atau low.
6. Ancaman yang akan dijadikan resiko dan diberikan rekomendasinya
hanya kategori medium dan high.
Low Medium High
Risk Scale 1 to 9 ≥ 10 to 49 ≥ 50 to 100
Tabel 2.4 Risk Scale
Sumber : www.nist.org