BAB 2 LANDASAN TEORI

Transkripsi

1 BAB 2 LANDASAN TEORI 2.1 Sistem Informasi Pengertian Sistem Menurut Mulyadi (2001, p2), sistem merupakan kelompok unsur yang erat berhubungan satu dengan yang lainnya, yang berfungsi bersamasama untuk mencapai tujuan tertentu. Suatu sistem terdiri dari struktur dan proses, dimana struktur sistem merupakan unsur-unsur yang membentuk sistem tersebut, sedangkan proses sistem menjelaskan cara kerja setiap unsur sistem tersebut dalam mencapai tujuan sistem. Setiap sistem merupakan bagian dari sistem lain yang lebih besar dan terdiri dari berbagai sistem yang lebih kecil, yang disebut sebagai suatu subsistem. Menurut O Brien (2005, p714), sistem merupakan sekelompok komponen yang bekerja bersama menuju tujuan yang bersama dengan menerima input serta menghasilkan output dalam proses transformasi yang teratur. Menurut McLeod (2001, p11), sistem adalah sekelompok elemen yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan. Dari pendapat-pendapat di atas maka dapat disimpulkan bahwa sistem adalah sekelompok elemen yang saling berkaitan dan membentuk kesatuan serta bekerja bersama dalam mencapai tujuan tertentu. 8

2 Pengertian Sistem Informasi Menurut O Brien (2005, p5), sistem informasi dapat merupakan kombinasi teratur apapun dari orang orang, hardware, software, jaringan komunikasi dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi. Menurut Hall (2001, p7), sistem informasi diartikan sebagai rangkaian prosedur formal dimana data dikumpulkan, diproses menjadi informasi dan didistribusikan kepada para pemakai. Maka dapat disimpulkan sistem informasi merupakan kumpulan dari orang-orang, hardware, software, jaringan komunikasi, sumber daya data yang berinteraksi untuk mengumpulkan, memproses, menyimpan dan menyediakan sebagai output informasi yang diperlukan untuk mendukung sebuah organisasi. 2.2 Evaluasi Pengertian Evaluasi Menurut Suharsimi Arikunto (2004), evaluasi adalah kegiatan untuk mengumpulkan informasi tentang bekerjanya sesuatu, yang selanjutnya informasi tersebut digunakan untuk menentukan alternatif yang tepat dalam mengambil keputusan. Menurut Arikunto (1999), evaluasi adalah suatu rangkaian kegiatan yang dilakukan dengan sengaja untuk melihat keberhasilan program. Dari pengertian-pengertian tentang evaluasi yang telah dijabarkan diatas, maka dapat disimpulkan bahwa evaluasi merupakan alat bantu bagi

3 10 pimpinan suatu organisasi dalam membuat suatu keputusan. Evaluasi merupakan sebuah proses yang dilakukan oleh seseorang untuk mencari informasi tentang prosedur tertentu dan sejauh mana keberhasilan program yang digunakan oleh suatu organisasi dalam mendukung operasional bisnisnya. 2.3 Sistem Informasi Akuntansi Pengertian Sistem Informasi Akuntansi Menurut Jones dan Rama (2003, p4), sistem informasi akuntansi merupakan kumpulan kegiatan yang mendukung aktivitas sistem informasi manajemen, dimana sistem informasi manajemen merupakan sistem yang menangkap data organisasi, menyimpan dan memelihara data tersebut dan menyediakan informasi yang bermanfaat untuk fungsi produksi, pemasaran, sumber daya manusia, akuntansi dan keuangan. Menurut Bodnar dan Hopwood (2001, p1), sistem informasi akuntansi adalah kumpulan dari sumber daya, seperti manusia dan peralatan yang diatur untuk mengubah data keuangan dan data lainnya menjadi informasi. Menurut Romney dan Steinbart (2003, p691), sistem informasi akuntansi adalah manusia dan sumber daya di dalam sebuah organisasi yang bertanggung jawab untuk mempersiapkan informasi keuangan dan informasi yang diperoleh dengan mengumpulkan dan memproses transaksitransaksi perusahaan.

4 11 Dari beberapa pengertian di atas maka dapat disimpulkan bahwa sistem informasi akuntansi merupakan proses pengolahan data yang hasilnya berguna untuk membuat laporan keuangan untuk fungsi-fungsi yang ada dalam organisasi sehingga dapat mendukung aktivitas sistem informasi manajemen. Menurut Romney dan Steinbart (2003, p2), Komponen dalam sistem informasi akuntansi terdiri dari lima, antara lain: a. People Orang yang menjalankan sistem dan berbagai fungsi. b. Procedures and Instructions Keduanya manual dan otomatis, terlibat dalam pengumpulan, pengolahan, dan penyimpanan data mengenai aktivitas organisasi. c. Data Data mengenai proses bisnis organisasi. d. Software Software digunakan untuk memproses data organisasi. e. Information Technology Infrastructure Information Technology Infrastructure termasuk komputer, perangkatperangkat lainnya, dan perangkat jaringan komunikasi yang digunakan untuk mengumpulkan, menyimpan, mengolah, dan mengirimkan data dan informasi.

5 Tujuan Pengembangan Sistem Informasi Akuntansi Menurut Jones dan Rama (2003, p6), tujuan sistem informasi akuntansi adalah : a. Producting External Report Bisnis menggunakan sistem informasi manajemen untuk menghasilkan laporan-laporan khusus untuk kepuasan kebutuhan investor, kreditor, tax collector, regulatory, agencies, dan lain-lain. b. Supporting Routine Activities Manager memerlukan sistem informasi manajemen untuk menangani kegiatan operasi rutin perusahaan selama masa operasi perusahaan. c. Decision Support Informasi juga dibutuhkan untuk mengambil keputusan non rutin pada sebuah tingkat dalam organisasi. d. Planning and Control Sistem informasi diperlukan untuk aktivitas perencanaan dan pengendalian yang baik. e. Implementating Internal Control Yang termasuk dalam internal control adalah kebijakan, prosedur, dan sistem informasi yang digunakan untuk melindungi asset perusahaan dari kehilangan dan memelihara keakuratan data finansial.

6 Sistem Informasi Penjualan Pengertian Sistem informasi Penjualan Menurut Mulyadi (2001, p202), kegiatan penjualan barang dan jasa dapat dibedakan menjadi dua jenis yaitu : a. Sistem Penjualan Tunai Penjualan secara tunai dilakukan perusahaan dengan cara mewajibkan pembeli melakukan pembayaran terlebih dahulu sebelum barang diserahkan. Setelah uang diterima oleh perusahaan, barang kemudian diserahkan kepada pembeli. b. Sistem Penjualan Kredit Penjualan secara kredit dilaksanakan dengan cara mengirim barang dahulu kepada pembeli berdasarkan pesanan, dengan pembayaran ditagih dalam jangka waktu tertentu Sistem Penjualan Kredit Fungsi-Fungsi yang Terkait Dalam Sistem Penjualan Kredit Menurut Mulyadi (2001, p211), fungsi-fungsi yang terkait dalam sistem penjualan kredit adalah sebagai berikut : a. Fungsi Penjualan Fungsi ini bertanggung jawab untuk menerima surat order dari pembeli, mengedit order dari pelanggan untuk menambahkan informasi yang belum ada pada surat order tersebut (seperti spesifikasi barang dan rute pengiriman), meminta organisasi kredit, menentukan tanggal pengiriman,

7 14 dan dari gudang mana barang akan dikirim, serta mengisi surat order pengiriman. b. Fungsi Kredit Fungsi ini bertanggung jawab untuk meneliti status kredit pelanggan dan memberikan otorisasi pemberian kredit kepada pelanggan. Sebelum order dari pelanggan dipenuhi, harus terlebih dahulu diperoleh otorisasi penjualan kredit dari fungsi kredit. Pengecekan status kredit perlu dilakukan sebelum fungsi penjualan mengisi surat order penjualan. c. Fungsi Gudang Fungsi ini bertanggung jawab untuk menyimpan barang dan menyiapkan barang yang dipesan oleh pelanggan, serta menyerahkan barang ke fungsi pengiriman. d. Fungsi Pengiriman Fungsi ini bertanggung jawab untuk menyerahkan barang atas surat order pengiriman yang diterimanya dari fungsi penjualan. Selain itu bertanggung jawab untuk menjamin bahwa tidak ada barang yang keluar dari perusahaan tanpa ada otorisasi dari yang berwenang. e. Fungsi Penagihan Fungsi ini bertanggung jawab untuk membuat dan mengirimkan faktur penjualan kepada pelanggan, serta menyediakan copy faktur bagi kepentingan catatan transaksi penjualan oleh fungsi akuntansi.

8 15 f. Fungsi akuntansi Fungsi ini bertanggung jawab untuk mencatat piutang dari transaksi penjualan kredit, membuat dan mengirimkan pernyataan piutang kepada para debitur, serta membuat laporan penjualan. Selain itu bertanggung jawab untuk mencatat harga pokok persediaan yang dijual ke dalam persediaan Prosedur Sistem Penjualan Kredit Menurut Mulyadi (2001, p210), penjualan kredit dilaksanakan oleh perusahaan dengan cara mengirimkan baran g sesuai dengan order yang diterima dari pembeli dan untuk jangka waktu tertentu perusahaan mempunyai tagihan kepada pembeli tersebut. Menurut Mulyadi (2001, p219), jaringan prosedur yang membentuk sistem penjualan kredit adalah sebagai berikut : a. Prosedur Order Penjualan Dalam prosedur ini, fungsi penjualan menerima order dari pembeli dan menambahkan informasi penting pada surat order dari pembeli. Fungsi penjualan kemudian membuat surat order pengiriman dan mengirimkannya kepada berbagai fungsi lain yang memungkinkan fungsi tersebut memberikan kontribusi dalam melayani order dari pembeli.

9 16 b. Prosedur Persetujuan Kredit Dalam prosedur ini, fungsi penjualan meminta persetujuan kredit kepada pembeli tertentu dari fungsi kredit. c. Prosedur Pengiriman Dalam prosedur ini, fungsi pengiriman mengirimkan barang kepada pembeli sesuai dengan informasi yang tercantum dalam surat order pengiriman yang diterima dari fungsi pengiriman. d. Prosedur Penagihan Dalam prosedur ini, fungsi penagihan membuat faktur penjualan dan mengirimkannya kepada pembeli. Dalam metode tertentu faktur penjualan dibuat oleh fungsi penjualan sebagai tembusan pada waktu bagian ini membuat surat order pengiriman. e. Prosedur Pencatatan Piutang Dalam prosedur ini, fungsi akuntansi mencatat tembusan faktur penjualan kedalam kartu piutang atau dalam metode pencatatan tertentu mengarsipkan dokumen tembusan menurut abjad yang berfungsi sebagai catatan piutang. f. Prosedur Distribusi Penjualan Dalam prosedur ini, fungsi akuntansi mendistribusikan data penjualan menurut informasi yang diperlukan oleh manajemen.

10 17 g. Prosedur Pencatatan Harga Pokok Penjualan Dalam prosedur ini, fungsi akuntansi mencatat secara periodik total harga pokok produk yang dijual dalam periode akuntansi tertentu Dokumen Penjualan Menurut Mulyadi (2001, p214), dokumen yang digunakan dalam penjualan meliputi: a. Surat Order Pengiriman dan Tembusannya Surat Order Pengiriman yang memberikan otorisasi kepada fungsi pengiriman untuk mengirimkan jenis barang dan jumlah barang yang tertera dalam dokumen. b. Faktur dan Tembusannya Faktur penjualan diserahkan kepada pelanggan serta tanda bukti bahwa barang telah diterima pelanggan dan perusahaan menggunakannya untuk menagih kepada pelanggan dan dipakai sebagai dasar pencatatan timbulnya piutang. c. Rekapitulasi Harga Pokok Penjualan Dokumen yang digunakan untuk menghitung total HPP ( Harga Pokok Penjualan ) yang dijual dalam periode tertentu. d. Bukti Memorial Dokumen sumber untuk dasar pendapatan ke dalam jurnal umum. Pada penjualan kredit, bukti memorial ini merupakan

11 18 dokumen sumber untuk mencatat HPP ( Harga Pokok Penjualan ) yang dijual dalam periode tertentu. 2.5 Audit Pengertian Audit Menurut Arens dan Loebbecke yang diterjemahkan Jusuf (2003, p 1), auditing adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan kriteria-kriteria yang telah ditetapkan. Menurut James A. Hall (2001, p42), auditing adalah salah satu bentuk pengujian independen yang dilakukan oleh seorang auditor yang menunjukkan pendapatnya tentang kejujuran laporan keuangan. Jadi dapat disimpulkan bahwa pengertian audit adalah kegiatan memperoleh dan mengevaluasi bukti audit oleh auditor berdasarkan standar atau kinerja yang telah ditetapkan untuk menghasilkan laporan keuangan yang jujur Jenis Jenis Audit Pada umumnya kegiatan audit dapat diklasifikasikan di dalam beberapa jenis audit. Menurut Aren & Loebbecke (2003, p4), terdapat tiga jenis audit yaitu :

12 19 1. Audit Laporan Keuangan (Financial Statement Audit) Audit laporan keuangan bertujuan untuk menentukan apakah laporan keuangan secara keseluruhan yang merupakan informasi terukur yang akan diverifikasi telah disajikan sesuai dengan kriteria-kriteria tertentu. 2. Audit Ketaatan (Compliance Audit) Audit ketaatan bertujuan umtuk mempertimbangkan apakah audit telah mengikuti prosedur atau aturan yang telah ditetapkan pihak yang memiliki otoritas lebih tinggi. 3. Audit Operasional (Operational Audit) Audit operasional merupakan penelahaan atas bagian manapun dari prosedur dan metode operasional untuk menilai efisiensi dan efektivitasnya. 2.6 Audit Sistem Informasi Pengertian Audit Sistem informasi Menurut Arens dan Loebbecke (2003, p1), untuk melakasanakan audit diperlukan informasi yang dapat diverifikasi dan sejumlah standar atau kriteria yang dapat digunakan sebagai penangananan pengevaluasian informasi tersebut. Supaya dapat diverifikasi, informasi harus dapat diukur. Menurut Weber (1999, p10), audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sistem komputer dapat melindungi aktiva-aktiva, menjaga integritas data,

13 20 mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien. Dapat disimpulkan bahwa pengertian audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti oleh orang yang kompeten dan independen untuk menetapkan apakah sistem yang dijalankan sesuai dengan kriteria yang telah ditetapkan Tujuan Audit Sistem informasi Menurut Gondodiyoto (2007, p ), tujuan audit sistem informasi adalah : a. Pengamanan Aset Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, dan file/data harus dijaga dengan sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. b. Efektifitas Sistem Efektifitas sistem informasi perusahaan memiliki peranan dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan benar, telah sesuai dengan kebutuhan user. c. Efisiensi Sistem Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih

14 21 memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal. d. Ketersediaan (Avaibility) Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi (TI). TI hendaknya dapat mendukung secara kontinyu terhadap proses bisnis (kegiatan perusahaan). Makin sering terjadi gangguan (system down) maka berarti tingkat ketersediaan sistem rendah. e. Kerahasiaan (Confidentiality) Fokusnya ialah pada proteksi terhadap informasi dan supaya terlindungi dari akses dari pihak-pihak yang tidak berwenang. f. Kehandalan (Realibilty) Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organisasi, pelaporan dan pertanggungjawaban. g. Menjaga integritas data Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki informasi/laporan yang benar, bahkan perusahaan dapat menderita kerugian karena pengawasan tidak tepat atau keputusan-keputusan yang salah.

15 Tahapan Audit Sistem Informasi Menurut Gondodiyoto ( 2007, p487 ), tahapan audit terdiri dari : 1. Subjek Audit Tentukan/identifikasi unit/lokasi yang diaudit 2. Sasaran Audit Tentukan sistem secara spesifik, fungsi atau unit organisasi yang akan diperiksa. 3. Jangkauan Audit Identifikasi sistem secara spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan. 4. Rencana Pre-audit a. Identifikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit. b. Identifikasi sumber bukti untuk tes atau review seperti fungsi flow chart, kebijakan, standard prosedur dan kertas kerja audit sebelumnya. 5. Prosedur Audit dan Langkah-Langkah Pengumpulan Bukti Audit a. Identifikasi dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian intern. b. Identifikasi daftar individu untuk interview. c. Identifikasi dan menghasilkan kebijakan yang berhubungan dengan bagian, standard dan pedoman untuk interview. d. Mengembangkan instrument audit dan metodologi pengujian dan pemeriksaan control internal.

16 23 6. Prosedur Untuk Evaluasi a. Organisasikan sesuai kondisi dan situasi b. Identifikasi prosedur evaluasi atas tes efektifitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijakan dan prosedur yang diaudit. 7. Pelaporan Hasil Audit Siapkan laporan yang obyektif, konstruktif (bersifat membangun) dan menampung penjelasan auditee Standard Audit Menurut Gondodiyoto dan Hendarti (2007, p197), Standard Audit yang termuat dalam Standar Profesional Akuntan Publik (Ikatan Akuntan Indonesia, 2001) terdiri dari : 1. Standard Umum a. Audit harus dilaksanakan oleh seorang atau lebih yang memiliki keahlian dan pelatihan teknis cukup sebagai auditor. b. Dalam semua hal yang berhubungan dengan penugasan, independensi dalam sikap mental harus dipertahankan oleh auditor. c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan seksama.

17 24 2. Standard Pekerjaan Lapangan a. Pekerjaan harus direncanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi dengan semestinya. b. Pemahaman yang memadai atas struktur pengendalian intern harus diperoleh untuk merencanakan audit dan menentukan sifat, saat dan lingkup pengujian yang akan dilakukan. c. Bahan bukti kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan, pengajuan pertanyaan, dan konfirmasi sebagai dasar yang memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit. 3. Standard Pelaporan a. Laporan audit harus menyatakan apakah laporan keuangan telah disusun sesuai dengan prinsip akuntansi berterima umum. b. Laporan audit harus menunjukkan keadaan yang di dalamya prinsip akuntansi tidak secara konsisten diterapkan dalam penyusunan laporan keuangan periode berjalan dalam hubungannya dengan prinsip akuntansi yang diterapkan dalam periode sebelumnya. c. Pengungkapan informatif dalam laporan keuangan harus dipandang memadai, kecuali dinyatakan lain dalam laporan audit. d. Laporan audit harus memuat suatu pernyataan pendapat mengenai laporan keuangan secara keseluruhan tidak dapat diberikan, maka alasannya harus dinyatakan.

18 Metode Audit Sistem Informasi Menurut Gondodiyoto (2007, p ), ada 3 metode Audit Sistem Informasi yang dapat dilakukan oleh auditor, sebagai berikut : 1. Audit Around the computer Auditor tidak perlu menguji pengendalian SI berbasis teknologi informasi klien (file program/pengendalian atas file/data di komputer), melainkan cukup terhadap input (dokumen) serta output (laporan) sistem aplikasi saja. Dari penilaian terhadap kualitas dan kesesuaian antara input dengan output sistem aplikasi ini, auditor dapat mengambil kesimpulan tentang kualitas pemrosesan data yang dilakukan klien (meskipun proses/program komputernya tidak diperiksa) dan memberikan opini. Auditor yang memiliki pengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit. 2. Audit Through the Computer Dalam pendekatan audit ke sistem komputer (audit through the computer) auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit SI berbasis TI. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem komputer. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.

19 26 Audit through the computer memerlukan tenaga ahli auditor yang terampil dalam pengetahuan teknologi informasi, dan mungkin perlu biaya yang besar pula. 3. Audit With the Computer Audit With the Computer merupkan suatu pendekatan audit dengan bantuan komputer, Menggunakan komputer sebagai alat bantu dalam audit, menyangkut pengujian program, file atau data yang dipergunakan dan dimiliki oleh perusahaan (sebagai software bantuan audit). Metode ini merupakan pendekatan audit yang dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. 2.7 Sistem Pengendalian Internal Pengertian Sistem Pengendalian Internal Menurut Mulyadi (2001, p163), sistem pengendalian internal meliputi struktur organisasi, metode, dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi dan mengecek ketelitian dan kehandalan data akuntansi, mendorong efisiensi, dan mendorong dipatuhinya kebijakan manajemen. Menurut Romney (2003, p195), sistem pengendalian internal adalah suatu rencana dari organisasi dan metode sebuah bisnis yang digunakan untuk melindungi asset, mendukung akurasi dan kebenaran informasi,

20 27 menyebarkan dan menambah efisiensi operasional serta meningkatkan ketepatan dalam pengambilan keputusan manajerial. Berdasarkan definisi di atas dapat disimpulkan bahwa sistem pengendalian internal merupakan sebuah sistem yang dirancang oleh pihak manajemen sebuah organisasi untuk mengendalikan dan mengawasi seluruh kegiatan organisasi tersebut dalam rangka menjaga asset perusahaan, menjamin dipatuhinya kebijakan manajemen, meningkatkan efisiensi operasional serta ketepatan pengambilan keputusan Tujuan Sistem Pengendalian Internal Menurut Mulyadi (2001, p163), mengungkapkan empat tujuan sistem pengendalian internal, yaitu untuk: a. Menjaga kekayaan organisasi. b. Mengecek ketelitian dan kehandalan data akuntansi. c. Meningkatkan efisiensi usaha. d. Mendorong dipatuhinya kebijakan manajemen. Sedangkan menurut Gondodiyoto (2007, p260), sistem pengendalian internal dijalankan bertujuan untuk: a. Meningkatkan pengamanan ( improve safeguard ) asset informasi dan data atau catatan akuntansi ( accounting records ). b. Meningkatkan integritas data ( improve data integrity ) sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar.

21 28 c. Meningkatkan efektivitas sistem (improve system effectiveness). d. Meningkatkan efesiensi sistem ( improve system efficiency ) Komponen Sistem Pengendalian Internal Menurut Weber (1999, p49), pengendalian internal terdiri dari lima komponen yang saling terintegrasi, antara lain: a. Lingkungan pengendalian ( Control Environment ) Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian wewenang dan tanggung jawab yang harus dilakukan, cara komite audit berfungsi, dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja. b. Penaksiran Resiko ( Risk Assesment ) Mencakup tentang identifikasi resiko, analisa resiko, dan cara pengendalian resiko. c. Aktivitas pengendalian ( Control Activities ) Aktivitas pengendalian resiko meliputi otorisasi, pengendalian fisik, pemeriksaan independen, dokumentasi yang memadai, pemisahan tugas dan fungsi. d. Pemrosesan informasi dan komunikasi (Information and Communication) Komponen utama informasi digunakan untuk mengidentifikasikan, mendapatkan, dan menukarkan data yang dibutuhkan untuk mengendalikan dan mengatur operasi perusahaan.

22 29 e. Pemantauan Memastikan pengendalian internal beroperasi dengan baik sepanjang waktu. 2.8 Sistem Pengendalian Intern Pada Sistem Berbasis Komputer Menurut Weber (1999, p 38), struktur pengendalian internal yang perlu dilakukan pada sistem berbasis komputer adalah sebagai berikut: 1. Pengendalian umum. 2. Pengendalian aplikasi Pengendalian Umum Pengendalian yang berlaku umum, artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di dalam pengendalian tersebut. Apabila tidak dilakukan pengendalian ini atau pengendaliannya lemah maka berakibat negatif terhadap pengendalian aplikasi. Pengendalian umum terdiri dari: 1. Pengendalian Top Manajemen ( Top Level Management Control ). Mengendalikan peranan manajemen dalam perencanaan kepemimpinan dan pengawasan fungsi sistem. 2. Pengendalian Manajemen Sistem Informasi (Information System Management Control ).

23 30 Mengendalikan alternatif dari model pengembangan proses informasi sehingga dapat digunakan sebagai dasar pengumpulan dan pengevaluasian bukti. 3. Pengendalian Manajemen Pengembangan Sistem (System Development Management Control ). Mengendalikan tahapan utama dari daur hidup program dan pelaksanaan dari tiap tahap. 4. Pengendalian Manajemen Sumber Data (Data Resource Management Control). Mengendalikan peranan dan fungsi dari data administrator atau database administrator. 5. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance Management Control). Mengendalikan fungsi utama yang harus dilakukan oleh Quality Assurance Management untuk meyakinkan bahwa pengembangan, pelaksanaan, dan pengoperasian, dan pemeliharaan dari sistem informasi sesuai dengan standar kualitas. 6. Pengendalian Manajemen Keamanan ( Security Management Control ) Menurut Weber (1999, p ), dapat disimpulkan bahwa pengendalian terhadap manajemen keamanan secara garis besar bertanggung jawab dalam menjamin asset sistem informasi tetap aman. Ancaman utama terhadap keamanan asset sistem informasi adalah:

24 31 a. Ancaman kebakaran Beberapa pelaksanaan kemananan untuk ancaman kebakaran: 1. Memiliki alarm kebakaran otomatis yang diletakan pada tempat di mana asset-asset sistem informasi berada. 2. Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah diambil. 3. Memiliki tombol utama ( termasuk AC ). 4. Gedung tempat penyimpanan asset sistem informasi dibangun dari bahan tahan api. 5. Memiliki pintu / tangga darurat yang diberi tanda dengan jelas sehingga karyawan mudah menggunakannya. 6. Ketika alarm berbunyi, signal langsung dikirim ke stasiun pengendalian yang selalu dijaga oleh staff. 7. Prosedur pemeliharaan gudang yang baik menjamin tingkat polusi sesuatunya telah dirawat dengan baik. b. Ancaman banjir Beberapa pelaksanaan keamanan untuk ancaman banjir: 1. Usahakan bahan untuk atap, dinding, dan lantai tahan air. 2. Menyediakan alarm pada titik strategis dimana material asset sistem informasi dilakukan. 3. Semua material asset sistem informasi diletakkan di tempat yang tinggi. 4. Menutup peralatan hardware dengan bahan yang tahan air sewaktu tidak digunakan.

25 32 c. Perubahan tenaga sumber energi Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan sumber energi listrik, misalnya menggunakan stabilizer ataupun Uninteruptable Power Supply ( UPS ) yang memadai dan mampu meng-cover tegangan listrik jika tiba-tiba turun. d. Kerusakan struktural Pelaksanaan struktural terhadap asset sistem informasi dapat terjadi karena adanya gempa, angin, dan salju. Beberapa pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural misalnya adalah memiliki lokasi perusahaan yang jaran g terjadi gempa dan angin ribut. e. Polusi Beberapa pelaksanaan pengamanan untuk mengantisipasi polusi, misalnya situasi kantor yang bebas debu dan tidak diperbolehkan membawa binatang peliharaan atau melarang karyawan membawa atau meletakkan minuman di dekat peralatan komputer. f. Penyusup Pelaksanaan pengamanan untuk mengantisipasi penyusup, dapat dilakukan dengan penempatan penjaga dan penggunaan alarm. g. Virus Pelaksanaan keamanan untuk mengantisipasi virus meliputi tindakan: 1. Preventive, seperti meng-install anti virus dan meng-update secara rutin, melakukan scan file yang digunakan.

26 33 2. Detective, seperti melakukan scan secara rutin. 3. Corrective, seperti memastikan back up data bebas virus, pemakaian anti virus terhadap file yang terinfeksi. h. Hacking Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking: 1. Penggunaan control logical seperti penggunaan password yang sulit untuk ditebak. 2. Petugas keamanan secara teratur memonitor sistem yang digunakan. 7. Pengendalian Manajemen Operasi ( Operations Management Control ) Menurut Weber (1999, p ), secara garis besar pengendalian manajemen Operasi ( Operations Management Control ) bertanggung jawab pada hal-hal sebagai berikut: a. Pengoperasian komputer ( Computer Operations ) Tipe pengendalian yang harus dilakukan: 1. Menentukan fungsi-fungsi yang harus dilakukan operator komputer maupun fasilitas operasi otomatis. 2. Menentukkan penjadwalan kerja pada pemakaian hardware atau software. 3. Menentukan perawatan terhadap hardware agar dapat berjalan baik. 4. Pengendalian perangkat keras berupa hardware control dari produsen untuk deteksi hardware malfunction.

27 34 b. Pengoperasian Jaringan ( Network Operations ) Pengendalian yang dilakukan ialah memonitor dan memelihara jaringan dan pencegahan terhadap akses oleh pihak yang tidak berwenang. Pengendalian sistem komunikasi data antara lain jalur komunikasi, hardware, cryptology, software. c. Persiapan dan Pengentrian Data ( Preparation and Entry Data ) Fasilitas-fasilitas yang ada harus dirancang untuk memiliki kecepatan dan keakuratan data serta telah dilakukan terhadap pengentrian data. d. Pengendalian Produksi ( Production Control ) Fungsi yang harus dilakukan untuk pengendalian produksi adalah: 1. Penerimaan dan pengiriman input dan output. 2. Penjadwalan kerja. 3. Manajemen pelayanan. 4. Peningkatan pemanfaatan komputer. e. File Library Fungsi yang harus dilakukan pada file library adalah: 1. Penyimpanan media penyimpanan ( storage of storage media ) 2. Penggunaan media penyimpanan ( use of storage media ). 3. Pemeliharaan dan penempatan media penyimpanan ( maintainance and disposal of storage media ). 4. Lokasi media penyimpanan ( location of storage media ).

28 35 f. Documentation and Program Library Orang yang bertanggung jawab atas dokumentasi mempunyai beberapa fungsi yang harus dilakukan yaitu: 1. Memastikan bahwa semua dokumentasi disimpan secara aman. 2. Memastikan bahwa hanya orang yang memiliki otorisasi saja yang bisa mengakses dokumentasi. 3. Memastikan bahwa dokumentasi tersebut selalu up to date. 4. Memastikan adanya back up yang cukup untuk dokumentasi yang ada. g. Help Desk / Technnical Support Ada dua fungsi utama help desk atau technical support yaitu : 1. Membantu end user dalam menggunakan hardware dan software yang berhubungan dengan end user seperti microcomputer, spreadsheet packages, database management packages, dan local area networks. 2. Menyediakan technical support untuk sistem produksi dengan dilengkapi suatu penyelesaian masalah yang berhubungan dengan hardware, software,dan database. h. Capacity Planning dan Performance Monitoring Tujuan utama dari fungsi sistem informasi ini adalah untuk mencapai tujuan dari penggunaan sistem informasi dengan biaya serendah mungkin.

29 36 i. Management of Outsourced Operations Saat ini banyak organisasi yang melakukan outsource terhadap beberapa fungsi dari sistem informasi mereka. Alasan utama dilakukannya outsource karena mereka ingin memfokuskan pada fungsi inti bisnis mereka Pengendalian Aplikasi Pengendalian Boundary (Boundary Control) Pengendalian Boundary menentukan hubungan antara pemakai komputer dengan sistem komputer itu sendiri, ketika pemakai menggunakan komputer maka fungsi boundary berjalan. a. Pengendalian Kriptografi (Cryptographic Control) Pengendalian Kriptografi dirancang untuk mengamankan data pribadi dan untuk menjaga modifikasi data oleh orang yang tidak berwenang, cara ini dilakukan dengan mengacak data sehingga tidak memiliki arti bagi orang yang tidak dapat menguraikan data tersebut. b. Pengendalian Akses (Access Control) Pengendalian Akses berfungsi untuk membatasi penggunaan sumber daya sistem komputer, membatasi dan memastikan user untuk mendapatkan sumber daya yang mereka butuhkan.

30 37 Menurut Weber (1999, p ), mekanisme pengendalian akses terdiri dari : 1. Identifikasi dan Otentifikasi (Identification and Authentification) User mengidentifikasi dirinya pada mekanisme pengendalian akses dengan memberi informasi seperti nama atau nomor rekening. Informasi tersebut memungkinkan mekanisme untuk menentukan bahwa data yang masuk sesuai dengan informasi pada file otentifikasi. Terdapat tiga bagian yang dapat diisi oleh user untuk informasi otentifikasi yaitu : a. Informasi yang mudah diingat, contohnya : nama, tanggal lahir, nomor account, password, PIN dan lain lain. b. Objek yang berwujud yang dimiliki, contohnya : Badge, plastic card, kunci, cincin. c. Karakter pribadi, contohnya : sidik jari, ukuran tangan, suara, tanda tangan, pola retina mata. 2. Sumber Daya Objek Sumber Daya yang digunakan oleh user berdasarkan sistem informasi berbasis komputer dapat dibagi menjadi empat jenis yaitu: a. Hardware, contohnya : terminal, printer, prossesor, disk. b. Software, contohnya : program sistem aplikasi, storage space. c. Komoditi, contohnya : Processor time, storage space

31 38 d. Data, contohnya : files, groups, data item ( termasuk images dan sound ). 3. Hak istimewa (Action Privilages) Hak istimewa diberikan kepada user berdasarkan pada tingkatan kewenangan user dan jenis sumber daya yang diperlukan oleh user. Contoh hak istimewa ini adalah user hanya dapat melakukan akses berupa membaca tetapi tidak bisa mengubah atau menambah (dikenal dengan istilah read only), atau user hanya memiliki fasilitas menambah data tetapi tidak bisa mengubah atau menghapus data Pengendalian Input Menurut Weber (1999, p ). Komponen pada subsistem input, bertanggung jawab untuk memasukkan data dan intruksi pada sistem aplikasi. Kedua jenis input tersebut harus divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol sehingga input yang dimasukkan akurat, lengkap, unik dan tepat waktu Pengendalian Output Menurut Weber (1999, p ), subsistem output menyediakan fungsi-fungsi yang menentukan isi dari data yang akan disediakan bagi pengguna, cara dimana data dapat diformat

32 39 dan dipersembahkan bagi pengguna, dan cara dimana data dapat diperbaiki dan dikeluarkan untuk pengguna. Tipe pengendalian yang berhubungan dengan pengendalian Output : a. Inference Control Pengendalian model akses memperbolehkan atau menolak akses terhadap item data berdasarkan nama dari data item, isi dari data item atau beberapa karakteristik dari serangkaian data yang terdapat pada data item. b. Batch Output and Distribution Control Batch Output adalah output yang dihasilkan pada beberapa fasilitas operasi dan setelah itu dikirim atau disimpan oleh pemakai output tersebut. Output ini menggunakan banyak formulir, contohnya : keluaran laporan pengendalian manajeman berisi tabel, grafik, atau image. Pengendalian terhadap batch output dilakukan dengan tujuan untuk memastikan bahwa laporan tersebut akurat, lengkap dan tepat waktu yang akan dikirim atau diserahkan kepada pemakai yang berhak. c. Batch Report Design Controls Elemen penting untuk melihat pengendalian efektivitas pelaksanaan terhadap produksi, distribusi, laporan keluaran batch adalah dengan melihat kualitas dari desainnya. Desain

33 40 laporan yang baik akan membuat pemakai mudah untuk membaca output yang dihasilkan. d. Online Output Production and Distribution Control Pengendalian terhadap produksi dan distribusi atas output yang dilakukan melalui online secara garis lurus, tujuan utama adalah untuk memastikan bahwa hanya bagian yang memiliki wewenangan saja dapat melihat output online tersebut. e. Audit Trail Controls Pengendalian jejak audit pada subsistem output dilakukan untuk menjaga kronologi kejadian yang terjadi dari saat output diterima sampai pemakai melakukan penghapusan output tersebut karena sudah tidak dipakai atau disimpan lagi. f. Existence Controls Output dapat hilang atau rusak karena berbagai alasan, seperti invoice hilang, online output terkirim pada alamat yang salah, output terbakar karena kebakaran. Recovery terhadap subsistem output secara akurat, lengkap dan tepat merupakan hal yang sangat membantu kelangsungan hidup banyak organisasi.

34 Teknik Penilaian Resiko Menurut Peltier (2001, p74), resiko dibagi menjadi tiga tingkatan yaitu: 1. High Vulnerability Kelemahan yang sangat besar didalam sistem atau rutinitas operasi di mana dampak potensial pada bisnis adalah penting untuk itu harus ada pengendalian yang ditingkatkan. 2. Medium Vulnerability Beberapa kelemahan yang terdapat pada sistem dan dimana dampak potensial pada bisnis adalah penting, untuk itu akan ada pengendalian yang perlu ditingkatkan. 3. Low Vulnerability Sistem telah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada penambahan pengendalian yang diperlukan untuk mengurangi kelemahan (vulnerability) Standard IS ACA (Information Systems Audit and Control Association) Menurut buku Audit Sistem Informasi + Pendekatan CobIT, Gondodiyoto (2007, p85-86), standar untuk audit sistem informasi adalah : 1. Audit Chapter 1.1 Responsibility, Authority, and Accountability Perlunya dibuat Audit Charter atau Letter of Engagement dalam penugasan audit sistem informasi. Hal yang diatur tentang perlunya audit charter bagi audit internal (letter of engagement untuk auditor ekstern), mencakup

35 42 Responsibility, Authority, and Accountability, yaitu meliputi tanggung jawab, otoritas dan accountability dari fungsi audit sistem informasi pada suatu organisasi (perlu didokumentasikan dalam suatu surat keputusan pimpinan atau perjanjian). 2. Independence 2.1 Profesional Independence Dalam permasalahan yang berkaitan dengan audit, auditor sistem informasi harus bersikap independen dalam tingkah laku dan tindakannya. Auditor atau unit / fungsi audit harus mempunyai posisi independen terhadap pihakpihak yang terkait dalam audit (untuk menjaga agar tidak terjadi conflict of interest). 2.2 Organizational Relationship Fungsi audit sistem informasi harus berada independen dari area yang diaudit untuk mencapai tujuan objektivitas dari suatu proses audit. 3. Profesional Ethics and Standards 3.1 Code of Profesional Ethics Auditor dari sistem informasi harus menghormati dan menaati etika profesional dari Information System Audit and Control Association. 3.2 Due Profesional Care Standard auditing profesional harus diterapkan dalam segala aspek pekerjaan yang dilakukan oleh auditor sistem informasi.

36 43 4. Competence 4.1 Continuing Professional Education Auditor harus memiliki kompetensi yang dibutuhkan untuk melaksanakan tugasnya. Auditor sistem informasi harus me-maintain kompetensi teknikal melalui pendidikan profesional berkelanjutan. 5. Planning 5.1 Audit Planning Auditor sistem informasi harus merencanakan kegiatan audit, agar tujuan audit tercapai sesuai dengan standar profesional audit. Perencanaan audit atau audit planning diperlukan dalam tiap pelaksanaan suatu penugasan audit. 6. Performance of Audit Work 6.1 Supervision Staf dari audit sistem informasi harus tepat untuk dapat menjamin tujuan dari audit dijalankan dan standar profesional auditing dapat terpenuhi. 6.2 Evidence Selama masa pekerjaan audit, auditor sistem informasi harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan objektif dari suatu audit.

37 44 7. Reporting 7.1 Report Content and Form Auditor sistem informasi harus menyediakan report dalam bentuk yang tepat pada saat penyelesaian tugas audit. Laporan Audit berupa lingkup, tujuan, periode audit, dan lingkungan dimana audit dijalankan. Laporan audit harus mengidentifikasikan permasalahan yang terjadi dalam jangka waktu audit. Laporan audit juga untuk memberikan rekomendasi dari layanan atau kualisifikasi yang diberikan auditor terhadap tugas audit yang dijalankan. 8. Follow Up Activities 8.1 Follow Up Tindak lanjut atas rekomendasi temuan audit, auditor sistem informasi harus meminta dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu dan rekomendasi yang dihasilkan pada periode audit terdahulu untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan dalam satu periode waktu.