BAB 2 LANDASAN TEORI. informasi, dan didistribusikan kepada para pengguna.

Transkripsi

1 BAB 2 LANDASAN TEORI 2.1 Sistem Informasi Pengertian Sistem Informasi Pengertian sistem informasi menurut Hall (2001, p7) adalah suatu rangkaian prosedur formal di mana data dikumpulkan, diproses menjadi informasi, dan didistribusikan kepada para pengguna. Sedangkan menurut Laudon (1998, p8), sistem informasi merupakan sekumpulan komponen yang saling berhubungan dan berfungsi untuk mengumpulkan, memproses, menyimpan, dan mendistribusikan informasi untuk membantu manager dalam mengambil keputusan, menganalisis dan menggambarkan masalah yang kompleks dalam suatu organisasi. Sedangkan O Brien (2005, p5) mendefinisikan sistem informasi sebagai kombinasi teratur dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi. Sedangkan menurut Cushing dan Romney (1994, p6), sistem informasi adalah pengumpulan, pemasukkan, pemrosesan data penyimpanan, pengelolaan, pengendalian serta pelaporan informasi sehingga organisasi dapat mencapai sasaran dan tujuan. 6

2 Tujuan Sistem Informasi Tujuan sistem informasi menurut Hall (2001, p18) dibedakan atas tiga tujuan umum bagi semua sistem, yaitu: 1. Untuk mendukung fungsi kepengurusan (stewardship) manajemen. Kepengurusan yang merujuk ke tanggung jawab manajemen untuk mengatur sumber daya perusahaan secara benar. 2. Untuk mendukung pengambilan keputusan manajemen. Sistem informasi memberikan para manajer informasi yang mereka butuhkan untuk melakukan tanggung jawab pengambilan keputusan. 3. Untuk mendukung kegiatan operasi perusahaan. Sistem informasi menyediakan informasi bagi personal operasi untuk membantu kegiatan operasi perusahaan secara efisien dan efektif Jenis Sistem Informasi Jenis sistem informasi menurut Bodnar (2001, p4-p6) antara lain adalah sebagai berikut: Pengolahan Data Elektronik (Electronic Data Processing) Adalah pemanfaatan teknologi komputer untuk melakukan pengolahan data transaksi-transaksi dalam suatu organisasi. EDP adalah aplikasi sistem informasi paling dasar dalam setiap organisasi.

3 8 Sistem Informasi Manajemen (Management Information System) Sistem ini menguraikan penggunaan teknologi komputer untuk menyediakan informasi bagi pengambilan keputusan para manajer. Sistem Pendukung Keputusan (Decision Support System) Sistem ini mensyaratkan penggunaan model-model keputusan dan basis data khusus, dan benar-benar terpisah dari sistem pengolahan data. Sistem pendukung keputusan diarahkan untuk melayani permintaan informasi tertentu, khusus, dan tidak rutin dari manajemen. Sistem Pakar (Expert System) Adalah sistem informasi berbasis pengetahuan yang memanfaatkan pengetahuannya tentang bidang aplikasi tertentu untuk bertindak seperti seorang konsultan ahli bagi pemakainya. Sistem Informasi Eksekutif (Excecutive Information System) Adalah sistem yang dibuat untuk kebutuhan informasi stratejik manajemen tingkat puncak. Sistem Informasi Akuntansi (Accounting Information System) Adalah sistem berbasis komputer yang dirancang untuk mengubah data akuntasi menjadi informasi.

4 9 2.2 Sistem Informasi Distribusi Pengertian Sistem Distribusi Menurut Charles A. Taff (1996, p5), distribusi fisik mencakup pengangkutan barang-barang dari tempat asal atau produksi lanjutan ke tempat penjualan atau publikasi selanjutnya, penyimpanan barang sampai barang tersebut diperlukan, perdagangan, peragaan, serta periklanan barang, dan penjualan atau transfer yang sebenarnya sehingga menjadi milik si pembeli. Di samping itu ada dua definisi yang umum digunakan untuk menggambarkan sistem distribusi yaitu : a. Sistem distribusi adalah pemindahan barang jadi dari akhir lini produksi kepada para pelanggan. b. Sistem distribusi merupakan tanggung jawab untuk merancang dan melaksanakan sistem untuk pengendalian arus bahan baku dan barang jadi. Definisi yang pertama tidak akan mencakup semua fungsi manajemen transportasi pada banyak perusahaan, oleh karena manajemen transportasi biasanya bertanggung jawab atas transportasi masuk dan keluar. Karena transportasi dianggap bagian integral dari fungsi distribusi fisik, definisi ini menjadi agak terbatas. Akan tetapi definisi yang kedua jadi lebih luas.

5 Fungsi Sistem Distribusi Fungsi dari departemen distribusi fisik dalam perusahaan pada umumnya meliputi manajemen : a. Persediaan Perusahaan mengetahui bahwa tingkat persediaan yang terlalu tinggi akan menyebabkan biaya penyimpanan dan kemungkinan keusangan yang tinggi. Sebaliknya, persediaan yang terlalu rendah dapat mengakibatkan biaya pengisian kembali persediaan dan produksi yang tinggi, demikian pula resiko kehilangan pasar dan nama baiknya di mata pelanggan. Jelaslah, pengendalian persediaan sangat penting demi keberhasilan sebagian besar perusahaan. b. Pergudangan Pergudangan (warehousing) merupakan tanggung jawab penting dari manajemen distribusi fisik, terutama apabila manufaktur memproduksi barang-barang konsumen. Lokasi yang optimal dengan memperhatikan biaya transportasi yang minimal, pelayanan pada pelanggan, tingkat persediaan, dan gudang perusahaan versus gudang umum adalah sebagian dari masalah yang harus ditentukan. Dalam beberapa perusahaan yang tidak memiliki departemen distribusi fisik, gudang-gudang dioperasikan oleh manajemen transportasi atau diadakan

6 11 kontrak dengan gudang umum untuk menangani barangbarang perusahaan. Lokasi gedung yang strategis dapat memberikan pelayanan yang baik kepada para pelanggan dan dapat juga mengurangi biaya transportasi dengan mengangkut sebanyak muatan mobil, truk atau perahu ke gudanggudang yang kemudian akan didistribusikan dengan jumlah yang lebih sedikit. c. Pengemasan Pengemasan merupakan salah satu fungsi distribusi fisik karena biaya pengemasan merupakan salah satu unsur dari total harga pokok barang bagi pelanggan, maka perlu diketahui teknik pengemasan yang muktahir. Departemen distribusi fisik harus bekerja sama dengan bagian penjualan dan bagian produksi dalam rangka mengembangkan dan menggunakan pengemasan yang tepat untuk menampung produk dan selamat sampai di tangan konsumen. Ketika mempersiapkan barang untuk dikirim, departemen transportasi harus berbagi pengetahuan teknisnya dalam bidang ini dengan departemen lain. Spesifikasi pengemasan dan kemasan tertentu bisa diisyaratkan oleh peraturan dalam klasifikasi pengiriman atau tarif. Departemen yang kurang memahami aspek transportasi

7 12 harus diberikan penjelasan tentang akibat kesalahan mengemas barang-barang dari klasifikasi yang berbeda dalam satu kemasan, yang akan mengakibatkan bahwa tarif barang dengan klasifikasi tertinggi mungkin akan dibebankan ke keseluruhan barang dalam kemasan itu. d. Penanganan Bahan Dewasa ini, pengembangan teknik penanganan bahan agak berkurang. Penanganan bahan yang telah ditingkatkan tidak terbatas hanya pada produksi, tetapi berlaku untuk semua tahap pergerakan fisik. Peralatan yang tepat tidak hanya mempercepat operasi dalam pengiriman dan penerimaan barang, tetapi juga dapat mengefisiensikan penggunaaan ruang penyimpanan dan mengurangi biaya penanganan. Penggunaan peralatan penanganan bahan seperti operasi penyusunan bahan dengan fork-truk, dapat juga mengurangi kerugian dan kerusakan, karena kemasan individual semakin berkurang penanganannya karena mereka dapat digabungkan menjadi unit-unit yang lebih besar. Manfaat penanganan bahan tidak hanya terbatas bagi para produsen, tetapi menguntungkan juga bagi penerima titipan (consignee). Melalui kerja sama dengan departemen penjualan, departemen transportasi dapat

8 13 mengatur pemindahan barang-barang dengan paket, peluncuran (skid), atau kumpulan-kumpulan lain yang disatukan sehingga penerima titipan hanya membutuhkan penanganan yang sedikit di tempat tujuan. e. Pemrosesan Pesanan Pemrosesan pesanan sangat erat hubungannya dengan penjualan dan produksi oleh karena itu, departemen distribusi fisik harus menaruh perhatian sepenuhnya mengenai perlunya koordinasi antar departemen. Arus informasi yang efektif harus dimulai dari pengiriman pesanan pelanggan diteruskan ke bagian pengepakan, diambil oleh angkutan transportasi, penyesuaian terhadap tingkat persediaan, dan pengiriman informasi kepada perencanaan produksi. Distribusi fisik bertanggung jawab menganalisa arus pesanan dan menetapkan prosedur yang baik jika diperlukan sehingga pelanggan dapat menerima barang tepat pada waktunya. f. Analisa Lokasi Lokasi pabrik harus dipilih dengan cermat. Yaitu dengan menentukan lokasi letak yang paling baik memenuhi kebutuhan perusahaan. Analisis mengenai lokasi pabrik mencakup daerah pasar, fasilitas dan tarif transportasi yang ada serta pergudangan. Pemilihan faktor ini tergantung pada sifat industrinya.

9 14 g. Arus Informasi Manajemen Ada kemungkinan untuk mengkonversi sebagian besar masalah transportasi, manajemen persediaan, pengemasan, dan pergudangan ke dalam bahasa komputer dan dapat digunakan untuk memeriksa operasi sistem melalui pembuatan model dan simulasi. Konversi catatan-catatan ke komputer memudahkan penanganan berbagai dokumen transportasi, pergudangan, persediaan, dan dokumen lain ke dalam suatu sistem rutin. Selain itu, catatan-catatan dapat dianalisis mengenai kegunaannya untuk aplikasi penelitian dan juga dapat memungkinkan manajemen menggunakan data umpan balik yang tepat dalam pengembangan strategi perusahaan Proses Sistem Distribusi Proses sistem distribusi barang secara umum dapat dinyatakan seperti dibawah ini : a. Barang dari sumber pasok (pabrik, pemasok, pelabuhan) b. Barang dikirim ke konsumen (retail, pabrik, rumah tangga) dalam jumlah dan waktu yang tepat, biaya pengiriman yang wajar, dan kondisi barang yang baik. Perusahaan bisa menempuh kebijaksanaan untuk menangani sendiri sistem distribusi barangnya, menyerahkan pada intermediary, atau kombinasi dari keduanya. Barang dari

10 15 pabrik bisa langsung dikirim ke konsumen, ke gudang regional, maupun ke field warehouses. Demikian halnya dengan konsumen, mereka bisa dikirim barang dari pabrik, dari gudang regional maupun field warehouses. Informasi dalam sistem jaringan distribusi barang terutama mengalir dari konsumen ke field warehouses, gudang regional, dan pabrik. Sedang barang mengalir kearah yang sebaliknya Sistem Informasi Distribusi Sistem Informasi Distribusi merupakan kumpulan dari computer autonomous yang terkoneksi dengan sebuah jaringan komputer dan dilengkapi dengan distributed system software untuk membangun computing facility ( Sistem Informasi Distribusi adalah sistem yang mengumpulkan datadata atau informasi mengenai kegiatan distribusi yang dilakukan oleh suatu perusahaan, kemudian mengolah data tersebut melalui sistem yang terkomputerisasi untuk menghasilkan laporan yang dapat digunakan oleh top management dalam pengambilan keputusan sehubungan dengan sistem distribusi perusahaan tersebut. Manajer distribusi fisik menggunakan pendekatan sistem yang berusaha memadukan semua komponen untuk mencapai suatu tujuan tertentu. Manajemen menganalisis kesempatan-kesempatan perdagangan ekonomi dan membuat keputusan berdasarkan hasil total bagi perusahaan.

11 16 Disamping pendekatan biaya total, manajemen dapat mempergunakan pendekatan profitabilitas yang menghubungkan fungsi distribusi fisik terhadap laba perusahaan pada berbagai tingkat pelayanan kepada para pelanggan. Tersedianya peralatan pemrosesan data, otomatis telah memudahkan pendekatan sistem. Manajemen memiliki data yang lengkap dan tepat waktu dalam periode waktu yang jauh lebih singkat. Prediksi operasional jangka panjang dan jangka pendek mengenai pasar, persyaratan barang lini individual dalam hal ini simulasi model seperti banyaknya persediaan optimum dan lokasi letak alternatif, dan juga data-data lain yang relevan dapat membantu pengolahan komponen-komponen distribusi fisik. 2.3 Sistem Pengendalian Internal Pengertian Sistem Pengendalian Internal Menurut Weber (1999, p35), pengendalian adalah suatu sistem untuk mencegah, mendeteksi dan mengoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien. Menurut Mulyadi (1997, p165), sistem pengendalian internal meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen.

12 17 Sedangkan menurut Hall (2001, p.150), sistem pengendalian internal merangkum kebijakan, praktik-praktik, dan prosedur-prosedur yang digunakan oleh organisasi untuk mencapai tujuan perusahaan Tujuan Pengendalian Internal Sistem pengendalian internal merangkum kebijakan, praktik, dan prosedur yang digunakan oleh organisasi untuk mencapai empat tujuan utama (Hall, 2001, p.150), yaitu: 1. Untuk menjaga aktiva perusahaan 2. Untuk memastikan akurasi catatan dan informasi akuntansi yang dapat diandalkan 3. Untuk mempromosikan efisiensi operasi perusahaan 4. Untuk mengukur kesesuaian dengan kebijakan dan prosedur yang telah ditetapkan oleh manajemen Unsur-Unsur Pengendalian Internal Menurut Mulyadi (1997, p.166), unsur pokok sistem pengendalian internal adalah sebagai berikut: 1. Struktur organisasi yang memisahkan tanggung jawab fungsional secara tegas 2. Sistem wewenang dan prosedur pencatatan yang memberikan perlindungan yang cukup terhadap aset, hutang, pendapatan dan biaya

13 18 3. Praktik yang sehat dalam melaksanaan tugas dan tanggung jawab dan fungsi setiap unit organisasi. 4. Karyawan yang mutunya sesuai dengan tanggung jawabnya Elemen-Elemen Pengendalian Internal Menurut Weber (1999, p49), pengendalian internal terdiri dari lima unsur/komponen yang saling berintegrasi, antara lain: 1. Lingkungan Pengendalian (Control Environment) Komponen ini diwujudkan dengan cara pengoperasian, pembagian wewenang dan tanggung jawab yang harus dilakukan, komite audit berfungsi, dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja. 2. Penaksiran Resiko (Risk Assessment) Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi oleh perusahaan dan cara untuk menghadapi resiko tersebut. 3. Aktivitas Pengendalian (Control Activities) Komponen yang dioperasikan untuk memastikan transaksi telah terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan aset dan record, pengecekan kinerja dan penilaian dari jumlah record yang terjadi.

14 19 4. Informasi dan Komunikasi (Information and Communication) Komponen dimana informasi digunakan untuk mengidentifikasi, mendapatkan, dan menukarkan data yang dibutuhkan untuk mengendalikan dan mengatur operasi perusahaan. 5. Pemantauan (Monitoring) Komponen yang memastikan pengendalian internal beroperasi secara dinamis. 2.4 Audit Sistem Informasi Pengertian Audit Sistem Informasi Menurut Weber (1999, p10), audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk memutuskan apakah dengan adanya sistem pengamanan aset yang berbasis komputer dan pemeliharaan integritas data, data dapat mendukung perusahaan untuk mencapai tujuannya secara efektif dan penggunaan sumber daya secara efisien serta mengetahui apakah suatu perusahaan memiliki pengendalian internal yang memadai. Sedangkan menurut Rommey dan Steinbart (2003, p321), audit sistem informasi mengkaji ulang pengendalian sistem informasi akuntansi untuk menilai pemenuhannya dengan kebijakan dan prosedur pengendalian internal dan keefektifan perlindungan terhadap aset.

15 Tujuan Audit Sistem Informasi Berdasarkan pendapat Muchtar (1999, p.125), tujuan dari audit sistem informasi adalah untuk mereview dan mengevaluasi pengawasan internal yang digunakan untuk menjaga keamanan dan memeriksa tingkat kepercayaan sistem informasi serta mereview operasional aplikasi. Apabila audit sistem informasi akan dilaksanakan secara lengkap maka auditor harus berusaha untuk memenuhi setiap tujuan berikut ini: 1. Untuk menemukan bahwa sistem keamanan yang ada berfungsi dengan baik untuk memperoleh peralatan, program, file data dari pemakaian dan perubahan oleh yang tidak berhak. 2. Untuk menemukan bahwa desain dan implementasi program aplikasi sesuai dengan spesifikasi dan otorisasi manajemen. 3. Untuk menemukan bahwa semua modifikasi program aplikasi memiliki otorisasi dan persetujuan manajemen. 4. Untuk menemukan akurasi dan integrasi dari proses transaksi, file, laporan, dan record-record lainnya. 5. Untuk menemukan sumber data dari program aplikasi yang tidak akurat dan mengidentifikasikan serta menyesuaikan dengan kebijakan manajemen. 6. Untuk menemukan apakah ada usaha untuk memenuhi syarat akurasi proses data, kelengkapan data, serta tingkat kerahasiaan file data.

16 Pendekatan Audit Sistem Informasi Menurut Weber (1999, p55-57), metode audit antara lain adalah: 1. Auditing around the computer Merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai black box, maksudnya metode ini tidak menguji langkah-langkah proses secara langsung, tetapi hanya berfokus pada input dan output dari sistem komputer. Diasumsikan bahwa jika input benar akan diwujudkan pada output, sehingga pemrosesan juga benar dan tidak melakukan pengecekan terhadap pemrosesan komputer secara langsung. Pendekatan ini mengandung berbagai kelemahan antara lain: Umumnya database mencakup jumlah data yang banyak dan sukar untuk ditelusuri secara manual. Tidak menciptakan sarana bagi auditor untuk menghayati dan mendalami lebih mantap liku-liku komputer. Cara ini mengabaikan pengendalian sistem dalam pengolahan komputer itu sendiri, sehingga rawan terhadap adanya kelemahan dan kesalahan yang potensial didalamnya. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit menjadi sia-sia. Tidak dapat mencakup keseluruhan maksud dan tujuan penyelenggaraan audit.

17 22 2. Auditing through the computer Merupakan suatu pendekatan audit yang berorientasi pada komputer dengan membuka black box, dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer. Dengan asumsi bahwa apabila pemrosesan mempunyai pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak akan terlewat untuk dideteksi, sebagai akibat dari keluaran dapat diterima. Keuntungan utama dari pendekatan ini adalah dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan dari pengujian yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap keandalan dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan. Selain itu dengan memeriksa secara langsung logika pemrosesan dari sistem aplikasi, dapat diperkirakan kemampuan sistem dalam menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang. Kelemahan dari pendekatan ini adalah sebagai berikut: Biaya yang dibutuhkan relatif tinggi yang disebabkan jumlah jam kerja yang banyak untuk dapat lebih memahami struktur kontrol internal dari pelaksanaan sistem aplikasi.

18 23 Butuh banyak keahlian teknis yang lebih mendalam untuk memahami cara kerja. 3. Auditing with the computer Pendekatan ini dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini merupakan cara audit yang sangat bermanfaat, khususnya dalam pengujian substantif atas file dan record perusahaan. Software audit yang digunakan merupakan program komputer auditor untuk membantu dalam pengujian dan evaluasi kehandalan data, file dan record perusahaan. Keunggulan pendekatan ini adalah: Merupakan program komputer yang diproses untuk membantu pengujian pengendalian sistem komputer klien itu sendiri. Dapat melaksanakan tugas audit yang terpisah dari catatan klien, yaitu dengan mengambil copy data atau file untuk dites dengan komputer lain. Kelemahan dari pendekatan ini adalah dibutuhkan upaya dan biaya yang relatif besar untuk pengembangannya.

19 Prosedur Audit Arens dan Loebbecke yang diterjemahkan oleh Jusuf (1996, p ), dalam menentukan prosedur audit digunakan tujuh kategori bahan bukti yang dapat digunakan oleh auditor yaitu: 1. Pemeriksaan Fisik Adalah sebagai alat yang langsung digunakan untuk memverifikasi apakah suatu aktiva secara aktual ada, dianggap sebagai salah satu bahan bukti yang paling handal dan berguna. 2. Konfirmasi Digambarkan sebagai penerimaan jawaban tertulis maupun lisan dari pihak ketiga yang independen dalam memverifikasi akurasi informasi yang telah diminta oleh auditor. 3. Dokumentasi Merupakan bentuk bahan bukti yang digunakan secara luas dalam setiap audit karena biasanya sudah tersedia bagi auditor dengan biaya yang relatif rendah. Seringkali hanya bahan bukti jenis ini yang tersedia. 4. Pengamatan Adalah penggunaan perasaan untuk menetapkan aktivitas tertentu. Dalam keseluruhan audit akan ada banyak kesempatan untuk melihat, mendengar, menyentuh, dan mencium untuk mengevaluasi bermacam benda. 5. Pertanyaan

20 25 Adalah mendapatkan informasi tertulis atau lisan dari klien dengan menjawab pertanyaan dari auditor. Meskipun sebagai bahan bukti yang diperhitungkan dan diperoleh dari klien melalui tanya jawab, biasanya tanya jawab tidak dapat diperlakukan sebagai kemampuan memberikan kesimpulan, karena didapat dari sumber yang tidak independen dan mungkin memihak kepentingan klien. Dengan demikian, apabila auditor memperoleh bahan bukti tanya jawab, biasanya perlu untuk mendapatkan bahan bukti lain yang menguatkan melalui prosedur yang lain. 6. Pelaksanaan Ulang Mencakup pengecekan ulang suatu sampel perhitungan dan perpindahan informasi yang dilakukan klien selama periode yang diaudit. 7. Prosedur Analitis Adalah menggunakan perbandingan dan hubungan untuk menentukan apakah saldo akun tersaji secara layak. Prosedur analitis sangat penting sehingga harus dilakukan selama tahap perencanaan dan penyelesaian di setiap audit Langkah-langkah Audit Sistem Informasi Menurut Weber (1999, p47-54), langkah-langkah untuk melakukan kegiatan audit terdiri dari: 1. Planning the audit

21 26 Perencanaan merupakan fase pertama dari kegiatan audit, bagi eksternal auditor hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staff audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien, mengerti tentang masalah hukum klien dan melakukan analisa terhadap prosedur yang ada untuk mengerti tentang bisnis klien dan mengidentifikasi resiko audit. 2. Test the controls Auditor melakukan test controls ketika mereka menilai bahwa control resiko berada pada level kurang dari maksimum, mereka mengandalkan control sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor tidak mengetahui apakah identifikasi control telah berjalan dengan efektif, test terhadap control oleh karena itu diperlukan evaluasi yang spesifik terhadap materi control. 3. Test the transactions Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah kesalahan atau proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan yang material pada laporan keuangan. Test transaksi ini termasuk menelusuri atau trace jurnal dari sumber dokumen, memeriksa file berharga dan mengecek keakuratan perhitungan. Pemakaian komputer sangat membantu pekerjaan ini dan auditor harus menggunakan software audit umum untuk mengecek apakah bunga yang dibayar kepada bank telah sesuai perhitungannya. 4. Tests the balances or overall results

22 27 Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus diperhatikan adalah tujuan pengamanan harta dan data integrity. Beberapa jenis substantive test terhadap saldo yang digunakan adalah konfirmasi piutang, perhitungan fisik persediaan, dan perhitungan ulang penyusutan aktiva tetap. 5. Completion of the audit Pada fase akhir audit, eksternal audit akan menjalankan beberapa tes tambahan terhadap bukti yang ada agar dapat dijadikan laporan. Terdapat 4 opini yang dapat diberikan terhadap hasil audit oleh eksternal audit, yaitu : - Disclaimer of opinion ( Tidak Memberikan Pendapat ), auditor tidak akan memberikan opini. - Adverse opinion ( Pendapat Tidak Wajar ), auditor berpendapat bahwa terdapat banyak kesalahan. - Qualified opinion ( Wajar Dengan Pengecualian ), auditor berpendapat bahwa terjadi beberapa kesalahan tetapi nilainya tidak material. - Unqualified opinion ( Wajar Tanpa Pengecualian ), auditor berpendapat bahwa tidak terjadi kesalahan atau misstatement Standar Audit Sistem Informasi Standar audit merupakan pedoman bagi auditor dalam menjalankan tanggung jawab profesionalnya. Standar-standar ini meliputi pertimbangan mengenai kualitas profesional mereka, seperti keahlian dan independensi, persyaratan pelaporan dan bahan bukti. Dalam audit sistem informasi, penulis

23 28 menggunakan standar COBIT (Control Objectives for Information and related Technology) yang dikembangkan oleh IT Governance Institute kemudian dipublikasikan oleh ISACA (Information Systems Audit and Control Association). ISACA merupakan sebuah asosiasi profesional dalam audit sistem informasi, pengendalian, keamanan dan governance. ISACA yang beranggotakan auditor sistem informasi internasional mempunyai fungsi sebagai sumber informasi, pihak yang memberikan panduan-panduan praktek bagi auditor sistem informasi serta menyediakan standar, panduan (guidelines), dan prosedur dalam hal audit, pengendalian dan keamanan sistem informasi oleh para profesional audit sistem informasi di seluruh dunia. Menurut Gondodiyoto (2007, p ) CobIT (Control Objectives for Information and Related Technology) adalah sekumpulan dokumentasi yang best practices untuk IT governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI. CobIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT Control Issue. CobIT berguna bagi para infornation technology users karena memperoleh keyakinan atas kehandalan sistem aplikasi yang digunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan investasi dibidang teknologi informasi serta infrastrukturnya, menyusun rencana strategi teknologi informasi, menentukan arsitektur informasi dan keputusan atas procurement (pengadaan atau pembelian) mesin. Disamping itu, dengan kehandalan sistem informasi yang ada pada perusahaannya, diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada. CobIT mendukung manajemen dalam mengoptimalkan

24 29 investasi teknologi informasi melalui ukuran-ukuran yang akan memberi sinyal bahaya bila suatu kesalahan atau resiko sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem pengendalian internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas pengendalian individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya teknologi informasi perusahaan. Sumber daya teknologi informasi merupakan elemen yang sangat disorotkan CobIT, termasuk pemenuhan kebutuhan bisnis terhadap: 1. Efektifitas (Effectiveness) Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya, dan tepat waktu. 2. Efisiensi (Efficiency) Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal. 3. Kerahasiaan (Confidentiality) Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi 4. Keterpaduan (Intergrity) Yang sesuai dengan harapan dan berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran nilai bisnis. 5. Ketersediaan (Availability) Berhubungan dengan informasi yang tersedia ketika diperlukan dengan

25 30 proses bisnis sekarang dan yang akan datang. 6. Kepatuhan pada kebijakan atau aturan (Compliance) Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis. 7. Kehandalan informasi (Reliability) Berhubungan dengan ketentuan, kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggung jawaban. Komponen COBIT terdiri atas: 1. Executive Summary Terdiri dari executive overview yang menyediakan kesadaran sepenuhnya dan pemahaman konsep utama dan prinsip COBIT, termasuk pula ringkasan framework yang menyediakan penjelasan mengenai konsep dan prinsip ini. 2. Framework Menjelaskan bagaimana proses TI mengirimkan informasi yang dibutuhkan oleh organisasi dalam mencapai tujuannya. Antara lain 34 (tiga puluh empat) tujuan pengendalian tingkat tinggi yang berisi 4 (empat) domain, 7 (tujuh) kriteria informasi (effectiveness, efficiency, confidentiality, integrity, availability, compliance dan reliability), 318 (tiga ratus delapan belas) control objectives dan audit guidelines, management guidelines dan implementation guide. 3. Control Objectives Menyediakan pemahaman yang kritis yang dibutuhkan untuk menggambarkan kebijakan yang jelas dan praktek yang baik untuk pengendalian TI.

26 31 4. Control Practices Menyediakan panduan bagaimana pengendalian dibutuhkan dan praktek terbaik yang sesuai dengan tujuan pengendalian yang spesifik serta membantu memastikan solusi yang lengkap dan sukses jika diimplementasikan. 5. Audit Guidelines Berisi sebanyak 318 (tiga ratus delapan belas) tujuan-tujuan pengendalian yang bersifat rinci (detailed control objective) untuk membantu para auditor dalam memberikan management assurance dan saran perbaikan. 6. Management Guidelines Terdiri dari maturity models, untuk membantu menentukan tingkat pelaksanaan dan pengharapan atas pengendalian dan membandingkannya dengan norma industri. Critical Success Factors, untuk mengidentifikasi tindakan paling penting dalam mencapai pengendalian dalam proses TI. Key Goal Indicators, untuk mendefinisikan tingkat target atas pelaksanaan, dan Key Performance Indicators, untuk mengukur apakah proses pengendalian TI sudah sesuai dengan tujuannya. 7. COBIT Quickstart TM Membantu pemakaian elemen COBIT dengan cepat dan mudah. Kerangka kerja CobIT terdiri atas beberapa arahan (Guidelines), yakni (Gondodiyoto, 2007, p. 157) : 1. Control Objectives Terdiri dari empat unsur utama, yaitu: 1. Perencanaan dan Organisasi (Planning and Organization) :

27 32 Yaitu mencakup pembahasan tentang identifikasi dan strategi investasi teknologi informasi yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategis perlu direncanakan, dikomunikasikan, dan diatur pelaksanaanya (dari berbagai perspektif). 2. Pengakuisisi dan Implementasi (Acquisition and Implementation) Yaitu untuk merealisasi strategi teknologi informasi, perlu diatur kebutuhan teknologi informasi, diidentifikasi, dikembangkan, atau diimplementasikan secara terpadu dalam proses bisnis perusahaan. 3. Penyerahan dan Pendukung (Delivery and Support) Hal ini lebih dipusatkan pada ukuran tentang aspek dukungan teknologi informasi terhadap kegiatan operasional bisnis (tingkat jasa layanan teknologi informasi aktual atau service level) dan aspek urutan (prioritas implementasi dan untuk pelatihannya). 4. Memantau (Monitoring) Yaitu semua proses teknologi informasi yang perlu dinilai secara berkala agar kualitas dan tujuan dukungan teknologi informasi tercapai, dan kelengkapannya berdasarkan pada syarat pengendalian internal yang baik. Tabel 2.1 Domain dan High Level Controls CobIT CobIT domain 1 Plan and Organize High Level Objectives 1. Definisikan arah dan rencana strategis teknologi informasi

28 33 2 Acquire and implement 3 Delivery and support 2. Definisikan arsitektur informasi 3. Tentukan arah teknologi 4. Definisikan proses-proses teknologi informasi, organisasi dan hubungannya 5. Mengelola investasi teknologi informasi 6. Mengomunikasikan arah dan tujuan manajemen 7. Mengelola sumber daya manusia teknologi informasi 8. Mengelola kualitas 9. Mengkaji dan mengelola risiko teknologi informasi 10. Mengelola proyek-proyek 1. Identifikasi solusi-solusi otomatis 2. Memperoleh dan memelihara aplikasi perangkat lunak 3. Memperoleh dan memelihara infrastruktur teknologi 4. Memperbolehkan operasi dan penggunaan 5. Memperoleh sumber daya teknologi informasi 6. Mengatur perubahan 7. Memasang dan mengakui solusi dan perubahan 1. Mendefinisi dan mengelola tahapan layanan 2. Mengelola layanan pihak ketiga 3. Mengelola kinerja dan kapasitas 4. Menjamin kelangsungan layanan 5. Menjamin keamanan sistem 6. Mengidentifikasi dan menetapkan biaya 7. Mendidik dan melatih pengguna 8. Memberikan masukan kepada pengguna 9. Mengelola konfigurasi 10. Mengelola kegiatan dan masalah

29 34 4 Monitor and evaluate 11. Mengelola data 12. Mengelola fasilitas 13. Mengelola operasi 1. Mengawasi dan mengevaluasi proses teknologi informasi 2. Mengawasi dan mengevaluasi pengawasan internal 3. Memastikan pemenuhan pengaturan 4. Menyediakan Pemerintahan teknologi informasi (Information Technology Governance) Sumber: Gondodiyoto (2007, p. 160) 2. Audit Guidelines Berisi sebanyak 318 (tiga ratus delapan belas) tujuan-tujuan pengendalian rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan atau saran perbaikan. 1. Management Guidelines Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang harus dilakukan.

30 35 Gambar 2.1 CobIT Framework Sumber: COBIT 4.1 (2007) CobIT diharapkan dapat membantu menemukan berbagai macam kebutuhan manajemen berkaitan dengan teknologi informasi, membantu mengoptimalkan investasi teknologi informasi, dan menyediakan ukuran (kriteria) ketika terjadi penyelewengan atau penyimpangan serta dapat diterapkan dan diterima sebagai standar keamanan teknologi informasi dan praktek kendali

31 36 untuk mendukung kebutuhan manajemen dalam menentukan dan memantau tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka. Adapun standar profesional untuk audit sistem informasi yang terdapat pada ISACA (Information Systems Audit and Control Association) adalah: 1. Audit Charter Purpose, Responsibility, Authorithy and Accountability Definisi dari tujuan, tanggung jawab, otoritas, dan accountability dari fungsi audit sistem informasi lebih tepat bila didokumentasikan dalam suatu surat perjanjian. Surat perjanjian tersebut harus disetujui oleh suatu tingkat yang tepat di organisasi. 2. Independence a. Professional Independence Dalam permasalahan yang berkaitan dengan audit, auditor sistem informasi harus bersikap independen dalam tingkah laku dan tindakannya. b. Organizational Relationship Fungsi audit sistem informasi harus berada independen dari area yang diaudit untuk mencapai tujuan objektivitas dari suatu proses audit. 3. Professional Ethics and Standards a. Code of Professional Ethics Auditor sistem informasi harus menghormati dan mentaati etika profesional dalam melakukan tugas audit. b. Due Professional Care

32 37 Auditor sistem informasi harus melakukan ketelitian profesional yang seharusnya, termasuk ketaatan standar audit profesional yang dapat dipakai dalam melakukan tugas audit. 4. Professional Competence Auditor sistem informasi harus mampu secara profesional, memiliki keahlian dan pengetahuan untuk melakukan tugas audit. Auditor sistem informasi harus memelihara kompetensi profesional melalui pendidikan dan pelatihan lanjut profesional yang tepat. 5. Audit Planning Auditor sistem informasi harus merencanakan ulasan sistem informasi untuk menempatkan tujuan audit dan untuk melengkapi hukum yang berlaku dan standar profesional audit. 6. Performance of Audit Work a. Supervision Staf dari sistem informasi harus diawasi untuk menyediakan jaminan yang cukup bahwa tujuan audit telah dijalankan dan standar profesional auditing dapat terpenuhi. b. Evidence Selama masa pekerjaan audit, auditor sistem informasi harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan objektif dari suatu audit. Penemuan dan kesimpulan audit harus didukung dengan analisa dan interpretasi yang tepat atas bukti tersebut. c. Documentation

33 38 Proses audit harus didokumentasikan, menggambarkan pelaksanaan kerja audit, dan bukti audit yang mendukung penemuan dan kesimpulan auditor sistem informasi. 7. Reporting Auditor sistem informasi harus menyediakan laporan dalam bentuk yang tepat pada saat penyelesaian tugas audit. Laporan audit harus mengidentifikasikan perusahaan, penerima yang dimaksud, dan setiap pembatasan pada distribusinya. Laporan audit yang berupa lingkup, tujuan, periode audit, dan lingkungan, waktu, dan isi dari pelaksanaan kerja audit harus mempunyai temuan, simpulan, dan rekomendasi, kualifikasi atau batasan lingkup yang harus dihormati oleh auditor sistem informasi dalam audit. Auditor sistem informasi harus memiliki bukti audit yang cukup dan tepat untuk mendukung hasil yang dilaporkan. Ketika dikeluarkan, laporan auditor sistem informasi harus ditandatangani, diberi tanggal, dan didistribusikan berdasarkan bentuk piagam audit atau surat perjanjian. 8. Follow Up Activities Setelah melaporkan penemuan dan simpulan, auditor sistem informasi harus meminta dan mengevaluasi informasi yang sesuai untuk menyimpulkan apakah tindakan yang tepat telah dilakukan oleh manajemen secara tepat waktu. 9. Irregularities and Illegal Acts

34 39 a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko pada tingkat yang rendah, auditor sistem informasi harus mempertimbangkan resiko irregularities and illegal acts, dengan memahami perusahaan dan lingkungannya serta pengendalian internal melalui perolehan bukti audit yang cukup dan tepat b. Auditor sistem informasi harus merancang dan melaksanakan prosedur untuk menguji pengendalian internal yang tepat dan resiko pengendalian sampingan manajemen. c. Jika auditor sistem informasi telah mengidentifikasikan irregularities and illegal acts yang melibatkan manajemen atau karyawan yang memiliki role penting dalam pengendalian internal, auditor sistem informasi harus mengkomunikasikannya tepat waktu untuk orang-orang yang bertanggung jawab terhadap governance. d. Auditor sistem informasi harus mendokumentasikan semua komunikasi, perencanaan, hasil, evaluasi dan kesimpulan yang berhubungan dengan irregularities and illegal acts. 10. IT Governance Auditor sistem informasi harus meninjau dan menilai fungsi sistem informasi sesuai dengan visi, misi, nilai, tujuan dan strategi perusahaan. Juga menilai keefektifan sumber daya sistem informasi dan pelaksanaan proses manajemen, pemenuhan keabsahan, kualitas lingkungan dan informasi, serta kebutuhan pengendalian dan keamanan. Selain itu, dinilai pula lingkungan pengendalian dan resiko dalam lingkungan sistem informasi. 11. Use of Risk Assestment in Audit Planning

35 40 Auditor sistem informasi harus menggunakan teknik atau pendekatan penilaian resiko yang tepat dalam pengembangan rencana audit sistem informasi secara keseluruhan, dan menentukan prioritas pembagian sumber daya audit sistem informasi secara efektif. 12. Audit Materiality Auditor sistem informasi harus mempertimbangkan audit secara material dan hubungannya dengan resiko audit ketika menentukan sifat, waktu dan isi dari prosedur audit. 13. Using the Work of Other Experts Auditor sistem informasi harus mempertimbangkan penggunaan ahli lain dalam melakukan audit. 14. Audit Evidence Auditor sistem informasi harus memperoleh bukti audit yang cukup dan tepat untuk membuat kesimpulan yang beralasan sebagai dasar dari hasil audit Teknik Evaluasi Teknik evaluasi yang digunakan berdasarkan pada Djatmiko (2007), dimana maturity model digunakan sebagai metric untuk mengukur tingkat perkembangan sistem informasi. Dengan Maturity model dapat digunakan juga untuk mengendalikan proses IT dengan suatu metoda skoring sedemikian sehingga suatu organisasi dapat menilai dirinya sendiri dari tidak ada sampai optimized (dari 0 sampai 5). Pendekatan ini diperoleh berdasarkan Maturity Model.

36 41 Untuk masing-masing proses IT, ada suatu skala pengukuran, berdasar pada suatu penilaian antara 0 sampai 5. Skala ini dihubungkan dengan maturity model yang diuraikan berkisar antara Tidak Ada sampai Optimized sebagai berikut: Tabel 2.2 Level Model Maturity Model Umum Maturity Level 0 Tidak ada (Non Existent), kurang lengkapnya setiap proses yang dikenal. Organisasi sama sekali tidak mengetahui adanya masalah. Level 1 Inisialisasi (Initial), Terdapat bukti bahwa organisasi telah mengetahui adanya masalah yang membutuhkan penanganan. Penanganan masalah dilakukan dengan pendekatan adhoc, berdasarkan kasus dari perorangan. Tidak dilakukannya pengelolaan proses yang terorganisir. Setiap proses ditangani tanpa menggunakan standar. Level 2 Pengulangan (Repeatable), Prosedur yang sama telah dikembangkan dalam proses proses untuk menangani suatu tugas, dan diikuti oleh setiap orang yang terlibat di dalamnya. Tidak ada pelatihan dan komunikasi dari prosedur standard tersebut. Tanggung jawab pelaksanaan standar diserahkan pada setiap individu. Kepercayaan terhadap pengetahuan individu sangat tinggi, sehingga kesalahan sangat memungkinkan terjadi. Level 3 Terdefinisi (Defined), Prosedur telah distandardisasikan, didokumentasikan, serta dikomunikasikan melalui pelatihan.

37 42 Namun, implementasinya diserahkan pada setiap individu, sehingga kemungkinan besar penyimpangan tidak dapat dideteksi. Prosedur tersebut dikembangkan sebagai bentuk formulasi dari praktik yang ada. Level 4 Dikelola (Managed), Pengukuran dan pemantauan terhadap kepatuhan dengan prosedur, serta pengambilan tindakan jika proses tidak berjalan secara efektif, dapat dilakukan. Perbaikan proses dilakukan secara konstan. Implementasi proses dilakukan secara baik. Otomasi dan perangkat yang digunakan terbatas. Level 5 Dioptimalkan (Optimised), Implementasi proses dilakukan secara memuaskan. Hal tersebut merupakan hasil dari perbaikan proses yang terus menerus dan pengukuran tingkat kedewasaan organisasi. Teknologi informasi diintegrasikan dengan aliran kerja, dan berfungsi sebagai perangkat yang memperbaiki kualitas dan efektifitas. Organisasi lebih responsif dalam menghadapi kompetisi bisnis. Sumber: Djatmiko (2007) Terdapat lima macam kemungkinan respon, dikaitkan dengan maturity model yang direkomendasikan oleh COBIT (skala 0 5). Responden akan memilih tingkat aktivitas yang sangat sesuai dengan kondisi saat ini. Maturity Model akan membantu para profesional menjelaskan ke para manajer tentang kekurangan manajemen TI dan menetapkan target yang mereka perlukan dengan

38 43 membandingkan kontrol organisasi praktek yang terbaik. Tingkatan maturity akan dipengaruhi oleh sasaran bisnis organisasi dan operasi lingkungan. Yang secara rinci tingkatan dari control maturity akan tergantung pada organisasi yang bergantung pada TI, teknologi dan terutama informasinya. Pemetaan posisi tiap-tiap proses sistem informasi perusahaan terhadap model maturity dibuat berdasarkan hasil dari respon yang didapatkan. Rumus yang digunakan untuk menghitung indeks adalah: Indeks = Σ (Jumlah Nilai Jawaban) Σ (Pertanyaan Kuesioner) Skala pembulatan indeks bagi pemetaan ke tingkat model maturity adalah sebagai berikut: berada pada tingkat 0 (Tidak ada), berada pada tingkat 1 (Inisialisasi), berada pada tingkat 2 (Dapat diulang), berada pada tingkat 3 (Ditetapkan), berada pada tingkat 4 (Terkelola), berada pada tingkat 5 (Optimal).