BAB 2 LANDASAN TEORI 2.1 Pengertian Sistem Informasithesis.binus.ac.id/Asli/Bab2/2010-1-00891-ka bab...
Transcript of BAB 2 LANDASAN TEORI 2.1 Pengertian Sistem Informasithesis.binus.ac.id/Asli/Bab2/2010-1-00891-ka bab...
7
7
BAB 2
LANDASAN TEORI
2.1 Pengertian Sistem Informasi
Menurut O’Brien ( 2003, p5 ), sistem informasi merupakan kombinasi teratur
apapun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya
data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah
organisasi. Orang bergantung pada sistem informasi untuk berkomunikasi antara satu
sama lain dengan menggunakan berbagai jenis alat fisik (hardware), perintah dan
prosedur pemrosesan informasi (software), saluran komunikasi (jaringan), dan data
yang disimpan (sumber daya data) sejak permulaan peradaban.
Menurut Laudon (2002, p7-8), sistem informasi merupakan sekumpulan
komponen yang saling berhubungan, yang mengumpulkan, memproses, menyimpan
dan mendistribusikan informasi untuk membantu manajer dalam mengambil
keputusan, pengontrolan, pengkoordinasian, penganalisaan masalah dan
penanggungan masalah yang kompleks dalam suatu perusahaan atau organisasi.
Dari definisi di atas dapat disimpulkan bahwa sistem informasi merupakan
sekumpulan elemen yang berinteraksi dan dikoordinasikan untuk mengubah data
menjadi informasi tepat dan akurat kepada pihak tertentu agar dapat digunakan untuk
analisis, fungsi operasional, memanajemen dan mendukung pengambilan keputusan
dalam suatu perusahaan.
8
2.2 Sistem Informasi Persediaan
2.2.1 Pengertian Sistem Informasi Persediaan
Menurut Smith dan Skousen (2001, p328), persediaan menunjukkan
barang yang dimiliki untuk dijual kembali dalam kegiatan normal perusahaan
serta untuk perusahaan manufaktur merupakan barang – barang yang sedang
diproduksi atau akan dimasukkan kedalam proses produksi.
Menurut Mulyadi (2001, p553), Sistem informasi persediaan adalah suatu
sistem yang menyediakan informasi atau laporan-laporan yang dibutuhkan oleh
pihak manajemen yang berhubungan dengan operasi pemesanan, penyimpanan
dan persediaan bahan baku.
Berdasarkan pendapat diatas, penulis manyimpulkan bahwa sistem
informasi persediaan adalah suatu rancangan sistem informasi yang digunakan
untuk membantu memantau pengendalian persediaan yang terdapat dalam
gudang - gudang yang dimiliki oleh perusahaan. Bagi pihak persediaan, Sistem
informasi ini digunakan untuk membantu proses pencatatan persediaan dan
juga proses pengecekan fisik persediaan pada gudang – gudang yang
bersangkutan. Laporan – laporan yang dihasilkan berupa laporan posisi stok,
laporan kartu stok, dan laporan mutasi stok. Semua laporan tersebut digunakan
bagi pihak pengendalian persediaan untuk mengadakan pengecekan dan
penelusuran transaksi guna mendapatkan saldo akhir persediaan.
9
2.2.2 Jenis-jenis Persediaan
Jenis-jenis persediaan menurut Skousen, Stice, dan Stice (2000, p426)
menyatakan bahwa dalam perusahaan manufaktur terdapat 3 jenis persediaan,
yaitu :
a. Bahan mentah ( raw material )
Bahan mentah merupakan bahan yang diperoleh untuk digunakan dalam
proses manufaktur atau proses produksi.
b. Barang dalam proses ( work in process )
Barang dalam proses ini terdiri atas bahan-bahan yang diproses sebagian
dimana dibutuhkan proses lebih lanjut sebelum barang tersebut dijual.
c. Barang jadi ( finished goods )
Barang jadi merupakan produk-produk manufaktur yang siap jual.
2.2.3 Metode Pencatatan Persediaan
Menurut Mulyadi (2001, p556), ada dua macam metode pencatatan
persediaan yaitu :
a) Metode Mutasi Persediaan (Perpetual Inventory Method)
Dalam metode mutasi persediaan, setiap mutasi persediaan dicatat dalam
kartu persediaan.
b) Metode Persediaan Fisik (Physical Inventory Method)
Dalam metode persediaan fisik, hanya ditambah persediaan dari pembelian
saja yang dicatat, sedangkan mutasi berkurangnya persediaan karena
pemakaian tidak dicatat dalam kartu persediaan.
10
2.2.4 Metode Penilaian Persediaan
Menurut Skousen (2001, p524), ada tiga metode dalam penilaian
persediaan, yaitu :
1. Metode FIFO ( First In First Out )
Metode ini didasarkan asumsi bahwa harga yang terjual, dinilai menurut
harga pembelian barang yang terdahulu ( pertama masuk ). Dengan
demikian persediaan akhir dinilai menurut harga pembelian barang yang
terakhir masuk.
2. Metode LIFO ( Last In First Out )
Metode ini didasarkan atas asumsi bahwa harga yang sudah terjual dinilai
menurut harga pembelian barang yang terakhir masuk sehingga persediaan
yang masih ada dinilai berdasarkan harga pembelian yang terdahulu.
3. Metode Rata-Rata ( Weight Average Method )
Metode ini didasarkan atas harga rata-rata, dimana harga tersebut
dipengaruhi jumlah barang yang diperoleh pada masing-masing harganya.
Dengan demikian persediaan dinilai berdasarkan harga rata-rata.
2.2.5 Fungsi Persediaan
Menurut Mulyadi (2002, p242), ada lima fungsi dari persediaan, yaitu:
1) Untuk melakukan pembatasan terhadap inflasi dan perubahan harga.
2) Untuk menghindari dari kekurangan stok yang dapat terjadi karena cuaca,
kekurangan pasokan, masalah mutu, atau pengiriman yang tidak tepat.
3) Untuk memberikan suatu stok barang-barang agar dapat memenuhi
permintaan yang diantisipasi akan timbul dari produsen.
11
4) Untuk mengambil keuntungan dari potongan jumlah, karena pembelian
dalam jumlah besar dapat secara substansial menurunkan biaya.
5) Untuk memasangkan produksi dengan distribusi. Misalnya jika permintaan
produk tinggi hanya pada musim panas, suatu perusahaan dapat
membentuk stok pada musim tinggi sehingga biaya kekurangan stok dan
kehabisan stok dapat dihindari.
2.2.6 Prosedur dalam persediaan
Menurut Mulyadi (2001, p559), sistem dan prosedur yang berkaitan
dengan persediaan bahan baku adalah:
1. Prosedur pencatatan persediaan yang dibeli.
Prosedur ini merupakan salah satu prosedur yang membentuk sistem
pembelian dimana dalam prosedur ini, barang yang dibeli dicatat kedalam
catatan barang masuk.
2. Prosedur pencatatan persediaan yang diretur ke pemasok.
Prosedur ini merupakan prosedur pengurangan kuantitas persediaan atau
sebagai pengurangan utang ke pemasok. Prosedur ini juga membentuk
sistem pembelian.
3. Prosedur pencatatan persediaan yang dijual.
Prosedur ini merupakan salah satu prosedur yang membentuk sistem
penjualan, dimana dalam prosedur ini barang yang dijual dicatat kedalam
catatan barang keluar.
12
4. Prosedur pencatatan persediaan yang dikembalikan oleh pelanggan.
Prosedur ini merupakan prosedur penambahan kuantitas persediaan dan
sebagai pengurangan piutang pelanggan. Prosedur ini juga membentuk
sistem penjualan.
5. Sistem penghitungan fisik persediaan.
Sistem ini biasanya digunakan oleh perusahaan untuk menghitung secara
fisik persediaan yang disimpan digudang, yang hasilnya digunakan untuk
meminta pertanggung jawaban bagian gudang mengenai pelaksanaan
fungsi penyimpanan dan pertanggung jawaban mengenai keandalan
pencatatan persediaan yang diselenggarakan serta untuk melakukan
penyesuaian terhadap catatan dengan fisik persediaan.
2.2.7 Tujuan Audit Persediaan
( Mulyadi dan Puradiredja, 1998, p257) Tujuan audit terhadap persediaan
antara lain :
1. Memperoleh keyakinan tentang keandalan catatan akuntansi yang
bersangkutan dengan persediaan.
2. Membuktikan asersi keberadaan persediaan yang dicantumkan di neraca
dan keterjadian transaksi yang berkaitan dengan persediaan.
3. Membuktikan asersi kelengkapan transaksi yang berkaitan dengan
persediaan yang dicatat dalam catatan akuntansi dan kelengkapan saldo
persediaan yang disajikan dineraca.
4. Membuktikan asersi hak kepemilikan klien atas persediaan yang
dicantumkan di neraca.
13
5. Membuktikan asersi penilaian persediaan yang dicantumkan di neraca.
6. Membuktikan asersi penyajian dan pengungkapan persediaan di neraca.
2.3 Sistem Pengendalian Intern
2.3.1 Pengertian Sistem Pengendalian Intern
Menurut pendapat Weber (1999, p35), “A Control Is A System That
Prevents, Detects, Or Corrects Unlawful Events”, yang berarti bahwa sistem
pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan
mengoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan.
Menurut Michael P.Cangemi dan Tommie Singleton (2002, p66),
pengendalian internal adalah aturan, praktek, prosedur, dan peralatan yang
dirancang untuk :
1) Keamanan aset yang berhubungan dengan badan hukum.
2) Menyakinkan akurasi dan kepercayaan perolehan data dan informasi
produk.
3) Mendapatkan efisiensi.
4) Mengukur pemenuhan dengan aturan yang berhubungan dengan badan
hukum.
5) Mengukur pemenuhan dengan regulasi-regulasi.
6) Mengatur kejadian-kejadian negatif dan pengaruh dari penyuapan,
kejahatan, dan aktivitas pengrusakan.
14
Berdasarkan pengertian diatas maka pengendalian dikelompokkan
menjadi tiga bagian yaitu :
1) Preventive Control
Pengendalian ini digunakan untuk mencegah masalah sebelum masalah
tersebut muncul.
2) Detective Control
Pengendalian ini digunakan untuk menemukan masalah yang berhubungan
dengan pengendalian segera setelah masalah tersebut muncul.
3) Corrective Control
Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan
pada detective control. Pengendalian ini mencakup prosedur untuk
menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau
kesulitan yang timbul, memodifikasi sistem proses. Dengan demikian bisa
mencegah kejadian yang sama dimasa mendatang.
2.3.2 Tujuan Sistem Pengendalian Intern
Menurut Hall (dalam Gondodiyoto, 2006, p156), tujuan sistem
pengendalian intern terdiri dari :
a. Menyajikan data yang dapat dipercaya (To Ensure The Accuracy And
Reliability Of The Accounting Records And Information).
Pimpinan hendaklah memiliki informasi yang tepat dalam rangka
melaksanakan kegiatannya. Mengingat bahwa berbagai jenis informasi
dipergunakan untuk bahan mengambil keputusan sangat penting artinya,
karena itu suatu mekanisme atau sistem yang dapat mendukung penyajian
15
informasi yang akurat sangat diperlukan oleh pimpinan organisasi /
perusahaan.
b. Mengamankan Aktiva Dan Pembukuan (Safeguarding Assests Of The
Firm).
Pengamanan atas berbagai harta benda dan catatan pembukuan menjadi
semakin penting dengan adanya komputer. Data/informasi yang begitu
banyaknya disimpan di dalam media komputer seperti magnetic tape dapat
dirusak apabila tidak diperhatikan pengamanannya.
c. Meningkatkan Efesiensi Operasional (To Promote Efficiency In The Firm’s
Operations).
Pengawasan dalam suatu organisasi merupakan alat untuk mencegah
penghamburan usaha, menghindarkan pemborosan dalam setiap segi dunia
usaha dan mengurangi setiap jenis penggunaan sumber-sumber yang ada
secara tidak efisien.
d. Mendorong Pelaksanaan Kebijakan Yang Ada (To Measure Compliance
With Management’s Policies And Procedures)
Pimpinan menyusun tata cara dan ketentuan yang dapat dipergunakan
untuk mencapai tujuan perusahaan. Sistem pengendalian intern berarti
memberikan jaminan yang layak bahwa kesemuanya itu telah dilaksanakan
oleh karyawan perusahaan.
16
2.3.3 Unsur-Unsur Sistem Pengendalian Intern
Pendapat Weber (1999, p49), pengendalian internal terdiri dari lima
unsur/komponen yang saling berintegrasi, antara lain :
a) Control Environment
Komponen ini diwujudkan dengan cara pengoperasian, cara pembagian
wewenang dan tanggung jawab yang harus dilakukan, cara komite audit
berfungsi, dan metode-metode yang digunakan untuk merencanakan dan
memonitor kinerja.
b) Risk Assessment
Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi
oleh perusahaan dan cara-cara untuk menghadapi resiko tersebut.
c) Control Activities
Komponen yang dioperasikan untuk memastikan transaksi telah
terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan
record, perlindungan aset dan record, pengecekan kinerja dan penilaian
dari jumlah record yang terjadi.
d) Information and Communication
Komponen dimana informasi digunakan untuk mengidentifikasi,
mendapatkan, dan menukarkan data yang dibutuhkan untuk mengendalikan
dan mengatur operasi perusahaan.
e) Monitoring
Komponen yang memastikan pengendalian internal beroperasi secara
dinamis.
17
2.3.4 Jenis Pengendalian Internal Berbasis Komputer
Pendapat Weber (1999, p67), ruang lingkup kontrol dibedakan atas dua
jenis, yaitu pengendalian manajemen dan pengendalian aplikasi.
1. Pengendalian Manajemen
Pengendalian Manajemen dilakukan untuk memastikan bahwa
pengembangan, pengimplementasian, pengoperasian dan pemeliharaan
sistem informasi telah direncanakan dan dikontrol dengan baik.
Susbsistem Manajemen Keterangan
Pengendalian Top
Management
Manajemen puncak harus memastikan bahwa
fungsi sistem informasi telah berjalan dengan
baik, tanggung jawab utama mereka adalah
untuk membuat keputusan jangka panjang
pada sistem terhadap bagaimana sistem
informasi akan digunakan dalam organisasi.
Pengendalian
Manajemen
Pengembangan Sistem
Bertanggung jawab merancang,
mengimplementasikan dan memelihara
sistem aplikasi.
Pengendalian
Manajemen Sumber Data
Bertanggung jawab dalam menerjemahkan
rencana dan pengendalian yang berhubungan
dengan penggunaan data organisasi.
18
Susbsistem Manajemen Keterangan
Pengendalian
Manajemen Keamanan
Bertanggung jawab dalam pengendalian
terhadap akses dan pengamanan fisik dari
fungsi sistem informasi.
Penendalian Manajemen
Operasional
Bertanggung jawab dalam perencanaan dan
pengendalian terhadap operasional informasi
setiap hari.
Pengendalian
Manajemen Jaminan
Kualitas
Bertanggung jawab dalam memberikan
keyakinan mengenai kesesuaian antara
pengembangan pengimplementasian,
pengoperasian dan pemeliharaan sistem
informasi dengan standard kualitas yang ada.
Tabel 2.1 Kategori Pengendalian Manajemen
Pengendalian Manajemen yang dibahas terdiri dari 2, yaitu :
a. Pengendalian Manajemen Keamanan
Menurut Weber (1999, p256-272), terdapat ancaman utama terhadap
keamanan yang disebabkan oleh alam dan kelalaian atau kesengajaan
manusia, yaitu :
1. Ancaman kebakaran ( Fire Damage )
Beberapa pengamanan untuk ancaman kebakaran yaitu :
19
a) Alarm dan alat pemadam kebakaran manual dan otomatis
diletakkan ditempat strategis, khususnya ditempat aset sistem
informasi berada.
b) Memiliki tombol power utama ( termasuk AC ).
c) Bangunan terbuat dari bahan tahan api, khususnya ditempat aset
sistem informasi berada.
d) Letak tangga dan pintu darurat diberi tanda yang jelas sehingga
memudahkan untuk menggunakannya.
e) Sistem perlindungan kebakaran diawasi dan diuji secara rutin.
2. Ancaman Air ( Water Damage )
Beberapa pengamanan untuk ancaman air, yaitu :
a. Bangunan ( platfon, dinding, dan lantai ) terbuat dari bahan tahan
air.
b. Memiliki sistem drainase yang baik.
c. Aset sistem informasi diletakkan ditempat yang tinggi.
d. Menutup perangkat keras dengan bahan tahan air apabila tidak
digunakan.
3. Perubahan Tegangan Sumber Energi ( Energy Variation )
Pengamanan untuk mengantisipasi perubahan tegangan sumber energi
listrik dapat diatasi dengan menggunakan peralatan yang dapat
menstabilkan tegangan listrik seperti :
a. UPS ( Uninteruptable Power Suply ).
b. Stabilizer.
20
4. Kerusakan Struktural ( structural Damage )
Beberapa pengamanan untuk kerusakan struktural yaitu :
a. Mengasuransikan aset sistem informasi.
b. Pilih lokasi yang jarang terjadi bencana alam.
5. Polusi ( Pollution )
Beberapa pengamanan untuk mengatasi polusi yaitu :
a. Melarang karyawan membawa makanan dan minuman di sekitar
komputer.
b. Membersihkan aset secara berkala.
6. Penyusup ( Unauthorized Intrusion )
Beberapa pengamanan untuk mengantisipasi adanya penyusup yaitu:
a. Adanya kamera pengawas.
b. Adanya satpam/security.
c. Adanya alarm keamanan.
d. Memastikan tidak adanya bugs.
7. Viruses dan Worms
Pelaksanaan keamanan untuk mengantisipasi Viruses dan Worms yaitu :
a. Tindakan preventif, seperti install dan update antivirus secara rutin,
serta melakukan scan pada file yang akan digunakan.
b. Tindakan detektif, seperti melakukan scan untuk mendeteksi ada
tidaknya virus secara rutin.
c. Tindakan korektif, seperti backup data bebas virus, pemakaian
antivirus terhadap file yang terinfeksi.
21
8. Penyalahgunaan Software, data dan Service
Tipe penyalahgunaan Software, data dan Service yaitu :
a. Perangkat lunak dan database dicuri oleh pegawai atau kompetitor.
b. Perusahaan tidak dapat menjaga kerahasiaan data dalam basis data.
c. Pegawai menggunakan jasa sistem untuk kepentingan pribadi.
9. Hacking
Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking
yaitu:
a. Penggunaan pin dengan minimal digit.
b. Administrator keamanan melakukan monitor sistem secara berkala.
Apabila terjadi bencana, pengendalian yang dapat dilakukan yaitu :
1. Rencana Pemulihan Bencana ( Disaster Recovery Plan )
Memungkinkan fungsi sistem informasi untuk memperbaiki operasional
saat terjadi bencana.
a. Rencana Darurat ( Emergency Plan ), merupakan tindakan khusus
yang akan dilakukan segera setelah terjadinya bencana.
b. Back-up Plan, berisi jangka waktu back-up dilakukan, prosedur
untuk melakukan back-up, letak perlengkapan back-up, karyawan
yang bertanggungjawab untuk melakukan kegiatan back-up.
c. Recovery Plan, merupakan kelanjutan dari rencana back-up karena
Recovery adalah kegiatan yang dilakukan agar sistem informasi
dapat berjalan seperti biasa.
22
d. Test Plan, komponen terakhir dari Disaster Recovery Plan adalah
test plan yang berfungsi untuk memastikan bahwa ketiga rencana
diatas berjalan dengan baik.
2. Asuransi
Kadangkala asuransi digunakan untuk mengurangi kerugian yang
meningkat ketika bencana terjadi.
b. Pengendalian Manajemen Operasional
Menurut Weber (1999, p292-316) terdapat fungsi delapan tanggung
jawab manajemen operasional yaitu:
1. Operasional Komputer ( computer operation )
Terdapat tiga pengendalian operasional komputer, yaitu:
a. Pengendalian Operasional ( Operation Control )
Pengendalian operasional bertujuan untuk memastikan
keotentikan, keakuratan dan kelengkapan kegiatan operasional.
Misalnya program harus dihidupkan dan dimatikan, media
penyimpanan harus tersedia dan informasi dan laporan
didistribusikan kepada pengguna.
b. Pengendalian Jadwal ( Scheduling Control )
Pengendalian jadwal digunakan untuk memastikan komputer
digunakan untuk kegiatan yang seharusnya dan pemakaian
sumber daya sistem telah efisien.
23
c. Pengendalian Pemeliharaan ( Maintenance Control )
Merupakan tindakan preventif yang dilakukan untuk mencegah
kerusakkan perangkat keras.
2. Network Operation
• LAN : suatu kumpulan komputer dimana terdapat beberapa unit
komputer ( client ) dan satu unit komputer untuk bank data (
server ). Antara masing-masing client maupun antara client
dan server dapat saling berrtukar file maupun saling
menggunakan printer yang terhubung pada unit-unit
komputer yang terhubung pada jaringan LAN.
• WAN : kumpulan dari LAN atau work group yang dihubungkan
dengan menggunakan alat komunikasi modem dan jaringan
internet dari / ke komputer pusat dan cabang maupun antar
kantor cabang.
3. Persiapan dan entry data (Data preparation and entry)
Seluruh sumber data untuk sistem aplikasi dikirim ke bagian
persiapan data untuk diketik dan diverifikasi sebelum dimasukkan ke
sistem. faktor-faktor yang yang harus diperhatikan yaitu:
- Pencahayaan ruangan yang cukup,
- Ruangan yang tenang,
- Tata ruang yang baik,
- Desain peralatan kantor ( monitor komputer, meja dan kursi yang
argonomis ),
24
- Memastikan adanya back up pada persiapan pemasukkan data.
4. Pengendalian produksi ( production control )
Terdapat lima fungsi pada pengendalian produksi, yaitu:
- Pengendalian input dan output
Bertanggung jawab menjamin input hanya dilakuan oleh pihak yang
berwenang, menerima dan memasukkan input, menjaga input,
secara berkala mengumpulkan input dan menyimpan input sampai
tidak dibutuhkan lagi.
- Job scheduling control
Pada operasional komputer, suatu pekerjaan dilakukan oleh satu
atau lebih program. Bagian pengendalian produksi bertanggung
jawab menetapkan jadwal operasional serta mempersiapkan dan
menguji file pengendalian pekerjaan yang diperlukan untuk setiap
pekerjaan.
- Management of service – level agreement
Service level agreement (SAL) merupakan perjanjian antar
pengguna dengan fasilitas operasional komputer. SAL berisi waktu
respon sistem yang diinginkan pengguna, tingkat pemeliharaan
sistem, biaya jasa dan penalti jika sistem tidak sesuai dengan
perjanjian.
- Transfer Pricing / chargeout control
Apabila operasi komputer dilengkapi dengan transfer pricing
pengendalian produksi dapat ditingkatkan.
25
- Acquisition of consumables
Operasional komputer membutuhkan banyak peralatan pendukung
seperti kertas printer, disket, flashdisk, tinta printer.
5. File library
File library bertanggung jawab mengolah media penyimpanan.
a. Penyimpanan media penyimpan ( storage of storage media )
Media penyimpan sebaiknya ditempatkan di ruang yang terpisah,
akses untuk masuk dibatasi, terdapat petugas yang mengawasi, suhu
ruangan dijaga dan ruangan harus bebas dari debu.
b. Penggunaan media penyimpan ( used of storage media )
Penggunaan media penyimpan harus diawasi dengan baik. Media
penyimpan hanya diberikan kepada pegawai yang berwenang dan
pada saat yang telah ditentukan.
c. Pemeliharaan dan Pembuangan media penyimpanan ( maintenance
and disposal of storage media )
Media penyimpan dapat digunakan untuk jangka waktu yang lama,
tetapi secara umum kemampuannya berkurang seiring dengan umur
media penyimpan tersebut. Karena itulah sebaiknya media
penyimpan tidak digunakan dalam jangka waktu yang panjang
karena resiko yang timbul juga akan semakin tinggi.
d. Lokasi media penyimpan (location of storage media)
Media penyimpan dapat diletakkan didalam maupun diluar ruang
komputer. Media komputer sebaiknya diletakkan di dalam ruang
komputer jika sering digunakan. Tetapi jika hanya digunakan untuk
26
back up dan keperluan pemulihan, dapat diletakkan diluar ruang
komputer.
6. Documentation and Program Library
Banyak tipe dokumentasi yang digunakan untuk mendukung fungsi
sistem informasi, perencanaan strategis dan operasional, dokumentasi
sistem informasi, dokumentasi sistem perangkat lunak, dan
perlengkapan program, dokumentasi basis data, manual operasional,
manual pengguna, manual standar. Petugas bertanggung jawab untuk
memastikan penyimpanan dokumentasi aman, memastikan bahwa
hanya pegawai yang berwenang yang dapat mengakses dokumentasi,
memastikan dokumentasi selalu diperbaharui, serta memastikan
adanya back up untuk setiap dokumentasi.
7. Help Desk / Technical Support
Bertanggung jawab untuk membantu pegawai menggunakan
perangkat keras dan perangkat lunak, serta menyediakan dukungan
teknis untuk membantu menyelesaikan masalah. Agar dapat efektif
dan efisien diperlukan petugas yang kompeten dan terpercaya serta
terdapat sistem pengelolaan masalah.
8. Capacity Planning and Performance Monitoring
Manajemen operasional harus terus menerus memantau kinerja
perangkat keras dan perangkat lunak untuk memastikan bahwa sistem
telah berjalan efisien dan memiliki waktu respon yang dapat diterima.
27
2. Pengendalian Aplikasi ( Application Control )
Pengendalian aplikasi dilakukan dengan tujuan untuk menentukan apakah
pengendalian sistem informasi dari sistem yang terkomputerisasi pada
aplikasi komputer tertentu sudah memadai untuk memberikan jaminan
bahwa data dicatat, diolah, dan dilaporkan secara akurat, tepat waktu, dan
sesuai dengan kebutuhan manajemen.
Kategori Pengendalian Jenis-jenis pengendalian
Boundary Control • Otoritas akses ke sistem aplikasi
• Identitas dan Otentitas pengguna
Input Control • Otorisasi dan validasi masukan
• Transmisi dan konversi data
• Penanganan kesalahan
Proses Control • Pemeliharaan ketepatan data
• Pengujian terprogram atas batasan dan
memadainya pengolahan
Output Control • Rekonsiliasi keluaran
• Penelaahan dan pengujian hasil
pengolahan
• Distribusi keluaran
• Record retention
Database Control • Akses
28
Kategori Pengendalian Jenis-jenis pengendalian
• Integritas data
Communication Control • Pengendalian kegagalan unjuk kerja
• Gangguan komunikasi
Table 2.2 Kategori Pengendalian Aplikasi
Pengendalian aplikasi berupa :
a) Pengendalian Batasan (Boundary Control)
Mengontrol sifat dan fungsi kontrol akses, penggunaan pengkodean
dalam kontrol akses, PIN, digital signatures, dan plastic cards.
Menurut Weber (1999, p368), pengendalian boundary adalah
suatu pengendalian yang memiliki tiga tujuan utama yaitu :
1. Mengatur identitas dan otentifikasi dari calon user.
2. Mengatur identitas dan otentifikasi dari sumber daya komputer yang
diminta oleh user.
3. Membatasi tindakan yang dilakukan oleh user yang menggunakan
sumber daya komputer dari serangkaian hak yang diberikan
kepadanya.
Tiga tujuan pengendalian subsistem boundary adalah sebagai
berikut :
1. Untuk menetapkan identitas dan kewenangan user dari sistem
komputer.
29
2. Untuk menetapkan identitas dan kewenangan dari sumber daya
yang digunakan user.
3. Membatasi tindakan-tindakan yang dilakukan oleh user yang
menggunakan sumber daya komputer terhadap tindakan-tindakan
yang tidak terotorisasi.
b) Pengendalian Input (Input Control)
Menurut Weber (1999, p420) berpendapat, “Components in the
input subsystem are responsible for bringing both data and instructions
into an application controls”. Intinya adalah komponen dalam
subsistem input bertanggung jawab untuk memasukkan data dan
instruksi ke dalam sistem aplikasi. Kedua jenis input tersebut harus
divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol
sehingga input yang dimasukkan akurat, lengkap dan tepat waktu.
Pengendalian input merupakan hal kritis yang didasarkan tiga
alasan, yaitu jumlah pengendalian yang paling besar pada sistem
informasi terhadap kehandalan subsitem input, aktivitas pada sub yang
bersifat rutin dalam jumlah besar dan campur tangan manusia dapat
mengalami kebosanan sehingga cenderung mengalami error, sub input
sering menjadi target kecurangan. Banyak ketidaksesuaian yang
ditemukan dengan cara penambahan, penghapusan atau pengubahan
transaksi di input.
30
Pengendalian masukan sangat penting dilakukan karena :
1. Pada sistem informasi kontrol yang besar jumlahnya adalah pada
subsistem input, sehingga auditor harus memberikan perhatian yang
lebih kepada keandalan pengendalian input yang ada.
2. Aktivitas subsistem input terkadang melibatkan besarnya rutinitas,
campur tangan manusia yang monoton, sehingga dapat
menyebabkan terjadinya kesalahan.
3. Subsistem input sering menjadi sasaran tindak kejahatan (fraud),
banyak kegiatan yang tidak seharusnya dilakukan yang melibatkan
penambahan, pengurangan, atau perubahan input transaksi.
c) Process Control
Menurut Gondodiyoto (2003, p144), “Pengendalian proses adalah
pengendalian internal untuk mendeteksi jangan sampai data (khususnya
data yang sesungguhnya sudah valid) menjadi error karena adanya
kesalahan proses. Kemungkinan penyebabnya terjadinya error adalah
kesalahan logika program, salah rumus, salah urutan program,
ketidakterpaduan antara subsistem ataupun kesalahan teknis lainnya”.
d) Pengendalian Output (Output Control)
Menurut Gondodiyoto (2003, p145). Pengendalian keluaran
adalah pengendalian internal untuk mendeteksi jangan sampai
informasi yang disajikan tidak akurat, tidak lengkap, atau
didistribusikan kepada orang-orang yang tidak berhak.
31
Digunakan untuk memastikan bahwa data yang diproses tidak
mengalami perubahan yang tidak sah oleh operator komputer dan
memastikan hanya orang yang berwenang saja yang menerima output.
Pengendalian output berupa :
1. Mencocokkan data output (khususnya total pengendalian) dengan
total pengendalian yang sebelumnya telah ditetapkan yang
diperoleh dalam tahap input dari siklus pemrosesan.
2. Meninjau kembali data output untuk melihat format yang tepat yang
terdiri dari judul laporan, tanggal dan waktu pencetakan, banyaknya
copy laporan untuk masing-masing pihak yang berwenang, periode
laporan, nama program (termasuk versinya yang menghasilkan
laporan), nama personil yang bertanggung jawab atas
dikeluarkannya laporan tersebut, masa berlaku laporan, nomor
halaman, tanda akhir halaman.
3. Mengendalikan data input yang ditolak oleh komputer selama
pemrosesan dan mendistribusikan data yang ditolak itu ke personil
yang tepat.
4. Mendistribusikan laporan-laporan output ke departemen pemakai
tepat pada waktunya.
e) Pengendalian Basis Data (Database Control)
Weber (1999, p563) berpendapat bahwa “the database subsystem
provides function to difine, create, modify, delete, and read data in an
32
informations system”. Intinya adalah bahwa subsistem database
menyediakan fungs i-fungsi untuk mendefinisikan, menciptakan,
memodifisikan, menghapus, dan membaca data di dalam suatu sistem
informasi.
f) Pengendalian Komunikasi (Communication Control)
Weber (1999, p474) berpendapat bahwa “The Communication
subsystem is responsible for transporting data among all the others
subsystem within a system and for transporting data to or receiving
data from another system”. Intinya adalah subsistem komunikasi
bertanggung jawab untuk pengiriman data ke subsistem yang lain pada
suatu sistem dan untuk pengiriman data ke penerima data dari sistem
yang lain.
2.3.5 Teknik Penilaian Resiko
Metode penetapan penilaian resiko ini didasari oleh teori Pickett yang
dinyatakan dalam bukunya yang berjudul The Essential Book of Internal
Auditing (2005, p.76) yang sebagian dari esensial buku ini juga didukung oleh
Peltier dalam bukunya yang berjudul Information Security Risk Analysis (2001,
p.60-63).
Matriks penilaian resiko adalah suatu cara untuk menganalisa seberapa besar
suatu resiko yang ada dari suatu temuan audit. Hal ini dimungkinkan dengan
cara menganalisa pengaruh dan kolerasi antara tingkat impact (dampak) yang
33
ditimbulkan dari suatu resiko dengan tingkat Likelihood (kejadian) dari resiko
tersebut.
Likelihood Likelihood Definition
High Sumber ancaman dianggap sangat mungkin terjadi, dan
kontrol untuk mencegah vulnerabilitas terjadi dianggap tidak
efektif.
Medium Sumber ancaman mungkin terjadi, tetapi kontrol diterapkan
ditempat yang dapat mengganggu keberhasilan pencegahan
vulnerabilitas.
Low Sumber ancaman kecil kemungkinan terjadi, atau kontrol
diterapkan untuk mencegah, atau sebaliknya menghalangi
vulnerabilitas
Tabel 2.3 Definisi Likelihood level ( level kemungkinan terjadi
Risk Level Risk Description and Necessary Action
High Jika sebuah temuan dievaluasi sebagai High Risk, maka
penting untuk mempertimbangkan tindakan perbaikan.
Medium Jika sebuah temuan ditentukan sebagai Medium Risk,
tindakan perbaikan diperlukan dan sebuah rencana harus
diterapkan.
Low Jika sebuah temuan ditentukan sebagai Low Risk,
dipertimbangkan apakah diperlukan perbaikan atau
34
Risk Level Risk Description and Necessary Action
memutuskan untuk menerima resiko.
Tabel 2.4 Definisi Magnitude of impact ( besar dampak resiko )
Besarnya nilai Threat Likelihood dinyatakan dengan:
a. High (H) diberi nilai 1.0
b. Medium (M) diberi nilai 0.5
c. Low (L) diberi nilai 0.1
Sedangkan besarnya nilai impact dinyatakan dengan:
a. High (H) diberi nilai 100
b. Medium (M) diberi nilai 50
c. Low (L) diberi nilai 10
Threat Likelihood Impact
Low (10) Medium (50) High (100)
High (1.0) Low
10 x 1.0 = 10
Medium
50 x 1.0 = 50
High
100 x 1.0 = 100
Medium (0.5) Low
10 x 0.5 = 5
Medium
50 x 0.5 = 25
High
100 x 0.5 = 50
Low (0.1) Low
10 x 0.1 = 1
Medium
50 x 0.1= 5
High
100 x 0.1= 10
Tabel 2.5 Matriks penilaian resiko
35
Teknik perhitungan dalam Level penilaian resiko menggunakan fungsi perkalian
antara Threat Likelihood dengan impact. Caranya yaitu:
1. Tentukan kemungkinan terjadinya ancaman (Threat Likelihood) berdasarkan
nilai yang ada, apakah High, Medium, atau Low.
2. Kemudian tentukan dampak yang mungkin terjadi (Impact) berdasarkan nilai
yang ada apakah High, Medium, atau Low.
3. Setelah itu kalikan antara Threat Likelihood dengan Impact.
4. Hasil perkalian tersebut dijumlahkan dan dibagi dengan jumlah pertanyaan.
5. Hasil pembangian tersebut dinilai dengan menggunakan Risk Scale apakah
termasuk kategori High, Medium, atau Low.
6. Ancaman yang akan dijadikan resiko dan diberikan rekomendasinya hanya
kategori Medium dan High.
Low Medium High
Risk Scale 1 to 10 >10 to 50 >50 to 100
Tabel 2.6 Risk Scale
36
2.4 Audit
2.4.1 Definisi Audit
Menurut Sanyoto Gondodiyoto (2003, p53) auditing didefinisikan
sebagai suatu proses yang dilakukan seseorang yang kompeten dan independen
yang menghimpun dan mengevaluas i bukti-bukti dari informasi terukur dari
suatu kesatuan ekonomi dengan tujuan untuk mempertimbangkan dan
melaporkan tingkat kesesuaian dari keterangan terukur yang diperoleh
pemeriksaannya tersebut dengan kriteria-kriteria yang telah ditetapkan.
Menurut Mulyadi dan Puradiredja (2003, p1), auditing adalah suatu
proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang
dapat diukur mengenai suatu entitas ekonomi yang dilakukan oleh seorang
yang kompeten dan independan untuk dapat menentukan dan melaporkan
kesesuaian informasi yang dimaksud dengan kriteria-kriteria yang telah
ditetapkan.
Jadi dapat disimpulkan audit adalah sebuah kegiatan yang dilakukan oleh
seseorang yang memiliki kompeten dan bersifat independen dalam melakukan
evaluasi dan menghimpun bukti-bukti terhadap objek penelitiannya sehingga
dapat mempertanggung jawabkan informasi yang ia berikan yang disebut
laporan audit.
2.4.2 Jenis-Jenis Audit
Pada umumnya kegiatan audit dapat diklasifikasikan didalam beberapa jenis
audit. Menurut Arens & Loebbecke (2003, p4) terdapat tiga jenis audit, yaitu :
37
1) Audit Laporan Keuangan (General Financial Statement Audit)
Audit yang dilakukan oleh auditor eksternal independen terhadap laporan
keuangan yang disajikan oleh klien untuk menyatakan pendapat mengenai
kewajaran keuangan tersebut serta kesesuaiannya dengan standar akuntansi
keuangan.
2) Audit Kepatuhan (Compliance Audit)
Audit yang tujuannya untuk menentukan apakah objek yang diaudit telah
sesuai dengan kondisi atau peraturan tertentu.
3) Audit Operasional / Manajemen (Operational/Management Audit)
Meninjau kembali secara sistematik kegiatan organisasi atau kegiatan dari
padanya, dalam hubungannya dalam tujuan tertentu, lazimnya menyangkut
efektivitas, efisiensi, dan ekonomis tidaknya operasi suatu organisasi.
2.4.3 Bahan Bukti Audit
Arens and Loebbecke (2003, p153-161) berpendapat bahwa dalam menentukan
prosedur audit mana yang akan digunakan, ada tujuh katagori bahan bukti audit
yang dapat dipilih auditor yaitu :
1) Pemeriksaan Fisik
Merupakan perhitungan secara fisik atau aktiva berwujud seperti uang
tunai, inventory, dll.
2) Konfirmasi
Konfirmasi digambarkan sebagai penerimaan jawaban tertulis maupun
lisan dari pihak ketiga yang independen dalam memverifikasi akurasi
informasi yang telah diminta auditor.
38
3) Dokumentasi (Pemeriksaan Dokumen/Voucing)
Merupakan pemeriksaan auditor atas dokumentasi dan catatan klien untuk
mendukung informasi yang ada atau seharusnya ada dalam laporan
keuangan.
4) Pengamatan
Adalah penggunaan panca indera untuk menilai/menetapkan suatu aktivasi
tertentu.
5) Tanya Jawab Dengan Klien
Tanya jawab adalah mendapatkan informasi tertulis atau lisan dari klien
dengan menjawab pertanyaan dari auditor. Meskipun sebagai bahan bukti
yang diperhitungkan dapat memperoleh dari klien melalui tanya jawab,
biasanya tanya jawab tidak dapat diperlakukan sebagai kemampuan
memberikan kesimpulan, karena didapat dari sumber yang tidak
independen dan mungkin memihak kepentingan klien. Dengan demikian,
apabila auditor memperoleh bahan bukti tanya jawab, biasanya perlu untuk
mendapatkan bahan bukti lain yang menguatkan melalui prosedur yang
lain.
6) Pelaksanaan Ulang
Mencakup pengecekan ulang suatu sampel perhitungan dan perpindahan
informasi yang dilakukan klien selama periode yang diaudit.
7) Prosedur Analitis
Prosedur analitis adalah menggunakan perbandingan dan hubungan untuk
menentukan apakah saldo akun tersaji secara layak. Prosedur analitis sangat
39
penting sehingga harus dilakukan selama tahap perencanaan dan
penyelesaian di setiap audit.
2.4.4 Tujuan Audit
Tujuan audit sistem informasi menurut Ron Weber (1999, p10 - 11), secara
garis besar dibagi menjadi 4, antara lain :
1) Mengamankan aset (aktiva) yang berhubungan dengan instalasi sistem
informasi yang mencakup : perangkat keras (hardware), perangkat lunak
(software), manusia (people), file data, dokumentasi sistem, dan peralatan
pendukung lainnya.
2) Menjaga dan meningkatkan integritas data yang merupakan konsep dasar
audit sistem informasi, yang berarti data tersebut memiliki atribut seperti:
kelengkapan (completeness), baik dan dipercaya (soundness), kemurnian
(purity), dan ketelitian (veracity).
3) Menjaga dan meningkatkan efektifitas sistem, sistem informasi dikatakan
efektif hanya jika sistem informasi tersebut dapat mencapai tujuannya
yaitu salah satunya untuk memenuhi kebutuhan user, audit efektivitas
sistem dilakukan setelah suatu sistem berjalan dan pada tahap
perencanaan sistem (sistem design).
4) Meningkatkan sumber daya sistem dengan menggunakan sumber daya
seminimal mungkin untuk menghasilkan output yang dibutuhkan.
40
2.4.5 Standard Audit
Standar auditing merupakan pedoman bagi auditor dalam menjalankan
tanggung jawab profesionalnya. Standar-standar ini meliputi pertimbangan
mengenai kualitas profesional mereka, seperti keahlian dan independensi,
persyaratan pelaporan dan bahan bukti. Pedoman utama adalah sepuluh (10)
standar auditing atau 10 generally auditing standar-GAAS.
Kesepuluh standar tersebut adalah :
1) Standar Umum:
a. Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki
keahlian dan pelatihan teknis cukup sebagai auditor.
b. Dalam semua hal yang berhubungan dengan penugasan, independensi
dalam sikap mental harus dipertahankan oleh auditor.
c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib
menggunakan kemahiran profesionalnya secara cermat dan seksama.
2) Standar Pekerjaan Lapangan :
a. Pekerjaan harus direncanakan sebaik-baiknya dan jika digunakan
asisten harus disupervisi dengan semestinya.
b. Pemahaman yang memadai atas struktur pengendalian internal harus
diperoleh untuk merencanakan audit dan menentukan sifat dan
lingkup pengujian yang harus dilakukan.
c. Bukti audit yang kompeten yang cukup harus diperoleh melalui
inspeksi, pengamatan, pengajuan pertanyaan dan konfirmasi sebagai
dasar yang memadai untuk menyatakan pendapat atas laporan
keuangan yang diaudit.
41
3) Standar Lapangan:
a. Laporan audit harus menyatakan apakah laporan keuangan telah
disusun sesuai dengan prinsip akuntansi yang berlaku umum.
b. Laporan audit harus menunjukkan keberadaan yang di dalamnya
prinsip akuntansi tidak secara konsisten ditetapkan dalam penyusunan
laporan keuangan periode berjalan dalam hubungannya dengan
prinsip akuntansi yang ditetapkan dalam periode sebelumnya.
c. Pengungkapan informatif dalam laporan keuangan harus dipandang
memadai, kecuali dinyatakan lain dalam laporan audit.
d. Laporan audit harus memuat suatu pernyataan pendapat mengenai
laporan keuangan secara keseluruhan atau suatu asersi bahwa
pernyataan demikian tidak dapat diberikan. Jika pendapat secara
keseluruhan tidak dapat diberikan, maka alasannya harus dinyatakan.
Dalam semua hal yang mana auditor dihubungkan dengan laporan
keuangan, laporan auditor harus memuat petunjuk yang jelas
mengenai sifat pekerjaan auditor, jika ada, dan tingkat tanggung
jawab yang dipikulnya.
2.4.6 Pengertian Audit Sistem Informasi
Pengertian audit sistem informasi menurut Weber (1999, p10) adalah
proses pengumpulan dan evaluasi terhadap bukti-bukti untuk menentukan
apakah suatu sistem komputer telah mengamankan harta organisasi,
memelihara keutuhan data, membuat pencapaian tujuan organisasi menjadi
lebih efektif dan telah menggunakan sumber daya secara efisien.
42
Menurut Sanyoto Gondodiyoto (2006, p419), audit sistem informasi
adalah proses pengumpulan dan penilain bukti untuk menentukan apakah
sistem komputerisasi perusahaan telah menggunakan aset sistem informasi
secara tepat dan mampu mendukung pengamanan aset tersebut, memelihara
kebenaran dan integritas data dalam pencapaian tujuan perusahaan secara
efektif dan efisien.
Berdasarkan kesimpulan di atas, maka dapat disimpulkan bahwa audit
sistem informasi adalah proses pengumpulan dan pengevaluasian bahan bukti
audit untuk mengetahui apakah sistem informasi yang ada dapat melindungi
aset perusahaan, menjaga integritas data dan mendukung tercapainya tujuan
perusahaan secara efektif dan efisien.
2.4.7 Prosedur Audit S istem Informasi
Menurut Ron Weber dalam bukunya “Information System Control And
Audit” (1999, p45-46) terdapat empat jenis prosedur audit,, yaitu :
1) Prosedures To Obtain An Understanding Of Controls :
Penyelidikan, pemeriksaan, observasi dapat digunakan untuk memperoleh
sebuah pengertian mengenai apakah kontrol itu ada, seberapa bagus kontrol
itu dibuat atau dirancang dan apakah kontrol itu digunakan dalam kegiatan
operasional.
2) Test Of Control :
Penyelidikan, pemeriksaan, pengamatan, dan penerapan prosedur kontrol
dapat digunakan untuk mengevaluasi apakah kontrol tersebut beroperasi
secara efektif.
43
3) Subtantive Test Of Details Of Account Balances :
Pengujian (test) ini digunakan untuk mengetahui apakah transaksi telah
dibukukan dengan benar.
4) Analytical Review Procedures :
Pengujian (test) ini fokus pada hubungan antara data dengan tujuan audit.
2.4.8 Tujuan audit Sistem Informasi
Menurut Weber (1999, p11-13), tujuan dari audit sistem informasi adalah :
1. meningkatkan perlindungan terhadap asset perusahaan,
2. meningkatkan integritas data,
3. meningkatkan efektivitas sistem dan meningkatkan efisiensi sistem.
2.4.9 Metode Audit Sistem Informasi
1. Auditing Around The Computer
Menurut Gondodiyoto (2007, p451) auditor tidak perlu menguji SI berbasis
teknologi informasi klien (file program/pengendalian atas file/data di
komputer), melainkan cukup terhadap input (dokumen) serta output
(laporan) sistem aplikasi saja.
2. Auditing Throught The Computer
Menurut Gondodiyoto (2007, p453), dalam pendekatan audit ke sistem
komputer (Audit through the computer) auditor melakukan pemeriksaan
langsung terhadap program – program dan file komputer pada audit SI
berbasis TI.
44
3. Audit With the Computer
Menurut Gondodiyoto (2007, p454), menggunakan komputer dan software
untuk mengotomatisasi prosedur pelaksanaan audit.
2.4.10 Standar ISACA (Information Systems Audit and Control Association)
Menurut Information Systems Audit and Control Association (ISACA)
(Gondodiyoto, 2006, p68-70) standar untuk audit sistem informasi adalah :
S1 Audit Charter
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit Standard ini adalah menyediakan suatu petunjuk yang
berkenaan dengan Audit Charter selama proses Audit.
Standard – standard :
1. kegunaan tanggungjawab, wewenang dan sesuatu yang harus
dipertanggungjawabkan dari fungsi audit sistem informasi harus
dibuat dokumentasinya secara tepat didalam Audit Charter.
2. Audit Charter harus setuju dan diakui diantara setiap bagian
organisasi.
S2 Independen
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
45
kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit Standard ini adalah menyediakan suatu petunjuk yang
berkenaan dengan Audit Charter selama proses Audit.
Standard – standard :
1. Professional Independence
Di dalam semua keadaan yang berhubungan dengan audit, IS Auditor
harus independent terhadap sikap dan penampilan pada saat audit.
2. Organisational independence
Fungsi audit SI harus independent terhadap area atau aktivitasnya di
dalam mencapai tujuannya pada saat mengerjakan tugas audit.
S3 Profesional Ethics and Standards
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksudnya
dari IS audit standard adalah menyediakan suatu standard dan petunjuk
yang melekat pada IS Auditor terhadap kode etik professional ISACA dan
pelatihan secara professional didalam memimpin tugas audt.
Standard – standard :
1. IS Auditor harus melekat pada kode etik professional ISACA di dalam
memimpin tugas audit.
2. IS Auditor harus dilatih secara professional, termasuk ketaatan pada
standard professional audit, di dalam memimpin tugas audit.
46
S4 Competence
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah menyediakan suatu standard dana
petunjuk sehingga IS Auditor wajib untuk mencapai suatu kesuksesan dan
memelihara professional competence.
Standard – standard :
1. IS Auditor harus memiliki professional competence, mempunyai
kemampuan dan pengetahuan untuk memimpin tugas audit.
2. IS Auditor harus memelihara professional competence di dalam
melanjutkan pembelajaran dan pelatihan professional.
S5 Planning
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk
di dalam perencanaan audit.
Standard – standard :
1. IS Auditor harus membangun suatu jaringan audit sistem informasi.
2. IS Auditor harus mengembangkan dan mendokumentasikan resiko yang
ada.
47
3. IS Auditor harus mengembangkan dan mendokumentasikan rencana
audit.
4. IS Auditor harus mengembangkan program audit.
S6 Performance of Audit Work
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk
mengenai performance dari kerja audit.
Standard – standard :
1. Pengawasan – staff IS audit harus menyediakan kepastian yang jelas
mengenai tujuan audit.
2. Bukti – IS audit harus memperoleh bukti yang cukup, nyata, relevan.
3. Dokumentasi – suatu proses audit harus didokumentasikan.
S7 Reporting
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk
mengenai laporan sehingga IS Auditor dapat memenuhi tanggungjawabnya.
Standard – standard :
1. IS Auditor harus menyediakan laporan audit.
48
2. Laporan audit harus berisi mengenai bagian, tujuan periode, waktu dan
performa kinerja audit.
3. Laporan harus ada pendapat, kesimpulan dan rekomendasi, kualifikasi
dan bagian pertanggung jawaban audit.
4. IS Auditor harus memiliki bukti yang cukup dan jelas untuk men-
support laporan audit.
5. Laporan harus ditandatangani, diberi tanggal dan didistribusikan
kebagian Audit Charter.
S8 Follow Up Activities
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk
mengenai kelanjutan aktivitas selama melanjutkan proses audit.
Standard – standard :
Setelah laporan terhadap kesimpulan dan rekomendasi, IS Auditor harus
meminta dan mengevaluasi informasi yang relevan dengan kegiatan yang
dilakukan management pada waktu yang tepat.
S9 Irregularities and Illegal Acts
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksud
49
dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk
pada kegiatan yang tidak beres dan illegal yang IS audit harus
pertimbangkan selama proses audit.
Standard – standard :
Pada saat perencanaan dan pelaksanaan audit untuk mengurangi resiko ke
level yang bawah.
1. IS Auditor harus memelihara sikap professional selama audit.
2. IS Auditor harus mengerti terhadap lingkungan dan organisasi.
3. IS Auditor harus mendapatkan bukti audit yang cukup daan tepat.
4. IS Auditor harus mempertimbangkan terhadap hubungan yang tak
diduga – duga yang dapat menyebabkan suatu resiko.
5. IS Auditor harus mendesain dan melaksanakan prosedur.
6. IS Auditor harus memperkirakan pernyataan yang salah yang
berindikasi terjadi kegiatan yang tidak beres dan illegal.
7. IS Auditor harus menulis gambaran dari management.
8. IS Auditor apabila menemukan kegiatan yang mencurigakan/illegal
harus dilaporkan kepada management secepatnya.
9. IS Auditor apabila menemukan management atau pekerja yang
melakukan kegiatan yang mencurigakan/illegal, harus dilaporkan ke
pemerintah.
10. IS Auditor harus memberitahukan ke management dan pemerintah
mengenai design dan implementasi dari internal control.
11. IS Auditor harus mendokumentasikan seluruh komunikasi,
perencanaan, evaluasi dan kesimpulan.
50
S10 IT Governance
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk
pada area IT Governance yang IS Auditor butuhkan untuk melakukan
pertimbangan selama proses audit.
Standard – standard :
1. IS Auditor harus me-review dan menaksir apakah fungsi IS sesuai
dengan misi, visi, nilai, tujuan dan strategi organisasi.
2. IS Auditor harus me-review apakah fungsi IS telah memiliki pernyataan
yang benar mengenai hasil yang diharapkan bisnis dan menilai
kesuksesan.
3. IS Auditor harus me-review dan menaksir efektivitas dari sumber daya
IS dan performa dari proses menajemen.
4. IS Auditor harus me-review dan menaksir pemenuhan secara legal,
kualitas informasi dan penggadaian.
5. Resiko – berdasarkan suatu pendekatan harus digunakan oleh IS
Auditor untuk mengevaluasi fungsi IS.
6. IS Auditor harus me-review dan menaksir control environment dari
sebuah organisasi.
7. IS Auditor harus me-review dan menaksir resiko yang akan
memberikan efek bagi lingkungan IS.
51
S11 Use of Risk Assessment in Audit Planning
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk
mengenai penggunaan dan penilaian resiko pada perencanaan audit.
Standard – standard :
1. IS Auditor harus menggunakan tehnik penilaian resiko yang tepat.
2. IS Auditor harus mengidentifikasi dan menaksir resiko yang relevan
terhadap area yang sedang ditinjau ketika merencanakan peninjauan
individu.
S12 Audit Materiality
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah menyediakan konsep dari audit
materialitas dan berhubungan dengan audit resiko.
Standard – standard :
1. IS Auditor harus menggunakan audit materialitas dan hubungan dengan
audit resiko ketika membandingkan sifat, waktu, dan tingkat dari
prosedur audit.
2. ketika merencanakan audit, auditor harus menggunakan kelemahan
potensial atau ketiadaan dari pengendalian dan apakah kelemahan atau
52
ketiadaan pengendalian dapat menghasilkan kecurangan yang
signifikan atau sebuah kelemahan material dalam sistem informasi.
3. IS Auditor harus menyadari efek komulatif dari kelemahan
pengendalian minor atau kelemahan dan ketiadaan dari pengendalian
untuk menerjemahkan kedalam kekurangan yang semakin signifikan
atau kelemahan material dalam IS.
4. Laporan dari IS Auditor harus memperlihatkan pengendalian yang tidak
efektif atau ketiadaan dari pengendalian dan kekurangan yang
signifikan dari pengendalian dan kemungkinan dari kelemahan yang
dihasilkan dalam kekurangan yang signifikan atau kelemahan material.
S13 Using the work of other experts
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah untuk membuat dan menyediakan
pedoman untuk IS Auditor yang menggunakan pekerjaan dari para ahli lain
dari audit.
Standard – standard :
1. IS Auditor harus tepat dalam menggunakan pekerjaan para ahli dalam
audit.
2. IS Auditor harus dapat menilai kualifikasi professional, kompetensi,
pengalaman yang relevan, sumber, kemandirian dan proses
pengendalian kualitas dari keahlian yang lain.
53
3. IS Auditor harus menilai, memeriksa ulang dan mengevaluasi pekerjaan
dari para ahli sebagai bagian dari audit dan menyimpulkan tingkat dari
penggunaan dan kepercayaan dalam pekerjaan para ahli.
4. IS Auditor harus membandingkan dan menyimpulkan apakah pekerjaan
dari para ahli sudah memadai dan lengkap untuk membantu IS Auditor
dalam menyimpulkan tujuan audit. Kesimpulan seperti itu harus
terdokumentasi dengan jelas.
5. IS Auditor harus mengajukan prosedur pengujian tambahan untuk
mendapatkan bukti tambahan yang tepat.
6. IS Auditor harus menyediakan opini audit yang tepat dan mencakup
ruang lingkup batasan dimana setiap bukti harus diuji terlebih dahulu.
S14 Audit Evidence
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah untuk menetapkan standard dan
menyediakan pedoman yang merupakan bukti audit, dan kualitas dan
kuantitas dan bukti audit harus didapat dari IS Auditor.
Standard – standard :
1. IS Auditor harus mendapatkan prosedur pengujian tambahan untuk
mendapatkan bukti tambahan yang tepat untuk menggambarkan
kesimpulan yang berdasarkan hasil audit.
2. IS Auditor harus mengevaluasi bukti audit selama proses audit.
54
S15 IT Controls
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah untuk menetapkan standard dan
menyediakan pedoman mengenai pengendalian IT.
Standard – standard :
1. IS Auditor harus mengevaluasi dan mengawasi pengendalian IT yang
merupakan bagian dari lingkungan pengendalian dalam suatu
organisasi.
2. IS Auditor harus membantu manajemen dengan menyediakan saran
mengenai rancangan, implementasi, operasi dan pengembangan
pengendalian IT.
S16 E-commerce
ISACA standard berisi prinsip dasar dan prosedur penting, yang
dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu
kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. Maksud
dari IS Audit standard ini adalah untuk menetapkan standard dan
menyediakan pedoman mengenai tinjauan lingkungan e-commerce.
Standard – standard :
IS Auditor harus mengevaluasi pengendalian yang dapat dipergunakan dan
menilai resiko ketika meninjau kembali lingkungan e-commerce untuk
memastikan transaksi e-commerce sudah terkendali.
55
2.4.11 Tahapan Audit Sistem Informasi
Menurut Ron Weber dalam buku “Information System Control and
Audit” (1999, p47-55) yang dikutip oleh Sanyoto Gondodiyoto dalam
bukunya audit sistem informasi (2006, p425-428), terdapat lima langkah atau
tahapan audit sistem informasi yaitu :
1) Perencanaan Audit (Planning The Audit)
Perencanaan merupakan tahapan pertama dari kegitan audit, bagi auditor
eksternal, hal ini artinya adalah auditor eksternal melakukan investigasi
terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat
diterima, menetapkan staf audit, menghasilkan perjanjian audit,
menghasilkan informasi latar belakang klien, mengerti tentang masalah
hukum klien dan melakukan analisa terhadap prosedur yang ada untuk
mengerti tentang bisnis klien dan mengindentifikasi resiko audit.
2) Pengetesan Kendali (Tests of Controls)
Auditor melakukan control test ketika mereka menilai bahwa control risk
berada pada tingkat kurang dari maksimum. Mereka mengandalkan
control sebagai dasar untuk mengurangi biaya testing. Sampai pada tahap
ini auditor tidak mengetahui apakah identifikasi control telah berjalan
dengan efektif. Oleh karena itu diperlukan evaluasi yang spesifik
terhadap materi control.
3) Pengetesan Transaksi (Tests of Transaction)
Auditor menggunakan test terhadap transaksi untuk mengevaluasi
kesalahan atau proses yang tidak biasa terjadi pada transaksi yang
mengakibatkan kesalahan pencatatan material yang laporan keuangan.
56
Test transaksi ini menelusuri jurnal dari sumber dokumen, memeriksa file
harga dan mengecek keakuratan perhitungan.
4) Pengetesan Keseimbangan atau Keseluruhan Hasil (Tests of Balances Or
Overall Results)
Yang harus diperhatikan pada pendekatan ini adalah tujuan pengamanan
harta dan integritas data. Jenis substantive test terhadap saldo yang
digunakan adalah konfirmasi piutang, perhitungan fisik persediaan fisik
persediaan dan perhitungan ulang penyusutan aktiva tetap.
5) Pengakhiran (Penyelesaian) Audit (Completion of The Audit)
Ada empat opini yang diberikan terhadap hasil audit oleh eksternal
auditor yaitu :
a. Disclaimer of opinion : auditor tidak dapat memberikan opini.
b. Adverse opinion : auditor berpendapat bahwa banyak kesalahan.
c. Qualified opinion : auditor berpendapat terjadi beberapa kesalahan
tetapi nilainya tidak material.
d. Unqualified opinion : auditor berpendapat tidak terjadi kesalahan atau
misstatement.
2.4.12 Instrument Audit S istem Informasi
Menurut Ron Webber dalam bukunya “Information System Control And
Audit” (1999, p789-810) terdapat tiga instrument audit sistem informasi
yaitu:
57
1. Wawancara (Interview)
Auditor merupakan wawancara dengan orang-orang yang berhubungan
dengan sistem yang berjalan dalam perusahaan.
2. Check List
Check list digunakan untuk mengetahui kehandalan sistem dengan
mengajukan pertanyaan kepada pihak-pihak terkait. Kemudian auditor
memeriksa jawaban-jawaban yang diberikan untuk menentukan
kehandalan sistem.
3. Control Flowchart
Control flowchar t menunjukkan pengendalian apa yang ada dalam
perusahaan dan dimana letak pengendalian tersebut.
2.4.13 Pengertian Diagram Alir (FlowChart)
Menurut Mulyadi (2001), Flowchart adalah suatu diagram yang berupa
simbol-simbol dan dapat menunjukan alur data serta operasi yang terjadi
pada suatu sistem.
Flowchart terbagi atas lima jenis, yaitu :
1. Flowchart Sistem (System Flowchart)
Sistem flowchart adalah suatu gambar yang memperlihatkan urutan
prosedur dan proses dari beberapa file dalam media tertentu. Melalui
flowchart, dapat terlihat jenis media penyimpanan yang dipakai dalam
58
pengolahan data. Selain itu juga menggambarkan file yang dipakai
sebagai input maupun output.
2. Flowchart Skematik (Schematic Flowchart)
Flowchart skematik mirip dengan flowchart sistem yang
menggambarkan suatu sistem atau prosedur. Flowchart skematik ini
bukan hanya menggunakan symbol-simbol flowchart standar, tetapi
juga menggunakan gambar-gambar komputer, peripheral, form-form
atau peralatan lain yang digunakan dalam sistem.
Flowchart skematik digunakan sebagai alat komunikasi anatara analsis
sistem dengan seseorang yang tidak familiar dengan simbol-simbol
flowchart yang konvensional. Pemakaian gambar sebagai ganti dari
seseorang untuk mempelajari simbol abstrak sebelum dapat mengerti
flowchart.
3. Flowchart Program (Program Flowchart)
Program flowchart adalah bagan yang memperlihatkan urutan dan
hubungan proses dalam suatu program. Program flowchart merupakan
langkah awal pembuatan flowchart program. Dengan adanya program
flowchart maka urutan proses di program menjadi lebih jelas.
59
4. Flowchart Proses (Process Flowchart)
Flowchart Proses merupakan teknik penggambaran rekayasa industrial
yang memecah dan menganalisis langkah-langkah selanjutnya dalam
suatu prosedur atau sistem. Flowchart Proses digunakan oleh
perekayasa industrial dalam mempelajari dan mengembangkan proses-
proses manufacturing. Dalam analisis sistem, flowchart ini digunakan
secara efektif untuk menelusuri alur suatu laporan atau form.
5. Flowchart Paperwork / Flowchart Dokumen (Document Flowchart)
Flowchart paperwork menelusuri alur dari data yang ditulis melalui
sistem. Flowchart sering disebut juga flowchart dokumen. Kegunaan
utamanya adalah untuk menelusuri alur from dan laporan sistem dari
satu bagian ke bagian lain baik bagaimana alur from laporan diproses,
dicatat dan disimpan.
Untuk menggambarkan aliran dokumen dalam sistem tertentu, digunakan
simbol-simbol dalam suatu bagan alir dokumen. (document flowchart).
Dalam bagan alir, arus dokumen digambarkan berjalan dari kiri ke kanan
dan dari atas ke bawah. Arah perjalanan dokumen ini, dapat diikuti
dengan melihat nomor dalam simbol penghubungan pada halaman yang
sama ( on-page connector ) atau nomor dalam simbol penghubung pada
halaman yang berbeda ( off-page connector).
60
Penggunaan bagan alir lebih bermanfaat daripada uraian tertulis dalam
menggambarkan suatu sistem. Manfaat tersebut adalah sebagai berikut :
1. Gambaran sistem secara menyeluruh lebih mudah diperoleh dengan
menggunakan bagan alir.
2. Perubahan sistem lebih mudah digambarkan dengan menggunakan
bagan alir.
3. Kelemahan-kelemahan dalam sistem dan identifikasi bidang-bidang
yang memerlukan perbaikan lebih mudah ditemukan dengan bagan
alir
4. Dokumentasi sistem akutansi dilakukan dengan menggunakan
bagan alir.