8
2.1 Sistem Informasi 2.1.1 Pengertian Sistem
Menurut McLeod dan Schell (2004, p9), sistem adalah sekelompok elemen-elemen data yang terintegrasi dengan maksud yang sama untuk mencapai tujuan tertentu.
Menurut Romney dan Steinbert (2003, p2), system is a set of two or more interrelated components that interact to achieve a goal.
Menurut Hall (2007, p611), sistem adalah kelompok yang terdiri atas dua atau lebih komponen atau subsistem yang saling berhubungan, yang menjalankan tujuan yang sama.
Dari beberapa pengertian sistem diatas, dapat disimpulkan bahwa sistem adalah sekumpulan elemen atau komponen yang saling berinteraksi untuk mencapai suatu tujuan yang sama.
2.1.2 Pengertian Informasi
Menurut Gondodiyoto dan Hendarti (2007, p82), informasi adalah data yang telah diolah menjadi suatu bentuk yang sesuai dengan keinginan si penerima. Data merupakan bahan yang diolah menjadi suatu bentuk yang lebih berguna dan lebih mempunyai arti, sedangkan informasi adalah hasil pengolahan data, sehingga bertambah kegunaannya dan dapat dipakai untuk tujuan tertentu
atau untuk analisis dan pengambilan keputusan. Biasanya informasi terdiri dari data yang telah diproses, dipilih atau terpilih, dan disusun sesuai dengan kebutuhan pemakai data, masalah, waktu dan fungsinya.
Menurut Romney dan Steinbert (2003, p9), information is data that have been organized and processed to provide meaning.
Dari penjelasan diatas, dapat disimpulkan bahwa informasi adalah data yang telah diproses dan memiliki arti bagi penggunanya.
2.1.3 Pengertian Sistem Informasi
Menurut O’Brien (2006, p11), sistem informasi dapat merupakan kombinasi teratur apapun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah dan menyebarkan informasi dalam sebuah organisasi.
Menurut Moscove, Simkin dan Bagranoff (2001, p6), information system is a set of interrelated subsystems that work together to collect, process, store, transform, and distribute information for planning, decision making, and control. Berdasarkan penjelasan tersebut dapat disimpulkan bahwa sistem informasi adalah serangkaian komponen yang saling berinteraksi dan bekerja sama untuk mengumpulkan, memproses, menyimpan, mengubah dan menyebarkan informasi yang berguna bagi kegiatan yang berlangsung dalam suatu organisasi.
2.2 Sistem Akuntansi Pembelian
Menurut Mulyadi (2001, p299), sistem akuntansi pembelian merupakan sistem yang digunakan perusahaan untuk pengadaan barang yang diperlukan oleh perusahaan.
2.2.1 Fungsi-Fungsi yang Terkait dalam Pembelian
Menurut Mulyadi (2001, p299), fungsi-fungsi yang terkait dalam sistem pembelian kredit adalah :
1. Fungsi Gudang
Fungsi ini bertanggung jawab untuk mengajukan permintaan pembelian sesuai dengan posisi persediaan yang ada di gudang dan untuk menyimpan barang yang telah diterima oleh fungsi penerimaan.
2. Fungsi Pembelian
Fungsi ini bertanggung jawab untuk memperoleh informasi mengenai harga barang, menentukan pemasok yang dipilih dalam pengadaan barang dan mengeluarkan order pembelian kepada pemasok yang dipilih.
3. Fungsi Penerimaan
Fungsi ini bertanggung jawab untuk melakukan pemeriksaan terhadap jenis, mutu dan kuantitas barang yang diterima dari pemasok guna menentukan dapat atau tidaknya barang tersebut diterima oleh perusahaan.
4. Fungsi Akuntansi
Fungsi akuntansi yang terkait dalam transaksi pembelian adalah fungsi pencatat utang dan fungsi pencatat persediaan. Fungsi ini bertanggung jawab
untuk mencatat transaksi pembelian ke dalam register bukti kas keluar dan untuk menyelenggarakan arsip dokumen sumber (bukti kas keluar) yang berfungsi sebagai catatan utang atau menyelengarakan kartu utang sebagai buku pembantu utang.
2.2.2 Jaringan Prosedur yang Membentuk Sistem Pembelian
Menurut Mulyadi (2001, p301), jaringan prosedur yang membentuk sistem pembelian adalah :
a. Prosedur permintaan pembelian
Dalam prosedur ini fungsi gudang mengajukan permintaan pembelian dalam formulir surat permintaan pembelian kepada fungsi pembelian.
b. Prosedur permintaan penawaran harga dan pemilihan pemasok
Dalam prosedur ini fungsi pembelian mengirimkan surat permintaan penawaran harga kepada para pemasok untuk memperoleh informasi mengenai harga barang dan berbagai syarat pembelian yang lain, untuk memungkinkan pemilihan pemasok yang akan ditunjuk sebagai pemasok barang yang diperlukan perusahaan.
c. Prosedur order pembelian
Dalam prosedur ini fungsi pembelian mengirim surat order pembelian kepada pemasok yang dipilih dan memberitahukan kepada unit-unit organisasi lain dalam perusahaan mengenai order pembelian yang sudah dikeluarkan oleh perusahaan.
d. Prosedur penerimaan barang
Dalam prosedur ini fungsi penerimaan melakukan pemeriksaan mengenai jenis, kuantitas, dan mutu barang yang diterima dari pemasok, dan kemudian membuat laporan penerimaan barang untuk menyatakan penerimaan barang dari pemasok.
e. Prosedur pencatatan utang
Dalam prosedur ini fungsi akuntansi memeriksa dokumen-dokuman yang berhubungan dengan pembelian dan menyelenggarakan pencatatan utang atau mengarsipkan dokumen sumber sebagai catatan utang.
f. Prosedur distribusi pembelian
Prosedur ini meliputi distribusi rekening yang didebit dari transaksi pembelian untuk kepentingan pembuatan laporan manajemen.
2.2.3 Dokumen Pembelian
Menurut Mulyadi (2001, p303), dokumen yang digunakan dalam sistem persediaan barang sebagai berikut:
a. Surat Permintaan Pembelian
Dokumen ini merupakan formulir yang diisi oleh fungsi gudang atau fungsi pemakai barang untuk meminta fungsi pembelian melakukan pembelian dengan jenis, jumlah, dan mutu seperti yang tersebut dalam surat tersebut. Biasanya dibuat dua lembar untuk setiap permintaan, satu lembar untuk fungsi pembelian, dan tembusannya untuk arsip fungsi yang meminta barang.
b. Surat Permintaan Penawaran Harga
Dokumen ini digunakan untuk meminta penawaran harga bagi barang yang pengadaannya tidak bersifat berulang kali terjadi yang menyangkut jumlah rupiah pembelian yang besar.
c. Surat Order Pembelian
Dokumen ini digunakan untuk memesan barang kepada pemasok yang telah dipilih.
d. Laporan Penerimaan Barang
Dokumen ini dibuat oleh fungsi penerimaan untuk menujukkan bahwa barang-barang yang diterima pemasok telah memenuhi jenis, spesifikasi, mutu, dan kuantitas seperti yang tercantum dalam surat order pembelian. e. Surat Perubahan Order Pembelian
Kadangkala diperlukan perubahan terhadap isi surat order pembelian yang sebelumnya telah diterbitkan. Perubahan tersebut dapat berupa perubahan kuantitas barang, jadwal penyerahan barang, spesisifikasi, penggantian. Perubahan tersebut diberitahukan kepada pemasok secara resmi dengan surat perubahan order pembelian.
f. Bukti Kas Keluar
Dokumen ini dibuat oleh fungsi akuntansi untuk dasar pencatatan transaksi pembelian juga berfungsi sebagai perintah pengeluaran kas untuk pembayaran utang kepada pemasok dan yang sekaligus berfungsi sebagai surat pemberitahuan kepada kreditur mengenai maksud pembayaran.
2.3 Audit Sistem Informasi
2.3.1 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p10), audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sistem komputer dapat melindungi aktiva-aktiva, menjaga integritas data, mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien.
Menurut Gondodiyoto (2006, p385), audit sistem informasi berbasis teknologi informasi adalah proses pengumpulan dan penilaian bahan bukti audit untuk dapat menentukan apakah sistem informasi perusahaan telah menggunakan sumber daya informasi secara tepat dan mampu mendukung pengamanan asset tersebut, memelihara kebenaran dan integritas data dalam pencapaian tujuan perusahaan secara efektif dan efisien.
Maka dapat disimpulkan audit sistem informasi adalah proses mengumpulkan dan mengevaluasi bukti-bukti audit yang ditemukan sesuai standar yang berlaku untuk mengetahui apakah sistem informasi dan sumber daya yang terkait mengelola dan memelihara teknologi dan asset perusahaan dengan baik serta apakah proses bisnis perusahaan berjalan sesuai dengan yang seharusnya.
2.3.2 Tujuan dan Manfaat Audit Sistem Informasi
Menurut Weber (1999, p11), tujuan audit sistem informasi dibagi menjadi 4, yaitu :
1. Peningkatan keamanan asset (asset safeguarding objectives)
Asset informasi suatu perusahaan seperti hardware, software, SDM, file data, dokumentasi sistem dan peralatan pendukung lainnya harus dijaga oleh suatu sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan terhadap asset perusahaan.
2. Peningkatan integritas data (data integrity objectives)
Integritas data merupakan salah satu konsep dasar dari suatu sistem informasi, dimana setiap data memiliki atribut tertentu seperti kelengkapan dan keakuratan. Jika integritas data tidak terpelihara dengan baik maka suatu perusahaan akan menderita kerugian.
3. Peningkatan efektivitas sistem (system effectiveness objectives)
Efektivitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif apabila sistem tersebut telah sesuai dengan kebutuhan user.
4. Peningkatan efisiensi sistem (system efficiency objectives)
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi komputer menurun, maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus meningkatkan penggunaan sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sistem informasi yang minimal.
2.3.3 Tahapan Audit Sistem Informasi
Menurut Hall (2007, p539), audit sistem informasi pada umumnya dibagi dalam tiga tahap, yaitu :
1. Perencanaan Audit
Bagian utama dalam tahap ini adalah analisis resiko audit. Tujuan auditor adalah mendapatkan informasi yang memadai tentang perusahaan agar dapat merencanakan tahap-tahap audit lainnya. Teknik-teknik yang digunakan untuk mengumpulkan bukti dalam tahap ini antara lain kuesioner, wawancara, memeriksa dokumen sistem, dan observasi.
2. Uji Pengendalian
Tujuan tahap ini adalah untuk menentukan bahwa pengendalian internal yang memadai telah diterapkan dan berfungsi dengan benar. Teknik pengumpulan bukti yang digunakan dalam tahap ini meliputi teknik manual dan teknik audit komputer khusus.
3. Pengujian Substantif
Tujuan tahap ini adalah untuk menentukan akurasi setiap akun dalam sampel yang diambil dalam uji substantif. Dan berdasarkan temuan sampel, auditor dapat mengambil kesimpulan mengenai hasil pengujian. Sebagian uji substantif merupakan aktifitas fisik dan padat karya, seperti perhitungan persediaan di gudang, dan verifikasi ada atau tidaknya sertifikat saham di dalam lemari penyimpanan.
2.3.4 Metode Audit Sistem Informasi
Dalam melakukan audit sistem informasi, ada 3 metode yang dapat digunakan oleh auditor, yaitu :
1. Audit Around The Computer
Menurut Gondodiyoto (2007, p451), dalam metode ini auditor tidak perlu menguji pengendalian sistem informasi berbasis teknologi informasi, melainkan cukup terhadap input serta output sistem aplikasi saja.
Kelemahan metode ini adalah :
a. Database biasanya memiliki data yang banyak dan sulit dilacak secara manual.
b. Auditor tidak akan memahami operasional dalam sistem komputer.
c. Adanya pengabaian pada sistem pengolahan komputer sehingga sangat rawan terjadi kesalahan potensial dalam sistem.
d. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit menjadi tidak ada.
e. Tidak menyelesaikan maksud dan tujuan proses audit secara keseluruhan. Sedangkan keuntungan metode audit around the komputer ini adalah: a. Tidak ada resiko terhadap kemungkinan hancurnya data sesungguhnya. b. Auditor hanya sedikit memerlukan tambahan pendidikan.
c. Umumnya mudah, sederhana dan dimengerti oleh semua orang. d. Biaya yang terkait dengan pelaksanaannya kecil.
2. Audit Through The Computer
Menurut Gondodiyoto (2007, p453), dalam pendekatan ini, auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit sistem informasi berbasis teknologi informasi. Auditor menggunakan komputer (software bantu) atau dengan cek logika atau listing program (desk test on logic or program source code) untuk menguji logika program dalam rangka pengujian pengendalian yang ada pada komputer.
Tujuan dari metode ini adalah untuk meneliti apakah aplikasi yang diaplikasikan sesuai dengan kondisi yang sesungguhnya.
Keuntungan metode ini adalah dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan penguji yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap keandalan dari pengumpulan dan evaluasi dapat ditingkatkan. Selain itu, dengan memeriksa secara langsung logika pemrosesan dari sistem aplikasi dan perkiraan kemampuan sistem, dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.
Kelemahan dari metode ini adalah :
a. Biaya yang dibutuhkan relatif tinggi yang disebabkan oleh jumlah jam kerja yang banyak untuk memahami struktur pengendalian intern dari pelaksanaan sistem aplikasi.
b. Butuh keahlian teknik yang lebih mendalam untuk memahami cara kerja sistem.
3. Auditing With the Computer
Menurut Gondodiyoto (2007, p455), metode auditing with the computer adalah suatu pendekatan audit dengan bantuan komputer, dimana prosedur auditnya dapat dilaksanakan dengan berbagai cara, yaitu:
a. Memproses atau melakukan pengujian langsung terhadap sistem komputer client dalam pengujian pengendalian atau substantif.
b. Menggunakan komputer untuk melaksanakan tugas audit yang terpisah dari sistem client, yaitu mengambil copy data atau file dan atau program milik client untuk diuji dengan komputer lain.
c. Menggunakan komputer sebagai alat bantu dalam audit
Metode ini merupakan suatu pendekatan audit dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit.
Dari ketiga metode diatas, yang lebih sering digunakan adalah metode around the computer dan through the computer, karena biaya yang dibutuhkan relatif lebih murah daripada metode with the computer.
2.3.5 Instrumen Audit Sistem Informasi
Menurut Gondodiyoto dan Hendarti (2006, p447), terdapat beberapa instrumen audit yang bisa digunakan dalam pelaksanaan audit, yaitu :
1. Observasi
Observasi adalah cara memeriksa dengan menggunakan panca indera terutama mata, yang dilakukan secara kontinyu selama waktu tertentu untuk membuktikan sesuatu keadaan atau masalah.
2. Wawancara
Wawancara merupakan teknik pemeriksaan berupa tanya jawab yang biasanya dilakukan secara lisan antara auditor dengan auditee untuk memperoleh bahan bukti audit.
3. Kuesioner
Kuesioner merupakan teknik pengumpulan data yang dilakukan dengan cara memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden untuk dijawab.
4. Konfirmasi
Konfirmasi merupakan upaya untuk memperoleh informasi atau penegasan dari sumber lain yang independen, baik secara lisan maupun tertulis dalam rangka pembuktian pemeriksaan.
5. Inspeksi
Inspeksi merupakan cara memeriksa dengan panca indera terutama mata, untuk memperoleh bukti atas suatu keadaan atau suatu masalah pada saat tertentu.
6. Prosedur Analisis
Analisis artinya memecah atau menguraikan suatu keadaan atau masalah ke dalam beberapa bagian atau elemen dan memisahkan bagian tersebut untuk digabungkan dengan keseluruhan atau dibandingkan dengan yang lain.
7. Perbandingan
Perbandingan adalah usaha untuk mencari kesamaan dan perbedaan antara dua atau lebih gejala atau keadaan.
2.3.6 Standar Audit Menurut ISACA
Mengacu pada ISACA, standar audit sistem informasi mendefinisikan persyaratan – persyaratan yang wajib dipenuhi dalam pelaksanaan dan pelaporan atas audit sistem informasi.
Berikut adalah standar audit sistem informasi yang diterapkan oleh Information System Audit and Control Association (ISACA) :
1. Audit Charter
Bahwa audit charter harus disetujui oleh level organisasi yang tepat dan harus memuat mengenai tujuan, tanggung jawab, otoritas, dan pertanggungjawaban dari fungsi audit sistem informasi.
2. Independence
Memuat mengenai pentingnya independensi professional dan independensi organisasi.
3. Professional Ethics and Standards
Bahwa auditor sistem informasi harus setia pada kode etik dan standar profesionalisme yang ada dalam melaksanakan tugas auditnya.
4. Professional Competence
Bahwa auditor sistem informasi harus kompeten secara profesional dan selalu memelihara kompetensi profesional yang dimilikinya tersebut dengan cara mengikuti pendidikan dan pelatihan profesional secara berkelanjutan.
5. Planning
Berkaitan dengan perencanaan atas cakupan audit sistem informasi, pengembangan dan pendokumentasian pendekatan audit berbasis resiko, rencana audit, program audit beserta prosedur-prosedurnya.
6. Performance of Audit Work
Berkaitan dengan pengawasan terhadap staf audit sistem informasi, pengumpulan bukti audit, dan pendokumentasian atas proses audit dalam rangka mendukung temuan dan kesimpulan auditor sistem informasi.
7. Reporting
Berkaitan dengan rincian keterangan dalam laporan audit yang diperlukan, penyediaan laporan audit yang dibuat pada akhir penyelesaian audit harus berdasarkan bukti yang memadai, dan bahwa laporan ketika diterbitkan harus ditandatangani, diberi tanggal, dan didistribusikan sesuai dengan persyaratan yang tertuang pada surat perjanjian.
8. FolLow-Up Activities
Berkaitan dengan pengevaluasian atas informasi yang relevan untuk mengetahui apakah tindakan yang semestinya telah diambil oleh pihak manajemen dalam rangka menyikapi temuan dan rekomendasi dari auditor. 9. Irregularities and Illegal Acts
Berkaitan dengan pertimbangan dan prosedur-prosedur audit yang diperlukan dalam melakukan penilaian atas adanya resiko tindakan yang tidak biasa dan melanggar hukum; pentingnya surat representasi dari manajemen; pengkomunikasian mengenai temuan yang diperoleh, dan juga dokumentasi mengenai tindakan-tindakan tidak biasa dan melanggar hukum yang materil. 10. IT Governance
Berkaitan dengan penilaian fungsi sistem informasi yang harus sejalan dengan misi, visi, tujuan, strategi perusahaan; penilaian terhadap hasil yang dicapai dan keefektifan penggunaan sumber daya sistem informasi serta kepatuhan terhadap hukum, kualitas informasi, dan persyaratan keamanan yang ada.
11. Use of Risk Assessment in Audit Planning
Berkaitan dengan penggunaan teknik penilaian resiko yang tepat atas rencana audit dan dalam penentuan prioritas untuk alokasi sumber daya audit sistem informasi yang efektif.
12. Audit Materiality
Berkaitan dengan pertimbangan mengenai materialitas audit dan hubungannya terhadap resiko audit; pertimbangan mengenai kelemahan pengendalian yang berpengaruh secara materil dalam sistem informasi dan pengungkapan mengenai hal tersebut pada laporan auditor.
13. Using the Work of Other Experts
Berkaitan dengan penggunaan pekerjaan dari pakar lainnya untuk keperluan audit dan penilaian terhadap kompetensi, independensi, dan pengalaman dari pakar tersebut.
14. Audit Evidence
Berkaitan dengan pengumpulan bukti audit yang memadai dan layak untuk menarik kesimpulan yang wajar dan pengevaluasian atas kecukupan bukti audit.
15. IT Controls
Berkaitan dengan pengevaluasian dan pemantauan atas pengendalian teknologi informasi; dan pemberian masukan kepada pihak manajemen mengenai perancangan, implementasi, operasi, dan peningkatan atas pengendalian teknologi informasi yang ada.
16. E-Commerce
Berkaitan dengan pengevaluasian atas pengendalian-pengendalian yang berlaku dan penilaian terhadap resiko yang ada dalam rangka menjamin terkendalinya transaksi-transaksi e-commerce.
2.3.7 Matriks Penetapan Penilaian Resiko dan Pengendalian
Untuk melakukan penilaian terhadap bukti audit yang telah ditemukan, auditor dapat menggunakan metode matriks penetapan penilaian resiko dan pengendalian untuk merumuskan analisa terhadap bukti audit dan temuan agar dapat mengevaluasi dan merumuskan serta menyimpulkan opini dan penilaian terhadap sistem yang ada. Berikut adalah metode matriks penetapan dan penilaian resiko berdasarkan teori Gondodiyoto (2007, p559) :
1. Matriks Penilaian resiko
Matriks penilaian resiko adalah suatu cara untuk menganalisa seberapa besar resiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan cara menganalisa pengaruh dan korelasi antara dampak yang ditimbulkan oleh resiko dengan tingkat keterjadian dari resiko tersebut. Besarnya tingkat dampak dan keterjadian suatu resiko dinyatakan sebagai berikut :
a. L atau Low diberi nilai 1 b. M atau Medium diberi nilai 2 c. H atau High diberi nilai 3
Kriteria hasil penilaian matriks resiko yaitu :
a. Resiko kecil (Low) nilainya berkisar antara 1 dan 2, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini :
1) Jika dampak Low (1) dan keterjadian Low (1), maka nilai resiko adalah 1
2) Jika dampak Low (1) dan keterjadian Medium (2), maka nilai resiko adalah 2
3) Jika dampak Medium (2) dan keterjadian Low (1), maka nilai resiko adalah 2. Artinya, nilai resiko dari dampak dan keterjadian adalah kecil.
b. Resiko sedang (Medium) nilainya berkisar antara 3 dan 4, hal ini dihasilkan dari beberapa kondisi dibawah ini :
1) Jika dampak Low (1) dan keterjadian High (3), maka nilai resiko adalah 3
2) Jika dampak Medium (2) dan keterjadian Medium (2), maka nilai resiko adalah 4
3) Jika dampak High (3) dan keterjadian Low (1), maka nilai resiko adalah 3. Artinya, nilai resiko dari dampak dan desain adalah sedang. c. Resiko tinggi (High) nilainya berkisar antara 6 dan 9. Hal ini dihasilkan
dari beberapa kondisi seperti dibawah ini :
1) Jika dampak Medium (2) dan keterjadian High (3), maka nilai resiko adalah 6
2) Jika dampak High (3) dan keterjadian Medium (2), maka nilai resiko adalah 6
3) Jika dampak High (3) dan keterjadian High (3), maka nilai resiko adalah 9. Artinya, nilai resiko dari dampak dan keterjadian adalah tinggi.
3 6 9
2 4 6
1 2 3
Gambar 2.1 Matriks Penilaian Resiko
Sumber : Gondodiyoto (Audit Sistem Informasi + pendekatan COBIT, 2007)
2. Matriks Penilaian Pengendalian
Matriks penilaian pengandalian adalah suatu cara untuk menganalisa seberapa efektif dan efisiennya suatu pengendalian yang ada dalam menghadapi suatu resiko atau ancaman. Hal ini dilakukan dengan menganalisa pengaruh dan korelasi antara tingkat efektifitas pengendalian dengan desain dari pengendalian tersebut. Besarnya tingkat efektifitas dan desain suatu pengendalian dinyatakan sebagai berikut :
a. L atau Low diberi nilai 1 b. M atau Medium diberi nilai 2 c. H atau High diberi nilai 3
Kriteria hasil penilaian pengendalian yaitu :
a. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, hal ini dihasilkan dari beberapa kondisi seperti dibawah ini :
3 H 2 M 1 L 0 L 1 M 2 H 3 L I K E H O O D IMPACT
1) Jika efektifitas Low (1) dan desain Low (1), maka nilai pengendalian adalah 1
2) Jika efektifitas Low (1) dan desain Medium (2), maka nilai pengendalian adalah 2
3) Jika efektifitas Medium (2) dan desain Low (1), maka nilai pengendalian adalah 2. Artinya, nilai pengendalian dari efektifitas dan desain adalah kecil.
b. Pengendalian sedang (Medium) nilainya berkisar antara 3 dan 4, hal ini dihasilkan dari beberapa kondisi dibawah ini :
1) Jika efektifitas Low (1) dan desain High (3), maka nilai pengendalian adalah 3
2) Jika efektifitas Medium (2) dan desain Medium (2), maka nilai pengendalian adalah 4
3) Jika efektifitas High (3) dan desain Low (1), maka nilai pengendalian adalah 3. Artinya, nilai pengendalian dari efektifitas dan desain adalah sedang.
3. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9. Hal ini dihasilkan dari beberapa kondisi seperti dibawah ini :
a. Jika efektifitas Medium (2) dan desain High (3), maka nilai pengendalian adalah 6
b. Jika efektifitas High (3) dan desain Medium (2), maka nilai pengendalian adalah 6
c. Jika efektifitas High (3) dan desain High (3), maka nilai pengendalian adalah 9. Artinya, nilai pengendalian dari efektifitas dan desain adalah tinggi.
3 6 9
2 4 6
1 2 3
Gambar 2.2 Matriks Penilaian Pengendalian Sumber : Gondodiyoto (Audit Sistem Informasi + pendekatan COBIT, 2007)
2.4 Sistem Pengendalian Internal
2.4.1 Pengertian Sistem Pengendalian Internal
Menurut Mulyadi (2001, p163), sistem pengendalian internal meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen. Definisi ini menekankan tujuan yang hendak dicapai, dan bukan pada unsur-unsur yang membentuk sistem tersebut.
Menurut Hall (2007, p605), sistem pengendalian internal adalah kebijakan yang digunakan perusahaan untuk menjaga aktiva perusahaan,
3 H 2 M 1 L 0 L 1 M 2 H 3 L I K E H O O D IMPACT
memastikan pencatatan dan informasi akuntansi yang akurat dan handal, mendorong efisiensi, dan memastikan ketaatannya dengan kebijakan yang telah dibuat.
Dari penjelasan diatas, dapat disimpulkan bahwa sistem pengendalian internal adalah suatu sistem yang dirancang oleh manajemen perusahaan untuk melindungi asset perusahaan dan mengawasi serta mendukung kinerja perusahaan untuk mencapai tujuannya dan untuk mengurangi resiko yang dapat merugikan perusahaan.
Menurut Gondodiyoto dan Hendarti (2007, p125), pengendalian internal bagi suatu perusahaan adalah merupakan suatu keharusan, terutama bagi perusahaan yang sudah go public. Ada beberapa faktor yang menyebabkan sistem pengendalian internal menjadi semakin penting, yaitu :
1. Besarnya biaya dan kerugian apabila data di dalam komputer hilang
2. Biaya yang harus dibayar bila mutu keputusan yang diambil buruk akibat kesalahan dalam pengolahan data
3. Potensi kerugian apabila terjadi kesalahan/penyalahgunaan komputer 4. Nilai (investasi) yang tinggi dalam pengadaan maupun perawatan mesin 5. Nilai atau biaya pendidikan personil yang dikeluarkan tinggi
6. Biaya yang dikeluarkan tinggi apabila terjadi computer error
7. Perlunya dijaga privacy, mengingat di komputer tersimpan data rahasia 8. Agar perkembangan dan pertumbuhan komputerisasi dapat terkendali
2.4.2 Tujuan Sistem Pengendalian Internal
Menurut Mulyadi (2001, p178), tujuan pengendalian internal secara rinci adalah sebagai berikut :
1. Menjaga kekayaan organisasi
2. Mengecek ketelitian dan keandalan data akuntansi 3. Mendorong efisiensi
4. Mendorong dipatuhinya kebijakan manajemen.
Menurut Gondodiyoto dan Hendarti (2007, p136), tujuan disusunnya sistem pengendalian internal komputerisasi adalah untuk :
1. Meningkatkan pengamanan asset sistem informasi, baik yang bersifat logical assets maupun physical assets.
2. Meningkatkan integritas data. Dengan adanya data yang benar dan konsisten, laporan yang benar dapat dibuat.
3. Meningkatkan efektifitas sistem. 4. Meningkatkan efisiensi sistem
Suatu pengendalian internal yang baik dalam sebuah perusahaan akan memberikan manfaat yang berarti bagi perusahaan tersebut, karena sistem pengendalian internal :
1. Dapat memperkecil kesalahan-kesalahan dalam penyajian data akuntansi, sehingga akan menghasilkan laporan yang benar.
2. Melindungi atau membatasi kemungkinan terjadinya kecurangan dan penggelapan-penggelapan.
4. Mendorong dipatuhinya kebijakan pimpinan.
5. Tidak memerlukan detail audit dalam bentuk pengujian substantif atas bahan bukti/data perusahaan yang cukup besar oleh akuntan publik. Karena jika sistem pengendalian internal perusahaan cukup baik, pengujian dapat dilakukan dengan teknik sampling.
2.4.3 Komponen Pengendalian Internal
Menurut Moscove, Simkin dan Bagranoff (2001, p213), pengendalian internal terdiri dari lima komponen, yaitu
1. Control Environment
Faktor-faktor yang termasuk di dalam control environment antara lain (1) integritas, nilai etika dan kompetensi pegawai perusahaan, (2) filosofi manajemen dan gaya operasi, (3) cara manajemen memberikan wewenang dan tanggung jawab kepada pegawainya, (4) perhatian dan arahan yang diberikan Dewan Direksi.
2. Risk Assessment
Ketika merancang pengendalian bagi perusahaan, pertimbangan terhadap faktor resiko harus diberikan melalui suatu proses yang dinamakan penilaian resiko. Proses penilaian ini menandakan bahwa semua organisasi selalu menghadapi resiko-resiko dalam mencapai kesuksesan.
3. Control Activities
Kebijakan dan prosedur yang membantu memastikan bahwa pengarahan manajemen telah dijalankan adalah fokus dari kegiatan pengendalian.
4. Information and Communication
Informasi di sini mengacu pada sistem akuntansi, termasuk metode dan pencatatan yang digunakan untuk mencatat, memproses, meringkas, dan melaporkan transaksi perusahaan, dan juga merawat akuntabilitas terhadap asset, hutang dan ekuitas perusahaan.
Komunikasi di sini mengacu pada penyediaan pemahaman peran serta tanggung jawab para personel perusahaan yang menyinggung pengendalian internal terhadap pelaporan finansial.
5. Monitoring
Proses menilai kualitas kinerja pengendalian internal dari waktu ke waktu. Hal ini perlu dilakukan untuk mengetahui apakah operasi yang berjalan dengan seharusnya dan apakah perlu dilakukan modifikasi. Monitoring melibatkan evaluasi desain dan operasi pengendalian yang tepat waktu dan pengajuan/penginisasian tindakan yang tepat ketika pengendalian spesifik tidak dapat berfungsi dengan baik.
2.4.4 Jenis-Jenis Pengendalian Internal
Menurut Weber (1999, p67), ada 2 macam pengendalian internal, yaitu: 1. Pengendalian Manajemen
Pengendalian manajemen adalah sistem pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Yang termasuk pengendalian manajemen :
Mengendalikan peranan manajemen dalam perencanaan kepemimpinan dan pengawasan fungsi sistem. Top manajemen harus bertanggung jawab atas kelangsungan fungsi sistem dan keputusan jangka panjang tentang bagaimana sistem informasi akan digunakan dalam organisasi.
b. Pengendalian Manajemen Sistem Informasi (Information System Management Control)
Mengendalikan alternatif dari model proses pengembangan sistem informasi sehingga dapat digunakan sebagai dasar pengumpulan dan pengevaluasian bukti.
c. Pengendalian Manajemen Pengembangan Sistem (System Development Management Control)
Mengendalikan tahapan utama dari daur hidup program dan pelaksanaan dari tiap tahap.
d. Pengendalian Manajemen Sumber Data (Data Resources Management Control)
Mengendalikan peranan dan fungsi dari data administrator atau database administrator.
e. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance Management Control)
Mengendalikan fungsi utama yang harus dilakukan oleh quality assurance management untuk meyakinkan bahwa pengembangan, pelaksanaan dan pengoperasian, dan pemeliharaan dari sistem informasi sesuai dengan standar kualitas.
f. Pengendalian Manajemen Keamanan (Security Management Control) Mengontrol fungsi utama dari Security Administrator dalam
mengidentifikasi ancaman utama terhadap fungsi sistem informasi dan perancangan, pelaksanaan, pengoperasian, dan pemeliharaan terhadap pengontrolan yang dapat mengurangi kemungkinan kehilangan dari ancaman ini sampai tingkat yang dapat diterima. Ancaman utama keamanan dapat disebabkan oleh alam dan manusia yang dikarenakan oleh kelalaian atau kesengajaan, seperti :
1. Ancaman kebakaran 2. Ancaman banjir
3. Perubahan tegangan sumber energi 4. Kerusakan struktural
5. Polusi 6. Penyusup 7. Virus 8. Hacking
g. Pengendalian Manajemen Operasi (Operations Management Control) Bertanggung jawab mengawasi penggunaan hardware dan software sehari-hari sehingga sistem aplikasi dapat menyelesaikan pekerjaan mereka dan staf pengembangan dapat merancang, mengimplementasi, dan memelihara sistem aplikasi.
2. Pengendalian Aplikasi
Pengendalian aplikasi dilakukan dengan tujuan untuk menentukan apakah pengendalian internal dalam sistem yang terkomputerisasi pada aplikasi komputer tertentu sudah memadai untuk memberikan jaminan bahwa data dicatat, diolah, dan dilaporkan secara akurat, tepat waktu, dan sesuai dengan kebutuhan manajemen. Pengendalian aplikasi terdiri dari :
a. Pengendalian Boundary (Boundary Control)
Pengendalian boundary menentukan hubungan antara pemakai komputer dengan sistem komputer itu sendiri. Ketika pemakai menggunakan komputer, maka fungsi boundary berjalan.
Menurut Weber (1999, p368), pengendalian boundary adalah suatu pengendalian yang memiliki tiga tujuan utama, yaitu :
1. Untuk memastikan bahwa pemakai komputer adalah orang yang memiliki wewenang.
2. Untuk memastikan bahwa identitas yang diberikan sesuai dengan pemakainya.
3. Untuk membatasi tindakan yang dapat dilakukan oleh pemakai untuk menggunakan komputer ketika melakukan otorisasi.
b. Pengendalian Masukan (Input Control)
Menurut Weber (1999, p420), komponen pada subsistem input bertanggung jawab untuk memasukkan data dan instruksi pada sistem aplikasi. Kedua jenis input tersebut harus divalidasi terlebih dahulu, sehingga jika ada kesalahan pada data yang dimasukkan dapat segera
diketahui dan dikontrol agar input yang dimasukkan akurat, lengkap, unik dan tepat waktu.
c. Pengendalian Keluaran (Output Control)
Menurut Gondodiyoto (2003, p145), pengendalian keluaran adalah pengendalian internal untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang-orang yang tidak berhak.
Pengendalian keluaran, berupa :
1. Mencocokkan data output dengan total pengendalian yang sebelumnya telah ditetapkan yang diperoleh dalam tahap input dari siklus pemprosesan.
2. Mereview data output untuk melihat format yang tepat untuk masing-masing pihak yang berwenang.
3. Mengendalikan data input yang ditolak oleh komputer selama pemrosesan dan pendistribusian data yang ditolak itu ke personil yang tepat.
4. Mendistribusikan laporan-laporan output ke departemen laporan tepat pada waktunya.
2.4.5 Keterbatasan Sistem Pengendalian Internal
Menurut Gondodiyoto dan Hendarti (2007, p128), sistem pengendalian internal memiliki beberapa kelemahan, antara lain :
1. Persekongkolan (kolusi)
Pengendalian internal mengusahakan agar persekongkolan dapat dihindari sejauh mungkin, misalnya dengan cara mengharuskan giliran bertugas, keharusan mengambil giliran cuti, dan sebagainya. Akan tetapi pengendalian internal tidak dapat menjamin bahwa persekongkolan tidak terjadi.
2. Perubahan
Struktur pengendalian internal pada suatu organisasi harus diperbaharui sesuai dengan perkembangan kondisi dan teknologi.
3. Kelemahan manusia
Banyak penyelewengan yang terjadi pada sistem pengendalian internal yang secara teoritis dinilai sudah baik. Hal tersebut dapat terjadi karena lemahnya pelaksanaan sistem pengendalian yang dilakukan oleh personil yang bersangkutan. Oleh karena itu personil yang paham dan kompeten dalam menjalankan sistem pengendalian internal merupakan salah satu unsur yang penting.
4. Azas biaya-manfaat
Pengendalian juga harus mempertimbangkan biaya dan kegunaannya. Biaya untuk mengendalikan hal-hal tertentu mungkin melebihi kegunaannya, atau manfaat tidak sebanding dengan biaya yang dikeluarkan. Dalam pengendalian internal, seringkali dihadapi dilema antara menyusun sistem pengendalian yang komprehensif sedemikian rupa tetapi dengan biaya yang relatif menjadi semakin mahal, atau seoptimal mungkin dengan resiko, biaya dan waktu yang memadai.
2.5 Penetapan Resiko 2.5.1 Pengertian Resiko
Menurut Hall (2007, p201), resiko adalah kemungkinan kerugian atau kerusakan yang dapat mengurangi atau meniadakan kemampuan perusahaan untuk mencapai berbagai tujuannya.
Menurut Peltier (2001, p79), resiko adalah seseorang atau sesuatu yang menyebabkan ancaman. Resiko dapat dibagi menjadi 3 tingkatan, yaitu:
1. High Vulnerability
Kelemahan yang sangat besar yang berada di dalam sistem atau rutinitas operasi dan dimana dampak potensial pada bisnis adalah penting, untuk itu harus ada pengendalian yang ditingkatkan.
2. Medium Vulnerability
Beberapa kelemahan yang ada pada sistem dan dimana dampak potensial pada bisnis adalah penting, untuk itu akan ada pengendalian yang ditingkatkan.
3. Low Vulnerability
Sistem telah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada penambahan pengendalian yang diperlukan untuk mengurangi kelemahan (vulnerability).
Dari penjelasan diatas, dapat disimpulkan resiko adalah kemungkinan kerugian atau kerusakan yang dapat menyebabkan ancaman dalam hal pencapaian tujuan.
2.5.2 Jenis-jenis Resiko Sistem Informasi
Menurut Rama dan Jones (2003, p113), resiko sistem informasi dapat dibedakan ke dalam dua kategori :
1. Recording Risk
Resiko yang timbul karena sistem tidak menangkap atau merekam informasi secara akurat ke dalam sistem informasi perusahaan. Kesalahan dalam pencatatan ini dapat menimbulkan kerugian yang substansial.
2. Updating Risk
Resiko yang timbul karena sistem tidak dapat meng-update data secara benar atau kesalahan dalam meng-update data di dalam database sistem.
2.5.3 Resiko Audit
Menurut Hall (2007, p541), resiko audit adalah probabilitas bahwa seorang auditor akan memberikan opini yang sesungguhnya (bersih) tentang laporan keuangan yang, pada kenyataannya, keliru secara material.
Menurut Hunton (2004, p49-50), resiko audit merupakan kombinasi dari beberapa resiko, yaitu :
1. Inherent Risk (resiko inheren)
Inherent risk merupakan elemen resiko yang terjadi karena sifat atau kondisi lingkungan dan kegiatan perusahaan.
2. Control Risk (resiko pengendalian)
Resiko yang timbul karena kemungkinan sistem pengendalian internal perusahaan gagal atau tidak dapat mencegah atau mendeteksi kesalahan dalam pencatatan data transaksi atau penyesuaian terhadap laporan keuangan. 3. Detection Risk (resiko deteksi)
Detection risk adalah resiko yang timbul karena auditor tidak dapat mendeteksi kesalahan yang terdapat dalam sistem.
