BAB 2
LANDASAN TEORI
TEORI UMUM
2.1 Sistem Informasi
2.1.1 Definisi Sistem Informasi
Hall dalam bukunya yang diterjemahkan oleh Amir Abadi Jusuf (2001, h7) mendefinisikan “Sistem informasi sebagai sebuah rangkaian prosedur formal dimana data dikelompokkan, diproses menjadi informasi, dan didistribusikan kepada pemakai”.
Gondodiyoto dan Idris (2003, h23) mendefinisikan “Sistem Informasi sebagai suatu interaksi antar komponen-komponen di dalam suatu kesatuan terpadu untuk mengolah data menjadi informasi sesuai dengan kebutuhannya”. James O’Brien (2003, p7) mendefinisikan, “Information system can be any organized combination of people, hardware, software, communication
networks, and data resource that collect, transform, disseminates information in
an organization”. Intinya adalah “Sistem informasi adalah suatu kesatuan yang terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer, dan sumber daya data yang mengumpulkan, mentransformasikan dan mendistribusikan informasi didalam suatu organisasi”.
Berdasarkan asumsi para pakar tersebut diatas, penulis menyimpulkan bahwa sistem informasi adalah suatu rangkaian prosedur dan kumpulan dari komponen sistem informasi seperti hardware, software, database, brainware, dan perangkat pengendalian yang saling berinteraksi untuk mengolah data
menjadi informasi lalu mendistribusikannya kepada pemakai dalam rangka mencapai tujuan perusahaan.
2.1.2 Karakteristik Informasi Yang Berkualitas
Menurut Mcleod, Jr. dalam bukunya yang berjudul Management Information System yang diterjemahkan oleh Teguh (2001, h145) terdapat empat dimensi dasar kualitas informasi yang harus dipertimbangkan manajemen, dimensi-dimensi ini memberi kontribusi pada nilai informasi.
Empat dimensi tersebut adalah : 1) Relevansi
Informasi yang berkualitas haruslah memiliki relevansi (keterkaitan) langsung dengan masalah atau kebutuhan si pengguna informasi.
2) Akurasi
Informasi yang disajikan harus benar dan terbebas dari kesalahan. 3) Timeliness
Informasi harus tersedia tepat pada waktu dibutuhkan khususnya ketika memecahkan masalah yang penting sebelum situasi krisis menjadi tak terkendali atau hilangnya kesempatan.
4) Completeness
Informasi harus dapat menyajikan gambaran lengkap dari suatu permasalahan atau penyelesaian. Namun, informasi tidak boleh menenggelamkan si pengguna informasi dalam lautan informasi (information overload).
Sedangkan menurut Mukhtar yang dikutip Gondodiyoto (2003, h22), terdapat lima karakteristik informasi yang berkualitas, yakni :
1) Reliable (Dapat Dipercaya)
Informasi haruslah akurat (benar), terbebas dari kesalahan dalam mempresentasikan suatu kejadian atau kegiatan dari organisasi.
2) Relevan (Sesuai)
Informasi yang relevan harus memberikan arti kepada pembuatan keputusan. Informasi ini bisa mengurangi ketidakpastian dan bisa meningkatkan nilai dari suatu kepastian.
3) Timely (Tepat Waktu)
Informasi yang disajikan tepat pada saat dibutuhkan dan bisa mempengaruhi proses pengambilan keputusan.
4) Complete (Lengkap)
Informasi yang disajikan termasuk didalamnya semua data-data yang relevan dan tidak mengabaikan kepentingan yang diharapkan oleh pembuat keputusan.
5) Understandable (Dimengerti)
Informasi yang disajikan hendaknya dalam bentuk yang mudah dipahami oleh si pembuat keputusan.
2.2 Audit
2.2.1 Definisi Audit
Menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf(1997, h1), “Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti audit tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan”. Auditing juga didefinisikan Mulyadi (2001, h7) sebagai “Suatu proses sistematis untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kejadian ekonomi dengan tujuan-tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan”.
TheAmerican Accounting Association Commitee on Basic Auditing yang dikutip Gondodiyoto (2003, h53) menyatakan bahwa, “Auditing is the process by which a competent, independent person accumulate and evaluates evidence
about quantifiable information related to a spesific economic entity for the
purpose of determining and reporting on the degree of correspondence between
the quantifiable information and established criteria ”. Inti dari definisi tersebut, auditing dapat didefinisikan sebagai suatu proses yang dilakukan seseorang yang kompeten dan independen yang menghimpun dan mengevaluasi bukti-bukti dari informasi terukur dari suatu kesatuan ekonomi dengan tujuan untuk mempertimbangkan dan melaporkan tingkat kesesuaian dari keterangan terukur
yang diperoleh dari pemeriksaannya tersebut dengan kriteria-kriteria yang telah ditetapkan”.
Berdasarkan pendapat para ahli tersebut diatas, penulis menyimpulkan definisi auditing sebagai berikut :
− Auditing adalah suatu pemeriksaan yang dilakukan terhadap suatu entitas/fungsi/segmen tertentu dari suatu organisasi.
− Dilakukan oleh orang yang kompeten dan independen.
− Mendapatkan dan mengevaluasi bahan bukti dan informasi/keterangan yang cukup dan relevan, lalu membandingkan informasi dari bahan bukti tersebut dengan kriteria (standard) yang ditetapkan dan melaporkan tingkat kesesuaian hal-hal tersebut kepada pihak-pihak yang berkepentingan.
2.2.2 Hal Yang Mendasari Kebutuhan Auditing
Karena kondisi dunia bisnis yang semakin kompleks, maka kemungkinan bahwa para pembuat keputusan (decision maker) akan memperoleh informasi yang tidak dapat dipercaya dan tidak dapat diandalkan pun akan semakin besar pula. Hal ini yang disebut dengan resiko informasi, penyebabnya antara lain : − Hubungan Yang Tidak Dekat Antara Penerima dan Pemberi Informasi
Informasi yang tidak diperoleh langsung dari pihak pertama, baik sengaja ataupun tidak, cenderung tidak tepat. Hal ini dikarenakan sulitnya decision maker memperoleh informasi dari mitra usaha secara langsung.
− Sikap Memihak dan Motif Lain Yang Melatarbelakangi Pemberian Informasi Jikalau informasi yang disajikan oleh pihak yang mempunyai tujuan yang berbeda dengan tujuan si pengambil keputusan, maka informasi tersebut akan cenderung menguntungkan penyaji informasi.
− Data Yang Berlebihan
Bertambah besarnya organisasi menyebabkan bertambah banyaknya transaksi usaha yang dialaminya. Hal ini juga memperbesar kemungkinan tercatatnya informasi yang tidak tepat di dalam pembukuan.
− Transaksi Pertukaran Yang Kompleks
Transaksi-transaksi usaha antar perusahaan telah berkembang semakin kompleks, sehingga makin sulit untuk dicatat dengan baik.
Berdasarkan pertimbangan resiko informasi inilah, auditing sangat diperlukan untuk melindungi publik dari penyajian informasi yang menyesatkan.
2.2.3 Jenis-Jenis Audit
Pada umumnya kegiatan audit dapat diklasifikasikan di dalam beberapa jenis audit. Menurut Mulyadi (1998, h28) terdapat tiga jenis audit, yaitu:
1) Audit Laporan Keuangan (GeneralFinancial Statement Audit)
Audit yang dilakukan oleh auditor eksternal independen terhadap laporan keuangan yang disajikan oleh kliennya untuk menyatakan pendapat mengenai kewajaran laporan keuangan tersebut serta kesesuaiannya dengan standard akuntansi keuangan.
2) Audit Kepatuhan (Compliance Audit)
Audit yang tujuannya untuk menentukan apakah objek yang diaudit telah sesuai dengan kondisi atau peraturan tertentu.
3) Audit Operasional/Manajemen (Operational/Management Audit)
Review secara sistematik kegiatan organisasi, atau bagian daripadanya, dalam hubungannya dengan tujuan tertentu, lazimnya menyangkut efektifitas, efisiensi, dan ekonomis tidaknya operasi suatu organisasi. Menurut Gondodiyoto (2003, h63) sesungguhnya, selain yang disebutkan diatas, dikenal juga jenis audit yang lain, yakni :
1) Audit Forensik (Forensic Audit)
Menurut Edwar Nurdin (2002, hh1-10), audit forensik adalah audit yang dilaksanakan dalam kaitannya sebagai dukungan dalam proses investigasi. Adapun pengguna jasa akuntan/audit forensik tersebut adalah para pengacara, kepolisian, perusahaan asuransi, bank, atau pemerintah. Kegiatannya antara lain mencakup pemberian dukungan dalam opini sebagai saksi ahli dalam proses legal (hukum).
2) Audit Terhadap Kecurangan (Fraud Audit) Menurut Karyono (2002, hh1-14) fraudaudit :
− Merupakan proses audit yang memfokuskan pada keanehan/keganjilan objek yang perlu dilakukan audit.
− Mencegah terjadinya kecurangan (preventing fraud) mendeteksi maupun pemeriksaan kecurangan (investigating fraud).
3) Audit Keuangan Yang Lebih Rinci
Audit yang tidak hanya dilakukan terhadap laporan keuangan, melainkan yang sudah bersifat lebih mendalam (special assignment), atau pemeriksaan bersifat investigasi (investigasi audit).
2.2.4 Bahan Bukti Audit
Arens and Loebbecke (1997, pp153-161) berpendapat bahwa, “Dalam menentukan prosedur audit mana yang akan digunakan, ada tujuh kategori bahan bukti audit yang dapat dipilih auditor yaitu :
1) Pemeriksaan Fisik
Merupakan penghitungan secara fisik atas aktiva berwujud seperti uang tunai, inventory, dll.
2) Konfirmasi
Konfirmasi digambarkan sebagai penerimaan jawaban tertulis maupun lisan dari pihak ketiga yang independen dalam memverifikasi akurasi informasi yang telah diminta oleh auditor.
3) Dokumentasi (Pemeriksaan Dokumen/Voucing)
Merupakan pemeriksaan auditor atas dokumentasi dan catatan klien untuk menyokong informasi yang ada atau seharusnya ada dalam laporan keuangan.
4) Pengamatan
Adalah penggunaan panca indera untuk menilai/menetapkan suatu aktivitas tertentu.
5) Tanya Jawab Dengan Klien
Yaitu mendapatkan informasi tertulis atau lisan dari klien dengan menjawab pertanyaan dari auditor.
6) Pelaksanaan Ulang (Reperformance)
Mencakup pengecekan ulang suatu sampel penghitungan dan perpindahan informasi yang dilakukan klien selama periode yang diaudit. Pengecekan ulang penghitungan berisi pengujian akurasi aritmatik klien. Sedangkan pengecekan ulang atas perpindahan informasi berisi penelusuran jumlah untuk meyakinkan bahwa kalau informasi yang sama dimasukkan ke tempat yang lebih dari satu, akan dicatat dengan jumlah yang sama pada waktu yang berbeda.
7) Prosedur Analitis
Adalah prosedur yang menggunakan perbandingan dan hubungan untuk menentukan apakah saldo akun tersaji secara layak”.
2.3 Sistem Pengendalian Internal (SPI) 2.3.1 Definisi Sistem Pengendalian Internal
Menurut The Information System ControlandAudit Association (ISACA) yang dikutip oleh Cangemi dan Singleton dalam bukunya Managing the Audit Function (2003, p65), “Internal control system is the policies, procedures, practices, and organizational structures, designed to provide reasonable
assurance that business objectives will be achieved and that undesired events
will be prevented, or detected and corrected.” Maksud dari pernyataan tersebut adalah bahwa sistem pengendalian internal merupakan kebijakan, prosedur,
praktik-praktik, dan struktur organisasi yang didesain untuk memberikan jaminan yang layak pada upaya pencapaian tujuan bisnis yang akan dicapai dan memastikan kejadian-kejadian yang tidak diinginkan akan dicegah, atau dideteksi dan dikoreksi.
Organisasi profesi internasional lainnya, Committee On Sponsoring
Organizations (COSO) (Cangemi dan Singleton, 2003, p65) juga
mendefinisikan, “Internal control as a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable
assurance regarding the achievement of objectives in (1) the effectiveness and
efficiency of operations, (2) the reliability of financial reporting and (3) the
compliance of applicable laws and regulations.” Intinya, sistem pengendalian internal adalah suatu proses yang dipengaruhi oleh entitas organisasi seperti jajaran direktur, manajemen dan personel lainnya, yang didesain untuk memberikan jaminan yang layak dalam mencapai tujuan : (1) Efektifitas dan efisiensi operasi, (2) Keandalan laporan keuangan, (3) Pemenuhan atau ketaatan terhadap hukum dan regulasi yang berlaku.
Information and communication component connections Definition Internal control is
a management process
Categories Effectiveness Reliable financial Compliance with and efficiency reporting laws and regulations of operations
Objectives Various business, Reliable financial Compliance with company specific annual and interim ones that apply
report (e.g., GAAP) to the company
Components Control environment Control environment Control environment Risk assessment Risk Assessment Risk Assessment Control activities Control activities Control activities Monitoring Monitoring Monitoring Information and Information and Information and communication communication communication
Menurut Weber (1999, p35), “A control is a system that prevents, detects, or correct unlawful events”. Intinya menurut weber, pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan mengkoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien.
Objectives categories
Gambar 2.1 COSO Model
Berdasarkan definisi di atas, maka pengendalian dikelompokkan menjadi tiga bagian, yaitu :
a. Preventive Controls
Instruksi (perintah) yang ditempatkan pada dokumen sumber untuk mencegah/menjaga terjadinya kesalahan dalam pengisiannya.
b. Detective Controls
Pengendalian ini digunakan untuk menemukan/mengetahui bila terjadi kesalahan data yang diinput di dalam sistem.
c. Corrective Controls
Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada detective control. Pengendalian ini terdiri dari program yang menggunakan kode khusus yang dapat memperbaiki data yang rusak/error karena kesalahan pada komunikasi on line.
Berdasarkan definisi-definisi tersebut di atas penulis menyimpulkan bahwa sistem pengendalian internal adalah suatu sistem yang dipengaruhi entitas organisasi yang dirancang untuk mencegah, mengendalikan dan melindungi seluruh aktivitas organisasi dari penyimpangan-penyimpangan atau undesirable event lainnya yang dapat merugikan perusahaan sekaligus bertujuan untuk memastikan kepatuhan entitas terhadap peraturan dan kebijakan perusahaan, menciptakan keandalan laporan keuangan, meningkatkan efektifitas dan efisiensi operasi perusahaan, dan menjaga aset/kekayaan organisasi.
2.3.2 Tujuan dan Manfaat Sistem Pengendalian Internal
Menurut sebuah organisasi profesi internasional Committee On Sponsoring Organizations (COSO) (Cangemi, p65), sistem pengendalian internal memiliki tiga tujuan utama, yaitu :
1) Efektifitas dan Efisiensi Operasi (Effectiveness and Efficiency of Operations).
2) Keandalan Laporan Keuangan (Reliability of Financial Reporting).
3) Ketaatan/Kepatuhan Terhadap Hukum dan Regulasi Yang Berlaku (Compliance With Applicable Laws and Regulations).
Hall (2001, p150) berpendapat bahwa sistem pengendalian internal memiliki empat tujuan utama, yaitu untuk :
1) Mengamankan aktiva organisasi.
2) Memastikan akurasi dan keandalan dari catatan dan informasi akuntansi. 3) Mempromosikan efisiensi operasi perusahaan.
4) Mengukur kesesuaian dengan kebijakan dan prosedur yang telah ditetapkan manajemen.
Gondodiyoto dan Idris (2003, h75) berpendapat bahwa tujuan utama dari sistem pengendalian internal adalah :
1) Mengamankan asetorganisasi.
2) Memperoleh informasi yang akurat dan dapat dipercaya. 3) Meningkatkan efektifitas dan efisiensi kegiatan.
4) Mendorong kepatuhan pelaksanaan terhadap kebijaksanaan organisasi/pimpinan.
Berdasarkan pendapat-pendapat diatas, penulis menyimpulkan bahwa tujuan utama dari sistem pengendalian intern adalah untuk menjaga kekayaan perusahaan, meningkatkan efektifitas dan efisiensi operasi perusahaan, mendorong dipatuhinya kebijakan manajemen, mencegah tindakan penyimpangan, dan memperkecil kesalahan.
2.3.3 Komponen Sistem Pengendalian Internal
Menurut COSO (Committee On Sponsoring Organizations) yang terdapat dalam buku Cangemi (2003, p49), sistem pengendalian internal terdiri dari 5 (lima) komponen yang saling terintegrasi, yaitu :
1) Control Environment (Lingkungan Pengendalian)
Komponen ini berperan dalam menyediakan atmosfer bagi entitas organisasi dalam menjalankan aktivitasnya dan tanggung jawab control mereka. Komponen ini juga berperan sebagai fondasi bagi komponen-komponen COSO yang lain. Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian wewenang dan tanggung jawab yang harus dilakukan, cara komite audit berfungsi dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja.
Sub komponen Control Environment : − Integritas dan Nilai Etika Manajemen.
Meliputi tindakan manajemen untuk menghilangkan atau mengurangi intensif dan godaan yang menyebabkan pegawai bertindak tidak jujur, melanggar hukum, atau tidak etis.
− Kompetensi Personil.
Meliputi pertimbangan manajemen terhadap tingkat kompetensi dari pekerjaan tertentu dan bagaimana tingkatan tersebut berubah menjadi keterampilan dan pengetahuan yang diisyaratkan.
− Struktur Organisasi Yang Memadai.
Struktur organisasi suatu satuan usaha membatasi garis tanggung jawab dan wewenang yang ada dan juga menghubungkan garis arus komunikasi.
− Pembagian Tugas dan Delegasi Wewenang.
− Kebijakan dan Praktek Sumber Daya Manusia.
Merupakan kebijakan yang mengatur bagaimana metode perekrutan karyawan, bagaimana karyawan digaji, dan dievaluasi agar karyawan memiliki kompetensi dan dapat dipercaya. Karena aspek paling penting adalah karyawan. Artinya jika pegawai kompeten dan dapat dipercaya maka pengendalian tidak perlu banyak dan laporan keuangan yang andal tetap akan dihasilkan. Begitupun sebaliknya, meskipun terdapat banyak pengendalian, orang yang tidak jujur dan tidak kompeten tetap akan dapat mengacaukan sistem.
− Filosofi dan Gaya Operasi Manajemen.
Manajemen melalui aktivitasnya memberikan tanda yang jelas kepada pegawai tentang pentingnya pengendalian.
2) Risk Assessment (Penaksiran Resiko)
Komponen ini meliputi pengidentifikasian dan penilaian resiko yang berhubungan dengan pencapaian tujuan manajemen serta menentukan cara bagaimana resiko tersebut ditangani. COSO mengarahkan manajemen untuk melakukan pengidentifikasian resiko terhadap resiko internal dan eksternal dari aktivitas suatu entity atau individu. Pada tahap risk assessment terdapat cost-benefit consideration yang memperhitungkan cost dan benefit yang akan dihasilkan dari suatu penerapan control.
3) Control Activities (Aktivitas Pengendalian)
Merupakan kebijakan dan prosedur yang dibuat untuk memastikan dilaksanakannya kebijakan manajemen. Elemen ini juga membantu memastikan bahwa tindakan yang diperlukan untuk penanganan resiko telah dilakukan sesuai dengan apa yang telah direncanakan. Komponen ini juga beroperasi untuk memastikan transaksi telah terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan aset dan record, pengecekan kinerja, dan penilaian dari jumlah record yang terjadi.
4) Information and Communication (Informasi dan Komunikasi)
Komponen ini menjelaskan mengenai kebutuhan terhadap pemerolehan informasi eksternal dan internal, dan sistem yang terintegrasi (integrated systems), dan kebutuhan terhadap kualitas data.
Sistem informasi harus dapat memberikan data yang memiliki karakteristik sebagai berikut :
– Accurate and in Sufficient Detail (Akurat dan Memiliki Detail Yang Cukup).
– Relative to Established Objectives (Berhubungan Dengan Tujuan). – Understandable and in An Usable Form (Mudah Dipahami dan
Digunakan).
Komunikasi membahas mengenai penyampaian segala sesuatu yang harus disampaikan dengan jelas kepada berbagai pihak : manajemen, personil, dan entitas organisasi lainnya. Contoh komunikasi : kewajiban dan tanggung jawab karyawan terhadap pengendalian harus dikomunikasikan dengan jelas.
5) Monitoring (Pengawasan)
Adalah komponen yang memastikan keandalan sistem pengendalian internal beroperasi secara dinamis sepanjang waktu yang dilakukan dengan cara melakukan aktivitas monitoring dan evaluasi secara terpisah.
TEORI KHUSUS
2.4 Audit Sistem Informasi
2.4.1 Definisi Audit Sistem Informasi
Menurut Weber (1999, p10),”Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system
safeguards assets, maintains data integrity, allows organizational goals to be
informasi adalah proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem komputer dapat melindungi aset, memelihara integritas data, memungkinkan pencapaian tujuan organisasi secara efektif dan penggunaan sumber daya secara efisien.
Menurut Cangemi (2003, p48) dalam bukunya yang berjudul Managing the Audit Function, “Information systems auditing is defined as any audit that encompass the review and evaluation of all aspects (or any portion) of
automated information processing systems, including related non-automated
processes, and the interfaces between them ”. Inti dari pernyataan tersebut adalah “Audit sistem informasi didefinisikan sebagai proses audit yang terdiri dari review dan pengevaluasian seluruh aspek dari sistem pemrosesan informasi otomatis termasuk juga proses non-otomatis dan juga interface diantara keduanya”.
Gondodiyoto (2003, h151) berpendapat bahwa “Audit sistem informasi merupakan suatu pengevaluasian untuk mengetahui bagaimana tingkat kesesuaian antara aplikasi sistem informasi dengan prosedur yang telah ditetapkan dan mengetahui apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset yang memadai, serta menjamin integritas data yang memadai”.
Dari berbagai pendapat tersebut diatas penulis menyimpulkan definisi audit sistem informasi sebagai suatu proses pengumpulan dan pengevaluasian bukti-bukti audit oleh orang yang kompeten dan independen untuk menentukan apakah sistem informasi yang dijalankan telah sesuai dengan kriteria yang ditentukan dalam rangka
mencapai tujuan perusahaan, yaitu : melindungi aset perusahaan, meningkatkan efektifitas dan efisiensi organisasi, meningkatkan integritas data.
2.4.2 Tujuan Audit Sistem Informasi
Menurut Weber yang disimpulkan oleh penulis (1999, pp11-13), tujuan dari audit sistem informasi dapat diklasifikasikan menjadi empat jenis, yaitu:
1. Meningkatkan Perlindungan Terhadap Aset-Aset Perusahaan
Aset informasi suatu perusahaan seperti hardware, software, data harus dijaga oleh suatu sistem pengendalian internal yang baik. Untuk memastikan keamanan tersebut maka perlu dilakukan audit agar perusahaan dapat mengetahui celah-celah kelemahan perusahaan dan sesegera mungkin melakukan perbaikan guna meningkatkan perlindungan terhadap aset perusahaan.
2. Meningkatkan Integritas Data
Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti : kelengkapan, dan keakuratan. Jika tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki laporan yang akurat dan cepat.
3. Meningkatkan Efektifitas Sistem
Efektifitas sistem perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan pengguna (doing thing right). Dengan audit sistem informasi maka kinerja sistem pun dapat lebih dioptimalkan dan diefektifkan, karena dengan audit kita dapat
mengetahui penyebab dari inefektifitas kinerja sistem beserta rekomendasi yang harus diterapkan guna menanggulangi permasalahan tersebut.
4. Meningkatkan Efisiensi Sistem
Sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan cara yang baik dan sumber daya informasi yang minimal (doing right thing). Dengan audit sistem informasi, perusahaan dapat mengetahui cara yang paling efektif dan efisien dalam mencapai tujuan perusahaan.
Gondodiyoto dan Idris (2003, h153) menyimpulkan tujuan audit sistem informasi sebagai berikut :
1) Pengamanan Aset
Aset informasi suatu perusahaan seperti hardware, software, sumber daya manusia (brainware), file data harus dijaga oleh suatu sistem pengendalian
INFORMATION SYSTEMS AUDITING ORGANIZATIONS Improved Safeguarding of assets Improved
data integrity Improved System Effectiveness
Improved System Efficiency
Gambar 2.2 Impact of The Information Systems Audit On Organizations Sumber:Weber(1999, p11)
internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal fundamental yang sangat penting yang harus dipenuhi oleh perusahaan. 2) Menjaga Integritas Data
Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti : kelengkapan, dan keakuratan. Jika tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki informasi atau laporan yang benar bahkan perusahaan dapat menderita kerugian dari kesalahan dalam membuat atau mengambil keputusan.
3) Efektifitas Sistem
Efektifitas sistem perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
4) Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
5) Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisien berarti sumber daya
Dari berbagai definisi diatas penulis menyimpulkan bahwa tujuan utama audit sistem informasi adalah untuk mengetahui dan menentukan apakah suatu sistem informasi yang berbasis komputer telah :
1) Memberikan perlindungan terhadap aset perusahaan. 2) Meningkatkan integritas data.
3) Meningkatkan efektifitas perusahaan dalam mencapai tujuannya.
4) Memungkinkan perusahaan menggunakan sumberdayanya secara efisien.
2.4.3 Jenis Pengendalian Sistem Informasi
Menurut Weber (1999, p38) ada dua jenis pengendalian yang perlu diterapkan pada sistem informasi, yaitu :
1. Pengendalian Manajemen (Management Controls)
Pengendalian manajemen (management controls) adalah sistem pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Apabila pengendalian ini tidak dilakukan ataupun pengendaliannya lemah maka akan dapat berdampak negatif terhadap aplikasi (kegiatan komputer). Weber (1999, p39) membagi pengendalian manajemen menjadi tujuh sub sistem pengendalian, yaitu :
a. Pengendalian Manajemen Puncak (Top Management Controls)
Pengendalian yang dilakukan terhadap top management (manajemen puncak) perusahaan untuk memastikan bahwa fungsi sistem informasi
telah berjalan dengan baik, tanggung jawab utama mereka adalah untuk membuat keputusan jangka panjang terhadap bagaimana cara pemakaian sistem informasi pada organisasinya.
b. Pengendalian Manajemen Sistem Informasi (Information System Management Controls)
Pengendalian yang mengontrol pembuatan sistem program baru dan pemeliharaan program lama serta penyediaan software yang mendukung sistem informasi. Pengendalian ini bertujuan untuk pengembangan software yang bermutu tinggi, dimulai dari fase program development life cycle sampai terakhir pada spesial kontrol masalah.
c. Pengendalian Manajemen Pengembangan Sistem (System Development Management Controls)
Pengendalian manajemen pengembangan sistem berfungsi untuk mengontrol alternatif dari model proses pengembangan sistem informasi sehingga dapat digunakan sebagai dasar pengumpulan dan pengevaluasian bukti. Manajemen pengembangan sistem bertanggung jawab dalam perancangan, pengembangan, pengimplementasian dan pemeliharaan sistem aplikasi.
d. Pengendalian Manajemen Sumber Data (Data Resource Management Controls)
Yaitu pengendalian yang dilakukan pada sumber data untuk memastikan independensi data, integrity data, dan pengendalian akes dapat dikelola dengan lebih baik.
e. Pengendalian Manajemen Keamanan (Security Management Controls)
Menurut Weber (1999, pp257-266), dapat disimpulkan bahwa pengendalian terhadap manajemen keamanan secara garis besar bertanggung jawab atau bertujuan untuk menjamin aset sistem informasi tetap aman dari berbagai ancaman.
Adapun kategori dari ancaman dapat diklasifikasikan sebagai berikut:
− Types of Assets. Aset berwujud (physical assets) dan tidak berwujud (logical assets).
− Nature of Threat. Disengaja (deliberate) dan tidak disengaja (accidental).
− Source of Threat. Eksternal dan internal perusahaan.
Aset dapat dikatakan aman bila kemungkinan kehilangan yang dapat timbul berada pada level yang dapat diterima oleh manajemen.
Ancaman utama terhadap Security Management Controls perusahaan adalah :
a) Ancaman Kebakaran
Beberapa pelaksanaan pengamanan untuk ancaman kebakaran adalah:
− Memiliki alarm kebakaran otomatis yang diletakkan pada tempat dimana aset-aset informasi berada.
− Memiliki tabung pemadam kebakaran yang diletakkan pada lokasi yang mudah dijangkau.
− Memiliki tombol power utama (termasuk AC).
− Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan tahan api.
− Memiliki pintu/tangga darurat yang diberi tanda yang jelas sehingga mempermudah karyawan dalam penggunaannya.
− Ketika alarm kebakaran berbunyi sinyal langsung dikirimkan ke stasiun pengendalian yang selalu dijaga oleh staff.
− Prosedur pemeliharaan gedung yang baik menjamin tingkat polusi rendah disekitar aset informasi yang bernilai tinggi. Contoh : ruang komputer dibersihkan secara teratur dan kertas untuk printer diletakkan di ruang yang terpisah.
− Untuk mengantisipasi ancaman kebakaran diperlukan pengawasan rutin dan pengujian terhadap sistem perlindungan kebakaran untuk dapat memastikan bahwa segala sesuatunya telah dirawat baik.
b) Ancaman Banjir
Beberapa pelaksanaan pengamanan untuk ancaman banjir :
− Usahakan bahan untuk atap, dinding dan lantai yang tahan air.
− Semua aset sistem informasi ditaruh ditempat yang tinggi.
− Menutup peralatan hardware dengan bahan yang tahan air ketika tidak digunakan.
dan uninterruptable power supply (UPS) yang memadai yang mampu mengcover masalah tegangan listrik.
d) Kerusakan Struktural (Structural Damage)
Beberapa pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural (disebabkan bencana alam) misalnya adalah memilih lokasi perusahaan yang strategis dan aman.
e) Polusi
Beberapa pelaksanaan pengamanan untuk mengatasi polusi, misalnya situasi kantor yang bebas debu dan tidak memperbolehkan siapa saja membawa binatang peliharaan.
f) Penyusup (Unauthorized Intrusion)
Penyusupan yang dapat dilakukan terdiri dari dua jenis, yaitu : (1) Secara fisik masuk ke perusahaan dan mengambil harta sistem
informasi atau melakukan pengerusakan.
(2) Tidak masuk secara fisik ke perusahaan tetapi menggunakan cara lain seperti melakukan penyadapan.
g) Virus dan Worm
Pelaksanaan pengamanan untuk mengantisipasi virus meliputi :
Tipe kontrol Contoh
Preventif − Hanya menggunakan software yang
bersih dan asli.
− Menginstall antivirus.
− Melakukan update antivirus secara berkala dan rutin.
− Jangan menggunakan shareware software.
− Melakukan scan file secara rutin ketika akan digunakan.
− Download software atau file hanya dari website yang sudah terkenal bersih.
− Lakukan akses read-only terhadap software.
− Berikan pengertian kepada user tentang bahaya virus dan perlunya tindakan pencegahan.
Detective − Secara berkala menjalankan program anti virus untuk mendeteksi virus.
Corrective − Pastikan ada backup yang bersih.
− Jalankan program antivirus untuk me-remove/merecovery file yang terinfeksi.
h) Hacking
Beberapa tindakan pengamanan untuk mengantisipasi hacking : − Penggunaan kontrol logika seperti penggunaan password yang
sulit ditebak.
− Petugas keamanan secara teratur memonitor sistem yang digunakan.
Control of Last Resort (Pengendalian Akhir)
Walaupun segala cara telah diterapkan guna mengantisipasi ancaman, tetapi masih ada saja kemungkinan terjadi bencana ataupun undesriable
Tabel 2.1 Tindakan Pengamanan Virus Sumber : Weber (1999, p263)
event lainnya. Untuk itulah diperlukan pengendalian akhir (Controls of Last Resort) guna mengurangi kerugian dan merecovery operasional :
1) Disaster Recovery Plan (Rencana Pemulihan Bencana) a) Emergency Plan (Rencana Darurat)
Rencana emergency ini merupakan tindakan khusus yang akan dilakukan segera setelah terjadinya bencana. Rencana ini juga menjelaskan siapa melakukan apa dan bagaimana melakukannya.
b) Backup Plan (Rencana Backup)
Rencana yang berisi jangka waktu backup dilakukan, prosedur untuk melakukan backup, letak perlengkapan backup, karyawan yang bertanggung jawab untuk melakukan kegiatan backup.
c) Recovery Plan (Rencana Pemulihan)
Rencana recovery berisi prosedur apa yang harus dilakukan untuk kembali beroperasi pada keadaan sebelum terjadi kerusakan (tidak mengulang lagi proses yang sudah dikerjakan). Rencana recovery merupakan kelanjutan dari rencana backup karena recovery adalah kegiatan yang dilakukan agar sistem informasi dapat berjalan seperti biasa. d) Test Plan (Rencana Pengujian)
Berfungsi untuk memastikan bahwa ketiga rencana diatas berjalan dengan baik atau layak.
2) Asuransi
Suatu bentuk pengendalian yang dilakukan dengan mengasuransikan aset sistem informasi sehingga ketika terjadi bencana maka akan membantu meringankan beban perusahaan dalam rangka pengadaan aset sistem informasi. Perlu dipertimbangkan cost and benefit dalam memilih asuransi untuk peralatan, fasilitas, dan elemen sistem informasi lainnya.
f. Pengendalian Manajemen Operasi (Operations Management Controls)
Menurut Weber (1999, p288), manajemen operasi bertanggung jawab atas berjalannya fasilitas hardware dan software sehari-hari sehingga: a. Sistem aplikasi dapat menyempurnakan kerja mereka.
b. Staff development dapat mendesain, mengimplementasikan, dan memaintain sistem aplikasi.
Manajemen operasi khusus mengontrol fungsi-fungsi sebagai berikut: 1) Pengoperasian Komputer (Computer Operations)
Kontrol operasi komputer mengatur aktivitas-aktivitas yang secara langsung mendukung keseharian pelaksanaan dari sistem aplikasi pada platformhardware/software yang tersedia.
2) Pengoperasian Jaringan (Network Operations)
Manajer operasi bertanggung jawab atas aktivitas operasi jaringan baik jaringan area lokal (Local Area Network) maupun jaringan area luas (Wide Area Network) yang digunakan perusahaan dalam mendukung operasional. Untuk melaksanakan tugasnya,
manajemen operasi harus memulai dan menghentikan aktivitas jaringan serta memonitor kinerja channel komunikasi jaringan, peralatan jaringan, file-file dan program jaringan.
3) Persiapan dan Pengentrian Data (Preparation and Data Entry) Secara umum, semua sumber data untuk sistem aplikasi dikirim ke bagian persiapan data untuk diketik dan diverifikasi sebelum dimasukkan ke dalam komputer.
Faktor-faktor yang harus dipertimbangkan untuk persiapan dan pengentrian data :
− Penerangan pada tempat pengetikan harus memadai.
− Lingkungan kerja haruslah tidak berisik dan juga tidak terlalu sepi.
− Tata ruang dari tempat kerja harus rapi untuk memudahkan arus kerja.
4) Pengendalian Produksi (Production Controls)
Fungsi-fungsi yang harus dilakukan pada pengendalian produksi adalah :
− Penerimaan dan pengiriman input dan output. − Penjadwalan kerja.
− Peningkatan pemanfaatan komputer. 5) Perpustakaan File (File Library)
Fungsi File Library pada bagian operasional adalah bertanggung jawab untuk mengelola manajemen penyimpanan data.
• Storage of Storage Media (Penyimpanan Media Penyimpanan)
Karena media penyimpanan file sangat penting maka media tersebut harus disimpan dengan sangat aman.
• Use of Storage Media (Penggunaan Media Penyimpanan) Penggunaan media penyimpanan harus dikontrol dengan baik, bagian kepustakaan harus mengeluarkan media penyimpanan hanya kepada orang yang memiliki wewenang dan sesuai dengan skedul yang telah ditetapkan.
• Location of Storage Media (Lokasi Media Penyimpanan)
Penyimpanan media penyimpanan dapat berada diluar di lokasi ruang komputer, hal itu tergantung kepada tingkat pemakaian media penyimpanan tersebut, bila media penyimpanan sering digunakan maka harus berada di ruangan komputer sedangkan bila media penyimpan hanya merupakan backup maka dapat diletakkan diluar ruangan komputer. • Maintenance and Disposal of Storage Media (Pemeliharaan
dan Penghentian Pemakaian Dokumen)
Media penyimpanan dapat digunakan untuk jangka waktu yang lama tetapi secara umum kemampuannya menurun seiring dengan meningkatnya umur media penyimpanan tersebut sehingga dapat menimbulkan resiko bagi perusahaan.
Hal-hal yang harus diperhatikan dalam File Library adalah : Media penyimpanan seharusnya tidak dibiarkan tidak terpakai
dalam jangka waktu yang lama.
Apabila media penyimpanan menjadi tidak dapat diandalkan, biasanya jalan terbaik adalah dengan membuang mereka dan memastikan semua data yang sensitif sudah dipindahkan. Apabila media penyimpanan harus dikirim keluar organisasi
atau diperbaiki, maka harus dipastikan bahwa data sensitif harus dihapus dari media penyimpanan tersebut.
6) Dokumentasi dan Perpustakaan Program (Documentation and Program Library)
Dokumentasi librarian bertanggung jawab untuk mengatur dokumentasi yang mendukung fungsi sistem informasi. Fungsi itu meliputi :
1) Memastikan dokumentasi disimpan dengan aman.
2) Memastikan hanya yang berwenang yang dapat mengakses. 3) Memastikan dokumentasi selalu up to date.
4) Memastikan jalannya backup cukup untuk dokumentasi.
Dokumentasi librarian juga harus bertanggung jawab untuk mengatur persediaan software organisasi atau izin software untuk mencegah masalah berikut :
– Terlalu banyak copy software yang beredar. – Software hilang atau dicuri.
– Beredarnya software ilegal.
– Penggunaan software tidak sesuai dengan izin yang diajukan. – Software tidak mempunyai backup.
7) Help Desk/Technical Support
Ada 2 (dua) fungsi utama help desk/technical support yaitu : − Membantu end user dalam menggunakan hardware dan
software seperti microcomputer, database.
− Menyediakan technical support untuk menyelesaikan masalah yang berhubungan dengan hardware, software, dan database. 8) Perencanaan Kapasitas dan Pengawasan Kinerja (Capacity
Planning and Performance Monitoring)
Tujuan utama dari fungsi sistem informasi adalah mencapai tujuan-tujuan dari user dengan memuaskan pada tingkat biaya terendah.
Manajemen operasi harus secara kontinyu mengawasi tampilan dari platform hardware/software untuk menjamin bahwa sistem dilaksanakan secara efektif, waktu respon dapat diterima.
9) Management of Outsourced Operations
Manajemen operasi harus fokus pada 4 jenis pengendalian dalam hal memonitoring kegiatan outsource antara lain :
− Mengevaluasi outsourcing vendor (dilihat dari segi keuangan). − Memastikan ketaatan dari kontrak outsourcing.
− Memastikan bahwa operasi dari outsourcing vendor dapat dijalankan dengan baik.
− Memelihara prosedur-prosedur untuk pemulihan bencana dengan outsourcing vendor.
g. Quality Assurance Management Controls
Pengendalian manajemen jaminan kualitas bertugas untuk meyakinkan bahwa pengembangan, pelaksanaan, pengoperasian dan pemeliharaan dari sistem informasi sesuai standard kualitas.
2. Pengendalian Aplikasi (Application Controls)
Menurut Bodnar dan Hopwood yang diterjemahkan oleh Jusuf dan Tambunan (2000, h186) “Pengendalian Aplikasi berpengaruh khusus terhadap aplikasi-aplikasi individual”.
Pengendalian Aplikasi (Application Controls) menurut Gondodiyoto adalah, “Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan (setiap aplikasi berbeda karakteristik dan kebutuhan pengendaliannya)”.
Weber (1999, pp39-40) membagi pengendalian aplikasi menjadi 6 jenis yaitu :
1) Pengendalian Batasan (Boundary Controls)
Menurut Weber (1999, p370) “The boundary subsystem establishes the interface between the would be user of a computer
adalah subsistem batasan (boundary) membangun suatu hubungan (interface) antara pengguna (user) komputer dengan sistem komputer itu sendiri melalui suatu tampilan.
Menurut Gondodiyoto (2003, h140) Boundary Control adalah bahwa dalam suatu sistem aplikasi komputer harus jelas desainnya, mencakup hal-hal :
− Ruang Lingkup Sistem
Suatu sistem komputerisasi harus jelas ruang lingkupnya : apa dokumen inputnya, dari mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya (user), siapa sponsornya (pemegang kewenangan).
− Subsistem dan Keterkaitan
Sistem terdiri dari subsistem, modul program, dan perlu kejelasan ruang lingkupnya (boundary control), dan keterkaitan (interface) antar subsistem-subsistem atau modul-modul.
Tiga tujuan pengendalian subsistem boundary adalah sebagai berikut : − Untuk menetapkan identitas dan kewenangan user dari sistem
komputer.
− Untuk menetapkan identitas dan kewenangan dari sumber daya yang digunakan user.
− Membatasi tindakan-tindakan yang dilakukan oleh user yang menggunakan sumber daya komputer terhadap tindakan-tindakan yang tidak terotorisasi.
Jenis-jenis pengendalian dalam subsistem boundary, yaitu : a) Pengendalian Kriptografi
Kriptografi merupakan suatu teknik mentransformasikan data menjadi kode/sandi rahasia (cryptograms) sehingga tidak memiliki arti bagi orang yang tidak memiliki kemampuan untuk mengubah kembali data tersebut.
b) Pengendalian Akses (Access Control)
Berfungsi untuk membatasi dan mengatur penggunaan sumber daya sistem informasi dari unauthorized user, membatasi dan memastikan user mendapatkan sumber daya yang dibutuhkannya. Mekanisme pengendalian akses terdiri dari tiga tahap, yaitu : (1) Identifikasi
Suatu mekanisme yang mengharuskan user mengidentifikasi dirinya kepada sistem sebagai tanda pengenal. Misalnya dengan menggunakan user name.
(2) Autentifikasi
Mekanisme yang membawa user pada identifikasi tingkat tinggi untuk membuktikan hak akses user dengan cara menyediakan :
− Something user know. Sesuatu yang user ketahui, contohnya password.
− Something user is. Sesuatu yang merupakan karakteristik user (sidik jari, retina).
(3) Otorisasi
Suatu mekanisme yang mengatur seberapa luas hak akses yang dimiliki user sekaligus membatasi user dari aktivitas-aktivitas diluar wewenangnya.
c) PIN (Personal Identification Number)
PIN adalah teknik yang sering digunakan untuk mengautentifikasi seseorang. PIN adalah jenis password yang sederhana yang biasanya berupa nomor rahasia yang diberikan pada seseorang dengan tujuan untuk memverifikasi keotentikan seseorang.
Tiga macam penciptaan PIN :
- Derived PIN. Penciptaan PIN berdasarkan pada Account Number Customer (nomor rekening pelanggan). Nomor rekening itu akan dirubah dengan menggunakan algoritma kriptografi dan kunci kriptografi untuk menghasilkan sebuah PIN yang bersifat sementara.
- Random PIN. Institusi membuat PIN berdasarkan nomor acak dengan panjang tertentu. Keuntungan metode ini adalah PIN tidak terhubung dengan nomor account sehingga dapat diganti tanpa merubah nomor account. Kelemahannya : nomor PIN harus disimpan pada database pembuat PIN sehingga harus dapat diamankan dari pihak yang tidak berwenang.
- Customer-selected PIN. Konsumen memilih sendiri nomor PINnya. Keuntungannya adalah mereka dapat memilih sendiri PIN yang memudahkan mereka untuk mengingatnya, tapi hal ini juga merupakan kelemahan karena konsumen sering memilih nomor yang berhubungan dengan mereka seperti tanggal lahir, nama pasangan,PIN ini juga harus disimpan pada database.
d) Digital Signature
Ketika surat dibuat dalam bentuk formulir elektronik, tanda tangan yang biasa dilakukan secara manual tidak dapat dilakukan lagi. Untuk mengantisipasi hal tersebut maka diperlukan tanda tangan digital (digital signature) untuk mengautentikasi seseorang yang berhak mengakses surat tersebut.
e) Plastic Card
Plastic Card dimaksudkan untuk mengidentifikasi individu yang akan melakukan akses terhadap sistem.
f) Audit Trail Control
Audit Trail akan merekam semua kejadian yang terjadi pada subsistem boundary. Audit Trail juga digunakan untuk menganalisa bukti-bukti yang berkaitan dengan penggunaan sumberdaya.
g) Existence Control
Ketika subsistem boundary mengalami kegagalan, existence control tidak akan berupaya melakukan perbaikan pada kerusakan
tersebut. Existence Control akan meminta user untuk melakukan prosedur sign on ulang. Hal ini melindungi situasi dimana original user meninggalkan terminal dan digantikan user lain. 2) Pengendalian Input (Input Controls)
Weber (1999, p420) berpendapat, “Components in the input subsystem are responsible for bringing both data and instructions
into an application controls”. Intinya adalah komponen dalam subsistem input bertanggung jawab untuk memasukkan data dan instruksi ke dalam sistem aplikasi. Kedua jenis input tersebut harus divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol sehingga input yang dimasukkan akurat, lengkap, dan tepat waktu. Tiga alasan pentingnya Input Controls, yaitu:
(1) Pada sistem informasi kontrol yang besar jumlahnya adalah pada subsistem input, sehingga auditor harus memberikan perhatian yang lebih kepada keandalan input kontrol yang ada.
(2) Kegiatan subsistem input melibatkan jumlah kegiatan yang besar dan rutin dan merupakan kegiatan yang monoton sehingga dapat menyebabkan terjadinya kesalahan.
(3) Subsistem input seringkali merupakan target dari fraud, banyak kegiatan yang tidak seharusnya dilakukan seperti penambahan, penghapusan, dsb.
Menurut Standard IAI yang dinyatakan dalam buku Anies Basalamah (2003, hh220-222) pengendalian input (input controls) dirancang untuk memberikan keyakinan yang memadai bahwa :
1. Transaksi diotorisasi sebagaimana mestinya sebelum diolah dengan komputer.
2. Transaksi diubah dengan cermat ke dalam bentuk yang dapat dibaca mesin dan dicatat dalam file data komputer.
3. Transaksi tidak hilang, ditambah, digandakan, atau diubah dengan tidak semestinya.
4. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan kembali secara tepat waktu.
Jenis-jenis pengendalian input (Input Controls) menurut IAI dalam buku Anies Basalamah (2003, hh221-230) :
1. Pengendalian Otorisasi Masukan (Input Authorization Controls) Pengendalian yang baik tidak memperbolehkan suatu transaksi diproses apabila transaksi tersebut tidak disertai dengan otorisasi dari pejabat yang berwenang.
Jenis-jenis pengendalian yang termasuk dalam pengendalian otorisasi masukan adalah :
(1) Prosedur-Prosedur Persetujuan
Prosedur ini menjelaskan mengenai bagaimana dan oleh siapa data akan diinput ke dalam dokumen input.
(2) Formulir Yang Diberi Nomor Urut
Penggunaan formulir dengan nomor urut dimaksudkan untuk mencegah terjadinya dokumen yang hilang dan mempermudah penelusuran dokumen.
(3) Sistem Pengawasan Pencatatan Aktivitas (Transaction Log) Dengan cara ini semua terminal yang digunakan dicatat dalam tape atau disk sehingga dapat diketahui frekuensi kesalahan dalam terminal serta adanya undesirable event lainnya.
2. Pengendalian Validasi Masukan (Input Validation Controls)
Pengendalian ini telah terprogram di dalam sistem yang dimaksudkan untuk memperoleh keyakinan bahwa semua data inputan adalah akurat, lengkap, dan memadai (logis). Pengendalian ini memiliki beberapa fungsi :
1) Untuk mendeteksi kehilangan data. 2) Untuk menguji perhitungan matematis.
3) Untuk menjamin adanya pembukuan transaksi secara benar. Jenis-jenis pengendalian yang termasuk dalam Input Validation: 1) Numeric and Alphabetic Check
Pengujian angka huruf ini berfungsi dengan cara menetapkan bahwa field tertentu misalnya harus berbentuk angka (numeric) sedangkan field lainnya harus berbentuk huruf (alphabetic). Jika tidak sesuai maka komputer akan memberikan error message.
2) Logic Check
Pengendalian ini dimaksudkan untuk menilai dan membandingkan suatu logic tertentu dengan keadaan sebenarnya. Contoh logic : jurnal penyusutan akan dianggap tidak logis oleh komputer jika kreditnya adalah kas.
3) Sign Check
Membandingkan apakah suatu angka dalam field tertentu harus positif (dalam data akuntansi berarti didebet) sedangkan angka lainnya harus kredit (negatif).
4) Valid Field Size Check
Pengujian ini menyerupai sign check, hanya saja bukan berisi tanda positif atau negatif, melainkan suatu field harus mempunyai besar tertentu. Misalnya PIN harus sepuluh digit. 5) Limit Check
Pengendalian ini menguji apakah suatu field transaksi masukan (input) tertentu berada dalam suatu batasan yang sebelumnya ditetapkan.
6) Valid Code Check
Pengendalian ini menguji apakah suatu transaksi masukan tertentu memiliki kode yang sama dengan yang ada di dalam komputer. Kode ini bisa berupa nomor akun, kata sandi.
7) Sequence Check
Pengendalian ini menguji urutan-urutan suatu field tertentu, misalnya untuk mengurutkan apakah order penjualan berurutan atau ada yang hilang.
3. Transmisi Data
Tujuan dari pengendalian transmisi data adalah untuk mencegah agar data yang akan diproses tersebut tidak hilang, tidak ditambah, atau tidak diubah.
Teknik-teknik pengendalian di dalam pengendalian transmisi data:
1) Batches Logging and Tracking
Meliputi penghitungan batch control totals, penggunaan nomor urut batch, nomor lembar transmisi serta pencatatan arus transaksi.
2) Program-Program Aplikasi
Pengendalian ini digunakan untuk melakukan verifikasi terhadap batch totals dan run-to-run total. Pengendalian total run-to-run menggunakan jumlah-jumlah (total) dalam pengendalian keluaran yang berasal dari satu proses sebagai jumlah-jumlah (total) pengendalian masukan dalam pemrosesan berikutnya. Dengan kata lain total run-to-run adalah total pengendalian (control totals) dari penyelesaian suatu pengolahan (pemrosesan) yang akan digunakan sebagai total pengendalian untuk pemrosesan berikutnya. Jumlah dari
suatu pelaksanaan pemrosesan di tambah dengan total masukan dalam pemrosesan yang kedua harus sama dengan jumlah (total) yang dihasilkan setelah pemrosesan yang kedua tersebut.
3) Teknik-Teknik Verifikasi Dalam Transmisi Online Jenis-jenis pengendalian yang ada pada teknik ini : √ Echo Check.
√ Redudancy Check. √ Completeness Test. 4. Konversi Data
Teknik-teknik pengendalian dalam konversi data antara lain adalah sebagai berikut :
1) Verifikasi Fisik
Dalam teknik pengendalian ini departemen pemakai harus menelaah atau secara visual melakukan verifikasi terhadap transaksi pada waktu transaksi tersebut dikelompokkan (batched). Selain itu, terminal komputer dapat pula dilengkapi dengan fasilitas feedback yang secara otomatis akan menunjukkan suatu tanda yang dapat digunakan sebagai pengujian visual oleh pemakainya.
2) Penggunaan Cek Digit
Penggunaan cek digit ini dimaksudkan untuk memeriksa atau menguji validitas angka. Apabila angka tersebut tidak sesuai
dengan angka asalnya, maka nomor angka akun yang diproses tersebut akan dimunculkan sebagai hal yang salah.
3) Penggunaan Batch Control Total
Teknik ini biasanya terdiri dari batch total (seperti nilai total piutang dan sebagainya); hash total seperti total nomor pelanggan, atau jumlah transaksi yang diproses. Bukti-bukti asal dikelompokkan di departemen pemakai dan control group mencatat nomor batch dan batch control pada lembar pengendalian masukan batch. Setelah diproses control group membandingkan total batch keluaran dengan total batch semula, menyelidiki dan meyelesaikan perbedaan-perbedaan yang timbul.
5. Penanganan Kesalahan Pengendalian ini mencakup :
1) Identifikasi atas sebab-sebab penolakan serta penelaahan terhadap sebab-sebab penolakan tersebut.
2) Penelaahan dan persetujuan perbaikannya.
3) Memproses kembali (re-entry) sesegera mungkin ke sistem. Yang termasuk dalam pengendalian ini adalah :
1) Error Log
Control group membuat catatan mengenai kesalahan input yang terjadi (error log) dan semua data input yang ditolak sekaligus menyelidiki dan memperbaiki kesalahan tersebut.
2) Suspended File
Teknik ini menunda file yang error untuk diproses hingga file tersebut diperbaiki untuk menjamin bahwa kesalahan yang terjadi telah dikoreksi dan diserahkan kembali ke bagian EDP untuk diproses ulang.
3) Laporan Kesalahan
Bertujuan untuk mengidentifikasi mengenai catatan yang ada, kesalahan data beserta penyebabnya.
3) Pengendalian Output (Output Controls)
Gondodiyoto (2003, h145) berpendapat bahwa “Pengendalian output merupakan pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak up-to-date (mutakhir) datanya, atau didistribusikan kepada orang-orang yang tidak berwenang”. Berdasarkan sifatnya metode output controls terdiri dari tiga jenis, yaitu :
− Preventive Objective. Misalnya dengan menggunakan tabel laporan yang terdiri dari jenis laporan, periode laporan, tanda terima konfirmasi, siapa penggunanya, prosedur permintaan laporan.
− Detection Objective. Misalnya perlunya dibuat nilai-nilai subtotal dan total yang dapat diperbandingkan untuk mengevaluasi keakurasian laporan.
− Corrective Objective. Misalnya tersedianya help desk dan contact person.
Yang termasuk pengendalian output (Output Controls): a) Rekonsiliasi Output Dengan Input
Dengan melakukan rekonsiliasi maka akan diperoleh jaminan bahwa input telah diproses dengan benar sehingga hasilnya benar. b) Pendistribusian Output
Pengendalian ini mencakup :
− Output hanya didistribusikan kepada user yang berwenang. − Pendistribusian output harus dilakukan secara tepat waktu. − Hanya output yang diperlukan saja yang didistribusikan. − Tanggal penerimaan dan nama penerima hendaknya dicatat
secara reguler setiap kali output didistribusikan. c) Pengawasan Terhadap Catatan (Record Retention)
− Menjaga jangka waktu pencatatan tertentu untuk menjaga keamanan output.
− Menghindari rekonstruksi yang tidak perlu terhadap file.
− Mengendalikan output-output yang sudah tidak diperlukan lagi (dihancurkan).
4) Pengendalian Proses (Process Controls)
Menurut Gondodiyoto (2003, h144) “Pengendalian proses (process controls) adalah pengendalian intern untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid)
menjadi error karena adanya kesalahan proses. Kemungkinan penyebab terjadinya error adalah kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan antara subsistem ataupun kesalahan teknis lainnya”.
5) Pengendalian Komunikasi (Communication Controls)
Weber (1999, p474) berpendapat bahwa “The communication subsystem is responsible for transporting data among all the other
subsystems within a system and for transporting data to or receiving
data from another system “. Intinya adalah subsistem komunikasi bertanggung jawab untuk pengiriman data ke subsistem yang lain pada suatu sistem dan untuk pengiriman data ke penerima data dari sistem yang lain.
6) Pengendalian Basis Data (Database Controls)
Weber (1999, h563) berpendapat bahwa “The database subsystem provides function to define, create, modify, delete, and read data in
an information system”. Intinya adalah bahwa subsistem database menyediakan fungsi-fungsi untuk mendefinisikan, menciptakan, memodifikasi, menghapus, dan membaca data di dalam suatu sistem informasi.
2.4.4 Pentingnya Audit dan Control Terhadap Sistem Informasi
Menurut Weber (1999, p5) ada tujuh faktor yang mempengaruhi kebutuhan perusahaan terhadap audit dan control, yakni :
1) Organizational Cost of Data Loss (Biaya Yang Harus Dikeluarkan Karena Kehilangan Data)
Data merupakan salah satu aset penting perusahaan, kehilangan data merupakan suatu hal yang paling dihindari perusahaan karena selain dapat menghambat dan mengacaukan kinerja perusahaan, kehilangan data juga memerlukan biaya yang sangat mahal. Salah satu faktor inilah yang mendasari perusahaan untuk melakukan audit dan control guna memastikan keamanan data dari kehilangan ataupun sabotase lainnya.
2) Cost of Incorrect Decision Making (Biaya Dari Pengambilan Keputusan Yang Salah/Keliru)
Kesalahan atau kekeliruan dalam decision making biasanya disebabkan karena penyajian informasi yang tidak memenuhi dimensi informasi yang berkualitas (akurat, lengkap, relevan, tepat waktu). Untuk itulah agar informasi yang disajikan selalu terjaga keakuratan dan integritasnya maka perlu dilakukan audit dan control guna memastikan sistem selalu andal dalam menyajikan informasi sehingga informasi yang dihasilkan tidak lagi menyesatkan si pengguna informasi dalam membuat keputusan.
3) Cost of Computer Abuse (Biaya Yang Harus Dikeluarkan Karena Penyalahgunaan Komputer)
Salah satu hal utama yang mendasari pentingnya audit dan control terhadap sistem informasi adalah cost of computer abuse (biaya yang harus dikeluarkan karena penyalahgunaan komputer/sistem). Selain dapat mengakibatkan gangguan atau kerusakan (pencurian, pengungkapan ilegal, penghancuran) yang fatal atau luar biasa pada sistem informasi perusahaan,
penyalahgunaan komputer memerlukan biaya yang sangat besar dalam penanggulangan dan perbaikannya, untuk itu guna mengantisipasi penyalahgunaan itu maka perlu dilakukan audit dan control agar perusahaan dapat mencegah dan menekan tingkat penyalahgunaan komputer.
4) Value of Hardware, Software, Personnel (Nilai dari Hardware, Software, Personil)
Disamping data, hardware, software, dan personil juga merupakan sumber daya yang sangat kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengganggu jalannya kegiatan organisasi. Jika software rusak akan mengganggu jalannya operasional dan bila software dicuri orang maka informasi yang rahasia dapat dijual kepada kompetitor. Personil adalah sumber daya yang paling berharga, mereka harus dididik dengan baik agar menjadi tenaga di bidang komputer yang profesional.
5) High Cost of Computer Error (Biaya Tinggi dari Kesalahan Komputer) Saat ini pemakaian komputer sudah sangat luas dan dilakukan juga terhadap fungsi kritis pada kehidupan kita. Oleh karena itu kesalahan komputer dapat menimbulkan dampak yang luar biasa. Misalnya error komputer yang menyebabkan jatuhnya pesawat di Antartika yang menyebabkan 257 orang meninggal. Untuk itulah audit dan control diperlukan guna menekan error komputer hingga tingkat yang bisa diterima.
6) Maintenance of Privacy (Pemeliharaan Privacy)
Banyak data tentang kita yang saat ini dapat diperoleh dengan cepat, dengan adanya komputerisasi maka data seseorang dapat diketahui termasuk hal-hal pribadi yang seharusnya menjadi rahasia pribadi seseorang. Pemakaian data komputer yang tidak seharusnya dapat mengakibatkan orang-orang kehilangan hak privacynya.
7) Controlled Evolution of Computer Use (Evolusi Control dari Penggunaan Komputer)
Jangan sampai suatu organisasi melakukan komputerisasi secara tidak terkendali sehingga terjadi pemborosan-pemborosan atau tingkat keamanan yang kurang memadai dan malah sebaliknya hanya akan menimbulkan dampak sosial yang besar, misalnya komputerisasi yang berlebihan malah akan meningkatkan jumlah pengangguran.
2.4.5 Metode Audit Sistem Informasi
Menurut Weber (1999, pp55-57) ada dua jenis metode audit sistem informasi, yaitu :
1. Audit Around The Computer
Merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai black box, artinya metode ini tidak menguji langkah-langkah proses secara langsung tetapi hanya berfokus pada masukan (input) dan keluaran (output) dari sistem komputer. Diasumsikan bahwa jika masukan (input) benar maka akan diwujudkan pada keluaran (output) yang benar pula.
1) Pelaksanaan audit lebih sederhana.
2) Memungkinkan auditor yang kurang mahir di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.
3) Hanya memerlukan biaya yang murah.
Kelemahan dari metode Audit Around The Computer adalah :
1) Tidak menciptakan sarana bagi auditor untuk memahami dan mendalami liku-liku sistem komputer.
2) Kemampuan komputer sebagai fasilitas pendukung pelaksanaan audit menjadi sia-sia.
3) Cara ini membatasi auditor untuk mengetahui kelemahan yang terdapat pada sistem.
2. Audit Through The Computer
Suatu metode audit yang tidak hanya berorientasi pada input dan output semata melainkan juga membuka black box, artinya secara langsung berfokus pada operasi pemrosesan komputer. Auditor biasanya menggunakan teknik ini untuk menguji proses logika dan pengendalian dalam sistem. Metode audit ini juga umumnya mencakup pemeriksaan keandalan atau kelayakan proses dan akurasi program atau aplikasi. Dengan asumsi apabila pemrosesan tidak memadai maka output yang dihasilkan belum tentu akurat meskipun input yang dimasukkan benar.
Keunggulan dari metode Audit Through The Computer :
1) Dapat meningkatkan kualitas audit sistem informasi menjadi lebih efektif, hal ini dikarenakan ruang lingkup dan kemampuan dari pengujian
menjadi lebih komprehensif sehingga tingkat reliabilitas dari pengumpulan dan pengevaluasian bukti dapat lebih ditingkatkan.
2) Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.
3) Auditor dapat menilai kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan.
Kelemahan dari metode Audit Through the Computer adalah :
1) Metode ini membutuhkan biaya yang relatif tinggi karena memerlukan jam kerja yang lebih banyak untuk dapat lebih memahami pengendalian internal dari sistem aplikasi.
2) Metode ini memerlukan tenaga ahli terampil yang memiliki keahlian khusus dan teknik mendalam dalam bidang komputer untuk memahami cara kerja sistem sehingga proses audit hanya dapat dilakukan oleh auditor yang sangat berkompeten dalam sistem aplikasi.
Gondodiyoto dan Idris (2003, hh155-158) berpendapat bahwa ada tiga metode audit sistem informasi antara lain :
1. Audit Around the Computer
Untuk menerapkan metode ini, auditor pertama kali harus menelusuri dan menguji pengendalian masukan, kemudian menghitung hasil yang diperkirakan dari proses transaksi, lalu auditor membandingkan hasil sesungguhnya dengan hasil yang dihitung secara manual.
Disamping masalah minimnya pengetahuan auditor mengenai aspek teknis komputer atau keterbatasan lain, metode audit around the computer cocok untuk dilaksanakan pada situasi sebagai berikut :
1) Dokumen sumber tersedia dalam bentuk kertas (bahasa non mesin), artinya masih kasat mata dan dilihat secara visual.
2) Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.
3) Keluaran (output) dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada output dan sebaliknya.
4) Sistem komputer yang diterapkan masih sederhana.
5) Sistem komputer yang diterapkan masih menggunakan software yang umum digunakan, dan telah diakui, serta digunakan secara massal. 2. Audit Through the Computer
Pada metode ini, auditor tidak hanya melakukan pengujian pada input dan output melainkan juga pemeriksaan secara langsung terhadap pemrosesan komputer melalui pemeriksaan logika dan akurasi program meliputi koding program, desain aplikasi, serta hal lain yang berkaitan dengan program aplikasinya.
Pendekatan audit langsung ke sistem komputerisasi cocok dalam kondisi : 1) Sistem aplikasi komputer memproses input yang cukup besar dan
menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
2) Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.
3) Sistem logika komputer sangat kompleks dan memiliki banyak fasilitas pendukung.
