8
LANDASAN TEORI
2.1 Teori-teori Umum
2.1.1 Pengertian Sistem
Mengacu pada pendapat Williams and Sawyer (2005, p 457), sistem merupakan suatu kumpulan dari komponen - komponen yang saling berhubungan yang saling berinteraksi untuk menjalankan suatu tugas didalam mencapai suatu tujuan yang dikehendaki. Didalam suatu sistem terdapat 2 (dua) point utama yaitu sistem analysis dan sistem design yang digunakan untuk mengetahui bagaimana suatu sistem itu bekerja dan mengambil suatu langkah untuk membuatnya menjadi lebih baik lagi. Sistem analysis merupakan spesialis informasi yang melakukan analisis terhadap suatu sistem, mendesain dan mengimplementasikannya. Sistem design adalah suatu kegiatan untuk membuat tahap pendahuluan dalam mendesain dan selanjutnya membat detail dari design dan yang terakhir membuat suatu laporan design.
Menurut Romney dan Steinbert (2003, p 2), system is a set of two or more interrelated components that interact to achieve a goal.
Menurut McLeod dan Schell (2004, p9), sistem adalah sekelompok elemen - elemen data yang terintegrasi dengan maksud yang sama untuk mencapai tujuan tertentu.
Dari pendapat - pendapat di atas maka dapat disimpulkan bahwa sistem adalah kumpulan dari suatu komponen yang pada umumnya terdiri dari struktur dan proses yang saling berinteraksi untuk mencapai suatu tujuan tertentu.
2.1.2 Pengertian Informasi
Menurut Williams and Sawyer (2005, p 457), informasi merupakan suatu data yang telah disimpulkan atau dengan kata lain yang telah dimanipulasi untuk digunakan dalam melakukan pengambilan suatu keputusan.
McLeod dan Schell (2004, p 10) menyatakan, “Information is processed data that is meaningful; it usually tells the user something that she or he did not already know.” (Informasi adalah data yang diproses yang biasanya memberitahukan kepada user sesuatu yang tidak mereka ketahui).
Jadi dapat disimpulkan bahwa informasi adalah data yang sudah diolah dan memiliki arti dan pengetahuan yang berguna bagi penerimanya.
2.1.3 Pengertian Sistem Informasi
Menurut Williams and Sawyer (2005, p 447), Sistem Informasi merupakan suatu kombinasi user, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, merubah, dan menyebarkan suatu informasi didalam suatu organisasi.
Menurut Laundon (2004, p 14), sistem informasi dapat didefinisikan secara teknis sebuah kumpulan komponen yang saling terkait yang mengumpulkan, memproses, menyimpan, dan menyebarkan informasi untuk mendukung pengambilan keputusan, koordinasi, dan pengendalian di dalam organisasi.
Sistem informasi disimpulkan bahwa suatu kumpulan elemen yang saling berhubungan satu sama lain untuk mencapai tujuan dalam suatu organisasi.
2.1.4 Tujuan Sistem Informasi
Tujuan sistem informasi yang spesifik dapat berbeda dari satu perusahaan ke perusahaan lainnya. Menurut Hall (2001, p 18), terdapat tiga tujuan yang berlaku umum untuk semua sistem informasi, yaitu:
1. Untuk mendukung fungsi kepengurusan (stewardship) manajemen, kepengurusan merujuk ke tanggung jawab
manajemen untuk mengatur sumber daya perusahaan secara benar.
2. Untuk mendukung pengambilan keputusan manajemen.
3. Untuk mendukung kegiatan operasi perusahaan hari demi hari.
2.1.5 Pengertian Auditing
Menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf (2003, p 1), auditing adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independent untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan kriteria - kriteria yang telah ditetapkan.
Berdasarkan Hall (2001, p 42), menyatakan auditing adalah salah satu bentuk pengujian independen yang dilakukan oleh seorang auditor yang menunjukkan pendapatnya, tentang kejujuran laporan keuangan.
Kesimpulannya bahwa definisi auditing adalah kegiatan memperoleh dan mengevaluasi bukti audit oleh auditor berdasarkan standard atau kinerja yang telah ditetapkan untuk menghasilkan laporan keuangan yang jujur.
2.1.6 Jenis - Jenis Audit
Menurut CISA Review Manual (2005, p 36), Jenis audit terbagai menjadi:
1. Audit Keuangan (Financial Audits)
Tujuan audit keuangan adalah untuk menilai kebenaran laporan keuangan organisasi. Audit keuangan sering kali meliputi pengujian terinci dan substantif. Audit jenis ini berhubungan dengan integritas dan kehandalan informasi.
2. Audit Operasional (Operational Audits)
Audit operasional dirancang untuk mengevaluasi struktur pengendalaian internal yang ada pada proses atau area.
3. Audit Gabungan (Integrated Audits)
Audit gabungan mengkombinasikan langkah – langkah audit keuangan dan operasional. Audit gabungan juga dijalankan untuk menilai keseluruhan tujuan dalam organisasi, berhubungan dengan informasi keuangan dan pengamanan aset, efisiensi, dan ketaatan.
4. Audit Administratif (Administrative Audits)
Audit administratif berorientasi untuk menilai permasalahan yang berhubungan dengan efisiensi produktivitas operasional dalam organisasi.
5. Audit Sistem Informasi (Information System Audit)
Proses ini mengumpulkan dan mengevaluasi bukti untuk menentukan apakah sistem informasi dan sumber daya yang berhubungan dengan baik mengamankan aset, merawat data dan integritas sistem, menyediakan informasi yang berhubungan dan dapat dipercaya, dan memiliki dampak pengendalian internal yang menyediakan kepastian yang masuk akal bahwa bisnis, operasional dan tujuan pengendalian akan sesuai dan kejadian yang tidak diinginkan akan dapat dicegah atau dideteksi dan dikoreksi dalam waktu yang tepat.
6. Audit Khusus (Specialized Audits)
Dalam kategori audit sistem informasi, terdapat beberapa tinjauan khusus yang menguji bagian seperti pelayanan yang dijalankan oleh pihak ketiga dan audit forensik.
7. Audit Forensik (Forensic Audits)
Dahulu, audit forensik telah didefinisikan sebagai audit khusus dan menemukan, menyingkap dan melanjutkan kecurangan serta kejahatan. Tujuan utamanya adalah pengembangan bukti untuk ditinjau oleh pelaksanaan hukum dan otoritas pengadilan.
2.1.7 Data Flow Diagram
Menurut Hall (2001, p 69), Diagram arus data menggunakan simbol – simbol untuk mencerminkan proses, sumber – sumber data, arus data dan entitas dalam sebuah sistem.
Menurut Whitten (2004, p 344), Data Flow Diagram adalah sebuah alat yang menggambarkan aliran data dari sebuah sistem dan proses yang dilakukan oleh sistem tersebut. Simbol – simbol untuk penggambaran Data Flow Diagram ada 3 macam ditambah 1 konektor, yaitu:
1. Rounded rectangles (Persegi Panjang yang ujung – ujungnya
bulat), yang mewakili proses atau kegiatan yang dilakukan.
2. Squares (Persegi Panjang), yang mewakili External Agents, yang
menjadi batasan dari sistem.
3. Open-ended Boxes (Kotak yang tidak memiliki tutup di sisi
samping), yang mewakili Data Stores, yang biasanya disebut dengan File atau Database.
4. Arrows (Anak Panah), yang menggambarkan arus informasi, input
Dalam aliran data terdapat tingkatan – tingkatan dimana masing – masing tingkatan menggambarkan isi dari sistem, yaitu:
1. Diagram hubungan / Diagram konteks
Diagram konteks merupakan proses tunggal. Diagram ini menggambarkan hubungan sistem data flow dan external entity.
2. Diagram nol
Menggambarkan subsistem dari diagram hubungan yang diperoleh dengan memecahkan proses pada diagram hubungan atau konteks.
3. Diagram rinci
Merupakan uraian dari diagram nol yang berisi proses – proses yang menggambarkan bab dari subsistem pada diagram nol.
Jadi dapat disimpulkan data flow diagram adalah diagram arus data yang menggambarkan aliran data dan proses dalam sebuah sistem dengan menggunakan simbol.
Berikut ini adalah contoh simbol – simbol standard yang digunakan dalam bagan alir data (DFD) yaitu:
a. External Entity
Entitas yang berada diluar sistem. External entity ini dapat berupa orang, organisasi atau sistem lainnya yang akan memberi input atau menerima output dari sistem.
b. Proses
Berfungsi mengubah satu atau beberapa data output sesuai dengan spesifikasi yang diinginkan. Setiap proses memiliki beberapa data input serta menghasilkan satu atau beberapa output.
c. Data Store
Suatu alat penyimpanan bagi file transaksi, file induk atau file referensi.
d. Aliran Data
Arah arus data dari suatu entity ke entity yang lainnya. Arah aliran data berupa:
1. Antara 2 proses yang berurutan
2. Dari data store ke proses
2.1.8 Teknik Pengumpulan Data
Menurut Sugiyono (2004, p 130), Teknik pengumpulan data terdiri dari tiga, yaitu:
1. Interview (Wawancara)
Wawancara digunakan apabila peneliti ingin melakukan studi pendahuluan untuk menemukan permasalahan yang harus diteliti, dan juga apabila peneliti ingin mengetahui hal - hal dari responden yang lebih mendalam dan jumlah respondennya sedikit / kecil.
2. Kuesioner (Angket)
Kuisioner merupakan teknik yang dilakukan dengan cara memberi seperangkat pertanyaan tertulis kepada responden untuk dijawabnya. Kuisioner merupakan teknik pengumpulan data yang efisien bila peneliti tahu dengan pasti variabel yang akan diukur dan tahu apa yang dapat diharapkan dari responden.
3. Observasi (Pengamatan)
Observasi mempunyai ciri yang spesifik bila dibandingkan dengan teknik yang lain. Jika wawancara dan kuisioner selalu berkomunikasi dengan orang, maka observasi tidak terbatas pada orang, tetapi juga objek - objek alam yang lain. Teknik ini digunakan bila penelitian berkenaan dengan perilaku manusia,
proses kerja, gejala – gejala alam, dan bila responden yang diamati tidak terlalu besar.
2.1.9 Struktur Organisasi
Menurut Madura, Jeff yang diterjemahkan oleh Salib, S.W (2001, p 251), Struktur organisasi adalah mengidentifikasikan tanggung jawab bagi masing – masing jabatan pekerjaan dan hubungan antara jabatan – jabatan itu sendiri.
Menurut Gibson, Ivancevich dan Donelly (2000, p 325), ”Organization structure is a pattern of jobs and groups in an organization. An important cause of individual and group behaviour.”
Dari kedua definisi di atas, maka dapat disimpulkan bahwa dalam struktur organisasi terjadi pembagian tugas dan tanggung jawab untuk tiap jabatan atau unit organisasi.
2.1.10 Visi dan Misi
Menurut Kuncoro (2006, p 58), Visi adalah suatu pernyataan komprehensif tentang: apa yang diinginkan oleh pemimpin organisasi, mengapa suatu organisasi berdiri dan apa yang diyakininya, atau gambaran masa depan organisasi.
Ada empat komponen utama yang perlu dipertimbangkan dalam menyusun visi:
1. Visi dibangun berdasarkan nilai inti. Nilai inti menjawab apa yang penting bagi suatu organisasi: apakah menjalankan bisnis secara etis dan bertanggung jawab, memuaskan konsumen, menekankan pada kualitas, atau menjadi ”pemimpin pasar”.
2. Visi perlu mengelaborasi tujuan organisasi. Setiap organisasi, baik berorientasi laba atau tidak, besar atau kecil, lokal atau global, harus memiliki tujuan keberadaannya.
3. Visi perlu memasukkan gambaran singkat tentang apa yang dilakukan oleh organisasi tersebut untuk mencapai tujuannya. Misalnya, beberapa organisasi mungkin memiliki tujuan yang sama tentang pelestarian lingkungan, namun bagaimana mereka mencapai tujuan itu dapat saja berlainan.
4. Visi perlu merumuskan sasaran umum. Sasaran adalah target di mana semua anggota organisasi bekerja sama untuk mewujudkannya. Sasaran juga menyatukan semua anggota organisasi dan unit subbisnisnya mencapai tujuan akhir.
Kendati visi organisasi memberikan gambaran menyeluruh tentang ke mana organisasi akan dibawa di masa depan, misi adalah suatu pernyataan tentang apa yang dilakukan oleh berbagai unit organisasi dan apa yang mereka harapkan untuk mencapai visi organisasi. Misi bisa juga merupakan bagian dari visi yang
biasanya mencerminkan norma perilaku yang menjadi pedoman para karyawan.
2.2 Teori Khusus
2.2.1 Audit Sistem Informasi
Menurut Romney dan Steinbart (2003, p 321), audit sistem informasi mengkaji ulang pengendalian sistem informasi akuntansi untuk menilai pemenuhannya dengan kebijakan dan prosedur pengendalian internal dan keefektifan perlindungan terhadap aset.
Menurut Hunton et al. (2004, p 13), audit sistem informasi adalah mengenai pengendalian risiko yang berhubungan dengan sistem informasi. Audit sistem merupakan ilmu yang terus bertumbuh, teknologi selalu berubah dan terus meningkat mempengaruhi bisnis dan perusahaan. Kebutuhan akan auditing selalu penting untuk meningkat, dalam beberapa tahun ini untuk mengawasi masalah yang berpusat pada kebutuhan untuk mengawasi akuntansi (keuangan) dan kekeliruannya. Jadi jika teknologi informasi menjadi lebih complex dan pervasive, dan jika kebutuhan untuk auditing meningkat, maka IT auditors akan sangat banyak dibutuhkan.
Jadi dapat disimpulkan bahwa audit sistem informasi adalah pengkajian ulang suatu sistem informasi yang terdapat dalam perusahaan atau organisasi untuk mengetahui apakah sistem tersebut telah berjalan
sesuai dengan standard yang ada serta untuk mencari dan menemukan masalah atau penyelewengan dalam sistem tersebut.
2.2.2 Tujuan Audit Sistem Informasi
Menurut Romney dan Steinbart (2006, p 316), ”The purpose of an information systems audit is to review and evaluate the internal controls that protect the system”. Tujuan dari audit sistem informasi adalah untuk mengkaji ulang dan mengevaluasi pengendalian - pengendalian intern yang diterapkan untuk melindungi sistem yang ada.
2.2.3 Peranan Auditor Dalam Proses Audit
Menurut Hunton et al. (2004, p 6), peranan auditor dalam audit adalah:
1. Mengembangkan apa yang diinginkan klien dan melaksanakan persiapan audit. Dalam hal ini auditor IT mengevaluasi kerumitan pada IT dalam perusahaan.
2. Pengembangan perencanaan audit. Dalam hal ini auditor IT bekerja dengan auditor keuangan untuk mengembangkan perencanaan audit.
3. Evaluasi pada sistem pengendalian internal. Dalam hal ini auditor IT dan auditor keuangan bersama - sama mengevaluasi sistem pengendalian internal.
4. Memberikan kepercayaan pada pengendalian internal. Dalam hal ini auditor IT dan auditor keuangan bersama - sama memberikan kepercayaan kepada individu dalam pengendalian internal.
5. Melakukan pengujian substantif. Dalam hal ini auditor IT memungkinkan melakukan suatu analisis data atau (CAAT) secara rutin untuk mendukung auditor keuangan.
6. Melakukan pemeriksaan kerja pokok persoalan pada laporan audit. Dalan hal ini auditor IT memeriksa laporan dan membuat laporan untuk manajer dengan memberikan rekomendasi.
7. Memimpin tindak lanjut kerja. Dalam hal ini auditor IT berkerja dengan manajer dan auditor dalam tindak lanjut kerjaan.
2.2.4 Tahapan Audit Sistem Informasi
Menurut Hunton et al. (2004, p 208), semua IT audit memeriksa sebuah proses siklus yang kita sebut "IT audit siklus hidup". Proses ini meliputi: perencanaan, penilaian risiko, pengembangan program audit, mengumpulkan bukti, pembentukan kesimpulan, mempersiapkan pendapat audit, dan following up.
1. Perencanaan (Planning)
Dalam melakukan audit tahap pertama meliputi perencanaan. Hal ini berarti harus menentukan risiko - risiko apa saja yang dapat timbul, menjalin hubungan dengan klien, membiasakan diri
dengan lingkungan dan menentukan staff - staff audit. Menurut ISACA standard 050.010 tahap - tahap planning adalah :
a. Menentukan batasan dan tujuan audit.
b. Melakukan penilaian awal yang relevan.
c. Mengumpulkan pengetahuan tentang organisasi, proses bisnis, keuangan, risiko bawaan dan dan isu - isu lingkungan yang berhubungan erat dengan industri atau klien.
d. Mengidentifikasikan pihak luar (seperti outsourcing).
e. Membangun program audit yang berisi prosedur - prosedur audit yang akan dilakukan selama proses audit.
f. Membuat rencana audit yang akan dilakukan selama audit.
g. Mengumpulkan dokumen proses audit meliputi rencana audit, program audit dan dokumentasi lainnya yang penting untuk memberikan pengertian tentang bisnis klien.
2. Penilaian Risiko / “What Can Go Wrong?”
Banyak auditor saat ini menggunakan pendekatan risk-bassed audit untuk melakukan audit. Dalam jenis audit ini penilaian risiko seputar pertanyaan “what can go wrong” jadi auditor SI fokus pertama kali dalam menentukan proses penting untuk
melakukan audit. Hal ini membuat auditor untuk menentukan risiko - risiko apa sajakah yang harus dilakukan.
3. Pengembangan program audit (The Audit Program)
Tidak ada standard audit untuk IT audit karena prosedur audit harus disesuaikan dengan hardware dan software yang digunakan, arsitektur jaringan dan topologi, serta lingkungan sistem. Program audit umum meliputi komponen - komponen:
a. Lingkup audit b. Tujuan audit c. Prosedur audit
d. Detail administrasi seperti perencanaan dan pelaporan 4. Mengumpulkan Bukti (Gathering Evidence)
Temuan audit dan kesimpulan harus didukung oleh analisis dan interpretasi yang tepat dari bukti - bukti yang ada. Menemukan bukti adalah kunci dari audit sebagaimana ini menyediakan dasar dari opini audit yang dibentuk. ISACA guideline 060.020.030 mengidentifikasikan beberapa tipe bukti yang akan dikumpulkan auditor SI meliputi:
a. Proses observasi dan keberadaan dari komponen -komponen fisik seperti operasi - operasi komputer dan prosedur backup.
b. Bukti dokumentasi seperti program change logs, sistem akses logs dan tabel otorisasi.
c. Representasi atau perwakilan seperti flowchart, naratif, dan prosedur tertulis.
d. Analisis seperti prosedur CAATs yang berjalan. 5. Pembentukan Kesimpulan (Forming Conclusions)
Setelah semua bukti audit dikumpulkan, maka tugas selanjutnya dari auditor adalah untuk mengevaluasi bukit - bukti dan mengambi kesimpulan tentang apakah tujuan audit tercapai dan proses audit berjalan sesuai prosedur atau tidak. Auditor juga dapat mengidentifikasi kondisi - kondisi yang dapat dilaporkan. 6. Mempersiapkan Pendapat Audit (The Audit Opinion)
Panduan untuk hal - hal umum yang terdapat dalam laporan audit yang diatur dalam ISACA guideline 070.010.010 meliputi :
a. Nama dari organisasi yang diaudit. b. Judul, tanda tangan dan tanggal.
c. Penjelasan tentang tujuan audit dan apakah tujuan audit tercapai.
d. Ruang lingkup audit meliputi area audit, periode pelaksanaan audit, lingkungan aplikasi atau proses yang diaudit.
e. Penjabaran tentang batas ruang lingkup dimana seorang auditor dapat melakukan pekerjaan audit secara benar untuk mencapai tujuan tertentu.
f. Pendengar yang dimaksudkan untuk laporan, meliputi peraturan - peraturan dalam distribusi laporan.
g. Standard - standard dan kriteria dimana auditor melakukan pekerjaan audit .
h. Penjabaran detil dari temuan - temuan.
i. Kesimpulan dari area - area audit yang dievaluasi, meliputi beberapa kualifikasi dan reservasi signifikan.
j. Masukkan - masukkan untuk pembetulan atau peningkatan.
k. Hal - hal yang terjadi setelah pekerjaan audit selesai dilakukan.
7. Following Up
Tahap akhir dari siklus audit adalah follow up. Setelah auditor mengkomunikasikan hasil audit kepada klien dan menyampaikan opini audit, seorang auditor akan membuat ketetapan untuk follow up dengan klien tentang kondisi - kondisi yang tidak dapat ditemukan selama proses audit.
2.2.5 Metode Audit Sistem Informasi
Dalam melakukan audit sistem informasi, ada 3 metode yang dapat digunakan oleh auditor, yaitu :
1. Audit Around The Computer
Menurut Gondodiyoto (2007, p451), dalam metode ini auditor tidak perlu menguji pengendalian sistem informasi berbasis teknologi informasi, melainkan cukup terhadap input serta output sistem aplikasi saja.
Kelemahan metode ini adalah :
a. Database biasanya memiliki data yang banyak dan sulit dilacak secara manual.
b. Auditor tidak akan memahami operasional dalam sistem komputer.
c. Adanya pengabaian pada sistem pengolahan komputer sehingga sangat rawan terjadi kesalahan potensial dalam sistem.
d. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit menjadi tidak ada.
e. Tidak menyelesaikan maksud dan tujuan proses audit secara keseluruhan.
Sedangkan keuntungan metode audit around the computer ini adalah:
a. Tidak ada resiko terhadap kemungkinan hancurnya data sesungguhnya.
b. Auditor hanya sedikit memerlukan tambahan pendidikan. c. Umumnya mudah, sederhana dan dimengerti oleh semua
orang.
d. Biaya yang terkait dengan pelaksanaannya kecil. 2. Audit Through The Computer
Menurut Gondodiyoto (2007, p453), dalam pendekatan ini, auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit sistem informasi berbasis teknologi informasi. Auditor menggunakan komputer (software bantu) atau dengan cek logika atau listing program (desk test on logic or program source code) untuk menguji logika program dalam rangka pengujian pengendalian yang ada pada komputer.
Tujuan dari metode ini adalah untuk meneliti apakah aplikasi yang diaplikasikan sesuai dengan kondisi yang sesungguhnya.
Keuntungan metode ini adalah dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan penguji yang dilakukan
dapat diperluas sehingga tingkat kepercayaan terhadap keandalan dari pengumpulan dan evaluasi dapat ditingkatkan. Selain itu, dengan memeriksa secara langsung logika pemrosesan dari sistem aplikasi dan perkiraan kemampuan sistem, dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.
Kelemahan dari metode ini adalah :
a. Biaya yang dibutuhkan relatif tinggi yang disebabkan oleh jumlah jam kerja yang banyak untuk memahami struktur pengendalian intern dari pelaksanaan sistem aplikasi.
b. Butuh keahlian teknik yang lebih mendalam untuk memahami cara kerja sistem.
3. Auditing With The Computer
Menurut Gondodiyoto (2007, p455), metode auditing with the computer adalah suatu pendekatan audit dengan bantuan komputer, dimana prosedur auditnya dapat dilaksanakan dengan berbagai cara, yaitu :
a. Memproses atau melakukan pengujian langsung terhadap sistem komputer klien dalam pengujian pengendalian atau substantive.
b. Menggunakan komputer untuk melaksanakan tugas audit yang terpisah dari sistem klien, yaitu mengambil copy data
atau file dan/atau program milik klien untuk diuji dengan komputer lain.
c. Menggunakan komputer sebagai alat bantu dalam audit Metode ini merupakan suatu pendekatan audit dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit.
Dari ketiga metode diatas, yang lebih sering digunakan adalah metode around the computer dan through the computer, karena biaya yang dibutuhkan relatif lebih murah daripada metode with the computer.
2.2.6 Standard Audit Sistem Informasi
Mengacu pada ISACA (2008), standard audit sistem informasi mendefinisikan persyaratan – persyaratan yang wajib dipenuhi dalam pelaksanaan dan pelaporan atas audit sistem informasi.
Information System Audit and Control Association (ISACA) menetapkan standard audit sistem informasi, sebagai berikut:
1. Audit Charter
Bahwa audit charter harus disetujui oleh level organisasi yang tepat dan harus memuat mengenai tujuan, tanggung jawab, otoritas, dan pertanggungjawaban dari fungsi audit sistem informasi.
2. Independence
Memuat mengenai pentingnya independensi professional dan independensi organisasi.
3. Professional Ethics and Standards
Bahwa auditor sistem informasi harus setia pada kode.
4. Professional Competence
Bahwa auditor sistem informasi harus kompeten secara profesional dan selalu memelihara kompetensi profesional yang dimilikinya tersebut dengan cara mengikuti pendidikan dan pelatihan profesional secara berkelanjutan.
5. Planning
Berkaitan dengan perencanaan atas cakupan audit sistem informasi, pengembangan dan pendokumentasian pendekatan audit berbasis risiko, rencana audit, program audit beserta prosedur - prosedurnya.
6. Performance of Audit Work
Berkaitan dengan pengawasan terhadap staf audit sistem informasi, pengumpulan bukti audit, dan pendokumentasian atas proses audit dalam rangka mendukung temuan dan kesimpulan auditor sistem informasi.
7. Reporting
Berkaitan dengan rincian keterangan dalam laporan audit yang diperlukan, penyediaan laporan audit yang dibuat pada akhir penyelesaian audit harus berdasarkan bukti yang memadai, dan bahwa laporan ketika diterbitkan harus ditandatangani, diberi tanggal, dan didistribusikan sesuai dengan persyaratan yang terutang pada surat perjanjian.
8. Follow-Up Activities
Berkaitan dengan pengevaluasian atas informasi yang relevan untuk mengetahui apakah tindakan yang semestinya telah diambil oleh pihak manajemen dalam rangka menyikapi temuan dan rekomendasi dari auditor.
9. Irregularities and Illegal Acts
Berkaitan dengan pertimbangan dan prosedur - prosedur audit yang diperlukan dalam melakukan penilaian atas adanya risiko tindakan yang tidak biasa dan melanggar hukum; pentingnya surat representasi dari manajemen; pengkomunikasian mengenai temuan yang diperoleh, dan juga dokumentasi mengenai tindakan- tindakan tidak biasa dan melanggar hukum yang materil.
10. IT Governance
Berkaitan dengan penilaian fungsi sistem informasi yang harus sejalan dengan misi, visi, tujuan, strategi perusahaan; penilaian
terhadap hasil yang dicapai dan keefektifan penggunaan sumber daya sistem informasi serta kepatuhan terhadap hukum, kualitas informasi, dan persyaratan keamanan yang ada.
11. Use of Risk Assessment in Audit Planning
Berkaitan dengan penggunaan teknik penilaian risiko yang tepat atas rencana audit dan dalam penentuan prioritas untuk alokasi sumber daya audit sistem informasi yang efektif.
12. Audit Materiality
Berkaitan dengan pertimbangan mengenai materialitas audit dan hubungannya terhadap risiko audit; pertimbangan mengenai kelemahan pengendalian yang berpengaruh secara materil dalam sistem informasi; dan pengungkapan mengenai hal tersebut pada laporan auditor.
13. Using the Work of Other Experts
Berkaitan dengan penggunaan pekerjaan dari pakar lainnya untuk keperluan audit dan penilaian terhadap kompetensi, independensi, dan pengalaman dari pakar tersebut.
14. Audit Evidence
Berkaitan dengan pengumpulan bukti audit yang memadai dan layak untuk menarik kesimpulan yang wajar dan pengevaluasian atas kecukupan bukti audit.
2.2.7 Sistem Pengendalian Internal
2.2.7.1 Pengertian Sistem Pengendalian Internal
Menurut Romney dan Steinbart (2003, p 195), sistem pengendalian internal adalah suatu rencana dari organisasi dan metode sebuah bisnis yang digunakan untuk melindungi aset, mendukung akurasi dan kebenaran informasi, menyebarkan dan menambah efisiensi operasional serta meningkatkan ketepatan dalam pengambilan keputusan manajerial.
Menurut The Information System Audit And Control Association (ISACA) yang dikutip dari Cangemi dan Singleton (2003, p 65), “Internal control system is the policies, procedures, practices, and organizational structures, design to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented, or detected and corrected”, yang berarti sistem pengendalian internal adalah kebijakan - kebijakan, prosedur – prosedur, praktek – praktek dan struktur organisasi yang dirancang untuk memberikan keyakinan yang memadai (reasonable assurance) agar tujuan bisnis dapat dicapai dan kejadian – kejadian yang tidak diinginkan dapat dicegah atau dideteksi dan dikoreksi.
Menurut Hall (2001, p 605), Sistem pengendalian internal adalah kebijakan yang digunakan perusahaan untuk menjaga
aktiva perusahaan, memastikan pencatatan dan informasi akuntansi yang akurat dan handal, mendorong efisiensi, dan memastikan ketaatannya dengan kebijakan yang telah dibuat.
Jadi, pengendalian internal secara normal meliputi prosedur pengendalian yang dirancang untuk menyediakan manajemen dengan tingkat jaminan bahwa informasi yang disajikan oleh sistem informasi dapat dipercaya dan disajikan tepat waktu.
2.2.7.2 Tujuan Sistem Pengendalian Internal
Menurut CISA Review Manual (2005, p 33), Tujuan sistem pengendalian internal merupakan pernyataan mengenai hasil atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam kegiatan tertentu. Tujuan pengendalian meliputi:
1. Pengamanan aset teknologi informasi
2. Ketaatan dengan kebijakan perusahaan atau persyaratan hukum
3. Otorisasi / input
4. Ketepatan dan kelengkapan pemrosesan transaksi
5. Output
7. Backup / recovery
8. Ekonomis dan efisiensi operasi 2.2.7.3 Jenis – Jenis Pengendalian Internal
Menurut Hunton et al. (2003, p 106), pengendalian internal terdiri dari tiga unsur, yaitu:
1. Pengendalian keamanan (Security Controls)
Manajer bertanggung jawab untuk memastikan bahwa infrastruktur TI aman terhadap ancaman dari luar dan dalam. Kompromi infrastuktur dapat menyebabkan risiko bisnis yang penting (korupsi database) dan risiko audit (pernyataan yang salah dalam rekening karena data tidak lengkap atau tidak akurat). Ada dua masalah keamanan, yaitu:
a. Keamanan fisik (Physical security)
Keamanan fisik fokus pada pemeliharaan fasilitas, komputer, peralatan komunikasi, dan aspek nyata lainnya pada infrastruktur TI yang aman dari bahaya.
b. Keamanan logik (Logical security)
Dapat dikatakan, bagian paling berharga dalam infrastruktur IT adalah tidak terlihat seperti data dan perangkat lunak. Data dan perangkat lunak
pada dasarnya dikenal sebagai komponen ”logik” dalam infrastruktur.
2. Pengendalian informasi (Information Controls)
Proses pengumpulan, pengolahan, dan distribusi informasi akuntansi yang timbul dari kejadian – kejadian ekonomi dapat diklasifikasikan ke dalam kegiatan input, proses, dan output. Dalam setiap kegiatan, pengendalian tertentu diperlukan untuk memastikan integritas dan ketepatan informasi penting untuk pengambilan keputusan. Selain itu, perusahaan harus mengintegrasikan pengendalian cadangan ke dalam proses.
a. Input Controls
Auditor SI harus melihat apakah perusahaan sudah mengikuti prosedur - prosedur tertulis mengenai otorisasi, pengesahan dan input transaksi akun.
b. Output Controls
Akses ke auto control harus dikendalikan sehingga informasi yang diminta dapat dilihat oleh pihak yang berkepentingan, jika output yang diminta ditampilkan dilayar komputer maka layar harus ditempatkan ditempat yang aman dari pihak - pihak yang tidak berkepentingan. Pada perusahaan
biasanya output berbentuk hard copy, jadi hasil hard copy harus diamankan.
3. Pengendalian berkesinambungan (Continuity Controls) Risiko bisnis yang signifikan terkait dengan fungsi TI adalah gangguan bisnis akibat kegagalan komputer dan bencana. Sejauh mana perusahaan siap untuk secara efektif menghadapi keadaan seperti itu sangat penting bagi kelangsungan hidup ekonomi organisasi. IT auditor dapat menambahkan nilai signifikan klien mereka dengan sepenuhnya memfokuskan diri dalam semua aspek dari risiko dan pengendalian bisnis berkesinambungan.
a. Backup Controls
Sangat penting bahwa organisasi mengembangkan dan mengikuti strategi cadangan; jika tidak, tidak akan ada yang tersisa untuk pulih kembali setelah bencana. Ada dua hal yang harus diperhatikan yaitu: waktu pemulihan dan biaya. Semakin cepat waktu pemulihan maka semakin tinggi biaya yang dikeluarkan. Pembahasan berikut ini akan membahas dua jenis cadangan: data dan hardware. Data backup harus mempertimbangkan volume transaksi technical support, lokasi penyimpanan,
redudansi hardware - hardware backup, jika salah satu atau beberapa komponen hardware terganggu, maka sistem dan proses bisnis akan terganggu apabila terjadi mati listrik.
b. Disaster Recovery Controls
Perusahaan tidak dapat menunggu sampai bencana terjadi dan baru memikirkan apa yang harus dilakukan. Mereka harus proaktif bukan reaktif. Perusahaan harus merencanakan sebelum bencana terjadi dan menguji secara periodik rencananya. Manajer IT harus menentukan risiko - risiko apa sajakah yang dapat terjadi dan apa yang harus dilakukan. Setelah itu harus membuat rencana perbaikan sistem.
2.2.8 Pengertian Risiko
Menurut Hall (2001, p 201), risiko adalah kemungkinan kerugian atau kerusakan yang dapat mengurangi atau meniadakan kemampuan perusahaan untuk mencapai berbagai tujuannya.
Menurut Hunton et al. (2004, p 48), “Business enterprises face a variety of risks, including business, audit, security, and continuity risks”.
(Perusahaan bisnis banyak menghadapi risiko, termasuk risiko bisnis, risiko audit, risiko keamanan, dan risiko berkesinambungan).
1. Business Risk
Risiko bisnis yaitu ketika organisasi tidak berhasil mencapai tujuannya. Terdapat 2 faktor yang mempengaruhi risiko bisnis, yang pertama faktor eksternal dan yang kedua faktor internal. Untuk mengerti fakta - fakta risiko bisnis suatu organisasi, pertama-tama auditor harus lebih mengenal rencana strategi organisasi. Secara garis besar rencana organisasi harus memiliki jangka waktu yang pendek (3 - 5 tahun). Bersamaan dengan strategi dan tujuan, karyawan akan mengetahui misi dari organisasi.
2. Audit Risk
Risiko audit yaitu disaat audit eksternal perusahaan membuat kesalahan ketika mengeluarkan pendapat tentang kebenaran laporan keuangan atau auditor IT gagal menemukan kesalahan dan kecurangan dalam perusahaan. Risiko audit sebenarnya merupakan kombinasi dari berbagai risiko, yang terdiri dari Inherent Risk, Control Risk, dan Detection Risk.
Inherent Risk yaitu ketika kesalahan atau kecurangan inherent di dalam lingkungan bisnis. Control Risk yaitu ketika sistem pengendalian internal tidak menemukan kesalahan atau
kecurangan dalam periode tertentu. Detection Risk yaitu ketika prosedur audit tidak menemukan kesalahan atau kecurangan dalam periode tertentu.
3. Security Risk
Risiko keamanan sangat berkaitan dengan akses data dan integritas data. Akses wewenang terhadap data mungkin dapat berupa physical atau logical. Banyak risiko yang akan ditimbul dari akses wewenang physical dan logical. Risiko ini meningkat dengan adanya integrasi sistem informasi dan kemampuan remote akses.
4. Continuity Risk
Risiko berkesinambungan sangat berkaitan erat dengan ketersedian sistem informasi, cadangan, dan pemulihan. Ketersediaan mengacu pada keamanan yang memasikan bahwa sistem informasi selalu dapat diakses oleh pengguna. Prosedur cadangan dan pemulihan memastikan jika terjadi interupsi dalam sistem yang berkesinambungan, prosedur digunakan untuk mengembalikan data dan operasi.
Dari penjelasan diatas, dapat disimpulkan risiko adalah kemungkinan kerugian atau kerusakan yang dapat menyebabkan ancaman dalam hal pencapaian tujuan.
2.2.9 Sistem Akuntansi Pembelian
2.2.9.1 Pengertian Sistem Akuntansi Pembelian
Menurut Mulyadi (2001, p 299), Sistem akuntansi pembelian merupakan sistem yang digunakan perusahaan untuk pengadaan barang yang diperlukan oleh perusahaan.
2.2.9.2 Fungsi – Fungsi yang Terkait dalam Pembelian
Menurut Mulyadi (2001, p 299), fungsi – fungsi yang terkait dalam pembelian kredit adalah:
1. Fungsi Gudang
Fungsi ini bertanggung jawab untuk mengajukan permintaan pembelian sesuai dengan posisi persediaan yang ada di gudang dan untuk menyimpan barang yang telah diterima oleh fungsi penerimaan.
2. Fungsi Pembelian
Fungsi ini bertanggung jawab untuk memperoleh informasi mengenai harga barang, menentukan pemasok yang dipilih dalam pengadaan barang dan mengeluarkan order pembelian kepada pemasok yang dipilih..
3. Fungsi Penerimaan
Fungsi ini bertanggung jawab untuk melakukan pemeriksaan terhadap jenis, mutu dan kuantitas barang
yang diterima dari pemasok guna menentukan dapat atau tidaknya barang tersebut diterima oleh perusahaan.
4. Fungsi Akuntansi
Fungsi akuntansi yang terkait dalam transaksi pembelian adalah fungsi pencatat utang dan fungsi pencatat persediaan. Fungsi ini bertanggung jawab untuk mencatat transaksi pembelian ke dalam register bukti kas keluar dan untuk menyelenggarakan arsip dokumen sumber (bukti kas keluar) yang berfungsi sebagai catatan utang atau menyelengarakan kartu utang sebagai buku pembantu utang.
2.2.9.3 Jaringan Prosedur yang Membentuk Sistem Pembelian
Menurut Mulyadi (2001, p 301), jaringan prosedur yang membentuk sistem pembelian adalah:
a. Prosedur permintaan pembelian
Dalam prosedur ini fungsi gudang mengajukan permintaan pembelian dalam formulir surat permintaan pembelian kepada fungsi pembelian.
b. Prosedur permintaan penawaran harga dan pemilihan pemasok
Dalam prosedur ini fungsi pembelian mengirimkan surat permintaan penawaran harga kepada para pemasok untuk memperoleh informasi mengenai harga barang dan
berbagai syarat pembelian yang lain, untuk memungkinkan pemilihan pemasok yang akan ditunjuk sebagai pemasok barang yang diperlukan perusahaan.
c. Prosedur order pembelian
Dalam prosedur ini fungsi pembelian mengirim surat order pembelian kepada pemasok yang dipilih dan memberitahukan kepada unit - unit organisasi lain dalam perusahaan mengenai order pembelian yang sudah dikeluarkan oleh perusahaan.
d. Prosedur penerimaan barang
Dalam prosedur ini fungsi penerimaan melakukan pemeriksaan mengenai jenis, kuantitas, dan mutu barang yang diterima dari pemasok, dan kemudian membuat laporan penerimaan barang untuk menyatakan penerimaan barang dari pemasok.
e. Prosedur pencatatan utang
Dalam prosedur ini fungsi akuntansi memeriksa dokumen-dokuman yang berhubungan dengan pembelian dan menyelenggarakn pencatatan utang atau mengarsipkan dokumen sumber sebagai catatan utang.
f. Prosedur distribusi pembelian
Prosedur ini meliputi distribusi rekening yang didebit dari transaksi pembelian untuk kepentingan pembuatan laporan manajemen.
2.2.9.4 Dokumen Pembelian
Menurut Mulyadi (2001, p 303), dokumen yang digunakan dalam sistem persediaan barang sebagai berikut:
a. Surat Permintaan Pembelian
Dokumen ini merupakan formulir yang diisi oleh fungsi gudang atau fungsi pemakai barang untuk meminta fungsi pembelian melakukan pembelian dengan jenis, jumlah, dan mutu seperti yang tersebut dalam surat tersebut. Biasanya dibuat dua lembar untuk setiap permintaan, satu lembar untuk fungsi pembelian, dan tembusanya untuk arsip fungsi yang meminta barang.
b. Surat Permintaan Penawaran Harga
Dokumen ini digunakan untuk meminta penawaran harga bagi barang yang pengadaanya tidak bersifat berulang kali terjadi yang menyangkut jumlah rupiah pembelian yang besar.
c. Surat Order Pembelian
Dokumen ini digunakan untuk memesan barang kepada pemasok yang telah dipilih.
d. Laporan Penerimaan Barang
Dokumen ini dibuat oleh fungsi penerimaan untuk menujukan bahwa barang-barang yang diterima pemasok telah memenuhi jenis, spesifikasi, mutu, dan kuantitas seperti yang tercantum dalam surat order pembelian.
e. Surat Perubahan Order Pembelian
Kadangkala diperlukan perubahan terhadap isi surat order pembelian yang sebelumnya telah diterbitkan. Perubahan tersebut dapat berupa perubahan kuantitas barang, jadwal penyerahan barang, spesisifikasi, penggantian. Perubahan tersebut diberitahukan kepada pemasok secara resmi dengan surat perubahan order pembelian.
f. Bukti Kas Keluar
Dokumen ini dibuat oleh fungsi akuntansi untuk dasar pencatatan transaksi pembelian juga berfungsi sebagai perintah pengeluaran kas untuk pembayaran utang kepada pemasok dan yang sekaligus berfungsi sebagai surat pemberitahuan kepada kreditur mengenai maksud pembayaran.
