6
LANDASAN TEORI
2.1 Teori umum
2.1.1 Pengertian Sistem
Menurut Mulyadi ( diterjemahkan oleh Devi Fitriasari dan Deny Arnos Kwary, 2002, p5 ), sistem adalah suatu jaringan prosedur yang dibuat menurut pola yang terpadu untuk melaksanakan kegiatan pokok perusahaan.
Menurut James A. O’Brien ( diterjemahkan Devi Fitriasari dan Deny Arnos Kwary, 2005, p29), sistem adalah sekelompok komponen yang saling berhubungan, bekerja sama untuk mencapai tujuan bersama dengan menerima input serta menghasilkan output dalam proses transformasi yang teratur.
Menurut Tata Sutabri ( 2004, p9 ), suatu sistem pada dasarnya adalah sekelompok unsur yang erat hubungannya satu dengan yang lain, yang berfungsi bersama – sama untuk mencapai tujuan tertentu.
Jadi dapat disimpulkan bahwa sistem adalah kumpulan dari beberapa elemen yang saling berhubungan atau berinteraksi untuk mencapai satu tujuan dan terintegrasi.
2.1.2 Pengertian Informasi
Menurut Jeffery L.Whitten, Lonnie D. Bentley dan Kevin C. Dittman ( diterjemahkan oleh Andi, 2004, p23 ), informasi adalah data yang telah diproses atau
diorganisasi ulang menjadi bentuk yang berarti. Informasi dibentuk dari kombinasi yang diharapkan memiliki arti ke penerima.
Menurut James A. O’Brien ( diterjemahkan oleh Devi Fitriasari dan Deny Arnos Kwary, 2005, p38 ), informasi adalah data yang telah diubah menjadi kontek yang berarti dan berguna bagi para pemakai akhir tertentu.
Menurut George H.Bonar dan William S.Hopwood ( diterjemahkan oleh Amir Abadi Jusuf dan Rudi M.Tambunan, 2000, p1 ), informasi adalah data yang berguna yang diolah sehingga dapat dijadikan dasar untuk mengambi keputusan yang tepat.
Menurut Turban Rainer Potter ( 2003 p15 ), “Information is a collection of fact ( data ) organized in some manner so that they are meaningful to a recipient “. ( informasi adalah suatu kumpulan dari fakta ( data ) yang terorganisir dalam beberapa cara sedemikian rupa sehingga mereka penuh arti bagi seorang penerima.
Jadi dapat disimpulkan bahwa informasi adalah data yang sudah diolah yang mempunyai arti khusus dan dapat digunakan sebagai bahan pengambilan keputusan.
2.1.3 Pengertian Sistem Informasi
Menurut Jeffery L.Whitten, Lonnie D. Bentley dan Kevin C. Dittman ( diterjemahkan oleh Andi, 2004, p10 ), sistem informasi adalah pengaturan, orang, data,
proses, dan teknologi informasi yang berinteraksi untuk mengumpulkan, memproses, menyimpan, dan menyediakan sebagai output informasi yang diperlukan untuk mendukung sebuah organisasi.
Menurut James A. O’Brien ( diterjemahkan oleh Devi Fitriasari dan Deny Arnos Kwary, 2005, p32 ), sistem informasi adalah sistem yang menerima sumberdaya ( data ) sebagai input dan memprosesnya menjadi produk ( informasi ) sebagai outputnya.
Menurut Turban Rainer Potter ( 2003, p15 ), “ An information system ( IS ) collects, processes, stores, analyzes, and disseminates information for a specific purpose “. ( Suatu sistem informasi ( SI ) mengumpulkan, memproses, menyimpan, meneliti, dan menyebarkan informasi untuk suatu tujuan yang spesifik ).
Jadi dapat disimpulkan bahwa sistem informasi adalah suatu kerangka kerja dimana sumberdaya ( man, machine, material, money, information ) dikoordinasikan untuk mengubah input ( data sumberdaya ) menjadi output ( informasi barang jadi ) guna mencapai sasaran – sasaran perusahaan.
2.2 Audit
2.2.1 Pengertian Audit
Menurut http://www.scribd.com/doc/931629/Auditing-dan-profesi-akuntan-publik#, audit adalah proses sistematis untuk menghimpun dan mengevaluasi bukti-bukti secara obyektif mengenai asersi-asersi tentang berbagai tindakan dan kejadian ekonomi untuk menentukan tingkat kesesuaian antara
asersi-asersi tersebut dengan kriteria yang telah ditentukan dan menyampaikan hasilnya kepada para pemakai yang berkepentingan.
Menurut A.Arens dan James K.Loebbecke ( 1996, p1 ) dalam bukunya yang diterjemahkan oleh Amir Abadi Jusuf, “ Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti berupa informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan kriteria – kriteria yang telah ditetapkan.
Menurut James Hall ( 2001, p42 ) dalam bukunya yang diterjemahkan oleh Jusuf, “ Auditing adalah salah satu bentuk pengujian independen yang dilakukan oleh seorang ahli yang menunjukkan pendapatnya tentang kejujuran ( fairness ) sebuah laporan keuangan.
Menurut A.Arens dan James K.Loebbecke ( 2003, p.8 ) “Auditing is the accumulation and evaluation of evidence about information to determine and report on the degree of correspondence between the information and established criteria.
Auditing should be done by a competent, independent person”. ( Auditing adalah proses pengumpulan dan penilaian bahan bukti tentang informasi untuk menentukan dan melaporkan kesesuaian informasi dengan kriteria – kriteria yang telah ditetapkan dan dilakukan oleh orang yang kompeten dan independen ) . Jadi dapat disimpulkan bahwa audit adalah suatu sistem yang digunakan untuk melakukan pemeriksaan terhadap empat laporan keuangan ( neraca, arus kas, perubahan modal dan rugi/laba ), apakah laporan keuangan tersebut wajar menurut prinsip – prinsip dasar akuntansi dan mengevaluasi bukti – bukti audit.
2.2.2 Jenis – jenis Audit
Menurut Arens dan Loebbecke (2001, p4-5), ada tiga jenis audit, yaitu:
a. Audit Laporan Keuangan ( General Financial Statement Audit )
Audit laporan keuangan bertujuan untuk menentukan apakah laporan keuangan secara keseluruhan yang merupakan informasi terukur yang akan diverifikasikan telah disajikan sesuai dengan kriteria-kriteria tertentu.
b. Audit Operasional atau Manajemen ( Operational or Management Audit ) Audit operasional merupakan penelaahan atas bagian manapun dari prosedur dan metode operasi suatu organisasi untuk menilai efisiensi dan efektivitasnya. Umumnya, pada saat selesainya audit operasional, auditor akan memberikan sejumlah saran kepada manajemen untuk memperbaiki jalannya operasi perusahaan.
c. Audit Ketaatan (Compliance Audit)
Audit ketaatan bertujuan mempertimbangkan apakah klien telah mengikuti prosedur atau aturan tertentu yang telah ditetapkan pihak yang memiliki otorisasi lebih tinggi, misalnya pemeriksaan surat perjanjian dengan banyak dan atau kreditur lain untuk memastikan bahwa perusahaan tersebut telah memenuhi ketentuan hukum yang berlaku.
2.2.3 Instrumen Audit
Menurut Weber, R ( 1999, p789 – 801 ), instrumen audit yang digunakan untuk mengumpulkan data adalah sebagai berikut :
a. Wawancara
Dalam audit, auditor menggunakan teknik interview atau wawancara dengan beberapa alasan, yaitu:
1. Sistem analisa dan programmer yang mendesain dan mengimplementasikan sistem aplikasi dapat diwawancarai sehingga auditor lebih mengerti akan fungsi dan kontrol sistem .
2. User juga dapat di wawancarai untuk menjelaskan seberapa besar kualitas dari sistem yang mereka gunakan.
3. Pengendalian organisasi dapat di wawancarai untuk mengidentifikasinya sistem yang kritis yang terdapat dalam organisasi .
b. Check list
Adalah membuat daftar pertanyaan yang ditujukan kepada pihak yang terkait diperusahaan, khususnya bagian penjualan untuk mengetahui kondisi yang sebenarnya.
c. Observasi
Adalah memeriksa dengan menggunakan panca indera terutama mata, yang dilakukan secara berulang – ulang selama kurun waktu tertentu untuk membuktikan sesuatu keadaan atau masalah.
2.2.4 Audit Sistem Informasi
2.2.4.1 Pengertian Audit Sistem Informasi
Menurut Weber, R. ( 1999, p10), ” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards
assets, maintains data integrity, allows organizational goals to be achieved effectively, and users resources efficiently.” ( Audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti – bukti untuk menentukan apakah sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aktiva dilindungi dengan baik untuk menjamin integritas data, kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer tersebut ).
2.2.4.2 Tujuan Audit Sistem Informasi
Menurut Ron Weber ( 1999, p11 ), tujuan audit sistem informasi dapat dibagi menjadi empat, yaitu ;
a. Meningkatkan keamanan asset perusahaan
Asset suatu peusahaan seperti perangkat keras ( hardware ), perangkat lunak ( software), sumber daya manusia, dan file data harus mempunyai sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan asset perusahaan.
b. Meningkatkan integritas data
Integritas data adalah suatu konsep dasar yang sistem informasi. Data memiliki atribut – atribut tertentu seperti kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara maka suatu perusahaan tidak akan memiliki laporan yang benar bahkan perusahaan dapat menderita kerugian.
c. Meningkatkan efektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan dalam pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif apabila suatu sistem sudah sesuai dengan kebutuhan user.
d. Meningkatkan efisiensi
Suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi minimal.
2.2.4.3 Perlunya Pengendalian dan Audit Sistem Informasi
Faktor-faktor yang mendorong pentingnya pengendalian dan audit sistem informasi menurut Ron Weber (1999, p5-10) adalah untuk :
a. Mendeteksi agar komputer tidak dikelola secara kurang terarah, tidak ada visi , misi, perencanaan sistem informasi pimpinan tertinggi organisasi kurang peduli, tidak ada pelatihan dan pola karir personal yang baik, dan sebagainya.
b. Mendeteksi resiko kehilangan data.
c. Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputerisasi yang salah atau tidak lengkap.
d. Menjaga asset perusahaan karena nilai hardware, software, dan personil yang lazimnya tinggi.
e. Mendeteksi error komputer.
f. Menjaga kerahasiaan, maksudnya adalah bahwa sistem informasi berbasis komputer hendaknya mempunyai kemampuan untuk memproteksi aman, terjaganya privasi para penggunanya dan sebagainya.
g. Mendeteksi resiko penyalahgunaan komputer. 2.2.4.4 Jenis – jenis Audit Sistem Informasi
Menurut Weber, R. ( 1999, p106 – 107 ), jenis – jenis audit sistem informasi adalah sebagai berikut :
a. Audit secara bersamaan ( Concurrent Audit )
Auditor merupakan anggota dari tim pengembangan sistem, mereka membantu tim dalam meningkatkan kualitas dan pengembangan untuk sistem spesifikasi yang mereka bangun dan akan diimplementasikan.
b. Audit setelah implementasi ( Post Implementation Audit )
Auditor membantu organisasi untuk belajar dari pengalaman pengembangan dari sistem aplikasi. Mereka mengevaluasi apakah sistem perlu dihentikan, dilanjutkan atau di modifikasi.
c. Audit Umum ( General Audit )
Auditor mengevaluasi kontrol pengembangan sistem secara keseluruhan, memberi opini audit tentang pernyataan keuangan ataupun tentang keefektifitasan dan keefisienan sistem.
2.2.4.5 Tahapan Audit
Menurut Ron Weber(1999, p 47), tahapan audit sistem informasi dibagi menjadi lima tahapan, antara lain :
Perencanaan adalah tahap awal. Pada tahap ini auditor harus menentukan tingkat preliminary material untuk audit serta mencoba memperoleh pengertian
mengenai pengendalian intern yang digunakan dalam organisasi.
b. Pengujian pengendalian ( Test of Control)
Auditor harus melakukan pengujian atas pengendalian tertentu untuk mengevaluasi apakah mereka beroperasi secara efektif.
c. Pengujian transaksi ( Test of Transactions )
Auditor menjalankan pengujian substantive untuk mengevaluasi apakah ada kesalahan material atau salah penyajian dari akuntansi yang terjadi ataupun yang mungkin terjadi.
d. Pengujian balanced atau hasil keseluruhan ( Tests of Balances or Everall results) Auditor mencari untuk mendapatkan bukti yang cukup untuk membuat keputusan akhir tingkat kesalahan atau salah penyajian yang telah tejadi atau yang mungkin terjadi.
e. Penyelesaian audit ( Completion of the audit )
Auditor memberi opini apakah ada kesalahan material ataupun salah penyajian yang telah terjadi ataupun yang mungkin terjadi.
2.3 Standar Audit
Menurut Information System Audit and Control Association ( ISACA ), Standar Audit adalah sebagai berikut :
a. S1 - Audit Charter
1. Tujuan, tanggungjawab, otorisasi, dan akuntabilitas fungsi audit SI pada suatu organisasi / perusahaan ataupun penguasa audit harus dengan dibuat tertulis ( didokumentasikan ) dalam audit charter atau engagement letter.
2. Audit Charter atau engagement letter harus disetujui dan ditandatangani oleh pimpinan organisasi.
b. S2 - Independence
1. Independensi Professional
Dalam segala hal yang berkaitan dengan audit, auditor harus independen dalam sikap dan penampilan.
2. Independensi Organisasi
Fungsi audit SI harus bebas ( tidak ada conflict of interest ) dari area yang diperiksa untuk dapat menyelesaikan tugas audit dengan baik.
c. S3 - Professional Ethics Standards 1. Code of Professional Ethics
Auditor dari sistem informasi harus menghormati dan menaati etika profesional dari Information System Audit and Control Association.
2. Due Professional Care
Standards auditing professional harus diterapkan dalam segala aspek dalam pekerjaan yang dilakukan oleh auditor sistem informasi.
d. S4 - Professional Competence
1. Auditor SI harus mampu secara profesional, mempunyai pengetahuan dan keahlian teknis untuk melakukan penugasan tugas audit.
2. Auditor SI harus memelihara kemampuan profesionalnya dengan pendidikan dan pelatihan berkelanjutan.
e. S5 - Audit Planning
1. Auditor SI harus membuat rencana kerja audit SI, mencakup tujuan audit, dan bahwa kegiatan – kegiatan auditnya akan sesuai dengan aturan, hukum dan standar professional audit yang ada.
2. Auditor SI harus melakukan teknik pendekatan audit berbasis resiko ( risks – based audit ) dan mendokumentasikannya dengan baik.
3. Auditor SI harus menyusun rencana kerja audit, mencakup rincian tentang hakekat dan tujuan audit, periode atau waktu yang diperlukan, dan sumber daya yang diperlukan untuk penugasan audit tersebut. 4. Auditor SI harus menyusun rencana kerja audit dan / atau program
audit, mencakup prosedur audit yang diperlukan untuk penyelesaian tugas audit itu.
f. S6 - Performance of Audit Work 1. Supervisi
a. Staff audit SI harus disupervisi untuk memperoleh keyakinan memadai bahwa tujuan audit yang telah dicapai sesuai dengan standar profesional audit.
2. Bukti audit
a. Dalam pelaksanaan tugasnya auditor SI harus memperoleh bukti yang cukup, reliable, dan relevan untuk pencapaian tujuan audit. Temuan hasil audit harus didasarkan pada ketersediaan bukti yang cukup, dianalisis dan di interprestasikan / dievaluasi dengan baik / tepat. 3. Dokumentasi
a. Proses audit harus didokumentasikan, menjelaskan pelaksanaan kegiatan audit, dan bukti audit yang mendukung kesimpulan / temuan audit.
g. S7 - Reporting
1. Auditor SI harus membuat laporan hasil audit dalam format yang tepat segera setelah selesai melakukan tugas auditnya. Laporan hasil audit harus memuat organisasi, pihak yang dituju, dan batasan – batasan sirkulasi ( jika ada ).
2. Laporan audit harus menyebutkan ruang – lingkup, tujuan periode dan waktu pelaksanaan pemeriksaan.
3. Laporan audit harus berisi temuan, kesimpulan dan rekomendasi, serta pengungkapan mengenai penyediaan, kualifikasi atau pembatasan cakupan audit yang dialami oleh auditor SI dalam melaksanakan tugasnya.
4. Temuan hasil audit yang dilaporkan harus didukung bukti audit yang cukup, lengkap dan kompeten untuk mendukung laporan hasil pemeriksaan itu.
5. Laporan hasil audit harus ditandatangani, dibubuhi tanggal pelaporan, dan didistribusikan sesuai ketentuan pada audit charter / letter of engagement.
h. S8 - Follow Up Activities
1. Setelah laporan hasil audit yang mengemukakan temuan dan rekomendasi, auditor SI harus mengevaluasi informasi yang relevan untuk memperoleh keyakinan apakah tindak – lanjut yang diperlukan ( atas rekomendasi ) telah dilaksanakan oleh pihak manajemen sesuai jadwal yang diusulkan ( tepat waktu ).
i. 9. S9 - Irregularities of Audit Work
1. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko audit, auditor SI harus mempertimbangkan resiko ketidakteraturan dan illegal acts.
2. Auditor SI harus bersikap profesional skeptis dalam pelaksanaan audit, paham kemungkinan misstatements yang material dapat saja terjadi karena adanya irregularities dan illegal acts, di luar evaluasi yang telah dilakukan.
3. Auditor SI harus memahami organisasi dan lingkungannya, termasuk sistem pengendalian internal bidang yang diperiksa.
4. Auditor SI harus memiliki bukti audit yang lengkap dan kompeten untuk menentukan apakah manajemen atau pihak lainnya dalam organisasi mengetahui aktual, curiga atau yang diduga keras terdapat ketidakteraturan dan / atau tindakan – tindakan yang ilegal.
5. Dalam menjalankan prosedur audit untuk memahami organisasi dan lingkungannya, auditor SI harus dapat mempertimbangkan kemungkinan hubungan tak terduga atau bisa terjadinya resiko misstatemens akibat ketidakteraturan dan / atau tindakan – tindakan ilegal.
6. Auditor SI harus merancang dan menjalankan prosedur untuk menguji ( test ) kecukupan pengendalian intern dan resiko manajemen mengesampingkan pengendalian intern.
7. Jika auditor SI mengidentifikasikan adanya misstatements, auditor SI harus menilai apakah misstatements tersebut terjadi akibat irregularities dan illegal acts, jika ya, auditor SI harus memikirkan kemungkinan dampaknya ke bidang lain, khususnya berkaitan dengan representations of management.
8. Auditor SI harus memperoleh representasi tertulis dari manajemen, dilakukan sedikitnya setiap tahun atau lebih sering lagi bergantung pada penugasan audit yang antara lain :
9. Pengakuan tanggungjawab manajemen untuk merancang dan mengimplementasikan kontrol internal untuk mencegah dan mendeteksi irregularities dan illegal acts.
10. Mengungkapkan kepada auditor mengenai penilaian resiko jika terdapat kemungkinan misstatements yang material sebagai akibat irregularities dan illegal acts.
11. Mengungkapkan kepada auditor tentang pengetahuannya terhadap irregularities dan illegal acts, dampaknya kepada organisasi dan
kaitannya dengan manajemen maupun karyawan yang mempunyai peran penting dalam sistem pengendalian intern.
12. Mengungkapkan kepada auditor jika mengetahui atau menduga adanya irregularities dan illegal acts atau disampikan oleh karyawan, eks karyawan, pihak regulator atau yang lain.
13. Jika auditor SI mengidentifikasikan adanya irregularities dan illegal acts atau memperoleh informasi mengenai hal itu, auditor harus mengkomunikasikan ini kepada level manajemen yang tepat sesegera mungkin.
14. Jika auditor SI mengidentifikasikan irregularities dan illegal acts yang melibatkan manajemen atau personil yang berperan dalam internal control, auditor intern harus mengkomunikasikan hal itu kepada pihak yang bertanggungjawab dalam tatakelola perusahaan. 15. Auditor SI harus memberi advice kepada tingkat manajemen yang
bertanggungjawab atas kelemahan rancangan dan implementasi internal control dalam mencegah dan mendeteksi irregularities dan illegal acts yang mendapat perhatian auditor dalam melaksanakan penugasan pemeriksaannya.
16. Jika auditor SI menemui kondisi yang tidak biasa yang berdampak pada kelanjutan pelaksanaan audit sebagai akibat misstatements yang material dan / atau tindakan ilegal, auditor harus mempertimbangkan tanggungjawab legal dan profesional, termasuk kemungkinan auditor untuk memberitahu kepada pihak – pihak ( lain ) yang mendapat
penugasan, penanggungjawab perusahaan, atau pihak berwenang, dan bila perlu mengundurkan diri dari penugasan.
17. Auditor SI harus mendokumentasikan semua komunikasi, perencanaan, hasil, evaluasi, dan kesimpulan yang berhubungan dengan irregularities dan illegal acts yang sudah dikomunikasikan kepada manajemen, pihak bertanggungjawab lain, atau pihak berwenang, dan lainnya.
j. S10 – IT Governance
1. Auditor SI harus melakukan peninjauan dan penilaian apakah fungsi SI sudah selaras dengan visi, misi, tata – nilai, dan strategis serta tujuan organisasi.
2. Auditor SI melakukan peninjauan apakah fungsi SI memiliki pernyataan yang jelas mengenai kinerja yang diharapkan oleh organisasi ( efektif dan efisien ) dan dinilai apakah hal –hal tersebut sudah tercapai.
3. Auditor SI harus meninjau dan menilai efektivitas sumberdaya SI dan kinerja proses manajemennya.
4. Auditor SI harus meninjau dan menilai kepatuhan terhadap legal, lingkungan dan kualitas informasi, dan keamanan.
5. Dalam pemeriksaan dan evaluasi fungsi SI, auditor sebaiknya menggunakan pendekatan audit berbasis resiko ( risk – based audit approach ).
6. Auditor SI harus meninjau dan menilai lingkungan pengendalian auditan.
7. Auditor SI harus meninjau dan menilai resiko yang mungkin terjadi dalam lingkungan sistem berbasis teknologi informasi.
k. S11 – Use of Risk Assessment in Audit Planning
1. Auditor SI harus menggunakan teknik penilaian resiko yang cocok dalam pengembangan rencana kerja audit SI, dan dalam menentukan prioritas alokasi sumberdaya audit yang efektif.
2. Ketika merencanakan peninjauan individual, auditor SI harus mengidentifikasi dan menilai resiko yang relevan dari area yang diperiksanya.
l. 12. S12 – Audit Materiality
1. Auditor SI harus mempertimbangkan konsep materialitas dalam hubungannya dengan resiko audit.
2. Dalam merencanakan audit, auditor SI mempertimbangkan kelemahan – kelemahan potensial atau tidak adanya kontrol internal dan apakah hal itu dapat mempunyai akibat yang signifikan pada SI. 3. Auditor SI mempertimbangkan dampak komulatif dari kelemahan
atau ketiadaan pengendalian intern.
4. Laporan auditor SI harus mengungkapkan adanya pengendalian intern yang tidak efektif atau tidak adanya pengendalian intern ( terhadap resiko tertentu ) dan dampaknya.
m. S13 – Using the Work of Other Expert
1. Auditor SI harus, jika memungkinkan, menggunakan hasil kerja auditor atau tenaga ahli lain.
2. Auditor SI harus menilai kualifikasi profesional, kompetensi, pengalaman yang relevan, sumberdaya, independensi, proses quality control dari ahli lain tersebut, sebelum menerima penugasan audit. 3. Auditor harus meninjau, menilai dan evaluasi hasil kerja tenaga ahli
lain tersebut sebagai bagian dari audit dan menentukan tingkat penggunaan atau mengesampingkan hasil kerja tenaga ahli dan lain tersebut.
4. Auditor SI harus menentukan dan menyimpulkan apakah hasil kerja tenaga ahli lain tersebut cukup memadai dan lengkap untuk mendukung auditor SI menarik kesimpulan sesuai tujuan audit ( dan kesimpulan tersebut harus secara jelas didokumentasikan ).
5. Auditor SI perlu melaksanakan prosedur pemeriksaan tambahan untuk memperoleh bukti audit yang lebih efficient dan appropriate pada situasi dimana auditor berpendapat bahwa bukti audit dari hasil kerja tenaga ahli lain tersebut tidak cukup.
6. Auditor SI harus memberikan opini tentang kecukupan bukti audit dan pembatasan ruang – lingkup pemeriksaan ( jika ada ), terkait kelengkapan bukti audit yang diperoleh melalui pemeriksaan tambahan.
n. 14. S14 – Audit Evidence
1. Auditor SI harus memiliki bukti audit yang cukup dan layak ( lengkap dan kompeten ) untuk dapat menarik kesimpulan hasil audit.
2. Auditor SI harus mengevaluasi kompetensi dan kecukupan bukti audit.
2.4. Teknik dan praktek Audit Sistem Informasi
Menurut Gondodiyoto (2007, p 451), dalam melakukan audit system informasi dapat dilakukan dengan tiga pendekatan :
a. Audit disekitar computer (Audit Around The Computer)
Dalam pendekatan ini, auditor dapat melangkah pada perumusan pendapat hanya dengan menelaah struktur pengendalian dan melakukan pengujian transaksi dan persedur verifikasi saldo perkiraan dengan cara sama seperti pada system manual (bukan system informasi berbasis computer). Auditor tidak perlu menguji pengendalian system informasi berbasis computer klien (yaitu terhadap file program/data didalam computer), melainkan cukup terhadap input dan output system aplikasi saja.
Keunggulan mengunakan pendekatan ini adalah : 1. Pelaksanaan auditnya lebih sederhana.
2. Auditor yang memiliki pengetahuan minimal dibidang computer dapat dilatih dengan mudah untuk melaksanakan audit.
Kelemahannya adalah jika lingkungan berubah, kemungkinan system itu akan berubah dan perlu penyesuaian system atau program – programnya, bahkan mungkin struktur data atau file, sehingga auditor tidak dapat menilai atau menelaah apakah system masih berjalan dengan baik.
b. Audit melalui computer (Audit Through The Computer)
Dalam pendekatan ini, auditor melalukan pemeriksaan langsung terhadap program – program dan file computer yang ada pada audit system informasi berbasis computer. Auditor menggunakan bantuan software computer langsung atau dengan cek logika atau listing program untuk menguji logika program dalam
rangka pengujian pengendalian yang ada dalam kompter. Selain itu, auditor juga dapat memintak penjelasan dari para teknisi computer mengenai spesifikasi system dan program yang diperiksanya.
Keunggulan menggunakan pendekatan ini adalah :
1. Auditor dapat menilai kemapuan system computer tersebut untuk menghadapi perubahan lingkungan.
2. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.
3. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya. Kelemnahannya adalah pendekatan ini memerlukan biaya yang besar dan memerlukan tenaga ahli yang terampil.
c. Audit dengan computer (Audit with The Computer)
Pendekatan ini dilakuan dengan menggunakan computer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini merupakan cara audit yang sangat bermanfaat, khususnya dalam pengujian substantif atas file dan record perusahaan. Software audit yang diguanakan merupakan program computer auditor untuk membantu dalam pengujian dan evaluasi kehandalan data, file atau record perusahaan.
Keunggulan menggunakan pendekatan ini adalah:
1. Merupakan program computer yang diproses untuk membantu pengujian pengendalian system computer klien itu sendiri.
2. Dapat melaksanakan tugas audit yang terpisah dari catatan klien, yaitu dengan mengambil copy data atau file untuk dites dengan computer lain. Kelemahan adalah upaya dan biaya untuk pengembangan relatif besar.
2.5 Prosedur Audit Sistem Informasi
Menurut Weber (1999, p 47 – 55), tahapan – tahapan audit system informasi terdiri dari :
a. Merupakan tahapan pertama dalam audit bagi auditor eksternal yang berarti menyelidiki dari awal atau melanjutkan yang ada untuk menentukan apakah pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai melakukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien dan mengidentifikasi area resiko.
b. Pengujian atas control (Tests of Controls)
Tahap ini dimulai dengan pemfokusan pada pengendalian menejemen, apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian menejemen tidak berjalan sebagai mana mestinya. Bila auditor menemukan kesalahan yang serius pada pengendalian menejemen, maka mereka akan mengemukakan opini atau mengambil keputusan dalam pengujian transaksi dan saldo untuk hasilnya.
c. Pengujian atas transaksi (Tests of Transaction)
Pengujian yang termasuk adalah pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan komputasi. Computer sangat berguna dalam pengujian ini dan auditor dapat menggunakan software audit yang umum untuk mengecek apakah pembayaran bunga dari bank telah dikalkulasi secara tepat.
d. Pengujian atas keseimbangan atau hasil keseluruhan (Tests of Balances or Overall Results)
Auditor melakuan pengujian ini agar bukti penting dalam penilaian akhir kehilangan atau pencatatan yang keliru yang menyebabkan fungsi system informasi gagal dalam memelihara data secara keseluruhan dan mencapai system yang efektif dan efesien. Dengan kata lain, dalam tahap ini mementingkan pengamatan asset dan integritas data yang obyektif.
e. Penyelesaian audit (Completion of The Audit)
Tahap terakhir ini, auditor eksternal melakukan beberapa pengujian tambahan untuk mengkoleksi bukti unutk ditutup, dengan memberikan pernyataan pendapat.
2.6 Pengendalian Internal
2.6.1 Pengertian Sistem Pengendalian Intern
Menurut Mulyadi ( 2001, p163 ) sistem pengendalian intern meliputi struktur organisasi, metode dan ukuran – ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen.
Menurut Ron Weber ( 1999, p35 ) “ A control is a system that prevents, detects, or corrects unlawful events can be arise unauthorized, inaccurate, incomplete, redundant, ineffective, or inefficient”. ( Pengendalian internal adalah suatu sistem untuk mencegah, mendeteksi, mengkoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien ). Dengan demikian, tujuan dari pengendalian
adalah untuk mengurangi resiko atau mengurangi pengaruh yang sifatnya merugikan akibat suatu kejadian. Maka pengendalian dikelompokkan menjadi tiga bagian yaitu :
a. Preventive Control
Pengendalian ini digunakan untuk mencegah masalah sebelum masalah tersebut muncul.
b. Detective Control
Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian segera setelah masalah tersebut muncul.
c. Corrective Control
Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada pengendalian Detective. Pengendalian ini mencakup prosedur untuk menentukan penyebab masalah yang timbul, memodifikasi sistem proses. Dengan demikian dapat memcegah kejadian yang sama dimasa yang akan datang.
2.6.2 Tujuan Sistem Pengendalian Internal
Menurut Mulyadi ( 2001, p163 ), mengungkapkan empat tujuan sistem pengendalian intern, yaitu :
a. Menjaga kekayaan organisasi.
b. Mengecek ketelitian dan kehandalan data akuntansi. c. Mendorong efisiensi.
Sedangkan menurut Gondodiyoto ( 2003, p75 ) berpendapat bahwa tujuan utama
Dari sistem pengendalian internal adalah :
a. Mengamankan aset organisasi.
b. Memperoleh informasi yang akurat dan dapat dipercaya. c. Meningkatkan efektifitas dan efisiensi kegiatan.
d. Mendorong kepatuhan pelaksanaan terhadap kebijaksanaan organisasi / pimpinan. 2.6.3 Jenis-jenis Pengendalian internal
2.6.3.1 Pengendalian Manajemen
Pengendalian manajemen terdiri dari :
a. Pengendalian Top Manajemen ( Top Management Control )
Top Manajemen menurut Ron Webber (1999, p39) merupakan sebuah pengendalian oleh pimpinan perusahaan yang bertanggung jawab terhadap fungsi sistem informasi yang berhadapan dengan banyak tantangan, seperti perkembangan hardware dan software.
b. Pengendalian Manajemen Sistem Informasi (Information System Management Control )
Information system management menurut Ron Weber (1999,p39), memiliki tanggung jawab keseluruhan dalam merencanakan dan melakukan kontrol terhadap aktivitas sistem informasi juga memberikan saran untuk manajemen
dan menerjemahkan kebijakan jangka panjang ke dalam tujuan dan sasaran jangka pendek.
c. Pengendalian terhadap manajemen pengembangan sistem informasi ( Information System Development Management Control )
Pengendalian terhadap manajemen pengembangan sistem informasi menurut Ron Weber (1999,p105), bertanggung jawab terhadap fungsi analisa, desain, pengembangan, implementasi dan maintenance sistem informasi.
d. Pengendalian Manajemen Sumber Data ( Data Resources Management Contro l)
Menurut Ron Weber (1999, p206), Pengendalian sumber data yang baik yaitu:
1. User harus dapat membagi data.
2. Data harus tersedia untuk dapat digunakan kapan saja, dimanapun dan dalam bentuk apapun.
3. Data harus dapat dimodifikasi dengan mudah oleh yang berwenang sesuai dengan kebutuhan susunan kebutuhan user.
4. Memelihara integritas data.
Agar kondisi tersebut dapat dicapai, maka dibutuhkan solusi teknik dengan menggunakan sistem manajemen database yang baik dalam sistem penyimpanan data. Dengan sistem database yang baik maka independensi
data, Integritas data dan pengendalian akses dapat dilakukan atau di kelola
e. Pengendalian Manajemen Jaminan Kualitas ( Quality Assurance Management Control )
Management Quality Assurance menurut Ron Weber (1999, p332), berkonsentrasi untuk memastikan bahwa sistem informasi yang dihasilkan
oleh fungsi sistem informasi mencapai suatu standar kualitas yang dapat diterima dan pengembangan, implementasi, operasional dan maintenance terhadap sistem informasi tunduk kepada standar kualitas yang telah ditetapkan.
f. Pengendalian Manajemen Keamanan ( Security Management Control )
Menurut Ron Weber (1999, p257), pengendalian terhadap manajemen keamanan secara garis besar bertanggung jawab dalam menjamin aset sistem Informasi tetap aman. Ancaman utama terhadap keamanan dapat bersifat karena alam, oleh manusia yang bersifat kelalaian maupun kesengajaan, antara lain :
1. Ancaman kebakaran
Beberapa pelaksanaan pengamanan untuk ancaman kebakaran adalah :
a. Memiliki alarm kebakaran otomatis yang diletakkan pada tempat dimana aset-aset sistem informasi berada.
b. Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah diambil.
d. Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan tahan api.
e. Memiliki pintu atau tangga darurat yang diberi tanda tangan jelas sehingga karyawan dengan mudah menggunakannya.
2. Ancaman banjir
Beberapa pelaksanaan pengamanan untuk ancaman kebanjiran, antara lain:
a. Usahakan untuk atap, dinding dan lantai yang tahan air.
b. Menyediakan alarm pada titik strategis dimana material aset sistem informasi diletakkan.
c. Semua material aset sistem informasi diletakkan ditempat yang tinggi d. Menutup perlatan hardware dengan bahan yang tahan air sewaktu
tidak digunakan.
3. Perubahan tegangan sumber energi
Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan sumber energi listrik, misalnya menggunakan stabilizer ataupun untuk
Uninterruptible Power Supply ( UPS ) yang memadai dan mampu mengatasi tegangan listrik jika tiba-tiba turun.
4. Kerusakan struktural
Kerusakan sttruktural terhadap aset sistem informasi dapat terjadi karena adanya gempa dan angin. Beberapa pelaksanaan pengamanan untuk
mengantisipasi kerusakan struktural, misalnya memilih lokasi perusahaan yang jarang terjadi gempa dan angin ribut.
5. Polusi
Beberapa pelaksanaan pengamanan untuk mengantisipasi polusi, misalnya situasi kantor yang bebas debu dan tidak memperbolehkan membawa binatang peliharaan serta melarang karyawan membawa atau meletakkan minuman di dekat peralatan komputer.
6. Penyusup
Pelaksanaan pengamanan untuk mengantisipasi penyusup dapat dilakukan dengan menempatkan penjaga dan penggunaan alarm.
7. Virus
Pelaksanaan pengamanan untuk mengantisipasi virus meliputi pedagang :
a. Preventif, seperti menginstal anti virus dan meng-update secara rutin, melakukan scan file yang akan digunakan.
b. Detektif, melakukan scan secara rutin.
c. Korektif, memastikan back up data bebas virus, pemakaian anti virus terhadap file yang terinfeksi.
8. Hacking
a. Penggunaan kontrol logika seperti penggunaan password yang sulit untuk ditebak.
b. Petugas keamanan secara teratur memonitor sistem yang digunakan. Pengendalian akhir dapat dilaksanakan apabila ancaman keamanan benar- benar telah terjadi antara lain :
1. Rencana Pemulihan Bencana
Rencana pemulihan menjadi normal setelah terjadinya bencana dilakukan kegiatan-kegiatan yang pada hakekatnya terdiri dari 4 bagian yaitu :
a. Rencana Darurat (Emergency Plan) yaitu jika terjadi sesuatu, tindakan apa yang harus segera dilakukan dan bagaimana melakukannya.
b. Rencana Back-up (Back-Up Plan) dilakukan misalnya membuat persetujuan dengan unit komputer atau dengan instalasi lain, yaitu bila terjadi masalah dapat menggunakan komputer di tempat tersebut.
c. Rencana Pemulihan (Recovery Plan) yaitu prosedur apa yang harus dilakukan untuk dapat kembali beroperasi dengan starting point pada saat kerusakan terjadi (tidak mengulang lagi proses yang sudah dikerjakan dari saat start-up sampai mesin down atau listrik mati)
d. Rencana Pengujian (Test Plan), dimana seluruh program kerja yang sudah direncanakan perlu diuji coba terlebih dahulu untuk test atau uji keahliannya.
2. Asuransi
Perlu di pertimbangkan cost atau bernefit-nya untuk memiliki asuransi untuk peralatan, fasilitas, media penyimpanan, gangguan bisnis, dokumen dan kertas yang berharga yang ada di instalasi.
g. Pengendalian Manajemen Operasional ( Operation Management Control ) Menurut Gondodiyoto ( 2007, p331 ), pengendalian manajemen operasional merupakan jenis pengendalian intern yang didesain untuk pengelolaan sumberdaya dan operasi teknologi informasi ( TI ) pada suatu organisasi.
Menurut Ron Weber (1999, p293 – 320 ), Secara keseluruhan Pengendalian Operasional bertanggung jawab terhadap hal-hal sebagai berikut :
1. Pengoperasian Komputer ( Computer Operations ) Tipe pengendalian yang harus dilakukan adalah :
a. Menentukan fungsi yang harus dilakukan operator komputer maupun fasilitas operasi otomatis.
b. Menentukan penjadwalan kerja pada pemakaian hardware / software.
c. Menentu perawatan terhadap hardware / software agar dapat berjalan dengan baik.
d. Pengendalian perangkat keras berupa hardware controls dari produsen untuk mendeteksi hardware malfunction.
Pengendalian yang dilakukan adalah seperti memonitor dan memelihara jaringan dan pencegahan terhadap akses oleh pihak yang tidak berwenang. Pengendalian sistem komunikasi data antara lain jalur komunikasi, Hardware, Cryptology, Software.
3. Persiapan dan Pengentrian data ( Preparation and Entry Data )
Fasilitas – fasilitas yang ada harus dirancang untuk memiliki kecepatan dan keakuratan data serta telah dilakukan pelatihan terhadap pengentrian data.
4. Pengendalian Produksi ( Production Control )
Fungsi yang harus dilakukan untuk pengendalian produksi adalah :
a. Penerimaan dan pengiriman input dan output. b. Penjadwalan kerja.
c. Manajemen pelayanan.
d. Peningkatan pemanfaatan komputer. 5. File Library
Fungsi yang harus dilakukan untuk file library adalah :
a. Penyimpanan media penyimpanan ( Storage of storage media ) .
b. Penggunaan media penyimpanan ( Use of storage media ). c. Pemeliharaan dan penempatan media penyimpanan (
Maintenance and disposal of storage media ).
6. Documentation and Program Library
Orang yang bertanggung jawab atas dokumentasi mempunyai beberapa fungsi yang harus dilakukan yaitu :
a. Memastikan bahwa semua dokumentasi disimpan secara aman.
b. Memastikan bahwa hanya orang yang mempunyai otorisasi saja yang bisa mengakses dokumentasi.
c. Memastikan bahwa dokumentasi tersebut selalu up to date. d. Memastikan adanya back up yang cukup untuk dokumentasi
yang ada.
7. Help Desk / Technical Support
Ada dua fungsi utama help desk / technical support yaitu :
a. Membantu end user dalam menggunakan hardware dan software yang berhubungan dengan end user seperti microcomputer, spreadsheet packages, database management packages, dan local area networks.
b. Menyediakan technical support untuk sistem produksi dengan dilengkapi suatu penyelesaian masalah yang berhubungan dengan hardware, software, dan database.
8. Capacity Planning and Performance Monitoring
Tujuan utama dari fungsi sistem informasi ini adalah untuk mencapai tujuan dari pelanggan sistem informasi dengan biaya serendah mungkin.
9. Management of Outsourced Operations
Saat ini banyak organisasi yang melalukan outsource terhadap beberapa fungsi dari sistem informasi mereka. Alasan utama dilakukannya outsource karena mereka ingin memfokuskan pada fungsi inti bisnis mereka.
Menurut Gondodiyoto ( 2007, p331 ), pengendalian manajemen operasi
diterapkan dengan mencakup hal – hal sebagai berikut :
a. Pemisahan tugas dan fungsi. b. Pengendalian personil.
c. Pengendalian perangkat keras. d. Pengendalian jaringan.
e. Manajemen operasi.
h. Pengendalian Program Manajemen (Programming Management Control) Menurut Ron Weber (1999, p39), programming management bertanggung jawab dalam proses pemrograman sistem yang baru, merawat sistem lama dan menyediakan perangkat lunak ( Software ) pendukung.
Menurut Ron Weber (1999, p365 ), Pengendalian sistem aplikasi berkaitan dengan menjamin sistem aplikasi individu untuk menjaga aset, menjamin integritas data, dan mencapai objektif perusahaan dengan efektif dan efisien.
a. Boundary Control
Menurut Ron Weber (1999, p368-405 ), subsistem boundary menghubungkan antara user dengan sistem komputer dan dengan komputer itu sendiri, mengendalikan sifat dan fungsi pengendalian akses. Pengendalian dalam subsistem boundary mempunyai tiga tujuan yaitu :
1. Untuk memastikan bahwa pemakai komputer adalah orang yang mempunyai wewenang.
2. Untuk memastikan bahwa identitas yang diberikan oleh pemakai adalah benar.
3. Untuk membatasi tindakan yang dapat dilakukan pemakai untuk menggunakan komputer ketika melakukan tindakan otorisasi.
b. Cryptographic Control
Kontrol cryptographic dirancang untuk mengamankan data pribadi dan untuk menjaga modifikasi oleh orang yang tidak berwenang, cara ini dilakukan dengan cara mengecek data sehingga tidak memiliki arti bagi orang yang tidak dapat menguraikan data tersebut.
Jenis kontrol yang digunakan pada subsistem boundary adalah kontrol akses. Kontrol akses melarang pemakaian komputer yang tidak berwenang, membatasi tindakan yang dapat dilakukan oleh pemakai, dan memastikan bahwa pemakai hanya memperoleh sistem komputer yang asli.
d. Personel Identification Numbers
PIN adalah tknik yang digunakan secara luas untuk mengidentifikasikan orang, sebuah PIN merupakan password yang sederhana, itu biasa merupakan nomor rahasia seseorang yang berhubungan dengan orang tersebut, melayani memverifikasi keotentikan orang. PIN digunakan oleh institusi keuangan seperti untuk kartu ATM, kartu debit. Secara umum cara kerjanya adalah pemakai menggesekkan kartunya pada sebuah alat dan fungsi PIN pada PIN keypad.
e. Digital Signatures
Jika berita kontrak dibuat dalam bentuk formulir elektronik maka tanda tangan yang biasa dilakukan pada kontrak biasa tidak dapat dilakukan
untuk mengantisipasi hal tersebut dibuatlah tanda tangan digital. Digital signature ini terdiri dari rangkaian 0 dan 1 yang terdapat pada halaman.
f. Plastic Card
Bila PIN dan Digital signature digunakan untuk keperluan pembuktian keaslian, kartu plastik digunakan untuk keperluan identifikasi. Pengendalian disekitar kartu plastik, bagaimanapun unsur penting dari keseluruhan latihan pengendalian boundary dalam beberapa tipe dari sistem.
g. Audit Trail Control
Diketahui ada dua jenis jejak audit yang harus ada pada subsistem, yaitu :
1. Jejak audit akuntansi untuk menjaga catatan setiap kejadian pada subsistem.
2. Jejak audit operasional untuk menjaga catatan pemakaian sumber daya yang berhubungan dengan setiap kejadian dan subsistem.
g. Exsistence Control
Jika susbsistem pada boundary tidak berhasil, kemungkinan pemakaian sistem komputer tidak dapat mengadakan hubungan dengan sistem. Kegagalan dapat terjadi pada setiap komponen susbsistem sebagai contoh : sirkuit terminal bisa rusak, software akses kontrol bisa rusak dan lain – lain.
h. Input Control
Menurut Ron Weber (1999, p418), Pengendalian input bertanggung jawab untuk mengirimkan data dan instruksi dari pengguna kepada sistem aplikasi.Input merupakan salah satu tahap dalam sistem komputerisasi yang paling krusial dan mengandung resiko. Resiko yang dihadapi misalnya:
1. Data transaksi yang ditulis oleh pelaku transaksi salah ( error ). 2. Kesalahan pengisian dengan kesengajaan.
3. Penulisan tidak jelas sehingga dibaca salah oleh orang lain. Tipe pengendalian yang berhubungan dengan pengendalian input, yaitu :
Mengingat bahwa cara yang dilakukan oleh auditor untuk mengevaluasi control terhadap sistem aplikasi adalah dengan menelusuri jenis – jenis transaksi pada sistem, maka untuk dapat melakukan tugas itu dengan baik mereka harus mengerti bagaimana cara sistem tersebut bekerja terutama pada proses input data. Dengan cara memahami metode input data yang digunakan pada aplikasi maka auditor dapat mengembangkan cara pengendalian terhadap kekuatan maupun kelemahan dari input subsistem tersebut.
b. Source Document Design
Beberapa dokumen data menggunakan dokumen sumber untuk mencatat data yang akan dimasukkan pada komputer. Sumber daya dokumen digunakan bila terdapat interval waktu antara waktu terjadinya data dengan waktu input berbeda. Proses desain sumber data dimulai setelah analisis terhadap sumberdaya yang telah dilakukan, apa saja data yang akan direkam pada sumber data tersebut, bagaimana cara data tersebut direkam, siapa yang akan merekam data, bagaimana data tersebut disiapkan dan dimasukkan dalam komputer dan bagaimana data tersebut ditangani, disimpan dan diarsip.
c. Data Entry Screen Design
Jika data dimasukkan ke dalam monitor, maka diperlukan desain yang berkualitas terhadap layar tampilan masukkan data ( Data input ) agar mengurangi kemungkinan terjadinya kesalahan dan agar tercapainya efektif dan efisien masukkan data pada subsistem input.
Data kode memiliki dua tujuan, yaitu :
1. Sebagai identitas yang unik. 2. Untuk keperluan identifikasi. e. Check Digits
Pada beberapa kasus kesalahan pengetikan data dapat berdampak serius. Pengendalian data yang digunakan untuk menjaga terjadinya kesalahan adalah dengan melakukan check digit . Check digit ini biasanya digunakan pada berbagai aplikasi untuk mendeteksi kesalahan, seperti pada proses kartu kredit, proses rekening bank dan lain – lain.
f. Batch Control
Cara kontrol yang mudah dan efektif untuk melakukan pengendalian terhadap masukkan data ( Data input ) adalah batch control. Batching adalah proses pembentukkan suatu transaksi yang memiliki hubungan satu sama lainnya.
g. Validation of Data Input
Data yang dimasukkan pada aplikasi harus segera divalidasikan setelah diinput.
h. Instruction Input
Memastikan bahwa kuantitas dari data input. Data masukkan cenderung untuk mengikuti pola yang telah terstandarisasi.
i. Validation of Instruction input
Seperti pada input data, input transaksi juga harus divalidasi. Auditor harus memberikan perhatian kepada validasi input transaksi, ketika :
1. Instruksi itu merupakan bagian dari paket software yang digunakan secara luas.
2. Instruksi itu diinterpretasikan melalui bahasa pemrograman tingkat tinggi.
j. Audit trial Control
Jejak audit pada subsistem input memelihara kronologis kejadian data dari waktu ke waktu dan instruksi yang diterima serta yang dimasukkan pada sistem aplikasi
sampai pada waktu penentuan data tersebut valid dan dapat dikirim kepada
subsistem yang lain, yang terdapat pada aplikasi.
k. Existence Control
Pengendalian yang ada terhadap proses data input subsistem yang merupakan hal yang kritis. Jika file master aplikasi sistem rusak atau dikorupsi, proses pemulihan harus dilakukan dengan menggunakan versi sebelumnya dari master file dan proses input harus dilakukan lagi terhadap data yang hilang.
l. Database Control
Menurut Ron Weber (1999, p560), Pengendalian database bertanggung jawab terhadap mendefinisikan, membuat, memodifikasi, menghapus, membaca data dalam sistem infomasi.
m. Processing Control
Menurut Ron Weber (1999, p517), pengendalian proses bertanggug jawab terhadap perhitungan, pengurutan, pengklasifikasian dan merangkum data.
n. Output Control
Menurut Ron Weber (1999, p613 – 634 ), pengendalian output menyediakan fungsi yang menentukan isi data yang akan tersedia bagi pengguna, cara data diubah dan dipresentasikan kepada pengguna, dan cara data akan disediakan dan didistribusikan ke pengguna.
Ada beberapa pengendalian yang harus diperhatikan dalam melakukan pengendalian atas output yang dihasilkan, yaitu :
a. Stationery supplies storage controls
Orang yang menggunakan printer untuk mencetak laporan biasanya memiliki jumlah formulir preprinted yang cukup banyak, sebagai contoh invoice untuk memudahkan kontrol terhadap formulir tersebut penggunaan warna kertas dapat dilakukan sehingga memudahkan pencarian dan pemakaian formulir tersebut.
b. Report program execution controls
Auditor harus memperhatikan tiga hal yang berhubungan dengan pelaksanaan program pembuatan laporan, yaitu :
1. Hanya orang yang memiliki wewenang saja yang dapat menjalankan program.
2. Wewenang yang diberikan kepada orang yang dapat menjalankan perintah pembuatan laporan harus sesuai dengan kebutuhan. Jadi laporan dibuat selengkap mungkin sesuai dengan kebutuhan yang memerlukan laporan tersebut.
3. Program pembuatan laporan yang menghasilkan laporan dalam jumlah banyak harus memiliki fasilitas checkpoint / restart.
c. Queuing / spooling / printer file controls
Jika laporan tidak dapat dicetak dengan segera maka laporan tersebut harus mengentri, sistem software dapat membuat program laporan mengerti bahwa ketika printer sedang digunakan oleh pihak lain maka mereka harus mengantri ketika printer sudah bisa digunakan maka segera perintah cetak diberikan oleh sistem.
d. Printing controls
1. Kontrol terhadap pencetakan laporan memiliki tiga tujuan, yaitu :
Untuk memastikan bahwa laporan dicetak oleh printer yang benar. 2. Untuk mencegah pihak yang tidak berwenang melihat data sensitif yang
terkandung pada laporan tersebut.
3. Untuk memastikan bahwa kontrol yang tepat telah dilakukan pada proses pencetakan laporan.
e. Report collection controls
Ketika output sudah dihasilkan maka harus diperhatikan keamanannya agar output tidak hilang, diambil oleh pihak yang tidak berwenang.
f. User / client services review controls
Sebelum output dikirim ke pemakai, maka perlu dilakukan pemeriksaan atas kualitas output yang dihasilkan. Pemeriksaan yang bisa dilakukan dapat berupa pemeriksaan atas nomor halaman yang tidak tercetak karena printer kehabisan
tinta, kualitas tulisan, media penyimpanan telah diberi label yang memadai, halaman laporan yang hilang, dan halaman laporan yang tercetak miring.
g. Report distribution controls
Ada beberapa cara yang bisa dilakukan dalam pengiriman laporan ke pemakai, yaitu :
1. Output harus disimpan pada tempat yang terkunci dan terjangkau oleh pemakai.
2. Dapat langsung dikirim kepada pemakai. 3. Dapat dikirim melalui kurir.
4. Dapat diambil sendiri oleh pemakai. 5. Diserahkan ke orang pengiriman h. User output controls
Pemakai dapat dilibatkan untuk melakukan kontrol terhadap output yang dihasilkan karena pemakai sudah terbiasa dengan output yang mereka terima maka sangat mudah bagi mereka untuk mengetahui terjadinya kesalahan pada output.
i. Storage controls
Ada tiga hal utama yang harus dilakukan sehubungan dengan media penyimpanan output, yaitu :
1. Output harus disimpan ditempat yang mudah dijangkau sehingga bila output tersebut diperlukan mudah untuk ditemukan.
3. Kontrol terhadap keluar masuk output harus dilakukan bila output menggunakan mekanisme kontrol persediaan.
j. Retention controls
Keputusan tentang berapa lama output disimpan harus dilakukan.
k. Destruction controls
Kontrol dilakukan agar tidak ada output yang seharusnya masih diperlukan tidak dihancurkan.
Tipe pengendalian yang berhubungan dengan pengendalian Output yaitu :
1. Inference Controls
Pengendalian model akses memperbolehkan atau menolak akses pada item data berdasarkan nama dari item, isi dari data item, atau beberapa dari karakteristik dari serangkaian data yang terdapat pada data item, agar data yang tidak boleh diakses dapat di blok maka timbullah apa yang disebut database statistikal.
2. Batch Output Production dan Distribbution Controls
Batch output adalah output yang dihasilkan pada beberapa fasilitas operasional dan sesudah itu dikirim atau disimpan oleh custodian atau pemakai ouput tersebut. Output ini menggunakan berbagai formulir. Contohnya, keluaran laporan pengendalian manajemen berisi table, grafik, dan image. Pengendalian terhadap batch output dilakukan dengan tujuan untuk memastikan bahwa laporan tersebut akurat, lengkap, dan
tepat waktu yang hanya dikirimkan atau yang akan diserahkan kepada pemakai yang berhak.
3. Batch Report Design Control
Elemen penting untuk melihat pengendalian efektifitas pelaksanaan terhadap produksi dan distribusi terhadap laporan keluaran batch adalah dengan melihat kualitas dari desainnya. Desain laporan yang baik akan membuat pemakai mudah untuk membaca output yang dihasilkan.
4. Online Output Production and Distribution Control
Pengendalian terhadap produksi dan distribusi atas output yang dilakukan melalui online, dilakukan secara garis lurus, tujuan utamanya adalah untuk memastikan bahwa hanya bagian yang memiliki wewenang saja dapat melihat output melalui online tersebut.
5. Audit Trail Control
Pengendalian jejak audit pada subsistem output dilakukan untuk menjaga kronologi kejadian yang terjadi dari saat output diterima sampai pemakai melakukan penghapusan tersebut karena sudah tidak dipakai atau disimpan lagi.
Output dapat hilang atau rusak karena berbagai alasan seperti, invoice hilang, online output terkirim pada alamat yang salah, output terbakar karena kebakaran. Pada beberapa kasus pemulihan kembali output mudah dilakukan tetapi pada kasus lain, hal tersebut sulit bahkan mustahil dilakukan. Recovery terhadap subsistem output secara akurat, lengkap, dan tepat merupakan hal yang sangat membantu kelangsungan hidup banyak organisasi.
2.8 Teori Penetapan Resiko
Menurut Maiwald (2003, p144), risk is underlying concept that forms the basis for what we calls “ Security”. Risk is the potensial for loss that requires protection.
( Resiko adalah konsep yang mendasari apa yang kita sebut dengan “keamanan“. Resiko adalah potensi kehilangan perlindungan yang dibutuhkan).
A vulnerability is potential avenue of attack. (Sifat rawan adalah pendekatan potensial dari serangan ).
A threat is an action or event that might violate the security of an information System. (Ancaman adalah tindakan atau peristiwa yang mungkin melanggar keamanan lingkungan sistem informasi).
Threat + Vulnerability = Risk
Risk is the combination of threat and vulnerability. (Resiko adalah kombinasi dari ancaman dan kerawanan).
Resiko dapat didefinisikan dalam 3 tingkatan secara kualitatif, yaitu :
a. Low ( Rendah)
Kerawanan menempati sebuah tingkatan resiko dalam organisasi, walaupun itu tidak diinginkan terjadi. Tindakan untuk memindahkan atau menghilangkan kerawanan harus dihilangkan jika mungkin, tetapi biaya dari tindakan ini seharusnya berat bertentangan dengan penurunan kecil dalam resiko.
b. Medium ( Menengah)
Kerawanan menempati tingkat signifikan dari resiko untuk kerahasiaan, integritas, kemampuan dan atau pelaporan dari sistem informasi organisasi, atau segi fisik. Ada kemungkinan nyata bahwa ini mungkin terjadi. Tindakan untuk menghilangkan kerawanan adalah kebijaksanaan.
c. High ( Tinggi)
Kerawanan menempati tingkat berbahaya untuk kerahasiaan, integritas, kemampuan, dan atau pelaporan dari sistem informasi organisasi, atau segi fisik. Tindakan harus diambil secara tepat untuk menghilangkan kerawanan ini.
2.9 Sistem Informasi Penjualan
2.9.1 Pengertian Sistem Informasi Penjualan
Menurut Mulyadi ( 2001, p202 ) menyatakan, ” kegiatan penjualan terdiri dari transaksi penjualan barang dan jasa, baik secara kredit maupun tunai ”. Secara umum System Informasi Penjualan dapat didefinisikan sebagai suatu kegiatan penjualan yang terorganisasikan guna menghasilkan informasi bagi pihak manajemen di dalam keperluan perencanaan, pengawasan dan pengambilan keputusan untuk pengoperasian pengendalian kegiatan penjual. Sistem Informasi penjualan dibuat dengan tujuan menyediakan informasi penjualan yang berhubungan dengan peningkatan penjualan sebagai bahan pengambilan keputusan.
Menurut http://id.wikipedia.org/wiki/sistemInformasi yang dikutip tanggal 15 September 2006, sistem informasi penjualan adalah suatu sistem informasi yang mengorganisasikan serangkaian prosedur dan metode yang dirancang untuk menghasilkan, menganalisa, menyebarkan dan memperoleh informasi guna mendukung pengambilan keputusan mengenai penjualan.
2.9.2 Jenis – Jenis Penjualan
Menurut Mulyadi ( 2001, p202 ), kegitan penjualan barang dan jasa dapat dibedakan menjadi dua jenis, yaitu:
Dalam transaksi penjualan kredit, jika order dari pelanggan telah dipenuhi dengan pengiriman barang atau penyerahan jasa, untuk jangka waktu tertentu perusahaan memiliki piutang kepada pelanggannya. Kegiatan penjualan secara kredit ini ditangani oleh perusahaan melalui sistem penjualan kredit.
b. Kegiatan Penjualan Tunai
Dalam transaksi penjualan tunai, barang atau jasa baru diserahkan oleh perusahaan kepada pembeli jika perusahaan telah menerima kas dari pembeli. Kegiatan penjualan secara tunai ini dapat ditangani perusahaan melalui sistem penjualan tunai.
2.9.3 Sistem Penjualan Tunai
2.9.3.1 Fungsi – fungsi yang Terkait Dalam Penjualan Tunai
Menurut Mulyadi ( 2001, p462 ), fungsi yang terkait dalam penjualan yaitu:
a. Fungsi Penjualan
Dalam transaksi penjualan kredit, fungsi ini bertanggung jawab untuk menerima surat order dari pembeli, mengedit order dari pelanggan untuk menambahkan informasi yang belum ada pada surat order tersebut, meminta otorisasi kredit, menentukan tanggal pengiriman dan dari gudang mana akan dikirim, serta mengisi surat order pengiriman.
Fungsi ini berada dibawah fungsi keuangan yang dalam transaski penjualan kredit, bertanggung jawab untuk meneliti status kredit pelanggan dan memberikan otorisasi pemberian kredit kepada pelanggan.
c. Fungsi Gudang
Dalam transaksi penjualan kredit, fungsi ini bertanggung jawab untuk menyimpan barang dan menyiapkan barang yang dipesan oleh pelanggan, serta menyerahkan barang ke fungsi pengiriman.
d. Fungsi Pengiriman
Dalam transaksi penjualan kredit, fungsi ini bertanggung jawab untuk menyerahkan barang atas dasar surat order pengiriman yang diterimanya dari fungsi penjualan. Fungsi ini menjamin bahwa tidak adanya barang yang keluar dari perusahaan tanpa adanya otorisasi dari yang berwenang.
e. Fungsi Penagihan
Dalam transaski penjualan kredit, fungsi ini bertanggung jawab untuk membuat dan mengirimkan faktur penjualan kepada pelanggan, serta menyediakan copy faktur bagi kepentingan pencatatan transaksi penjualan oleh fungsi akuntansi.
f. Fungsi Akuntansi
Dalam transaksi penjualan kredit, fungsi ini bertanggung jawab untuk mencatat piutang yang timbul dari transaksi penjualan kredit dan membuat
serta mengirimkan pernyataan piutang kepada para debitur, serta membuat laporan penjualan.
2.9.3.2 Prosedur yang Membentuk Sistem Penjualan Tunai
Menurut Mulyadi ( 2001, p469 ), jaringan prosedur yang membentuk sistem penjualan tunai adalah sebagai berikut :
a. Prosedur order penjualan
Dalam prosedur ini fungsi penjualan meneria order dari pembeli dan menambah informasi penting pada surat order dari pembeli. Fungsi penjualan kemudian membuat surat order pengiriman dan mengirimkannya kepada berbagai fungsi yang lain untuk memungkinkan fungsi tersebut memberikan kontribusi dalam melayani order dari pembeli.
b. Prosedur penerimaan kas
Dalam prosedur ini fungsi kas menerima pembayaran harga barang dari pembeli dan memberikan tanda pembayaran ( berupa pita register kas dan ” cap lunas ” pada faktur penjualan tunai ) kepada pembeli untuk memungkinkan pembeli tersebut melakukan pengambilan barang yang dibelinya dari fungsi pengiriman.
c. Prosedur penyerahan barang
Dalam prosedur ini fungsi pengiriman menyerahkan barang kepada pembeli.
Dalam prosedur ini fungsi akuntansi melakukan pencatatan transaksi penjualan tunai dalam jurnal penjualan dan jurnal penerimaan kas. Disamping itu fungsi akuntansi juga mencatat berkurangnya persediaan barang yang dijual dalam kartu persediaan.
e. Prosedur penyetoran kas ke bank
Sistem pengendalian intern terhadap kas mengharuskan penyetoran dengan segera ke bank semua kas yang diterima pada suatu hari. Dalam prosedur ini fungsi kas menyetorkan kas yang diterima dari penjualan tunai ke bank dalam jumlah penuh.
f. Prosedur pencatatan penerimaan kas
Dalam prosedur ini fungsi akuntansi mencatat penerimaan kas dalam jurnal penerimaan kas berdasarkan bukti setor bank yang diterima dari bank melalui fungsi kas.
g. Prosedur pencatatan harga pokok penjualan
Dalam prosedur ini fungsi akuntansi membuat rekapitulasi harga pokok penjualan berdasarkan data yang dicatat dalam kartu persediaan. Berdasarkan rekapitulasi harga pokok penjualan ini, fungsi akuntansi membuat bukti memorial sebagai dokumen sumber untuk pencatatan harga pokok penjualan ke dalam jurnal umum.
2.9.3.3 Dokumen yang Digunakan Dalam Penjualan Tunai
Menurut Mulyadi ( 2001, p214 ), dokumen yang digunakan dalam penjualan, meliputi:
Surat order pengiriman yang memberikan otorisasi kepada fungsi pengiriman untuk mengirimkan jenis barang dan jumlah barang yang tertera dalam dokumen.
b. Faktur dan Tembusannya
Faktur penjualan diserahkan kepada pelanggan serta tanda bukti bahwa barang telah diterima pelanggan dan perusahaan menggunakannya untuk menagih pada pelanggan dan dipakai sebagai dasar pencatatan timbulnya piutang.
c. Rekapitulasi Harga Pokok Penjualan
Dokumen yang digunakan untuk total HPP ( Harga Pokok Penjualan ) yang dijual selama periode tertentu.
d. Bukti Memorial
Dokumen sumber untuk dasar pencatatan ke dalam jurnal umum. Pada penjualan kredit, bukti memorial ini merupakan dokumen sumber untuk mencatat HPP ( Harga Pokok Penjualan ) yang dijual dalam periode tertentu.
2.9.3.4 Informasi yang Diperlukan Oleh Manajemen
Menurut Mulyadi ( 2001, p462 – 463 ), informasi yang diperlukan oleh manajemen dari kegiatan penjualan tunai adalah :
a. Jumlah pendapatan penjualan menurut jenis produk atau kelompok produk selama jangka waktu tertentu.
c. Jumlah harga pokok produk yang dijual selama jangka waktu tertentu.
d. Nama dan alamat pembeli. Informasi ini diperlukan dalam penjualan produk tertentu, namun pada umumnya informasi nama dan alamat pembeli tidak diperlukan oleh manajemen dari kegiatan penjualan tunai.
e. Kuantitas produk yang dijual.
f. Nama wiraniaga yang melakukan penjualan. g. Otorisasi pejabat yang berwenang.
