8 2.1 Teori Umum
2.1.1 Sistem
Menurut Brian dan Stacey (2005, p457), Sistem merupakan sesuatu kumpulan dari komponen – komponen yang saling berhubungan yang saling berinteraksi untuk menjalankan suatu tugas didalam mencapai suatu tujuan yang dikehendaki. Dalam suatu sistem terdapat 2 point utama yaitu sistem analisis dan sistem design yang digunakan untuk mengetahui bagaimana suatu sistem itu bekerja dan mengambil suatu langkah untuk membuatnya menjadi lebih baik lagi. Sistem analisis merupakan seseorang spesialis informasi yang melakukan analisis terhadap suatu sistem, mendisain dan mengimplementasikannya. Sistem design adalah suatu kegiatan untuk membuat tahap pendahuluan dalam mendisain dan selanjutnya membuat detail dari design dan yang terakhir membuat suatu laporan design.
Menurut Mulyadi (2001, p2), Sistem merupakan sekelompok unsur yang erat berhubungan dengan satu dengan lainnya, yang berfungsi bersama – sama untuk mencapai tujuan tertentu. Suatu sistem terdiri dari struktur dan proses, dimana struktur sistem merupakan unsur – unsur yang membentuk sistem tersebut, sedangkan proses sistem menjelaskan cara kerja setiap unsur sistem tersebut dalam mencapai tujuan sistem. Setiap sistem merupakan bagian dari sistem lain yang lebih besar dan terdiri dari berbagai sistem yang lebih kecil, yang disebut sebagai suatu subsistem.
Jadi, dapat disimpulkan bahwa Sistem adalah kumpulan unsur – unsur yang berhubungan untuk melaksanakan kegiatan – kegiatan perusahaan dalam mencapai suatu tujuan tertentu.
2.1.2 Informasi
Menurut McLeod (2001, p12), Informasi merupakan data yang telah diproses atau data yang sudah memiliki arti tertentu bagi kebutuhan penggunanya.
Pendapat Bodnar dan Hopwood yang telah diterjemahkan oleh Jusuf dan Tambunan (2000, p1), “Informasi merupakan data yang berguna untuk diolah sehingga dapat dijadikan dasar untuk mengambil keputusan yang tepat”.
Ada tiga jenis syarat yang harus dipatuhi agar suatu informasi dapat dikatakan mempunyai kualitas yang tinggi, yaitu :
a. Akurat
Artinya Informasi harus bebas dari kesalahan – kesalahan dan harus jelas mencerminkan maksudnya sehingga tidak menimbulkan banyak gangguan yang dapat merubah dan merusak informasi.
b. Tepat Waktu
Artinya Informasi yang datang pada penerima tidak boleh terlambat. Sebab Informasi yang terlambat menjadi tidak bernilai
lagi karena Informasi merupakan landasan didalam melakukan pengambilan keputusan.
c. Relevan
Artinya Informasi tersebut harus mempunyai manfaat bagi para pemakai.
Menurut Brian dan Stacey (2005, p457), Informasi merupakan suatu data yang telah disimpulkan atau dengan kata lain yang telah dimanipulasi untuk digunakan didalam melakukan pengambilan suatu keputusan.
Dari definisi – definisi diatas, dapat disimpulkan bahwa Informasi adalah data yang telah di proses sehingga memiliki arti bagi para pemakainya untuk melakukan suatu tindakan tertentu
2.1.3 Sistem informasi
Menurut Brian dan Stacey (2005, p447), Sistem Informasi merupakan suatu kombinasi orang / user, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, merubah, dan menyebarkan suatu informasi didalam suatu organisasi.
Sedangkan Gondodiyoto (2007, p112) menyatakan bahwa Sistem Informasi dapat didefinisikan sebagai kumpulan elemen – elemen / sumberdaya dan jaringan prosedur yang saling berkaitan secara terpadu,
terintegrasi dalam suatu hubungan hirarkis tertentu, dan bertujuan untuk mengelola data menjadi informasi.
Dari beberapa pendapat diatas, maka ditarik kesimpulan bahwa Sistem Informasi adalah serangkaian prosedur formal untuk mengubah data menjadi informasi guna mendukung pengambilan keputusan dalam upaya mencapai sasaran dan tujuan perusahaan. Atau dengan kata lain, Sistem Informasi adalah sekumpulan data yang telah diproses menjadi informasi yang didistribusikan kepada pemakai untuk mencapai apa yang telah menjadi suatu tujuan.
2.1.4 Audit
2.1.4.1 Pengertian Audit
Menurut Hall (2001, p42), “Auditing adalah salah satu bentuk pengujian independen yang dilakukan oleh seorang auditor yang menunjukkan pendapatnya, tentang kejujuran laporan keuangan”.
Menurut Mulyadi (2002, p9), “Audit adalah suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan – pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuian antara pernyataan – pernyataan tersebut dengan
kriteria yang telah ditetapkan, serta penyampaian hasil – hasilnya kepada pemakai yang berkepentingan.”
Jadi dapat disimpulkan bahwa pengertian audit adalah kegiatan memperoleh dan mengevaluasi bukti audit oleh auditor berdasarkan standar atau kinerja yang telah ditetapkan untuk menghasilkan laporan keuangan yang jujur.
2.1.4.2 Jenis-jenis Audit
Menurut Arens and Loebbecke (2003, p11), Audit dapat digolongkan menjadi 3 jenis :
1. Audit laporan keuangan
Merupakan audit yang dilakukan untuk menentukan apakah laporan keuangan secara keseluruhan yang merupakan informasi telah disajikan sesuai dengan kriteria tertentu.
2. Audit Operasional
Merupakan penelaah atas bagian manapun dari prosedur dan metode operasi suatu organisasi untuk menilai efisiensi dan efektifitasnya. Dalam pemeriksaan operasional tinjauan yang dilakukan tidak hanya dibatasi pada bagian akuntansi saja melainkan termasuk struktur organisasi, penggunaan komputer, dan lain-lain. Dan sesudah audit
operasional dilakukan, auditor akan mengajukan saran kepada pihak perusahaan tentang pemeriksaan operasionalnya.
3. Audit Kepatuhan
Audit kepatuhan adalah audit yang bertujuan untuk melihat apakah suatu badan usaha yang diaudit telah melakukan prosedur atau peraturan yang telah ditetapkan oleh pihak yang berwenang.
Selain yang disebutkan diatas ada juga jenis audit yang lain yaitu :
a. Audit Forensik (Forensic Audit)
Audit forensik adalah audit yang dilaksanakan dalam kaitannya sebagai dukungan dalam proses litigasi dan investigasi.
b. Audit terhadap Kecurangan (Fraud Audit)
Merupakan proses audit yang memfokuskan pada keanehan/keganjilan objek yang perlu dilakukan audit.
Mencegah terjadinya kecurangan, mendeteksi maupun pemeriksaan kecurangan.
c. Audit Rinci
Merupakan audit keuangan yang lebih rinci, bukan hanya audit terhadap laporan keuangan seperti yang disebutkan diatas, melainkan yang sudah bersifat lebih mendalam
(special assisgnment misalnya audit/pemeriksaan tuntas, due diligent) atau pemeriksaan bersifat investigasi (investigative audit).
d. Information Systems Audits
Information systems (IS), information technology (IT), atau electronic data processing (EDP) audit mengevaluasi aspek – aspek penting pada lingkungan sistem informasi.
Perusahaan mungkin memiliki berbagai platform:
mainframe, mini – computer, microcomputer, local area networks (LANs), wide area networks (WANs), electronic data interchange (EDI), dan Internet hosts (servers, electronic commerce).
2.1.4.3 Perlunya audit terhadap sistem informasi
Menurut Weber (1999, p6-9), beberapa alasan penting mengapa audit TI perlu dilakukan, antara lain supaya tidak terjadi :
a. Kerugian akibat kehilangan data
b. Kesalahan dalam pengambilan keputusan c. Risiko kebocoran data
d. Penyalahgunaan Komputer
e. Kerugian akibat kesalahan proses perhitungan
f. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
2.1.4.4 Standard Audit Sistem Informasi
Mengacu pada ISACA (2008), standard audit sistem informasi mendefinisikan persyaratan – persyaratan yang wajib dipenuhi dalam pelaksanaan dan pelaporan atas audit sistem informasi.
Information System Audit and Control Association (ISACA) menetapkan standar audit sistem informasi, sebagai berikut:
S1 : Audit Charter
Bahwa audit charter harus disetujui oleh level organisasi yang tepat dan harus memuat tujuan, tanggung jawab, otoritas, dan pertanggungjawaban dari fungsi audit sistem informasi.
S2 : Independence
Memuat mengenai pentingnya independensi professional dan independensi organisasi.
S3 : Professional Ethics and Standards
Bahwa auditor sistem informasi harus setia pada kode etika profesional ISACA dan bersikap profesional dalam menjalankan tugasnya.
S4 : Professional Competence
Bahwa auditor sistem informasi harus kompeten secara profesional dan selalu memelihara kompetensi profesional yang dimilikinya tersebut dengan cara mengikuti pendidikan dan pelatihan profesional secara berkelanjutan.
S5 : Planning
Berkaitan dengan perencanaan atas cakupan audit sistem informasi, pengembangan dan pendokumentasian pendekatan audit berbasis risiko, rencana audit, program audit beserta prosedur-prosedurnya.
S6 : Performance of Audit Work
Berkaitan dengan pengawasan terhadap staf audit sistem informasi, pengumpulan bukti audit, dan pendokumentasian atas proses audit dalam rangka mendukung temuan dan kesimpulan auditor sistem informasi.
S7 : Reporting
Berkaitan dengan rincian keterangan dalam laporan audit yang diperlukan, penyediaan laporan audit yang dibuat pada akhir penyelesaian audit harus berdasarkan bukti yang memadai, dan bahwa laporan ketika diterbitkan harus ditandatangani, diberi tanggal, dan didistribusikan sesuai dengan persyaratan yang tertuang pada surat perjanjian.
S8 : Follow-Up Activities
Berkaitan dengan pengevaluasian atas informasi yang relevan untuk mengetahui apakah tindakan yang semestinya telah diambil oleh pihak manajemen dalam rangka menyikapi temuan dan rekomendasi dari auditor.
S9 : Irregularities and Illegal Acts
Berkaitan dengan pertimbangan dan prosedur-prosedur audit yang diperlukan dalam melakukan penilaian atas adanya risiko tindakan yang tidak biasa dan melanggar hokum; pentingnya surat representasi dari manajemen; pengkomunikasian mengenai temuan yang diperoleh, dan juga dokumentasi mengenai tindakan-tindakan tidak biasa dan melanggar hokum materil.
S10 : IT Governance
Berkaitan dengan penilaian fungsi sistem informasi yang harus sejalan dengan misi, visi, tujuan, strategi perusahaan; penilaian terhadap hasil yang dicapai dan keefektifan penggunaan sumber daya sistem informasi serta kepatuhan terhadap hokum, kualitas informasi, dan persyaratan keamanan yang ada.
S11 : Use of Risk Assessment in Audit Planning
Berkaitan dengan penggunaan teknik penilaian risiko yang tepat atas rencana audit dan dalam penentuan prioritas untuk alokasi sumber daya audit sistem informasi yang efektif.
S12 : Audit Materiality
berkaitan dengan pertimbangan mengenai materialitas audit dan hubungannya terhadap risiko audit; pertimbangan mengenai kelemahan pengendalian yang berpengaruh secara materil dalam sistem informasi; dan pengungkapan mengenai hal tersebut pada laporan auditor.
S13 : Using the Work of Other Experts
berkaitan dengan penggunaan pekerjaan dari pakar lainnya untuk keperluan audit dan penilaian terhadap kompetensi, independensi, dan pengalaman dari pakar tersebut.
S14 : Audit Evidence
Berkaitan dengan pengumpulan bukti audit yang memadai dan layak untuk menarik kesimpulan yang wajar dan pengevaluasian atas kecukupan bukti audit.
S15 : IT Controls
Berkaitan dengan pengevaluasian dan pemantauan atas pengendalian teknologi informasi; dan pemberian masukan kepada pihak manajemen mengenai perancangan, implementasi, operasi, dan peningkatan atas pengendalian teknologi informasi yang ada.
S16 : E-commerce
Berkaitan dengan pengevaluasian atas pengendalian- pengendalian yang berlaku dan penilaian terhadap risiko yang
ada dalam rangka menjamin terkendalinya transaksi-transaksi e- commerce.
2.1.5 Teknik Pengumpulan Data
Menurut Sugiyono (2008, p194), ada tiga teknik pengumpulan data dalam metode survey yaitu :
1. Wawancara (Interview)
Teknik pengumpulan data ini mendasarkan diri pada laporan tentang diri sendiri atau self report, atau setidak –tidaknya pada pengetahuan dan atau keyakinan pribadi. Wawancara dapat dilakukan secara terstruktur maupun tidak terstruktur dan dapat dilakukan melalui tatap muka maupun dengan menggunakan telepon.
a. Wawancara Terstruktur
Wawancara terstruktur digunakan sebagai teknik pengumpulan data bila peneliti atau pengumpul data telah mengetahui dengan pasti tentang informasi apa yang diperoleh. Dengan wawancara terstruktur ini setiap responden diberi pertanyaan yang sama, dan pengumpul data mencatatnya.
b. Wawancara Tidak Terstruktur
Wawancara tidak terstruktur adalah wawancara yang bebas dimana peneliti tidak menggunakan pedoman wawancara yang telah tersusun secara sistematis dan lengkap untuk pengumpulan datanya. Pedoman wawancara yang digunakan hanya berupa garis – garis besar permasalahan yang akan ditanyakan.
2. Kuesioner (Angket)
Kuesioner merupakan teknik pengumpulan data yang dilakukan dengan cara memberikan seperangkat pertanyaan atau pernyataan tertulis kepada responden untuk dijawabnya. Kuesioner merupakan teknik pengumpulan data yang efisien bila peneliti tahu dengan pasti variabel yang akan diukur dan tahu apa yang bisa diharapkan dari responden. Kuesioner dapat berupa pertanyaan atau pernyataan tertutup atau terbuka, dapat diberikan kepada responden secara langsung atau dikirim melalui pos, atau internet.
3. Observasi (Observation)
Observasi sebagai teknik pengumpulan data mempunyai ciri yang spesifik bila dibandingkan dengan teknik yang lain, yaitu wawancara dan kuesioner. Teknik pengumpulan data dengan observasi digunakan bila, penelitian berkenaan dengan prilaku
manusia, proses kerja, gejala – gejala alam dan bila responden yang diamati tidak terlalu besar.
2.2 Teori Khusus
2.2.1 Audit Sistem Informasi
2.2.1.1 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p10), Information Systems Auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently. Audit sistem informasi adalah proses untuk mengumpulkan dan mengevaluasi bukti – bukti untuk menentukan apakah sistem komputer dapat melindungi aktiva perusahaan, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumberdaya yang dimiliki secara efisien.
Menurut Alberts dan Dorofee (2003, p6), “Information System audits are independent appraisals of a company’s internal controls to assure management, regulatory authorities, and company shareholders that information is accurate and valid”. Audit sistem informasi adalah penilaian independen atas pengendalian internal suatu perusahaan yang dilakukan untuk
meyakinkan pihak manajemen, pemerintah dan para pemegang saham bahwa informasi yang ada adalah akurat dan benar.
Dari kedua definisi diatas, dapat disimpulkan bahwa Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk penilaian independen atas pengendalian internal suatu perusahaan dan untuk meyakinkan bahwa informasi yang ada adalah akurat dan benar.
2.2.1.2 Tujuan Audit Sistem Informasi
Menurut Weber (1999, p11), tujuan Audit Sistem Informasi terdiri dari:
1. Asset Safeguarding Objectives
Asset berupa hardware, software, personal, data file, sistem dokumentasi dan perlengkapannya merupakan harta yang harus dilindungi dengan suatu sistem pengendalian internal yang baik. Hardware dapat rusak karena perbuatan jahat, software dan data dapat dicuri. Karena harta ini merupakan pusat, maka pengamanan terhadap harta ini merupakan hal-hal yang utama.
2. Data Integrity Objectives
Data yang terpadu merupakan konsep utama pada EDP (Electronic Data Processing) audit, data yang cepat dan akurat akan memberikan informasi yang tepat bagi manajemen. 3 (Tiga) faktor utama yang membuat data berharga bagi organisasi dan pentingnya untuk menjaga keutuhan data adalah :
a. Nilai informasi data bagi pengambilan keputusan perorangan
b. Peningkatan data sehingga dapat memberikan informasi bagi para pengambil keputusan
c. Nilai data bagi pesaing, jika data tersebut berguna bagi pesaing maka kehilangan data akan memberikan dampak buruk bagi organisasi tersebut, pesaing dapat menggunakan data tersebut untuk mengalahkan organisasi sehingga mengakibatkan organisasi menjadi kehilangan market, berkurangnya keuntungan dan lain-lain.
3. System Effectiveness Objectives
Pengolahan data secara efektif merupakan tujuan yang harus dicapai, evaluasi terhadap efektivitas pengolahan data harus dilakukan. Agar dapat mengetahui apakah
informasi yang dihasilkan telah efektif atau belum seorang auditor harus mengetahui karakter pemakai.
Efektivitas yang dicapai baru dapat diketahui setelah sistem berjalan beberapa lama, manajemen memerlukan audit untuk mengetahui apakah sistem telah berjalan sesuai dengan tujuan yang telah ditetapkan.
4. System Efficiency Objectives
Sebuah sistem pemrosesan data yang efesien terjadi bila menggunakan sumber data yang minimal untuk menghasilkan output yang diperlukan. Sistem informasi menggunakan banyak sumber daya seperti hardware, alat pendukungnya, software dan tenaga kerja, sumber daya ini langka dan sistem aplikasi yang lain biasanya bersaing menggunakan sumber daya itu.
2.2.1.3 Tahapan Audit Sistem Informasi (Audit Life Cycle)
Menurut Hunton (2004, p208), Seluruh audit TI mengikuti sebuah siklus proses yang disebut sebagai “Siklus Kehidupan Audit TI”. Itu mencakup proses: perencanaan, perkiraan resiko, pengembangan program audit, mengumpulkan bukti,
memperoleh kesimpulan, mempersiapkan pendapat auditor, dan menindaklanjuti.
a. Perencanaan
Langkah awal menyangkut perencanaan dalam penelitian audit TI. Ini berarti menentukan resiko apa yang melekat dalam audit, membiasakan diri dengan klien audit dan lingkungan di setiap tempat kerja klien, dan berada diluar rencana untuk melakukan audit, termasuk siapa staff audit dan bagaimana audit sering dilakukan.
Standart ISACA 050.010, “Perencanaan Audit”, menyatakan: “Auditor sistem informasi adalah untuk merencanakan kerja audit sistem informasi untuk menunjukkan tujuan audit dan untuk menyusun dengan menggunakan standart audit profesional.” Pedoman ISACA 050.010.020 menyediakan berbagai macam pedoman yang spesifik dalam perencanaan. Tiap pedoman, auditor harus melakukan pelaksanaan tugas selama tahapan perencanaan:
1. Menetapkan batasan dan tujuan kontrol dalam melakukan tugas audit;
2. Melakukan perkiraan awal dalam mengontrol yang berhubungan dengan proses auditor dalam mengaudit;
3. Keuntungan dalam memahami setiap organisasi dan perusahaan tersebut, keuangan dan resiko, serta lingkungan persoalan yang berhubungan dengan industri atau klien;
4. Identifikasi seberapa besar klien percaya pada outsource;
5. Mengembangkan program audit memuat spesifikasi prosedur audit mengenai auditor dapat melakukan selama kerja lapang audit;
6. Mengembangkan perencanaan audit untuk melakukan semua kegiatan audit; dan
7. Dokumen laporan kerja audit dengan perencanaan audit dan program audit dan kebutuhan dokumen lainnya untuk membenarkan setiap pemahaman dalam operasi perusahaan dan lingkungan operasi.
b. Perkiraan Resiko, atau ” Kesalahan Apa Yang Dapat Terjadi?”
Karena kemungkinan resiko pembicaraan yang sangat penting di audit TI, menyediakan segala bab untuk mendiskusikan resiko. Untuk setiap alasan, kita menyimpan laporan singkat diskusi mengenai kemungkinan resiko.
Banyak auditor sekarang menggunakan pendekatan dasar resiko audit untuk melakukannya dalam audit. Dalam tipe audit, kemungkinan resiko berkisar pertanyaan ”Kesalahan apa yang dapat terjadi?” Merupakan fokus auditor sistem informasi dalam menentukan langkah awal proses pendukung kritik apa yang diberikan untuk proses audit.
Berikutnya, mereka bertanya pada diri sendiri kesalahan apa mungkin bisa terjadi dalam proses dukungan mereka.
Ini membantu auditor mengidentifikasi kontrol pada tempatnya untuk melindungi keutuhan proses dengan campur tangan audit. Auditor termasuk kontrol menganggap bahwa kepentingan semua hal dapat diuji coba dalam program audit.
Tentunya, internal kontrol merespon ke manajemen.
Beberapa perusahaan, mengakui dan merangkum respon tersebut, melakukan semua sendiri untuk kontrol internal.
Tipe dari lingkungan kontrol dapat sangat membantu auditor dalam menilai efektivitas kontrol.
c. Program Audit
Disini tidak terdapat standard program audit untuk audit TI sejak prosedur audit harus disesuaikan untuk hardware dan software klien, jaringan dan topologi, dan sebuah lingkungan dan industri-pertimbangan spesifik. Program
audit menyediakan laporan di bab ini umumnya program audit, rincian akan menyesuaikan keperluan auditor.
Umumnya program audit meliputi melaksanakan komponen:
1. Batasan audit;
2. Tujuan audit;
3. Prosedur audit; dan
4. Rincian administasi seperti perencanaan dan pelaporan.
Program audit, yang mana harus berupa dokumen kertas kerja, melayani sebagai contoh untuk pekerjaan yang harus dilakukan. Setelah audit lengkap, program audit menyediakan dokumen untuk siapa yang melakukan prosedur audit perorangan dan referensi untuk kertas kerja dimana hasil setiap test dan langkah audit dapat dilihat.
d. Mengumpulkan Bukti
Mengumpulkan barang bukti adalah inti dari melakukan audit, sejauh itu menyediakan dasar untuk pendapat audit akhirnya itu dibuat.
Pedoman ISACA 060.020.030 mengidentifikasi beberapa tipe dari bukti auditor TI sangat umum untuk bagian kerja lapang, termasuk:
1. Mengamati proses dan keberadaan perihal fisik seperti operasi komputer dan prosedur backup data;
2. Bukti dokumen seperti program perubahan log, mengakses sistem log, dan otorisasi tabel;
3. Representasi seperti menyediakan klien diagram, narasi, kebijakan tertulis dan prosedur; dan
4. Analisis seperti prosedur berjalan CAATs dalam menyediakan klien file data.
Jika auditor tidak mendapatkan cukup bukti, mereka mungkin dapat meminta lebih sesuai kebutuhan dari klien dalam pemesanan untuk memuaskan pemberian tujuan.
Jika bukti yang cukup tidak didapatkan, auditor harus mempertimbangkan kepentingan dari bukti dan efek dari batasan dalam audit.
Tidak semua bukti dibuat sama. Sebaliknya, auditor harus melihat kualitas atau keandalan, bukti yang mereka kumpulkan selama melakukan audit.
e. Memperoleh Kesimpulan
Sesudah semua bukti audit terkumpul, auditor melakukan tugasnya untuk mengevaluasi bukti dan memperoleh kesimpulan mengenai apakah tujuan audit ditemukan dan kecukupan melakukan prosedur audit ketika datang dari semua pendapat audit. Auditor harus selalu
mengidentifikasi apapun kondisinya dilaporkan. Mengacu pada situasi apapun saat datang untuk diperhatikan auditor bahwa mewakili banyak kontrol yang lemah. Melaporkan kondisiya adalah selalu melengkapi di dalam surat manajement, yang mana untuk diskusi dengan komite audit dan manajement klien dalam mencari jalan keluar dari kesimpulan yang diaudit.
Kesimpulan auditor pernah menjadi kejutan untuk staff manajemen. Jika auditor mengungkap kelemahan substansial dalam kontrol internal dan/atau kepentingan yang salah dalam pernyataan keuangan, auditor harus memberikan anomali untuk perhatian manajemen kapan mereka temukan. Kesimpulan audit, manajemen harus menyelesaikan dan melepaskan masalahnya. Jika tidak, auditor mungkin membutuhkan kualitas pendapat audit.
f. Pendapat Audit
Hanya disini tidak ada standar program audit TI, disini tidak ada standar laporan audit. Beberapa tipe audit TI mempunyai kriteria khusus untuk apa yang termasuk kedalam laporan audit. Laporan audit untuk pengesahan, menemukan, dan rekomendasi, audit SAS 70, dan audit SAS 94 laporan diskusi dari bab ini.
Pedoman untuk hal umum sudah termasuk didalam laporan audit adalah disediakan oleh pedoman ISACA 070.010.010. Hal mengikuti sudah termasuk dalam laporan audit:
1. Nama organisasi yang diaudit;
2. Judul, tandatangan, dan tanggal;
3. Pernyataan dari tujuan audit dan apakah audit menemukan tujuan ini;
4. Batasan audit, termasuk “area fungsi audit, periode pelaksanaan audit, dan sistem informasi, aplikasi atau lingkungan proses audit”;
5. Pengakuan dari pembatasan lingkup dimana audit melakukan tugas audit;
6. Laporan ditujukan untuk peserta, termasuk pembatasan apapun dalam distribusi laporan;
7. Mengikuti standar dan kriteria yang mana digunakan auditor dalam melaksanakan kerja audit;
8. Penjelasan terinci dari temuan yang penting;
9. Kesimpulan dalam area evaluasi audit, termasuk signifikan reservasi atau qualisifikasi;
10. Saran untuk melakukan pembenaran atau perbaikan dimana yang sesuai; dan
11. Penting untuk event yang terjadi selanjutnya sesudah kerja lapang untuk audit selesai.
g. Menindaklanjuti
Tahap terakhir life cycle audit TI adalah menindaklanjuti.
Sesudah auditor melakukan pembicaraan hasil audit ke klien dan menyampaikan pendapat audit ke klien, auditor membuat ketentuan untuk menindaklanjuti dengan klien apapun kondisi yang dilaporkan atau kekurangan audit yang diungkap selama melakukan audit. Sebagai contoh, jika kekurangan kontrol yang penting adalah mencatat, auditor dapat membuat rencana untuk meninjau kembali masalah dengan klien dalam 30 hari untuk menentukan jika kekurangan tersebut dapat diperbaiki.
Tentu, semua kekurangan yang penting membutuhkan waktu yang lama untuk klien menyelesaikannya. Selama ditemukan jalan keluar, auditor dan klien harus setuju sejauh dan waktu yang tepat untuk prosedur menindaklanjuti. Menindaklanjuti dapat lewat bentuk menelepon ke manajemen dan selanjutnya dokumen percakapan atau auditor membuat tambahan jadwal prosedur audit untuk memuaskan semua pihak dari manajemen untuk membenarkan kepentingan kelemahan control internal.
2.2.2 Pengendalian Dan Risiko Sistem Informasi
2.2.2.1 Pengendalian Internal
Mengacu pada pendapat Weber(1999, p35), pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan mengkoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung kelebihan, tidak efisien dan efektif. Dengan demikian, tujuan dari pengendalian adalah untuk mengurangi risiko atau mengurangi pengaruh yang sifatnya merugikan akibat suatu kejadian.
Menurut Mulyadi (2001, p613), Pengendalian Internal meliputi struktur organisasi, mengecek ketelitian, dan keandalan data akuntansi, mendorong efisisensi dan mendorong dipatuhinya kebijakan manajemen. Definisi system pengendalian intern tersebut menekan tujuan yang hendak dicapai, dan bukan pada unsur-unsur yang membentuk system tersebut.
Jadi, dapat disimpulkan bahwa pengendalian internal adalah merupakan kebijakan, praktek, prosedur, dan perangkat yang dirancang untuk mengecek ketelitian, dan keandalan data akuntansi, mendorong efisisensi dan mendorong dipatuhinya kebijakan manajemen.
2.2.2.2 Komponen - komponen Pengendalian
Mengacu pada pendapat Weber (1999, p49) Sistem Pengendalian internal terdiri atas lima komponen yang saling terkait, yaitu:
1. Lingkungan pengendalian
Elemen ini memperlihatkan bahwa hal yang tergantung pada pengendalian terutama pada sistem akuntansi pada prosedur harus dijalankan.
2. Penaksiran risiko
Elemen ini mengidentifikasi dan menganalisa risiko yang dihadapi organisasi dengan cara risiko tersebut dikelolah.
3. Aktivitas pengendalian
Elemen ini memastikan bahwa setiap transaksi telah diotorisasi oleh yang berwenangm telah ada pemisahan fungsi, dokumentasi dan pencatatan yang memadai, harta dan catatan telah diamankan dan pengecekan oleh pihak independent telah dilakukan serta penilaian terhadap pencatatan telah dilaksanakan.
4. Informasi dan komunikasi
Pada elemen ini informasi diidentifikasikan, diambil, dan diubah sepanjang waktu dan menyediakan formulir untuk memperbolehkan karyawan mengubah tanggung jawabnya.
5. Pemantauan
Elemen yang berfungsi untuk memastikan bahwa pengendalian internal telah berjalan dengan baik
Dalam setiap pemeriksaan auditor harus memperolah pemahaman yang memadai atas masing-masing dari kelima unsure tersebut diatas untuk merencanakan audit dengan cara melaksanankan prosedur untuk memahami rancangan kebijakan dan prosedur yang relevan dengan perencanaan audit dan untuk menentukan apakah rancangan tersebut dilaksanakan.
2.2.2.3 Fungsi Sistem Pengendalian Intern
Menurut Mulyadi (2001, p163), fungsi Sistem Pengendalian Intern yaitu :
a. Untuk melindungi harta perusahaan dari tindakan dan keadaan yang merugikan
b. Untuk memeriksa, meneliti kecermatan, dan keandalan data akuntansi sehingga informasi yang disajikan dapat diandalkan dalam pengambilan keputusan dan penyusunan laporan keuangan
c. Untuk meningkatkan efisiensi usaha
d. Untuk mendorong ditaatinya kebijakan manajemen yang telah digariskan.
2.2.2.4 Risiko Audit Sistem Informasi
Menurut Hunton (2004, p48) Risiko adalah sesuatu yang terjadi yang memungkinkan menghasilkan sesuatu yang negative. Dalam menjalankan usaha, sebuah perusahaan menghadapi berbagai risiko, seperti : Business Risk ( Risiko Bisnis), Audit Risk (Risiko Audit), Security Risk (Risiko Keamanan) dan Continuity Risk.
1. Risiko Bisnis (Business Risk)
Risiko bisnis adalah suatu kemungkinan bahwa suatu organisasi tidak dapat mencapai tujuan bisnis nya.
Terdapat dua faktor yang mempengaruhi risiko tersebut , yaitu factor internal dan factor external. Untuk memahami risiko bisnis pada suatu organisasi, seorang auditor harus terlebih dahulu mengenal (familiar) dengan strategi rencana kegiatan perusahaan (enterprise’s strategic plan) Risiko timbul dari lingkungan luar (external environment), misalnya : risiko dimana kompetitior baru akan memasuki pasar atau risiko poor economy.
Contoh risiko dari pihak dalam (internal) adalah ketidaktaatan karyawan, kegagalan equiptment, atau kecurangan yang dilakukan oleh manajer.
2. Risiko Audit (Audit Risk)
Risiko Audit adalah suatu kemungkinan bahwa auditor external suatu organisasi membuat kesalahan dimana penyampaian opini yang membuktian kepatutan laporan keuangan atau kegagalan auditor TI dalam menemukan kesalahan material atau kecurangan material.
3. Risiko Keamanan (Security Risk)
Risiko keamanan IT meliputi risiko yang terkait dengan akses data dan integritas. Akses tidak sah ke data tersebut dapat berupa fisik maupun logis. Banyak risiko yang terkait dengan kedua hal tersebut baik logis maupun fisik dapat meningkatkan risiko akses. Risiko mereka meningkat dengan integrasi sistem informasi dan kemampuan akses jarak jauh. Dalam sebuah usaha yang memiliki sistem terintegrasi tapi tidak menggunakan password terpisah untuk akses ke berbagai bagian dari sistem, seorang pengguna yang tidak sah tidak hanya dapat mengakses data perusahaan yang sensitif tapi juga mungkin bahkan memanipulasinya.
4. Risiko Berkelanjutan (Continuity Risk)
Risiko Berkelanjutan mencakup risiko Assosiation dengan ketersediaan backup dan recovery pada sistem informasi.
Avaibility mengacu pada keamanan yang memastikan bahwa suatu sistem informasi selalu dapat diakses oleh pengguna. misalnya, hacker dapat mengancam avaibility dengan membuat system penuh dengan mail dan overloading pada server sehingga untuk menutup intranet atau situs web perusahaan tidak tersedia, dan juga kehilangan konsumen yang membeli di tempat lain karena takut tentang keandalan
2.2.3 Sistem Informasi yang di Audit
2.2.3.1 Sistem Informasi Reservasi
Kegiatan reservasi merupakan salah satu kegiatan yang penting dalam perusahaan jasa travel, karena dari reservasi diperoleh pendapatan untuk membiayai kelangsungan perusahaan, bahkan memperoleh keuntungan bagi perusahaan.
Menurut Kesrul (2003, p126), reservasi merupakan suatu komunikasi melalui surat atau telepon untuk menyediakan kamar atau tempat duduk di pesawat yang dipesan oleh seseorang
supaya tidak kehabisan tempat pada waktu datang di hotel ataupun di bandara.
Berdasarkan penjelasan diatas, maka dapat disimpulkan bahwa sistem informasi reservasi adalah sistem yang memudahkan pelanggan dalam melakukan pemesanan, agar mendapatkan kepastian dalam melakukan perjalanan sesuai dengan rencana perjalanan dan kepastian untuk mendapatkan permintaan atau pelayanan khusus lainnya sesuai dengan pemesanan.
2.2.3.2 Pengendalian Sistem Informasi
Menurut Hunton (2004, p106), Kategori kontrol utama yang terlibat dalam fungsi TI yaitu keamanan, input, pemrosesan, output, database, cadangan, dan pemulihan data.
Masing-masing kategori ini dimaksudkan untuk meminimalkan risiko bisnis dan audit melalui pengendalian internal, seperti yang dibahas selanjutnya.
1. Pengendalian Keamanan(Security Controls)
Manajer TI bertanggung jawab memastikan bahwa infrastruktur komputasi aman dari ancaman baik ancaman
internal maupun eksternal. Yang akan dibahas disini adalah mengenai: keamanan fisik dan keamanan logis.
a. Keamanan Berwujud (Physical Security)
Keamanan fisik fokus pada pemeliharaan fasilitas, komputer, peralatan komunikasi, dan aspek nyata lainnya dari infrastruktur komputasi yang aman dari bahaya. Hanya petugas yang berwenang yang diizinkan masuk ke fasilitas, dan pengunjung harus diawasi oleh personil yang berwenang setiap saat. Ingat, karyawan yang tidak bekerja untuk fungsi TI sering memasuki fasilitas, seperti mesin penjual, persediaan kertas, dan persediaan kebersihan, dan pengunjung harus secara hati-hati diperiksa dan dipantau terus - menerus. Ini adalah kelemahan keamanan dalam banyak sistem melalui penyusup yang bisa menembus. Pembatasan akses dapat dicapai dengan berbagai cara, seperti penggunaan penjaga keamanan, kunci dan mengunci, pembaca kartu, dan perangkat biometrik (contoh:
pembaca sidik jari atau pemindai gambar retina) pada semua pintu masuk dan keluar dari fasilitas.
b. Keamanan tidak Berwujud (Logical Security)
Bagian paling berharga dari infrastruktur Logical asset yaitu data perusahaan dan perangkat lunak komputer (contoh : pengguna aplikasi, sistem jaringan, sistem komunikasi, dan sistem operasi). Data dan perangkat lunak yang alami dikenal sebagai komponen-komponen
"logis" dari infrastruktur. Bagian dari sistem keamanan komponen logis ditangani melalui kontrol fisik; yaitu, sebagian besar data perusahaan dan perangkat lunak terletak di komputer, server, dan perangkat penyimpanan disimpan di fasilitas komputasi utama dan situs lainnya di seluruh perusahaan. Bagian lain dari sistem keamanan logis ditangani melalui akses dikendalikan komputer, monitor, dan sistem review.
Salah satu pendekatan keamanan logis didapatkan dengan cara yang sama seperti keamanan fisik; sesuai, auditor TI perlu mengenal banyak jalur akses ke komponen logis, meninjau kontrol akses, memeriksa kontrol pemantauan, memahami prosedur pemeriksaan, dan melakukan tes penerobosan.
2. Pengendalian Informasi (Information Control)
Proses input, memproses, dan mendistribusikan informasi akuntansi yang timbul dari peristiwa-peristiwa
ekonomi dapat diklasifikasikan ke dalam kegiatan input, proses, dan output. Risiko audit sangat tinggi, terutama jika pengendalian internal yang lemah, seperti pemisahan yang tidak tepat otorisasi dan pencatatan seluruh transaksi input- output-proses dalam siklus sistem akuntansi rentan terhadap penyalahgunaan, yang dapat mengakibatkan materi misstatements dalam pernyataan rekening.
a. Pengendalian Masukan (Input Controls)
Auditor TI harus melihat apakah perusahaan mengikuti prosedur tertulis tentang otorisasi yang tepat, persetujuan, dan input transaksi akuntansi. Ini adalah fungsi yang bertentangan, sehingga mereka harus dipisahkan sedapat mungkin dan dikendalikan.
b. Pengendalian Keluaran (Output Controls)
Akses ke output komputer harus dikontrol sehingga informasi perusahaan yang diminta pemilik dan pihak berwenang agar laporan dicetak tetap berada dalam lokasi perusahaan. Sebuah kontrol logis adalah untuk memastikan bahwa hanya pihak berwenang dapat meminta output tertentu, apakah itu mengambil bentuk layar komputer atau dicetak laporan. Seperti
pengendalian logis dapat dilakukan melalui ID / password .
3. Pengendalian Berkelanjutan (Continuity Controls)
Risiko bisnis utama yang berkaitan dengan fungsi TI adalah suatu gangguan kegiatan usaha komputer karena kegagalan dan bencana. Sejauh mana perusahaan siap untuk secara efektif menghadapi keadaan seperti itu sangat penting untuk kelangsungan hidup ekonomi organisasi.
a. Pengendalian Cadangan (Backup Controls)
Sangat penting bahwa organisasi mengembangkan dan melakukan strategi cadangan; Kalau tidak, tidak akan ada tersisa untuk pulih setelah bencana.
Backup Data
Sebagai strategi cadangan khusus yang dipekerjakan oleh perusahaan tergantung pada sejumlah faktor tambahan, seperti volume transaksi, ketersediaan dukungan teknis, lokasi penyimpanan cadangan, dan redundansi hardware. Namun, bahkan kenyataannya strategi cadangan dapat dicapai, mengingat sumber daya yang cukup.
Sekarang mari kita membahas dua isu utama saat merancang strategi cadangan untuk sebuah organisasi - lokasi penyimpanan. ketika file / tabel yang didukung, mereka ditempatkan pada beberapa media, seperti digital kaset, CD, dan magnetik disk. Pilihan media yang digunakan tergantung pada faktor-faktor seperti kecepatan, kehandalan, kapasitas, dan biaya. Setelah pilihan dibuat, pertanyaannya adalah tempat untuk menyimpan medium di mana cadangan file / tabel tersimpan. Ada dua solusi umum – media fisik dan media elektronik.
Dengan media fisik, itu diduga bahwa media akan dihapus dari perusahaan komputer dan dibawa ke luar lokasi situs, seperti lemari besi bank atau perusahaan lain lokasi geografis terpisah dari situs pemrosesan.
Media Elektronik cadangan melibatkan pengiriman data melalui jaringan komunikasi (seperti internet) ke semua situs media penyimpanan, biasanya menghitung lain.
b. Pengendalian Pemulihan (Recovery Controls)
Perusahaan tidak sanggup untuk menanggulangi bencana terjadi dan kemudian bertanya-tanya apa yang harus dilakukan; mereka harus proaktif, bukan reaktif.
Perusahaan harus memiliki perencanaan untuk pulih dari bencana dan menguji rencana tersebut secara berkala. Fungsi TI manajer dan auditor IT harus mengadopsi sikap "Apa yang akan kita lakukan ketika terjadi bencana?" bukan "Apa yang akan kita lakukan jika terjadi bencana?" Perencanaan kontingensi Pikirkan cara ini: Ini masalah waktu saja, bukan probabilitas!
2.2.3.3 Data Flow Diagram (DFD – Diagram Aliran Data)
Menurut Whitten (2004, p326-347), data flow diagram adalah alat yang menggambarkan aliran data melalui sistem dan kerja atau pengolahan yang dilakukan oleh sistem tersebut.
Simbol yang akan digunakan dalam penggambaran DFD ini yakni dengan menggunakaan notasi Gane dan Sarson, dengan alasan popularitas yang sudah tersebar luas.
