9

LANDASAN TEORI

2.1 Evaluasi

2.1.1 Pengertian Evaluasi

Menurut Suchman yang dikutip oleh Arikunto, Jabar, & Abdul (2010, hal. 56), evaluasi dipandang sebagai sebuah proses menentukan hasil yang telah dicapai dalam beberapa kegiatan yang direncanakan untuk mendukung tercapainya tujuan. Definisi lain seperti dikemukakan oleh Stutflebeam yang dikutip oleh Arikunto, Jabar, & Abdul (2010, hal. 57), menyatakan bahwa evaluasi merupakan proses penggambaran, pencarian dan pemberian informasi yang sangat bermanfaat bagi pengambil keputusan dalam menentukan alternatif keputusan.

Menurut Dimyati & Mudjiono (2006, hal. 19), pengertian evaluasi dipertegas lagi sebagai proses memberikan atau menentukan nilai kepada objek tertentu berdasarkan suatu kriteria tertentu.

Menurut Arifin & Zainal (2010, hal. 45), mengatakan bahwa evaluasi adalah suatu proses bukan suatu hasil (produk). Hasil yang diperoleh dari kegiatan evaluasi adalah kualitas sesuatu, baik yang menyangkut tentang nilai atau arti, sedangkan kegiatan untuk sampai pada pemberian nilai dan arti itu adalah evaluasi. Hal yang sama juga disampaikan oleh Purwanto & Ngalim (2010, hal. 57).

Berdasarkan definisi diatas dapat disimpulkan bahwa kegiatan evaluasi merupakan proses yang sistematis. Evaluasi merupakan kegiatan yang terencana dan dilakukan secara berkesinambungan. Evaluasi bukan

▸ Baca selengkapnya: kegiatan mengamati dengan saksama barang yang telah ditata termasuk dalam sikap

hanya merupakan kegiatan akhir atau penutup dari suatu program tertentu, melainkan merupakan kegiatan yang dilakukan pada permulaan, selama program berlangsung dan pada akhir program setelah program itu selesai.

2.1.2 Prosedur Evaluasi

Menurut Umar (2005, hal. 78), evaluasi pada umumnya memiliki tahapan-tahapannya sendiri. Berikut penjelasan salah satu tahapan evaluasi yang umumnya digunakan :

1) Menentukan apa yang akan dievaluasi.

Dalam dunia bisnis, apa saja yang dapat dievaluasi, mengacu pada program kerja perusahaan. Dalam program kerja perusahaan banyak terdapat aspek-aspek yang dapat dan perlu dievaluasi. Tetapi biasanya yang di prioritaskan untuk dievaluasi adalah hal-hal yang menjadi key-succeess factor –nya.

2) Merancang (desain) kegiatan evalusi.

Sebelum evaluasi dilakukan, sebaiknya ditentukan terlebih dahulu desain evaluasinya agar data apa saja yang dibutuhkan, tahapan-tahapan kerja yang dilalui, siapa saja yang akan dilibatkan, serta apa saja yang akan dihasilkan menjadi jelas.

3) Pengumpulan data.

Berdasarkan desain yang telah disiapkan, pengumpulan data dapat dilakukan secara efektif dan efisien, yaitu sesuai dengan kaidah-kaidah ilmiah yang berlaku dan sesuai dengan kebutuhan dan kemampuan.

4) Pengolahan dan analisis data.

Setelah data terkumpul, data tersebut kemudian diolah untuk dikelompokkan agar mudah dianalisis dengan menggunakan alat-alat analisis yang sesuai, sehingga dapat menghasilkan fakta yang dapat dipercaya. Selanjutnya, dibandingkan antara fakta dan harapan/rencana untuk menghasilkan gap. Besar gap akan sesuai dengan tolok ukur tertentu sebagai hasil evaluasinya.

5) Pelaporan hasil evalusi.

Agar hasil evaluasi dapat dimanfaatkan bagi pihak-pihak yang berkepentingan, hendaknya hasil evalusi didokumentasikan secara tertulis dan diinformasikan baik secara lisan maupun tulisan.

6) Tindak lanjut evaluasi.

Evaluasi merupakan salah satu bagian dari fungsi manajemen. Oleh karena itu, hasil evaluasi hendaknya dimanfaatkan oleh manajemen untuk mengambil keputusan dalam rangka mengatasi masalah manajemen baik di tingkat strategi maupun di tingkat implementasi strategi.

2.2 Pengendalian Internal

2.2.1 Pengertian Pengendalian Internal

Menurut Standar Profesi Audit Internal (SPAD) yang dikutip oleh Tunggal (2007, hal. 1), Pengendalian Internal adalah tindakan yang diambil oleh manajemen, dewan pengawas, atau pihak lain, termasuk komite audit, untuk mengelola resiko dan meningkatkan kemungkinan pencapaian tujuan organisasi. Manajemen melakukan tindakan - tindakan seperti perencanaan,

pemantauan dan sebagainya untuk memberikan jaminan yang wajar atas pencapaian tujuan tersebut.

Menurut Rama & Jones (2008, hal. 8), pengendalian internal (internal control) mencakup kebijakan - kebijakan, prosedur - prosedur, dan sistem informasi yang digunakan untuk melindungi aset - aset perusahaan dari kerugian atau korupsi, dan untuk memelihara keakuratan data keuangan.

Jadi dapat disimpulkan bahwa pengendalian internal adalah pengendalian dalam suatu organisasi bertujuan untuk menjaga aset perusahaan, pemenuhan terhadap kebijakan dan prosedur, kehandalan dalam proses, dan operasi yang efisien.

Menurut Gondodiyoto (2007, hal. 260), tujuan disusunnya sistem kontrol atau pengendalian internal komputerisasi adalah untuk :

1. Meningkatkan pengamanan (improve safeguard) aset sistem informasi (data/catatan akuntansi (accounting records) yang bersifat logical assets, maupun physical assets seperti hardware, infrastructures, dan sebagainya).

2. Meningkatkan integritas data (improve data integrity), sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar. 3. Meningkatkan efektivitas sistem (improve system effectiveness). 4. Meningkatkan efisiensi sistem (improve system efficiency).

2.2.2 Tujuan Sistem Pengendalian Internal

Menurut Mulyadi (2001, hal. 163) Tujuan sistem pengendalian internal direncanakan atau dirancang dengan tujuan untuk :

1. Menjaga kekayaan organisasi,

2. Mengecek ketelitian dan kehandalan data akuntasi, 3. Mendorong efisiensi, dan

4. Mendorong dipatuhinya kebijakan manajemen.

2.2.3 Penggolongan Pengendalian Internal

Pengendalian internal harus diterapkan terhadap setiap sistem dan aplikasi, hal ini dilakukan untuk mengurangi exposure yang selalu muncul pada pencatatan yang buruk, akuntansi yang tidak tepat, interupsi bisnis, pengambilan keputusan yang buruk, penipuan dan penggelapan, pelanggaran hukum terhadap peraturan, peningkatan biaya dan hilangnya aset perusahaan. Oleh sebab itu manajemen harus menyadari pentingnya pengendalian untuk menjaga sistem dari penggunaan secara tidak tepat, untuk mengurangi timbulnya kesalahan dan untuk memaksimalkan hasil dari sistem operasi. Pengendalian ini digolongkan menjadi 2 golongan yaitu :

1. General controls (pengendalian umum).

2. Application controls (pengendalian aplikasi).

2.2.3.1 Pengendalian Umum (General Control)

Menurut Sawyer, Dittenhofer, & Scheiner (2005, hal. 549), general control consist of those controls in the IS and user environment that are pervasive over all or most application. They include such controls as segregation of incompatible duties, system development procedures, data security, all administrative controls, and disaster recovery capabilities.

Menurut Gondodiyoto (2007, hal. 301) pengendalian umum didefinisikan sebagai sistem pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Artinya ketentuan – ketentuan dalam pengendalian tersebut berlaku untuk seluruh kegiatan komputerisasi yang digunakan di perusahaan tersebut.

Ruang lingkup yang termasuk dalam pengendalian umum (pengendalian perspektif manajemen) diantaranya adalah :

1. Pengendalian manajemen puncak (top management controls).

2. Pengendalian manajemen pengembangan sistem (information system management controls).

3. Pengendalian manajemen sumber data (data resources management controls).

4. Pengendalian manajemen operasi (operations management controls). 5. Pengendalian manajemen keamanan (security administration management

controls).

6. Pengendalian manajemen jaminan kualitas (quality assurance management controls).

2.2.3.1.1 Unsur Pengendalian Umum

Dari beberapa pengendalian umum tersebut, berdasarkan ruang lingkup dari penulisan skripsi ini, maka yang akan dibahas adalah :

1. Pengendalian Manajemen Operasi (Operational Management Controls) Menurut Gondodiyoto (2007, hal. 331) pengendalian manajemen operasi merupakan jenis pengendalian internal yang didesain untuk pengelolaan

sumber daya dan operasi IT pada suatu organisasi. Pengendalian manajemen operasi disusun dengan tujuan untuk menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan pembagian tugas yang baik bagi suatu organisasi yang menggunakan sistem berbasis teknologi informasi.

a. Pemisahan tugas dan fungsi

Pemisahan tugas dan fungsi didesain untuk memastikan bahwa fungsi – fungsi yang tidak sejalan (atau seharusnya - cek), seperti : fungsi analisis/desain dan pemprograman dengan operasi komputer (mencakup penyiapan transaksi, otorisasi, proses entri, dan pelaporan) telah dipisahkan. Terdapat dua pemisahan fungsi yaitu :

Pemisahan fungsi departement IT dengan non IT (users) Pemisahan fungsi ini bertujuan untuk memisahkan antara pemakai dengan departement IT sehingga meningkatkan pengendalian terhadap aktivitas IT.

Pemisahan fungsi dalam departement IT

Fungsi – fungsi departement IT dapat dipisahkan berdasarkan fungsi sistem dan pemrograman, operasi komputer, pengendalian dan penjadwalan input/output, pemeliharaan media (library).

b. Pengendalian personil

Personil mempunyai peranan penting dalam pengendalian sistem. Pengendalian personil dapat diindikasikan oleh hal-hal berikut :

Adanya program peningkatan keahlian pegawai melalui pelatihan yang berhubungan dengan bidang tugasnya

Adanya evaluasi atas pekerjaan yang dilakukan pegawai
Administrasi atas gaji dan prosedur promosi yang jelas
Penggunaan uraian tugas (job description)

Pemilihan dan pelatihan pegawai
Penyediaan (supervisi) dan penilaian

Penggiliran pekerjaan (job rotation) dan keharusan mengambil cuti

Adanya jenjang karier serta sarana dan aturan untuk mencapainya

c. Pengendalian perangkat keras
Pengawasan terhadap akses fisik

Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi.

Pengaturan lokasi fisik

Lokasi ruang komputer merupakan pertimbangan yang penting dalam pengendalian keamanan komputer

Penggunaan alat pengamanan

Alat – alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan kerusakan

Pengendalian operasi perangkat keras

Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga perangkat keras dari

kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut

Pengendalian perangkat lunak

Pengendalian perangkat lunak didesain untuk memastikan keamanan dan kehandalan sistem

Pengendalian keamanan data

Pengendalian keamanan data merupakan suatu tindakan pengendalian untuk menjaga keamanan datayang tersimpan didalam media penyimpanan agar tidak hilang dan rusak, atau diakses oleh orang yang tidak berhak.

d. Pengendalian jaringan

Alat bantu (tools) penting yang dapat digunakan oleh operator untuk mengelola wide area network adalah network control terminal. Network control terminal menyediakan akses kepada software system yang khusus untuk mengelola jenis fungsi dibawah ini agar dapat berjalan dengan baik, yaitu :

Memulai dan menghentikan jaringan dan proses
Memonitor aktivitas jaringan

Mengganti nama line komunikasi
Mengenerate statistic system

Mensetting ulang panjangnya antrian
Menambah frekuensi backup

Menanyakan status sistem

Mengirimkan system warning dan status message
Memeriksa lintasan data pada line komunikasi

Network control terminal juga dapat digunakan untuk menjalankan fungsi yang sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan harta dan data integrity, network control terminal adalah komponen yang sangat penting pada suatu jaringan.

e. Manajemen operasi

Saat ini fungsi sistem yang sekarang digunakan pada manajemen operasi adalah komputer mikro secara stand alone, multi user atau jaringan (network) atau dalam bentuk client server.

Service level agreements
Kepustakaan file

Fungsi help desk
Capacity planning
Outsource

2. Pengendalian Manajemen Keamanan (Security Management Controls) Menurut Gondodiyoto (2007, hal. 345) pengendalian internal terhadap manajemen keamanan (security management controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak berwujud (non fisik, misalnya data/informasi, dan program aplikasi komputer).

Kebijakan keamanan IT (IT security policy)
Beberapa aspek serangan potensial

Mitos-mitos seputar keamanan komputer
Kebijakan keamanan komputer

Personil dan kebijakan keamanan komputer

2.2.3.2 Pengendalian Aplikasi (Application Control)

Menurut Ruppel (2008, hal. 537-538) application controls help ensure the completeness and accuracy of transaction processing, authorization, and validity edit checks, numerical sequence checks, and manual follow up of the exception report are example of application controls.

Menurut Gondodiyoto (2007, hal. 372-373) pengendalian aplikasi (appliaction controls) adalah sistem pengendalian intern (internal control) pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan/kegiatan/aplikasi tertentu (setiap aplikasi memiliki karakteristik dan kebutuhan pengendalian yang berbeda).

2.2.3.2.1 Unsur Pengendalian Aplikasi

Terdapat beberapa unsur dalam pengendalian aplikasi, pengendalian aplikasi pada dasarnya terdiri dari :

Pengendalian batas sistem (boundary controls)
Pengendalian masukan (input controls)

Pengendalian proses pengolahan data (process controls)
Pengendalian keluaran (output controls)

Pengendalian file/database (file/database controls)

Pengendalian komunikasi aplikasi (communication controls)

Namun yang akan dibahas dalam penulisan skripsi ini meliputi boundary controls, input controls, output controls.

1. Pengendalian batas sistem (boundary controls)

Menurut Gondodiyoto (2007, hal. 374-375) yang dimaksud boundary adalah interface antara users dengan sistem berbasi teknologi informasi. Tujuan utama boundary controls adalah antara lain :

a. Untuk mengenal identitas dan otentik/tidaknya pemakai sistem, artinya suatu sistem yang didesain dengan baik seharusnya dapat mengidentifikasi dengan tepat siapa users tersebut, dan apakah identitas diri yang dipakainya otentik.

b. Untuk menjaga agar sumber daya sistem informasi digunakan oleh user dengan cara yang ditetapkan.

Contoh dari pengendalian batasan :
Otoritas akses ke sistem aplikasi
Identitas dan otentisitas pengguna 2. Pengendalian masukan (input controls)

Menurut Gondodiyoto (2007, hal. 377-378) pengendalian masukan (input controls) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan pengendalian aplikasi yang penting karena input yang salah akan menyebabkan output juga keliru. Mekanisme masuknya data input ke sistem dapat dikategorikan ke dalam dua cara yaitu :

a. Batch system (delayed processing systems)

Pada sistem pengolahan data secara batch processing system, tiap transaksi (misalnya formulir sensus, kartu pencoblosan pemilihan ketua umum, atau answer sheet ujian calon mahasiswa) dibundel

dalam jumlah lembar tertentu untuk direkam. Demikian pula sistem batch dalam siklus akuntansi keuangan (book keeping untuk mencatat transaksi ke dalam jurnal, posting ke buku besar dan buku pembantu, serta pengolahan untuk menghasilkan laporan keuangan) dilakukan tidak pada saat transaksi itu terjadi. Sistem pengolahan data lebih bersifat back office system, yaitu semata-mata untuk mengolah data dokumen-dokumen akuntansi yang transaksinya sudah lewat. Jadi pengolahan datanya tertunda (delayed processing). Pada sistem batch ini orientasi utamanya adalah sistem pengolahan data (dahulu disebut sistem pengolahan data elektronik, electronic data processing, EDP). Data input yang akan dimasukkan ke sistem informasi berbasis teknologi pada hakikatnya dapat dikelompokan dalam tiga tahapan, yaitu (1) data capture (penangkapan data, pengisian dokumen sumber atau source document), (2) data preparation (penyiapan data untuk di entry), (3) data entry (pemasukan data) merupakan proses merekam atau memasukan data ke komputer, suatu proses mengubah data ke dalam bentuk yang dapat dibaca oleh mesin (machine readable form). b. On line transaction processing system (pada umumnya bersifat real

time system)

Cara pemrosesan data input yang lain yang lebih lazim pada saat ini adalah dengan online transaction processing system. Pada sistem tersebut data masukan dientri dengan workstation/terminal atau jenis input device seperti ATM (automatic teller machine) dan point of sales (POS). Meskipun online bisa saja dengan memakai pola batch,

tetapi biasanya online dikaitkan dengan real time system, artinya updating data di komputer bersamaan dengan terjadinya transaksi. Contoh dari pengendalian input :

Otoritas dan validasi masukan
Transmisi dan konversi data
Penanganan kesalahan

3. Pengendalian keluaran (output controls)

Pengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat, lengkap, dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls) ini didesain untuk menjamin agar output / informasi dapat disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak (para user) secara cepat dan tepat waktu. Yang termasuk pengendalian keluaran antara lain adalah :

a. Rekonsiliasi keluaran dengan masukan dan pengolahan

Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran dari sistem dengan dokumen asal.

b. Penelaahan dan pengujian hasil-hasil pengolahan

Pengendalian ini dilakukan dengan cara melakukan penelaahan, pemeriksaan dan pengujian terhadap hasil-hasil pengolahan dari sistem. Proses penelaahan dan pengujian ini biasanya dilakukan oleh atasan langsung pegawai.

c. Pendistribusian keluaran

Pengendalian ini didesain untuk memastikan bahwa keluaran didistribusikan kepada pihak yang berhak, dilakukan secara tepat waktu dan hanya keluaran yang diperlukan saja yang didistribusikan. Contoh dari pengendalian output :

Rekonsiliasi keseluruhan

Penelaahan dan pengujian hasil pengolahan
Distribusi keluaran

2.2.4 Sifat-Sifat Pengendalian Internal

Menurut Gondodiyoto (2007, hal. 137), pengendalian internal digolongkan dalam preventive, detection, corrective :

a. Preventive control, yaitu pengendalian internal yang dirancang dengan maksud untuk mengurangi kemungkinan (atau mencegah/menjaga jangan sampai terjadi kesalahan, kekeliruan, kelalaian, error) maupun penyalahgunaan (kecurangan, fraud)

b. Detection control, yaitu pengendalian yang didisain dengan tujuan agar apabila data direkam (di-entry)/dikonfersi dari media sumber (media input) untuk di transfer ke sistem komputer dapat dideteksi apabila terjadi kesalahan (maksudnya tidak sesuai dengan kriteria yang ditetapkan).

c. Corrective control, ialah pengendalian yang sifatnya jika terdapat data yang sebenarnya error tetapi tidak terdeteksi oleh program validasi, harus ada prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data yang salah dengan maksud untuk mengurangi kemungkinan kerugian atau kesalahan/ penyalahgunaan tersebut sudah benar-benar terjadi.

2.3 Sistem Informasi

2.3.1 Pengertian Sistem

Menurut Gondodiyoto (2003, hal. 94), sistem adalah komponen elemen-elemen atau sumber daya yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu, dan bertujuan untuk mencapai tujuan tertentu.

Menurut O'Brien (2005, hal. 8), “system is a collection of related components that work together to achieve a common goal by accepting inputs and producing outputs through a transformation process.” Yang berarti sistem merupakan suatu kumpulan dari komponen yang berhubungan yang bekerja bersama untuk mencapai suatu tujuan dengan menerima input dan menghasilkan output melalui suatu proses transformasi.

Jadi, dapat disimpulkan bahwa sistem adalah kumpulan dari komponen-komponen yang saling berhubungan satu dengan yang lainnya membentuk satu kesatuan untuk mencapai tujuan tertentu.

2.3.2 Pengertian Informasi

Menurut O'Brien (2005, hal. 13), “information is data that is placed in a context meaningful and useful for the end user of a system.” Yang berarti informasi adalah data yang ditempatkan pada suatu konteks yang berarti dan berguna untuk end user dari suatu sistem.

Menurut Gondodiyoto (2007, hal. 110), informasi adalah merupakan data yang sudah diolah menjadi bentuk yang lebih berguna dan lebih berarti (bermanfaat) bagi penerimanya, menggambarkan suatu kejadian

dan kesatuan nyata yang dapat dipahami dan dapat digunakan untuk pengambilan keputusan sekarang atau masa depan.

Menurut McLeod (2001, hal. 4), “information is one of the resources available to the manager, which can be managed like any other resource terms. Information from the computer can be used by managers, non-managers, as well as people in the corporate environment.” informasi adalah salah satu sumber daya yang tersedia bagi menejer, yang dapat dikelola seperti hal sumber daya yang lain. Informasi dari komputer dapat digunakan oleh para manajer, non menejer, serta orang-orang dalam lingkungan perusahaan.

Jadi, dapat disimpulkan bahwa informasi adalah data yang sudah diproses atau sudah mempunyai arti dan berguna untuk pihak yang berkepentingan.

2.3.3 Pengertian Sistem Informasi

O'Brien & Marakus (2009, hal. 6) mendefinisikan, “Information System can be any organized combination of people, hardware, software, communication networks, and data resource that collect, transform, disseminates information in an organization”. Diterjemahkan Sistem Informasi adalah suatu kesatuan yang terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer, dan sumber daya yang mengumpulkan, mentransformasikan dan mendistribusikan informasi di dalam suatu organisasi.

Menurut Gondodiyoto (2007, hal. 112), sistem informasi masih dapat didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan

jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hirearki tertentu dan bertujuan untuk mengolah data menjadi informasi.

Menurut Whitten, Bentley, & Bittman (2004, hal. 12), “information system is the rule, people, data, processes and information technology that interact to collect, process, store, and provide as output the information that need to support an organization”, yang berarti bahwa sistem informasi adalah peraturan, orang, data, proses dan teknologi informasi yang berinteraksi untuk mengumpulkan, memproses, menyimpan, dan menyediakan sebagai output informasi yang di perlukan untuk mendukung sebuah organisasi.

Jadi, dapat disimpulkan sistem informasi adalah sekumpulan komponen yang saling bekerja sama didalam suatu organisasi untuk mengumpulkan, memproses dan menyimpan informasi untuk mendukung proses pengambilan keputusan.

2.4 Audit Sistem Informasi

2.4.1 Pengertian Audit Sistem Informasi

Menurut Sarno (2009, hal. 184), “Audit Sistem Informasi adalah audit yang dilakukan dengan mengumpulkan dan mengevaluasi bukti untuk menentukan apakah Sistem Informasi dan sumber daya terkait cukup melindungi asset serta memelihara data dan integritas sistem, penyediaan informasi yang relevan dan dapat diandalkan, pencapaian tujuan organisasi secara efektif, penggunaan sumber daya secara efisien.”

Menurut Gondodiyoto (2007, hal. 443), “Audit Sistem Informasi dimaksudkan untuk mengevaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis (business processes) perusahaan (atau kebutuhan pengguna, user needs), untuk mengetahui apakah suatu sistem informasi telah di desain dan di implementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai.”

Menurut Romney & Steinbart (2006, hal. 783), “Information Systems Audit reviews the general and application controls of an Accounting Information System (AIS) to assess it’s compliance with internal control policies and procedures and it’s effectiveness in safeguarding assets.”

Audit Sistem Informasi mereview pengendalian umum dan pengendalian aplikasi dari Sistem Informasi Akuntansi untuk menilai ketaatan sistem terhadap kebijakan dan prosedur pengendalian internal serta efektifitas dalam melindungi aset.

Jadi dapat disimpulkan bahwa Audit Sistem Informasi merupakan suatu proses pengumpulan dan pengevaluasian terhadap sistem informasi berdasarkan prosedur pengendalian yang telah ditetapkan, untuk menentukan apakah sistem informasi dapat melindungi aset, memelihara integritas data, dan mencapai tujuan organisasi secara efektif dan efisien yang memberikan manfaat bagi perusahaan secara maksimal.

2.4.2 Tujuan Audit Sistem Informasi

Menurut Romney & Steinbart, Accounting Information Systems (2006, hal. 316), “ The purpose of an information system audit is to review

and evaluate the internal control that protect the system”. Tujuan dari audit sistem informasi adalah untuk mengkaji ulang dan mengevaluasi pengendalian - pengendalian intern yang diterapkan untuk melindungi sistem yang ada.

Menurut Gondodiyoto (2007, hal. 474-475), tujuan audit teknologi informasi (audit objectives) lebih ditekankan pada beberapa aspek penting, yaitu pemeriksaan dilakukan untuk dapat menilai : (a) apakah system komputerisasi suatu organisasi atau perusahaan dapat mendukung pengamanan aset (assets safeguarding), (b) apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan (systems effectiveness), (c) apakah sistem komputerisasi tersebut sudah memanfaatkan sumber daya secara efisien (efficiency), dan (d) apakah terjamin konsistensi dan keakuratan datanya (data integrity).

1. Meningkatkan keamanan aset - aset perusahaan

Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, data (file) harus dijaga oleh suatu sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset perusahaan merupakan suatu hal yang sangat penting dan harus dipenuhi oleh perusahaan.

2. Meningkatkan integritas data

Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut - atribut tertentu seperti : kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka

suatu perusahaan tidak akan lagi memiliki hasil atau laporan yang benar bahkan perusahaan dapat menderita kerugian.

3. Meningkatkan efektifitas sistem

Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user (pengguna).

4. Meningkatkan efisiensi sistem

Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya manusia, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya manusia yang minimal. Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost / benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisien berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

Tujuan dari audit sistem informasi pendapatan, yaitu :

1. Mengidentifikasi permasalahan yang terjadi pada informasi sistem pendapatan.

2. Memastikan bahwa sistem informasi pendapatan menghasilkan output yang sesuai dengan input sehingga menjamin keakuratan data pada sistem aplikasinya.

3. Mengevaluasi kelemahan-kelemahan yang mungkin ditemukan dalam sistem pengendalian internal.

4. Memberikan rekomendasi untuk memperbaiki kelemahan dan permasalahan yang terjadi pada sistem aplikasi pendapatan pada perusahaan.

2.4.3 Tahapan Audit Sistem Informasi

Tahapan Audit

Subjek Audit Tentukan/identifikasi unit/lokasi yang diaudit

Sasaran Audit Tentukan sistem secara spesifik, fungsi atau unit organisasi yang akan diperiksa

diperiksa

Jangkauan Audit Identifikasi sistem secara spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan

dimasukkan lingkup pemeriksaan

Rencana Pre-audit 1. Identifikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit.

2. Identi fikasi sumber bukti untuk tes atau review seperti fungsi flowchart, kebijakan, standar prosedur dan kertas kerja audit sebelumnya.

Prosedur audit dan langkah - langkah pengumpulan bukti audit

1. Identifikasi dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian intern.

2. Identifikasi daftar individu untuk interview.

3. Identifikasi dan menghasilkan kebijakan yang berhubungan dengan bagian, standar dan pedoman untuk interview.

4. Mengembangkan instrument audit dan metodologi penelitian dan pemeriksaan kontrol internal

pemeriksaan kontrol internal Prosedur untuk

evaluasi

1. Organisasikan sesuai kondisi dan situasi.

2. Identifikasi prosedur evaluasi atas tes efektivitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijakan dan prosedur yang diaudit

yang diaudit

Pelaporan hasil audit Siapkan laporan yang objektif, konstruktif (bersifat membangun) dan menampung penjelasan auditee

menampung penjelasan auditee.

Tabel 2.1 Tahapan Audit Sistem Informasi (Sumber: Gondodiyoto (2007, hal. 487) )

2.4.4 Standar Audit Sistem Informasi

Standard Audit Sistem Informasi menurut ISACA (Information System Audit and Control Association) :

S1 Audit Charter

1. Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis.

2. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.

S2 Independence

1. Professional Independence

Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee baik dalam sikap maupun penampilan.

2. Organisational Independence

Fungsi audit sistem informasi harus independen tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan. S3 Professional Ethics and Standards

1. Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.

2. Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.

S4 Professional Competence

1. Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.

2. Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.

S5 Planning

1. Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.

2. Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.

S6 Performance of Audit Work

1. Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.

2. Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.

3. Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.

S7 Reporting

1. Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.

2. Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.

3. Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit.

4. Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.

S8 Follow up Activities

Setelah laporan hasil audit yang mengemukakan temuan dan rekomendasi, auditor SI harus mengevaluasi informasi yang relevan untuk memperoleh keyakinan apakah tindak lanjut yang diperlukan (atas rekomendasi) telah dilaksanakan oleh pihak manajemen sesuai jadwal yang diusulkan (tepat waktu).

S9 Irregularities and Illegal Acts

1. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko audit, auditor harus mempertimbangkan resiko ketidakteraturan dan illegal acts.

2. Auditor SI harus bersikap profesional skeptis dalam pelaksanaan audit, paham kemungkinan misstatement yang material dapat saja terjadi karena adanya irregularities dan illegal acts, diluar evaluasi yang telah dilakukan.

3. Auditor SI harus memahami organisasi dan lingkungannya, termasuk sistem pengendalian internal bidang yang diperiksa.

S10 IT Governance

1. Auditor sistem informasi harus meninjau dan menilai apakah fungsi sistem informasi sesuai dengan misi organisasi, visi, nilai, objektif dan strategi.

2. Auditor sistem informasi harus meninjau apakah fungsi sistem informasi mempunyai pernyataan yang jelas mengenai kinerja yang diharapkan dari bisnis (efektif dan efisiensi) dan menilai pencapaian yang diperoleh. 3. Auditor sistem informasi harus meninjau dan menilai efektifitas dari

sumber sistem informasi dan kinerja proses manajemen.

4. Auditor sistem informasi harus meninjau dan menilai pelaksanaan yang legal/sah, lingkungan dan kualitas informasi dan fiduciary dan persyaratan keamanan.

5. Pendekatan secara resiko harus digunakan oleh auditor sistem informasi untuk menilai fungsi sistem informasi.

6. Auditor sistem informasi harus meninjau dan menilai control environment dari organisasi.

7. Auditor sistem informasi harus meninjau dan menilai resiko yang mungkin merugikan pengaruh dari lingkungan sistem informasi.

S11 Use of Risk Assessment in Audit planning

1. Auditor sistem informasi harus menggunakan teknik penilaian resiko yang tepat atau pendekatan dalam mengembangkan perencanaan audit sistem informasi secara keseluruhan dan didalam prioritas determinasi untuk alokasi yang efektif dari sumber audit sistem informasi.

2. Ketika planning individual reviews, auditor sistem informasi harus mengidentifikasi dan menilai resiko yang berkaitan dengan area yang ditinjau.

S12 Audit Materiality

1. Auditor SI harus mempertimbangkan konsep materialitas dalam hubungannya dengan resiko audit.

2. Dalam merencanakan audit, auditor SI mempertimbangkan kelemahan-kelemahan potensial atau tidak adanya kontrol internal dan apakah hal itu dapat mempunyai akibat yang signifikan pada SI.

3. Auditor SI harus mempertimbangkan dampak kumulatif dari kelemahan atau ketiadaan pengendalian interen.

4. Laporan auditor SI harus mengungkapkan adanya pengendalian interen yang lebih efektif atau tidak adanya pengendalian interen (terhadap resiko tertentu) dan dampaknya.

S13 Using the Work of Other Experts

1. Auditor SI harus, jika memungkinkan, menggunakan hasil kerja auditor atau tenaga ahli lain.

2. Auditor SI harus menilai kualifikasi profesional, kempetensi, pengalaman yang relevan, sumber daya, independensi, dan proses quality control dari ahli lain tersebut, sebelum menerima penugasan audit.

3. Auditor SI harus meninjau, menilai dan mengevaluasi hasil kerja tenaga ahli lain tersebut sebagai bagian dari audit dan menentukan tingkat penggunaan atau mengesampingkan hasil kerja tenaga lain tersebut. 4. Auditor SI harus menentukan dan menyimpulkan apakah hasil kerja

tenaga ahli lain tersebut cukup memadai dan lengkap untuk mendukung auditor SI menarik kesimpulan sesuai tujuan audit (dan kesimpulan tersebut harus secara jelas didokumentasikan).

5. Auditor SI perlu melaksanakan prosedur pemeriksaan posedur

pemeriksaan tambahan untuk memperoleh bukti audit yang lebih sufficient dan appropriate pada situasi dimana auditor berpendapat bahwa bukti audit dari hasil kerja tenaga ahli lain tersebut tidak cukup.

6. Auditor SI harus memberikan opini tentang kecukupan bukti audit dan pembatasan ruang-lingkup pemeriksaan (jika ada), terkait kelengkapan bukti audit yang diperoleh melalui pemeriksaan tambahan.

S14 Audit Evidence

1. Auditor sistem informasi harus memperoleh bukti audit yang cukup dan tepat untuk menarik kesimpulan yang masuk akal berdasarkan hasil audit.

Auditor sistem informasi harus memeriksa kecukupan bukti audit yang diperoleh selama audit.

2.4.5 Metode Audit Sistem Informasi

Gondodiyoto (2003, hal. 155-159) mengungkapkan bahwa ada 3 pendekatan audit yang berkaitan dengan komputer :

1. Audit di sekitar komputer (audit around the computer)

Dalam pendekatan audit di sekitar komputer, auditor dapat melangkah pada perumusan pendapat hanya dengan menelaah struktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem manual (bukan sistem informasi berbasis komputer). Auditor tidak perlu menguji pengendalian sistem informasi berbasis komputer klien (yaitu terhadap file program atau data didalam komputer), melainkan cukup terhadap input dan output sistem aplikasi saja. Dari penilaian terhadap kualitas dan kesesuaian antara input dan output sistem aplikasi ini, auditor dapat mengambil kesimpulan tentang kualitas pemrosesan data yang dilakukan klien (meskipun proses atau program komputer tidak diperiksa).

Selain masalah pengetahuan auditor mengenai aspek teknis komputer atau keterbatasan lain, metode audit di sekitar komputer tersebut cocok untuk dilaksanakan pada situasi sebagai berikut :

a. Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat mata dan terlihat secara visual.

b. Dokumen - dokumen disimpan dalam file dengan cara yang mudah ditemukan.

c. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.

d. Sistem komputer yang diterapkan masih sederhana.

e. Sistem komputer yang diterapkan masih menggunakan software yang umum digunakan, dan telah diakui, serta digunakan secara masal.

Keunggulan metode audit di sekitar komputer adalah : a. Pelaksanaan audit lebih sederhana.

b. Auditor dapat memiliki pengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.

Kelemahannya adalah jika lingkungan berubah, kemungkinan sistem itu akan berubah dan perlu penyesuaian sistem atau program - programnya, bahkan mungkin struktur data atau file, sehingga auditor tidak dapat menilai atau menelaah apakah sistem masih berjalan dengan baik.

2. Audit melalui komputer (audit through the computer)

Dalam pendekatan audit ke sistem komputer (audit through the computer) auditor melakukan pemeriksaan langsung terhadap program - program dan file komputer pada audit sistem informasi berbasis komputer. Auditor

menggunakan komputer (software bantu) atau dengan cek logika atau listing program (desk test on logic or program source code) untuk menguji logika program dalam rangka pengujian pengendalian yang ada dalam komputer. Pendekatan audit langsung ke sistem komputerisasi cocok dalam kondisi : a. Sistem aplikasi komputer memproses input yang cukup besar dan

menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.

b. Bagian penting dari struktur pengendalian internal terdapat di dalam komputerisasi yang digunakan.

c. Sistem logika komputer sangat kompleks dan memiliki banyak fasilitas pendukung.

d. Adanya jurang yang besar dalam melaksanakan audit secara visual, sehingga memerlukan pertimbangan antara biaya dan manfaatnya.

Keunggulan pendekatan audit melalui komputer adalah :

a. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem komputer.

b. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya. c. Auditor dapat menilai kemampuan sistem komputer tersebut untuk

menghadapi perubahan lingkungan.

Kelemahan pendekatan ini yaitu memerlukan biaya yang besar dan tenaga ahli yang terampil.

3. Audit dengan komputer (audit with computer)

Dalam audit dengan computer (audit with computer) atau audit berbantuan komputer (computer assisted audit) terdapat beberapa cara yang dapat digunakan oleh auditor dalam melaksanakan prosedur audit :

a. Memproses atau melakukan pengujian dengan sistem komputer klien itu sendiri sebagai bagian dari pengujian pengendalian atau substantif. b. Menggunakan komputer untuk melaksanakan tugas audit yang terpisah

dari catatan klien, yaitu mengambil copy data atau file dan atau program milik klien untuk dites dengan komputer lain (di kantor auditor).

c. Menggunakan komputer sebagai alat bantu dalam audit, menyangkut : • Dalam pengujian program dan atau file atau data yang dipergunakan

dan dimiliki oleh perusahaan (sebagai software bantu audit).

• Menggunakan komputer untuk dukungan kegiatan audit, misalnya untuk administrasi dan surat menyurat, pembuatan tabel atau jadwal, untuk sampling, dan berbagai kegiatan office automation lainnya. Kelemahan utama sistem audit berbasis komputer adalah upaya dan biaya pengembangan relatif besar.

2.5 Sistem Informasi Akuntansi

2.5.1 Pengertian Sistem Informasi Akuntansi

Romney & Steinbart (2006, hal. 6) mendesksripsikan Sistem Informasi Akuntansi (SIA) sebagai "A system that collect, records, stores, and processes data to produce information for decision makers". Yang berarti sebuah sistem yang mengumpulkan, mencatat, menyimpan, dan memproses data untuk menghasilkan informasi bagi pengambil keputusan. Sedangkan Bodnar & Hopwood (2004, hal. 1) berpendapat bahwa “Accounting Information System is a collection of resources, including human and equipment that is set to transform the data into information, and report information related to financial transactions” yang berarti Sistem Informasi

Akuntansi adalah kumpulan sumber daya, seperti manusia dan peralatan yang diatur untuk mengubah data menjadi informasi, dan melaporkan informasi yang berkaitan dengan transaksi keuangan.

Sedangkan menurut Rama & Jones (2008, hal. 5) pengertian Sistem Informasi Akuntansi adalah "A subsystem of an MIS that provides accounting and financial information, as well as other information obtained in the routine processing of accounting transactions". Yang berarti Sistem Informasi Akuntansi adalah subsistem atau bagian dari MIS (Management Information System) yang menyediakan informasi akuntansi dan keuangan, serta informasi lain yang diperoleh dari proses transaksi akuntansi secara rutin.

Berdasarkan definisi-definisi tersebut, maka dapat disimpulkan bahwa Sistem Informasi Akuntansi merupakan subsistem dari sistem informasi manajemen yang menyediakan informasi akuntansi dan keuangan, yang bertujuan untuk mengumpulkan, mencatat, mengolah, menyimpan, dan melaporkan informasi yang berkaitan dengan transaksi akuntansi dan keuangan bagi pengambil keputusan.

2.5.2 Komponen Sistem Informasi Akuntansi

Menurut Romney & Steinbart (2006, hal. 2), an AIS consists of five components:

a. People (orang); who operate the system and perform various functions (yang mengoperasikan sistem dan melakukan berbagai fungsi).

b. The procedures and instructions; both manual and automated, involved in collecting, processing, and storing data about the organization's

activities (baik manual dan otomatis meliputi pengumpulan, pemrosesan dan penyimpanan data mengenai kegiatan organisasi).

c. Data; the data about the organization's business process (mengenai proses bisnis organisasi meliputi semua data transaksi yang terjadi mengenai proses bisnis organisasi).

d. Software; the software used to process the organization's data (Software yang digunakan untuk memproses data organisasi).

e. Information technology infrastructure; the information technology infrastructure, including computers, peripheral devices, and network communication devices (infrastruktur teknologi informasi meliputi komputer, peralatan lainnya dan peralatan komunikasi jaringan yang digunakan untuk mengumpulkan, menyimpan, memproses data serta mengirimkan data dan informasi).

2.5.3 Kegunaan Sistem Informasi Akuntansi

Menurut Rama & Jones (2008, hal. 7) ada 5 kegunaan Sistem Informasi Akuntansi antara lain:

a. Membuat laporan eksternal

Perusahaan menggunakan sistem informasi akuntansi untuk menghasilkan laporan-laporan khusus untuk memenuhi kebutuhan informasi dari para investor, kreditor, dinas pajak, badan-badan pemerintah, dan yang lain contohnya: laporan keuangan dan SPT pajak. Laporan jenis ini mengikuti suatu struktur yang ditetapkan oleh organisasi-organisasi seperti Financial Accounting Standard Board -

FASB (Dewan Standar Akuntansi Keuangan AS), Securities Exchange Comission - SEC (Badan Pengawas Pasar Modal AS), Internal Revenue Service - IRS (Dinas Pajak AS), dan regulator lainnya.

b. Mendukung aktivitas rutin

Para manajer memerlukan satu sistem informasi akuntansi untuk menangani aktivitas operasi rutin sepanjang siklus operasi perusahaan itu. Contohnya antara lain menerima pesanan langganan, mengirimkan barang dan jasa, membuat faktur penagihan pelanggan, dan menagih kas ke pelanggan. Sistem komputer mahir menangani transaksi-transaksi yang berulang, dan banyak paket piranti lunak akuntansi yang mendukung fungsi-fungsi yang rutin ini. Teknologi lain, seperti scanner untuk memindai kode produk, meningkatkan efisiensi dari proses bisnis. c. Mendukung pengambilan keputusan

Informasi juga diperlukan untuk mendukung pengambilan keputusan tidak rutin pada semua tingkat dari suatu organisasi. Contohnya antara lain mengetahui produk-produk yang penjualannya bagus dan pelanggan mana yang paling banyak melakukan pembelian.

d. Perencanaan dan pengendalian

Sebuah sistem informasi juga diperlukan untuk kegiatan perencanaan dan pengendalian. Informasi mengenai anggaran dan biaya standar disimpan oleh sistem informasi, dan laporan yang dirancang untuk membandingkan jumlah anggaran dengan jumlah yang sebenarnya. Sebagai contoh, analisis pendapatan dan beban bisa dilakukan di tingkatan produk secara individu data historis dapat diambil dari basis

data dan digunakan dalam lembar kerja atau program lain untuk meramalkan arus kas. Para perencana dapat menggunakan data minning (penggalian data dengan menggunakan piranti lunak) untuk mengungkapkan tren jangka panjang dengan hubungan data.

e. Menerapkan pengendalian internal

Pengendalian internal (internal control) mencakup kebijakan-kebijakan, prosedur-prosedur, dan sistem informasi yang digunakan untuk melindungi aset-aset perusahaan dari kerugian atau korupsi, dan untuk memelihara keakuratan data keuangan. Sebagai contoh, satu sistem informasi dapat menggunakan kata sandi (password) untuk mencegah individu lain memiliki akses ke format data entri dan laporan yang tidak diperlukan untuk menjalankan pekerjaan mereka. Selain itu, format data entri dapat dirancang untuk secara otomatis memeriksa error dan mencegah jenis tertentu dari data entri yang akan melanggar aturan-aturan yang sudah dibuat.

2.5.4 Siklus Sistem Informasi Akuntansi dalam Proses Bisnis

Menurut Rama & Jones (2008, hal. 22) proses bisnis dapat disusun menjadi tiga siklus transaksi utama yaitu sebagai berikut :

a. Siklus Pemerolehan / Pembelian (Acquisition / Purchasing Cycle)

Siklus pemerolehan mengacu pada proses pembelian barang dan jasa. b. Siklus Konversi (Conversion Cycle)

Siklus konversi mengacu pada sumber daya yang diperoleh menjadi barang-barang dan jasa.

c. Siklus Pendapatan (Revenue Cycle)

Siklus pendapatan mengacu pada proses penyedian barang dan jasa kepada pelanggan dan mengumpulkan uang kas.

2.6 Risiko

2.6.1 Pengertian Risiko

Menurut Tampubolon (2005, hal. 3), resiko adalah sebuah rentang yang dapat bergerak ke arah ancaman dengan dampak negatif, yaitu tidak tercapainya tujuan dan kesempatan dengan dampak positif, yaitu tercapainya tujuan yang ditetapkan.

Jadi, dapat disimpulkan resiko adalah potensi kehilangan atas terjadinya tindakan yang dapat menimbulkan ancaman bagi organisasi.

2.6.2 Jenis-Jenis Risiko

Menurut Gondodiyoto (2007, hal. 112-116), dari berbagai sudut pandang, resiko dapat dibedakan dalam beberapa jenis :

1. Resiko Bisnis (Business Risk)

Resiko bisnis adalah resiko yang dapat disebabkan oleh faktor – faktor internal (permasalahan kepegawaian, resiko – resiko yang berkaitan dengan peralatan atau mesin, resiko keputusan yang tidak tepat dan kecurangan manajemen) maupun eksternal (perubahan kondisi perekonomian, tingkat kurs yang berubah mendadak, dan munculnya pesaing yang baru yang mempunyai potensi bersaing tinggi) yang berakibat kemungkinan tidak tercapainya tujuan organisasi.

2. Resiko Bawaan (Inherent Risks)

Resiko bawaan adalah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan, jika tidak ada pengendalian internal.

3. Resiko Pengendalian (Control Risks)

Resiko pengendalian adalah masih adanya risiko meskipun sudah ada pengendalian.

4. Resiko Deteksi (Detection Risks)

Resiko deteksi adalah resiko yang terjadi karena prosedur audit yang dilakukan tidak dapat mendeteksi adanya error yang cukup materialitas atau adanya kemungkinan fraud.

5. Resiko Audit (Audit Risks)

Resiko audit sebenarnya adalah kombinasi dari inherent risks, control risks, dan detection risks. Resiko audit adalah resiko bahwa hasil pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya.

6. Resiko Keamanan IT (IT Security Risks)

Resiko keamanan IT berkaitan dengan data integrity dan akses. Data integrity adalah kehandalan dan konsistensi data dalam sistem manajemen data organisasi. Akses ke komputer atau data oleh pihak tidak berwenang perlu ditanggulangi. Karena terkait dengan data integrity, privacy dan seluruh keamanan sistem.

7. Resiko Keseluruhan (Continuity Risks)

Resiko keseluruhan berkaitan dengan ketersediaan atau stabilitas (availability), back-up site, back-up file serta recovery pada sistem yang berbasis teknologi informasi. Back-up site adalah cadangan sistem,

sedangkan back-up file adalah cadangan file dengan media off-line. Recovery adalah sistem pengembalian status terakhir bila suatu proses mengalami gangguan atau terhenti secara tidak normal.

2.6.3 Upaya Penanggulangan Risiko

Menurut Djojosoedarso (2005, hal. 4) upaya-upaya untuk menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan (perusahaan) untuk meminimumkan risiko kerugian, antara lain:

1. Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan bahan-bahan yang antiterbakar untuk mencegah bahaya kebakaran,memagari mesin-masin untuk menghindari kecelakaan kerja, melakukan pemeliharaan dan penyimpanan yang baik terhadap bahan dan hasil produksi untuk menghindari risiko kecurian dan kerusakan, mengadakan pendekatan kemanusiaan untuk mencegah terjadinya pemogokan, sabotase dan pengacauan.

2. Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut disediakan sejumlah dana untuk menaggulanginya (contoh: pos biaya lain-lain atau tak terduga dalam anggaran perusahaan).

3. Melakukan pengendalian terhadap risiko, contohnya melakukan hedging (perdagangan berjangka) untuk menanggulangi risiko kelangkaan dan fluktasi harga bahan baku pembantu yang diperlukan,

4. Mengalihkan/memindahkan risiko kepada pihak lain, yaitu dengan cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi terhadap risiko tertentu, dengan membayar sejumlah premi asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan mengganti kerugian bila betul-betul terjadi kerugian yang sesuai dengan perjanjian.

Tugas dari seorang manajer risiko adalah berkaitan erat dengan upaya memilih dan menentukan cara-cara/metode yang paling efisien dalam penanggulangan risiko yang dihadapi perusahaan.

2.6.4 Penetapan Penilaian Risiko dan Pengendalian

Menurut Gondodiyoto (2007, hal. 559) penilaian risiko dan pengendalian internal dapat dilakukan dengan menggunakan :

a. Matriks Penilaian Risiko

Matriks penilaian risiko adalah metode analisis dengan menghitung aspek risiko (dampak) dan tingkat keterjadian risiko tersebut, dengan nilai : L (Low) nilai -1, M (Medium) nilai -2, H (High) nilai -3.

Teknik perhitungan nilai risiko menggunakan rasio antara dampak dengan keterjadian :

1) Risiko kecil (low) nilainya berkisar antara -1 dan -2, seperti :
Jika dampak low (-1) dan keterjadian low (-1), maka nilai

risiko adalah -1. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.

Jika dampak low (-1) dan keterjadian medium (-2), maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.

Jika dampak medium (-2) dan keterjadian low (-1), maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.

2) Risiko sedang (medium) nilainya antara -3 dan -4, seperti :
Jika dampak low (-1) dan keterjadian high (-3), maka nilai

risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.

Jika dampak medium (-2) dan keterjadian medium (-2), maka nilai risiko adalah -4. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.

Jika dampak high (-3) dan keterjadian low (-1), maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.

3) Risiko tinggi (high) nilainya antara -6 dan -9, seperti :

Jika dampak medium (-2) dan keterjadian high (-3), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.

Jika dampak high (-3) dan keterjadian medium (-2), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.

Jika dampak high (-3) dan keterjadian high (-3), maka nilai risiko adalah -9. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.

b. Matriks Penilaian Pengendalian

Matriks penilaian pengendalian adalah metode analisis desain (rancangan) dan tingkat efektifitas pengendalian internal. Besarnya tingkatan efektifitas dan desain (rancangan) dinyatakan dengan : L (low) diberi nilai (1), M (medium) diberi nilai (2), dan H (high) diberi nilai (3).

Teknik perhitungan dalam matriks penilaian pengendalian menggunakan fungsi perkalian antara efektifitas dengan desain (rancangan). Kriteria penilaian dalam matriks pengendalian terdiri dari : 1) Pengendalian kecil (low) nilainya berkisar antara 1 dan 2, seperti :
Jika efektifitas low (1) dan desain low (1), maka nilai pengendalian adalah 1. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.

Jika efektifitas low (1) dan desain medium (2), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.

Jika efektifitas medium (2) dan desain low (1), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.

2) Pengendalian sedang (medium) nilainya antara 3 dan 4, seperti :
Jika efektifitas low (1) dan desain high (3), maka nilai

pengendalian adalah 3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang.

Jika efektifitas medium (2) dan desain medium (2), maka nilai pengendalian adalah 4. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang.

Jika efektifitas high (3) dan desain low (1), maka nilai pengendalian adalah 3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang.

3) Pengendalian (high) nilainya antara 6 dan 9, seperti :

Jika efektifitas medium (2) dan desain high (3), maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.

Jika efektifitas high (3) dan desain medium (2), maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.

Jika efektifitas high (3) dan desain high (3), maka nilai pengendalian adalah 9. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.

Penetapan tingkat efektifitas antara risiko dan pengendalian adalah sebagai berikut :

o Jika jumlah penilaian risiko dan pengendalian 0, maka tingkat pengendalian dan risiko dalah standar, artinya setiap risiko yang

terjadi dapat ditanggulangi (dicover) oleh pengendalian yang ada.

o Jika jumlah penilaian risiko dan pengendalian positif, maka pengendalian adalah baik. Tetapi jika nilai pengendalian terlalu tinggi dibandingkan risiko, maka kemungkinan akan terjadi kelebihan pengendalian (over control) yang menyebabkan terjadinya pemborosan dalam operasional.

o Jika jumlah penilaian risiko dan pengendalian negatif, maka pengendalian adalah buruk. Sehingga perlu dilakukan peningkatan terhadap pengendalian karena risiko yang dihadapi besar.

2.7 UML Activity Diagram

2.7.1 Overview Activity Diagram (OAD)

Menurut Rama & Jones (2008, hal. 111), Overview Activity Diagram adalah diagram yang menyajikan suatu pandangan tingkat tinggi dari proses bisnis dengan mendokumetasikan kejadian - kejadian penting, urutan kejadian - kejaidian ini, dan aliran informasi antar kejadian.

Simbol-simbol diagram Activity : 1. Initial state

Memulai suatu proses dalam suatu diagram aktivitas

2. State

3. Control Flow

Urutan dari suatu kejadian atau aktivitas yang keberikutnya

4. Object Flow

Alur informasi antar kejadian

5. Constraint

Menunjukkan dokumen sumber atau laporan

6. Decision

Sebuah peralihan cabang apabila terjadi dua kondisi

7. Tabel

Suatu file komputer darimana data bisa dibaca atau direkam selama kejadian bisnis

8. Final State

2.7.2 Detailed Activity Diagram (DAD)

Menurut Rama & Jones (2008, hal. 61), detailed activities diagram memberikan suatu gambaran proses bisnis secara detail yang menjelaskan setiap event yang terjadi pada overview diagram.

2.8 Rich Picture

Menurut Matthiassen (2000, hal. 26), “Rich Picture is an informal drawing that presents the illustrator’s understanding of a situation.”

Yang terjemahannya: Rich Picture adalah penggambaran informal yang menghadirkan pemahaman illustrator terhadap suatu situasi.

2.9 Entity Relationship Diagram (ERD)

Menurut Whitten, Bentley, & Dittman (2004, hal. 281), yang diterjemahkan oleh ANDI menyatakan bahwa ERD adalah model data yang menggunakan beberapa notasi untuk menggambarkan data dalam konteks entitas dan hubungan yang dideskripsikan oleh data tersebut.

2.10 Asuransi

1. Menurut Prof. Mehr dan Cammack yang dikutip oleh Djojosoedarso (2005, hal. 74), asuransi adalah alat sosial untuk mengurangi risiko, dengan menggabungkan sejumlah yang memadai unit-unit yang terkena risiko, sehingga kerugian-kerugian individual mereka secara kolektif dapat diramalkan. Kemudian kerugian yang dapat diramalkan itu dipikul merata oleh mereka yang tergabung.

2. Menurut Prof. Willet yang dikutip oleh Djojosoedarso (2005, hal. 74), asuransi adalah alat sosial untuk mengumpulkan dana guna mengatasi kerugian modal yang tidak tentu, yang dilakukan melalui pemindahan risiko dari banyak individu kepada seseorang atau sekelompok orang.

3. Menurut Prof. Mark R. Green yang dikutip oleh Djojosoedarso (2005, hal. 74), asuransi adalah suatu lembaga ekonomi yang bertujuan mengurangi risiko, dengan jalan mengombinasikan dalam satu pengelolaan sejumlah objek yang cukup besar jumlahnya, sehingga kerugian tersebut secara menyeluruh dapat diramalkan dalam batas-batas tertentu.

4. Menurut C. Arthur William Jr. dan Richard M. Heins yang dikutip oleh Djojosoedarso (2005, hal. 74), mendefinisikan asuransi berdasarkan dua sudut pandang, yaitu:

a. Asuransi adalah suatu pengamanan terhadap kerugian finansial yang dilakukan oleh seorang penanggung,

b. Asuransi adalah suatu persetujuan dengan mana dua atau lebih orang atau badan mengumpulkan dana untuk menanggulangi kerugian finansial. 5. Menurut Molengraaff yang dikutip oleh Djojosoedarso (2005, hal. 74),

asuransi kerugian ialah persetujuan dengan mana satu pihak, penaggung mengikatkan diri terhadap yang lain, tertanggung--untuk mengganti kerugian yang dapat diderita oleh tertanggung, karena terjadinya suatu peristiwa yang telah ditunjuk dan yang belum tentu serta kebetulan, dengan mana pula tertanggung berjanji untuk membayar premi.

Berdasarkan definisi-definisi tersebut di atas kiranya mengenai definisi asuransi yang dapat mencakup semua sudut pandang adalah asuransi suatu alat untuk mengurangi risiko yang melekat pada perekonomian, dengan cara

menggabungkan sejumlah unit-unit yang terkena risiko yang sama atau hampir sama, dalam jumlah yang cukup besar, agar probabilitas kerugiannya dapat diramalkan dan bila kerugian yang diramalkan terjadi akan dibagi secara proporsional oleh semua pihak dalam gabungan itu.

2.11 Broker Asuransi

Menurut Hendrawan (2009, hal. 5), Broker Asuransi adalah suatu badan hukum yang dibentuk dalam rangka memenuhi kebutuhan masyarakat akan suatu badan yang dapat membantu mereka dalam membeli produk asuransi dan mendampingi pada saat terjadi klaim, dimana masyarakat tertanggung sangat awam dengan kondisi dan persyaratan polis asuransi dan disisi lain pihak Perusahaan Asuransi sangatlah paham.

2.12 Penerimaan Kas

Menurut Mulyadi (2001, hal. 457) penerimaan kas perusahaan berasal dari dua sumber utama : penerimaan kas dari penjualan tunai dan penerimaan kas dari piutang.

Lalu Mulyadi (2001, hal. 457) juga menjabarkan bahwa penjualan tunai dilaksanakan oleh perusahaan dengan cara mewajibkan pembeli melakukan pembayaran harga barang lebih dahulu sebelum barang diserahkan oleh perusahaan kepada pembeli. Setelah uang diterima oleh perusahaan, barang kemudian diserahkan kepada pembeli dan transaksi penjualan tunai kemudian dicatat oleh perusahaan.

Dan menurut Mulyadi (2001, hal. 458), sistem penerimaan kas dari penjualan tunai dibagi menjadi tiga prosedur berikut ini :