2. LANDASAN TEORI. 5 Universitas Kristen Petra

(1)

2. LANDASAN TEORI

2.1 Definisi Sistem Informasi

Sistem informasi didefinisikan sebagai suatu sistem dalam suatu organisasi yang mengumpulkan data–data transaksi harian. Sistem tersebut mendukung kegiatan operasi, baik yang bersifat manajerial maupun strategis dan juga menyediakan laporan–laporan yang dibutuhkan oleh para pemakai laporan tersebut (Hall 2001:7).

Sistem Informasi Akuntansi adalah sebuah sistem yang memproses data dan transaksi yang nantinya dapat menghasilkan informasi sesuai dengan yang dibutuhkan oleh pengguna informasi untuk merencanakan, mengontrol dan mengoperasikan aktifitas bisnis mereka (Romney 2003:2).

Sistem informasi akuntansi terdiri dari lima komponen yang saling berkaitan, yaitu (Romney dan Steinbart 2003:3):

1. Personal yang mengoperasikan sistem informasi tersebut

2. Prosedur–prosedur perusahaan baik manual maupun yang terotomatisasi 3. Data–data tentang proses bisnis organisasi

4. Penggunaan software dalam pemrosesan data

5. Perangkat teknologi informasi yang menunjang penerapan sistem yang terkomputerisasi

Tujuan dari Sistem Informasi Akuntansi adalah untuk mengumpulkan data, memproses data dan transaksi agar menghasilkan informasi yang sesuai dengan kebutuhan user. Informasi tersebut dapat digunakan untuk merencanakan, mengendalikan dan mengoperasikan bisnis.

2.2 Perbedaan Sistem Informasi Manual dengan Sistem Informasi Terkomputerisasi

Menurut Boynton dan Kell (1996:457), perbedaan Sistem Informasi Manual dan Sistem Informasi Terkomputerisasi adalah:

1. Sistem berbasis komputer mampu menghasilkan jejak transaksi untuk keperluan audit hanya untuk periode waktu yang pendek. Pada umumnya bukti

(2)

dokumenter terhadap kinerja dari prosedur pengendalian pada sistem berbasis komputer lebih sedikit dari sistem manual

2. Informasi pada sistem berbasis komputer biasanya dalam bentuk machinesensible dan tidak dapat dibaca oleh komputer

3. Berkurangnya campur tangan manusia dalam sistem berbasis komputer dapat mengakibatkan terjadinya kesalahan yang sulit terdeteksi dibandingkan dengan sistem manual

4. Informasi perusahaan lebih mudah disalahgunakan secara fisik, manipulasi ataupun kegagalan fungsi mekanis

5. Berbagai fungsi yang berbeda dapat menjadi terpusat pada sistem berbasis komputer sehingga terjadi penurunan pemisahan wewenang secara tradisional pada sistem manual

6. Perubahan pada sistem biasanya lebih sulit diimplementasikan dan dikendalikan pada sistem berbasis komputer

7. Sistem berbasis komputer menyediakan konsistensi yang lebih besar dalam pemrosesan dibanding sistem manual, karena secara seragam membawa seluruh transaksi dalam pengendalian yang sama

8. Pelaporan akuntansi lebih tepat waktu sehingga memberi alat yang efektif bagi manajemen untuk mengawasi dan menilai kembali operassional perusahaan

2.3 Keuntungan dan Resiko Sistem Informasi Terkomputerisasi

Sistem informasi terkomputerisasi memberi keuntungan bagi perusahaan yaitu dapat meningkatkan efektifitas dan efisiensi pengendalian internal dengan memproses secara konsisten sejumlah besar transaksi dan data serta meningkatkan keakuratan dan ketepatan waktu informasi yang dihasilkan.

Resiko dari penerapan sistem informasi terkomputerisasi adalah adanya ketergantungan manajemen pada program yang mungkin error, dan akibatnya data yang diproses tidak akurat atau mungkin terjadi pemrosesan data yang tidak tepat serta ada akses yang tidak terotorisasi atas data dan software.

(3)

2.4 Ancaman terhadap Sistem Informasi

Beberapa ancaman yang mungkin timbul terhadap sistem informasi (Romney dan Steinbart 2003:250):

1. Rusak karena bencana alam dan situasi politik

2. Software error dan equipment malfunction, contohnya: kegagalan hardware, error pada transmisi data yang tidak terdeteksi

3. Unintentional acts, contohnya: kesalahan yang tidak disengaja, kehilangan data, personel yang kurang terlatih

4. Intentional acts (computer crime), contohnya: sabotase, computer fraud, emblezzement atau penggelapan

2.5 Audit Sistem Informasi

Audit sistem informasi adalah proses sistematis untuk mengumpulkan dan mengevaluasi bukti untuk menentukan apakah sistem komputer dapat mengamankan asset, menjamin keakuratan data, dan informasi serta menjaga agar proses bisnis dapat berjalan dengan efektif dan efisien (Hall 2000: 9).

Audit sistem informasi terdiri dari dua bidang pengendalian, yaitu:

pengendalian umum dan pengendalian aplikasi. Adapun yang dimaksud dengan pengendalian umum adalah pengendalian yang dilakukan perusahaan untuk menggambarkan keseluruhan sistem yang meliputi pusat data, pengendalian database, dan pengembangan serta pemeliharaan sistem (Hall 2000:15).

Sedangkan yang dimaksud dengan pengendalian aplikasi adalah pengendalian yang dirancang secara spesifik untuk masing–masing program aplikasi, seperti:

program pembelian, penjualan dan lain–lain. Pengendalian aplikasi ini bertujuan untuk memastikan bahwa program aplikasi yang digunakan berjalan sudah sesuai dengan prosedur yang ditetapkan (Hall 2000:15). Adapun penelitian yang dibahas dalam tugas akhir ini adalah audit sistem informasi atas pengendalian umum.

Audit sistem informasi perlu dilakukan untuk dapat mencegah atau mendeteksi terjadinya beberapa resiko yang mungkin terjadi pada perusahaan.

Resiko yang mungkin terjadi antara lain yaitu (Weber 1999:6):

1. Kehilangan data.

(4)

Data adalah asset perusahaan yang bernilai tinggi karena dapat menggambarkan kondisi perusahaan serta proses bisnis perusahaan tersebut.

Resiko ini pernah dialami perusahaan saat sistem informasinya terserang virus.

2. Pengambilan keputusan yang tidak tepat.

Pengambilan keputusan yang tidak tepat dapat dikarenakan adanya ketidak akuratan data, sehingga keputusan yang diambil dapat memberikan dampak negatif bagi beberapa pihak terutama yang mempunyai kepentingan dengan perusahaan. Dengan penggunaan sistem informasi yang terkomputerisasi keakuratan data dapat lebih terjamin

3. Resiko penyalahgunaan komputer.

Penyalahgunaan komputer terdiri dari beberapa jenis, yaitu: hacking, cracking dan akses fisik illegal. Penyalahgunaan yang terjadi dapat mengganggu kelancaran proses bisnis perusahaan dan juga dapat menyebabkan ketidakakuratan data perusahaan

4. Resiko computer error.

Komputer dapat secara otomatis melakukan beberapa fungsi yang sudah deprogram, namun kadang-kadang komputer tidak melakukan program yang telah didesain, penyebab terjadinya hal ini dapat disebabkan adanya kesalahan pada saat proses desain, implementasi, dan operasi dari komputer sistem

Audit sistem informasi yang dilakukan bertujuan untuk menilai apakah pengendalian internal perusahaan sudah memadai dalam kaitannya untuk menunjang kelancaran proses bisnis perusahaan. Ada empat manfaat perlunya penetapan pengendalian internal, yaitu (Hall 2000:9):

1. Pengendalian internal berfungsi untuk menjamin keamanan asset perusahaan

2. Pengendalian internal berfungsi untuk menjaga keakuratan data dan informasi

3. Pengendalian internal berfungsi untuk menjaga agar proses bisnis perusahaan dapat berjalan dengan efektif dan efisien

(5)

4. Pengendalian internal dapat digunakan sebagai alat untuk mengukur kepatuhan manajemen atas prosedur dan kebijakan perusahaan yang telah ditetapkan.

Langkah–Langkah yang harus dilakukan dalam menjalankan prosedur audit, yaitu (Romney 2003:390):

1. Perencanaan Audit.

Perencanaan ini bertujuan untuk menetapkan mengapa, bagaimana, kapan dan oleh siapa audit akan dilaksanakan.

2. Pengumpulan Bukti Audit.

Auditor dapat mengumpulkan bukti audit dengan menggunakan berbagai metode antara lain: melakukan observasi terhadap kegiatan bisnis perusahaan yang akan diaudit, melakukan dokumentasi prosedur dari bidang yang akan diaudit, menyebarkan kuesioner, melakukan pemeriksaan fisik, melakukan wawancara dengan narasumber perusahaan, melakukan pembuktian dan tinjauan analitis.

3. Mengevaluasi Bukti Audit.

Auditor mengevaluasi bukti audit yang telah dikumpulkan dengan dasar tujuan audit tertentu dan memutuskan apakah bukti audit tersebut kompeten atau tidak. Jika bukti audit yang didapat oleh auditor dirasa kurang kompeten, maka auditor akan mencari bukti tambahan yang lebih kompeten untuk dapat menilai kelayakan atas bidang yang diaudit

4. Mengkomunikasikan Bukti Audit.

Auditor membuat laporan tertulis mengenai penemuan audit dan rekomendasi audit dengan bukti pendukung dalam lembar kerja.

2.6 Pengendalian Umum Sistem Informasi Terkomputerisasi

Pengendalian Umum pada sistem informasi terkomputerisasi terdiri dari komponen berikut ini (Hall 2001:352):

1. Pengendalian Struktur Organisasi.

2. Pengamanan dan Pengendalian Pusat Komputer.

3. Pengendalian Sistem Operasi.

4. Pengendalian atas Personal computer /PC

(6)

5. Pengendalian atas Manajemen Data.

6. Pengendalian Pemeliharaan dan Pengembangan Sistem.

7. Pengendalian atas Local Area Network / LAN

Pengendalian atas Electronic Data Interchange / EDI dan pengendalian atas internet tidak dibahas dalam penulisan skripsi ini karena tidak diterapkan oleh PT. Copel Andalan.

2.6.1 Pengendalian atas Struktur Organisasi

Tujuan audit atas pengendalian struktur organisasi adalah memverifikasi bahwa para individu dalam bidang kerja yang saling berurutan dipisahkan sesuai dengan tingkat resiko potensialnya dan sesuai dengan job description masing–

masing individu (Hall 2001:485).

Ada dua model sistem organisasi, yaitu sistem komputer terpusat atau sentralisasi dan sistem komputer dengan distribusi data atau desentralisasi.

Adapun keunggulan Pemrosesan Data Sentralisasi adalah dapat terhindarnya masalah ketidakkonsistenan data karena pemrosesan terjadi secara terpusat, adanya pemisahan yang memadai diantara tugas-tugas yang ada, menghindari adanya pembagian tugas yang berlebihan, misalnya aplikasi program yang diciptakan dapat dipakai secara bersama karena aplikasi tersebut mencerminkan kebutuhan pemakai secara keseluruhan (Hall 2001:28).

Dalam perusahaan yang menerapkan sistem komputer sentralisasi database yang dimiliki hanya pada server dan semua pemrosesan data terjadi di pusat. Ada beberapa pemisahan tugas dalam sistem sentralisasi, yaitu :

1. Memisahkan orang yang bertugas dalam pengembangan sistem dari orang yang menjalankan operasi komputer.

Pemisahan personel yang melakukan pengembangan sistem dengan orang yang menjalankan operasi perlu dilakukan karena orang ini tahu celah dari sistem dan hal ini akan sangat memungkinkan terjadinya tindak kecurangan (Hall 2001:373).

2. Pemisahan personel Database administrator dari fungsi-fungsi lainnya.

Database administrator atau DBA adalah orang yang bertanggung jawab untuk menjamin keamanan dan lalu lintas data dalam suatu sistem. Jika fungsi

(7)

ini tidak dipisahkan, maka akan dapat mempengaruhi integritas database (Hall 2001:373).

3. Pemisahan fungsi Pengembangan Sistem Baru dari fungsi Pemeliharaan.

Fungsi pengembangan sistem bertanggung jawab untuk menganalisa kelemahan sistem yang digunakan sekarang dan bertugas untuk mendesain sistem yang baru sesuai dengan kebutuhan perusahaan. Sedangkan fungsi pemeliharaan sistem bertanggungjawab untuk menjamin bahwa sistem yang digunakan oleh perusahaan masih memadai dan kemudian juga perlu dilakukan pengujian secara berkala. Kedua fungsi ini perlu dipisahkan karena jika tidak dipisahkan dan suatu saat terdapat kesalahan sistem maka kesalahan atau kelemahan sistem tersebut tidak akan diungkap dan ditutup–tutupi untuk kepentingannya sendiri.

4. Memisahkan fungsi Data Library dari Kegiatan Operasional.

Pemisahan personel data library dari orang yang menjalankan kegiatan operasi dengan tujuan untuk menjamin keamanan fisik data file yang disimpan dalam perpustakaan data (off-line data) (Hall 2001:375).

2.6.2 Pengendalian atas Pusat Komputer

Tujuan audit pengendalian atas pusat komputer adalah untuk menjamin keamanan fisik lingkungan pusat komputer , memastikan adanya jaminan asuransi yang cukup memadai atas perangkat ruang server, serta untuk memastikan bahwa Disaster Recovery Plan (DRP) yang dimiliki oleh perusahaan memadai .

Berbagai bencana alam yang terjadi dapat merusak fasilitas pemrosesan data organisasi dan menghentikan fungsi-fungsi yang dijalankan dengan bantuan komputer. Jika suatu kerusakan terjadi, organisasi tidak hanya kehilangan investasinya dalam fasilitas pemrosesan data dan juga dapat kehilangan kemampuannya untuk menjalankan bisnis (Hall 2001:387). Untuk meminimalisasi hal tersebut dibutuhkan suatu kontrol terhadap pusat komputer. Ada dua komponen pengendalian pusat komputer, yaitu :

1. Pusat Komputer, pengendalian yang terkait meliputi :

a. Lokasi Fisik, Pusat komputer hendaknya diletakkan di tempat yang tersembunyi, tidak mudah dijangkau oleh banyak orang, pembangunan

(8)

lokasinya harus memakai bahan yang tidak mudah terbakar, harus dekat dengan pengguna data agar keamanan data lebih terjamin dan transfer data dapat lebih cepat.

b. Konstruksi, Pusat komputer haruslah dibangun pada tempat yang bebas dari kelembaban, debu, api, dan panas juga tidak terlalu jauh dari sumber data

c. Akses, Tidak semua orang boleh masuk dalam pusat komputer. Aksesnya harus dibatasi dan sebaiknya dipasang kamera untuk monitoring

d. Pendingin ruangan/AC, Suhu ruangan dalam pusat komputer harus dijaga jangan sampai terlalu panas. Suhu terbaik berkisar antara 70 sampai 75 derajat Farenheit dengan tingkat kelembaban 50 persen.

e. Alat Pemadam Api, umumnya harus mempunyai :

• alarm otomatis dan manual serta harus ditempatkan pada tempat yang strategis, misalnya dekat dengan instalasi

• ada sistem pemadam kebakaran otomatis yang mengeluarkan zat-zat pemadam api yang tepat (seperti karbondioksida atau halon) untuk lokasi tersebut.

• pemadam kebakaran manual yang ditempatkan pada lokasi yang strategis.

• gedung pusat komputer harus dibangun dengan konstruksi yang kuat agar tidak mudah terbakar.

f. Pasokan Listrik, Pusat komputer perlu ditunjang dengan penggunaan genset ataupun penggunaan UPS untuk mengantisipasi kehilangan data pada saat terjadi pemadaman listrik secara mendadak.

2. Disaster Recovery Planning ( DRP)

Tujuan audit atas DRP ini adalah untuk memverifikasi antara DRP yang sudah ada dengan kebutuhan perusahaan dan menilai apakah DRP yang digunakan selama ini memadai atau tidak

DRP ini adalah suatu rencana pemulihan sistem setelah terjadinya kerusakan.

DRP ini pada umumnya bersifat tertulis dan berisi tentang langkah–langkah apa yang harus segera diambil jika terjadi suatu kerusakan meliputi langkah–langkah

(9)

antisipasi sebelum kerusakan terjadi, selama kerusakan terjadi dan setelah kerusakan terjadi (Hall 2000:47). Komponen yang termasuk dalam DRP adalah : a. Identifikasi aplikasi–aplikasi penting

Upaya pemulihan harus terkonsentrasi pada pemasangan kembali aplikasi- aplikasi yang penting untuk perkembangan jangka pendek organisasi (Hall 2000:49)

b. Melakukan prosedur backup dan off-site storage, yang meliputi :

- backup data files, tiap data yang disimpan harus dibuat salinannya tiap hari dan disimpan secara terpisah

- backup documentation, dokumentasi sistem harus ada salinannya dan disimpan secara terpisah

- backup supplies and source documents, harus ada cadangan perlengkapan dan dokumen sumber yang penting bagi perusahaan

2.6.3 Pengendalian atas Sistem Operasi

Tujuan audit pengendalian atas sistem operasi adalah untuk memastikan adanya pemberian hak akses yang konsisten dan adanya penerapan password untuk mencegah adanya akses yang tidak terotorisasi ke dalam sistem.

Sistem Operasi adalah serangkaian program operasi yang digunakan untuk menjalankan sistem komputernya. Sistem operasi ini harus diuji coba untuk mengetahui resiko apa yang mungkin dapat terjadi. Sistem operasi ini memungkinkan para pemakai dan aplikasi-aplikasi untuk digunakan secara bersama-sama dan mengakses sumber daya komputer secara bersama pula, seperti prosesor, memori utama, database, dan printer (Hall 2001:352). Pengendalian sistem operasi ini meliputi :

1. Prosedur Log-On, Sebuah prosedur formal yang merupakan pengamanan pertama sistem operasi terhadap akses kedalam sistem yang tidak memiliki otorisasi.

2. Access Token, Jika user berhasil log-On maka sistem operasi akan membuat access token yang berisi tentang data siapa user yang akses, nomor ID dari user yang bersangkutan serta hak–hak user saat akses dalam sistem

(10)

3. Daftar Kontol Akses, daftar ini berisi tentang informasi hak–hak dari user yang akses. Jika access token dari user sesuai dengan daftar yang ada pada daftar kontrol akses maka user tersebut diperbolehkan untuk akses

4. Pengendalian hak istimewa untuk akses (priviledge access), diberikan kepada individu-individu atau seluruh kelompok kerja yang diotorisasi untuk menggunakan sistem dan priviledge access yang diawasi secara ketat agar sesuai dengan kebijakan organisasi dan prinsip-prinsip kontrol internal (Hall 2000:55).

5. Pengendalian password, merupakan sebuah kode rahasia yang dimasukkan oleh pemakai agar dapat mengakses sistem, aplikasi-aplikasi, file-file data, atau server jaringan (Hall 2000:55).

6. Pengendalian terhadap Virus dan Program Destruktif Lainnya, Virus biasanya melekatkan dirinya pada program yang sah untuk mengacaukan sistem operasi dan dapat menghancurkan program aplikasi, file data, dan sistem operasi dalam beberapa cara (Hall 2000:57).

7. Pengendalian jejak audit (Audit trails), merupakan catatan harian yang dapat didesain untuk mencatat aktivitas pada sistem, aplikasi, dan pada tingkat pemakai. Ketika diimplementasikan dengan benar, Audit Trail menjadi kontrol deteksi yang penting untuk membantu pencapaian tujuan dari kebijakan keamanan sistem. (Hall 2000:61).

8. Pengendalian Toleransi Kesalahan (Fault Tolerance), adalah kemampuan sistem untuk melanjutkan operasi ketika sebagian sistem gagal karena kegagalan perangkat lunak, kesalahan program aplikasi, atau kesalahan operator (Hall 2000:62)

2.6.4 Pengendalian atas Personal Computer/ PC

Tujuan audit pengendalian atas PC adalah untuk memverifikasi siapa saja user yang dapat akses untuk mengoperasikan komputer serta untuk memverifikasi bahwa program yang ada pada tiap PC sesuai dengan kebutuhan masing-masing user.

(11)

Pengendalian atas personal computer/ PC dibagi menjadi empat bagian yaitu: pengendalian akses, pemisahan tugas, backup data dan prosedur pemilihan software (Hall 2000:64).

1. Pengendalian Akses

Pengendalian akses diterapkan untuk mencegah adanya akses yang tidak terotorisasi. Tiap komputer dilengkapi dengan password untuk membatasi siapa saja yang dapat akses ke dalam computer tersebut

2. Pemisahan Tugas

Pemisahan tugas ini diterapkan untuk memverifikasi adanya pemisahan fungsi antara pengguna, operator dan pembuat program (programmer). Hal ini bertujuan untuk mencegah terjadinya penyalahgunaan wewenang oleh individu tertentu.

3. Backup

Prosedur backup atas PC ini bertujuan untuk memverifikasi bahwa backup yang dilakukan mampu mencegah terjadinya kehilangan data maupun program atas kegagalan hardware.

4. Prosedur Pemilihan Program

Prosedur ini bertujuan untuk memverifikasi apakah software yang terdapat dalam komputer sudah sesuai dengan kebutuhan perusahaan, bebas dari error dan virus serta terlindung dari akses yang tidak terotorisasi.

2.6.5 Pengendalian atas Manajemen Data

Tujuan audit atas pengendalian manajemen data adalah untuk memverifikasi pengendalian atas sumber data telah memadai untuk menjamin integritas data dan menjamin keamanan data dalan database.

Pengendalian atas manajemen data dibagi menjadi dua kategori, yaitu: Access Controls (pengendalian akses) dan Backup Controls (pengendalian pendukung).

Pengendalian Akses didesain untuk mencegah adanya akses yang tidak terotorisasi yang untuk melihat data, mengambil data, serta dapat merusak data perusahaan (Hall 2000:102). Sedangkan pengendalian pendukung didesain untuk memastikan jika ada data perusahan yang hilang atau rusak ada salinannya dalam database (Hall 2000:102)

(12)

1. Access Controls (Pengendalian Akses)

Pengendalian Akses didesain untuk mencegah adanya akses yang tidak terotorisasi yang untuk melihat data, mengambil data serta dapat merusak data perusahaan. Dalam penggunaan database yang terintegrasi masalah keamanan data dapat menjadi salah satu masalah yang serius karena dapat menimbulkan acaman atas keamanan dan integritas data perusahaan. Ancaman–ancaman yang mungkin timbul adalah pencurian data, korupsi data serta adanya perusakan data. Masalah–masalah ini dapat disebabkan karena adanya akses yang tidak terotorisasi atau ada individu yang menyalahgunakan otoritas hak aksesnya.

2. Backup Controls (pengendalian pendukung)

Pengendalian pendukung didesain untuk memastikan jika ada data perusahan yang hilang atau rusak ada salinannya dalam database perusahaan. Untuk dapat memulihkan data–data perusahaan yang hilang atau rusak, perusahaan harus mengimplementasikan kebijakan, prosedur dan teknik yang secara rutin dan sistematis dapat menyediakan salinan pendukung untuk data-data penting perusahaan (Hall 2000:107).

Pengendalian pendukung dalam lingkungan database perlu untuk dilakukan karena dalam lingkungan tersebut terjadi sharing data antar departemen perusahaan. Lingkungan database tempat terjadinya sharing data sangat rentan terhadap kerusakan yang ditimbulkan oleh para pemakai database perusahaan. Berikut adalah beberapa fitur yang disediakan oleh manajemen data, yaitu (Hall 2000:110):

a. Backup, sistem akan membuat data pendukung secara periodik untuk database secara keseluruhan. Prosedur otomatis ini dilakukan sedikitnya satu kali dalam sehari. Dokumen pendukung (backup data) ini kemudian disimpan dalam tempat yang terpisah dan aman (Hall 2000: 110).

b. Transaction Log (Jurnal), menyediakan audit trail untuk semua transaksi yang diproses (Hall 2000:110).

(13)

2.6.5 Pengendalian atas Pemeliharaan dan Pengembangan Sistem

Tujuan pengendalian atas pemeliharaan dan pengembangan sistem adalah untuk memverifikasi apakah aktifitas pemeliharaan sistem telah memadai untuk melidungi program aplikasi dari perubahan program yang tidak terotorisasi.

Aktifitas pemeliharaan sistem merupakan aktifitas yang dilaksanakan setelah sistem diimplementasikan dan dioperasikan. Sedangkan aktifitas pengembangan sistem merupakan aktifitas upgrading sistem jika sistem yang telah digunakan sekarang dirasa sudah tidak memadai.

Aktifitas pemeliharaan sistem ini merupakan periode yang paling lama dalam struktur System Development Life Cycle (SDLC) karena membutuhkan beberapa tahun untuk melakukannya. Suatu sistem yang telah diimplementasikan perlu untuk dipelihara, hal ini bertujuan untuk memastikan bahwa sistem yang digunakan bebas dari error, sehingga tidak akan mengganggu jalannya aktifitas operasional perusahaan. Ada beberapa komponen dalam pemeliharaan sistem ini, yaitu (Hall 2000:149):

a. Pemeliharaan otorisasi, pengujian dan dokumentasi

Akses masuk dalam sistem saat menjalankan aktifitas pemeliharaan dapat meningkatkan resiko adanya pencurian data atau korupsi data. Pencurian data dapat terjadi karena adanya kesengajaan maupun tanpa sengaja yang mengarah pada terjadinya kecurangan. Untuk meminimalkan terjadinya pencurian ini, ada empat pengendalian yang dapat dilakukan yaitu otorisasi formal, spesifikasi teknik, pengujian kembali atas sistem dan updating dokumentasi.

Jika aktifitas pemeliharaan yang dilakukan menyebabkan perubahan yang signifikan pada program maka perlu diberikan pengendalian tambahan dari internal auditor.

b. Pengendalian atas source program library (SPL)

Tujuan audit atas pengendalian SPL adalah untuk mendeteksi adanya pemeliharaan program yang tidak terotorisasi dan untuk memastikan apakah program aplikasi yang digunakan benar–benar bebas dari error.

Source Program Library merupakan media penyimpanan data berupa magnetic disks yang berisi tentang kode sumber (source code) program aplikasi perusahaan (Hall 2000:149). SPL merupakan daerah yang sangat

(14)

rentan dan sensitif, oleh karena itu perlu diterapkan pengendalian yang sangat memadai. Jika SPL ini diterapkan tanpa pengendalian maka akan timbul dua masalah yang besar yaitu: (Hall 2000:150)

- adanya akses masuk dalam program yang tidak dibatasi dan tidak ada tindakan yang dapat mendeteksi akses yang tidak terotorisasi

- karena kelemahan pengendalian yang terjadi maka program aplikasi sangat rentan terhadap perubahan yang dilakukan oleh pihak–pihak yang tidak mempunyai otorisasi

Lingkungan pengendalian SPL yang harus diterapkan antara lain: Penerapan password control dimana setiap program aplikasi yang penting harus mempunyai password masing–masing dan password tersebut harus dijaga kerahasiannya. Pemisahan test libraries, dalam konsep ini program disalin ke dalam data programmer untuk dipelihara dan diuji coba. Dimana akses langsung ke SPL dibatasi hanya pada kelompok petugas perpustakaan tertentu yang menyetujui semua permintaan untuk modifikasi, menghapus, dan menyalin program. Nomor versi program, SPL akan secara otomatis menetapkan nomor program yang tersimpan dalam perpustakaan. Audit trail dan laporan manajemen, fitur penting dari SPL ini adalah pembuatan laporan yang dapat meningkatkan pengendalian manajemen dan fungsi audit. Fungsi utama fitur ini adalah adanya laporan modifikasi program, yang secara rinci menjelaskan semua penambahan program maupun penghapusan program untuk setiap program aplikasi. Dalam pelaksanaan audit, laporan ini dapat direkonsiliasikan dengan permintaan pemeliharaan program untuk memverifikasi bahwa perubahan yang diiplementasikan sudah sesuai dengan prubahan yang diminta (Hall 2000:153).

2.6.7 Pengendalian atas Local Area Network (LAN)

Tujuan audit atas pengendalian Local Area Network (LAN) yaitu untuk memastikan integritas data dan keamanan data yang terhubung ke dalam jaringan, sebagai tindakan pencegahan dan untuk mendeteksi adanya akses yang tidak terotorisasi (Hall 2001:493).

(15)

LAN adalah jaringan yang terbatas pada area geografis dan dapat menghubungkan suatu gedung atau jaringan yang berada pada jarak kuarng lebih sepuluh kilometer saja. LAN dapat digunakan untuk voice dan video transmission.

Node yang menghubungkan LAN biasanya microcomputer berbasis workstation (Hall 2000:167). Backup data dalam jaringan dapat berbeda–beda tergantung dari kompleksitas jaringan tersebut. Dalam jaringan yang kecil suatu sistem kerja tunggal dapat memiliki backup data dan memulihkan fungsi-fungsi untuk simpul- simpul lainnya. Ketika jaringan semakin kompleks dan melibatkan banyak simpul dan ada peningkatan kuantitas pemakaian data maka backup data biasanya dilakukan pada server (Hall 2000:195).

Pada Client Server pendistribusian data terjadi antara komputer user dan server pada pusat komputer. Kedua komputer ini mmerupakan bagian dari jaringan tetapi mempunyai fungsi masing - masing.