11
LANDAS AN TEORI
2.1 Teori Umum
2.1.1 Pengertian Evaluasi
M enurut Kamus Besar Bahasa Indonesia, “Evaluasi adalah proses penilaian yang sistematis mencakup pemberian nilai, atribut, apresiasi dan pengenalan permasalahan serta pemberian solusi-solusi atas permasalahan yang ditemukan.”
M enurut husein (2005, p.36), “Evaluasi adalah suatu proses untuk menyediakan informasi tentang sejauh mana suatu standar tertentu untuk mengetahui apakah ada selisih diantara keduanya, serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan yang diperoleh.”
Jadi secara umum evaluasi adalah menganalisis dan memberi penilaian serta solusi terhadap masalah yang ditemukan.
2.1.1.2 Pentingnya Evaluasi
Gondodiyoto (2007, p.150), mengemukakan “sistem informasi (akuntansi) terutama yang berbasis teknologi informasi perlu dievaluasi (atas efektivitas dan efisiennya) karena berbagai alasan. Alasan pertama adalah karena lazimnya memerlukan dana investasi yang sangat besar. Alasan kedua adalah sistem tersebut melibatkan hampir seluruh posisi kunci dan bahkan mungkin seluruh anggota organisasi. Alasan lain ialah bahwa faktor resiko, kontrol internal, dan dampak kalau terjadi permasalahan akan sangat vital dan kompleks.”
2.1.2 Pengertian Sistem
M enurut Husein (2006, p.137), mengemukakan “sistem adalah seperangkat komponen yang saling berhubungan dan saling bekerja sama untuk mencapai beberapa tujuan.”
M enurut Hall (2007, p.6), “sistem adalah kelompok dari dua atau lebih komponen atau subsistem yang saling berhubungan yang berfungsi dengan tujuan yang sama.”
Sedangkan menurut O’Brien (2005, p.29), “Sistem adalah sekelompok komponen yang saling berhubungan, bekerja sama untuk mencapai tujuan bersama dengan menerima input serta menghasilkan output dalam proses transformasi yang teratur.”
Jadi secara umum sistem dapat diartikan sebagai suatu rangkaian yang terdiri dari komponen-komponen yang saling mendukung satu sama lain dalam pencapaian tujuan yang diharapkan.
2.1.3 Pengertian Informasi
M enurut Hall (2007, p.617), “Informasi adalah fakta yang menyebabkan penggunanya melakukan tindakan yang tidak akan dapat dilakukannya atau tidak dilakukannya, jika tidak ada fakta tersebut.”
M enurut Husein (2006, p.5), “informasi adalah data yang telah diolah menjadi suatu bentuk yang mempunyai arti dan bermanfaat bagi manusia.”
Jadi dapat disimpulkan bahwa informasi merupakan data yang telah diproses yang menghasilkan suatu arti bagi yang menerimanya.
2.1.4 Pengertian Sistem Informasi
M enurut O’Brien (2005, p.5), “Sistem informasi dapat merupakan kombinasi teratur apa pun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi.”
M enurut Hall (2007, p.9), “Sistem informasi adalah serangkaian prosedur formal dimana data dikumpulkan, diproses menjadi informasi dan didistribusikan ke para penggunanya.”
M enurut Gelinas, Dull (2008, p.13), “An information system (IS) is a man-made system that generally consists of an integrated set of computer-based components and manual components established to collect, store, and manage data and to provide output information to users.”
Jadi dapat disimpulkan bahwa sistem informasi merupakan suatu integrasi dari komponen-komponen yang saling terkait yang telah memproses suatu data menjadi informasi yang berguna untuk membantu dalam menjalankan proses bisnis.
2.1.4.1 Tujuan Sistem Informasi
Berdasarkan Hall (2007, p.21) menyatakan, “ tujuan-tujuan sistem informasi sebagai berikut :
1. M endukung fungsi penyediaan pihak manajemen
Administrasi mengacu pada tanggung jawab pihak manajemen untuk mengelola dengan baik sumber daya perusahaan. Sistem informasi menyediakan informas i mengenai penggunaan sumber daya kepada para pengguna eksternal melalui laporan keuangan tradisional serta dari berbagai laporan lain yang diwajibkan. Secara
internal, pihak manajemen menerima informasi pelayanan dari berbagai laporan pertanggungjawaban.
2. M endukung pengambilan keputusan pihak manajemen
Sistem informasi memberikan informasi kepada pihak manajemen informasi yang dibutuhkan untuk melaksanakan tanggung jawab pengambilan keputusan tersebut. 3. M endukung operasional harian perusahaan
Sistem informasi menyediakan informasi bagi para personel operasional untuk membantu mereka melaksanakan pekerjaan hariannya dengan cara yang efisien dan efektif.
2.1.4.2 Peran Dasar Sistem Informasi dalam Bisnis
M enurut O’Brien (2005, p.10), “terdapat tiga alasan mendasar untuk semua aplikasi bisnis dalam teknologi informasi. M ereka dapat ditemukan dalam tiga peran penting yang dapat dilakukan sistem informasi untuk sebuah perusahaan bisnis.
1. M endukung proses dan operasi bisnis
2. M endukung pengambilan keputusan para pegawai dan manajernya 3. M endukung berbagai strategi untuk keunggulan kompetitif
2.1.4.3 Aktivitas S istem Informasi
M enurut O’Brien (2005, p.39), aktivitas sistem informasi terdiri dari: a. Input Sumber Daya Data
Data mengenai transaksi bisnis dan kegiatan lainnya harus ditangkap dan disiapkan untuk pemrosesan melalui aktivitas input. Input biasanya berbentuk aktivitas entri data seperti pencatatan dan pengeditan. Para pemakai akhir biasanya memasukkan data secara langsung ke dalam sistem komputer, atau mencatat data mengenai transaksi dari beberapa jenis media fisik seperti formulir kertas. Hal ini biasanya
meliputi berbagai aktivitas edit untuk memastikan bahwa mereka telah mencatat data dengan benar. Begitu dimasukkan, data bisa dipindahkan ke dalam media yang dapat dibaca mesin, seperti magnetic disk hingga dibutuhkan untuk pemrosesan b. Pemrosesan Data menjadi Informasi
Data biasanya tergantung pada aktivitas pemrosesan seperti penghitungan, perbandingan, pemilahan, pengklasifikasian, dan pengikhtisaran. Aktivitas-aktivitas ini mengatur, menganalisis, dan memanipulasi data, hingga mengubahnya ke dalam informasi bagi para pemakai akhir. Kualitas data apa pun yang disimpan dalam sistem informasi juga harus dipelihara melalui proses terus-menerus dari aktivitas perbaikan dan pembaruan.
c. Output Produk Informasi
Informasi dalam berbagai bentuk dikirim ke pemakai akhir dan disediakan untuk mereka dalam aktivitas output. Tujuan dari sistem informasi adalah untuk menghasilkan produk informasi yang tepat bagi para pemakai akhir. Produk informasi umum meliputi pesan, laporan, formulir, dan gambar grafis, yang dapat disediakan melalui tampilan video, respons audio, produk kertas, dan multimedia. d. Penyimpanan Sumber Daya Data
Penyimpanan adalah komponen sistem dasar sistem informasi. Penyimpanan adalah aktivitas sistem informasi tempat data dan informasi disimpan secara teratur untuk digunakan kemudian.
e. Pengendalian Kinerja Sistem
Aktivitas sistem informasi yang penting adalah pengendalian kinerja sistem. Sistem informasi harus menghasilkan umpan balik mengenai aktivitas input, pemrosesan, output, dan penyimpanan. Umpan balik ini harus diawasi dan dievaluasi untuk
menetapkan apakah sistem dapat memenuhi standar kinerja yang telah ditetapkan. Kemudian, aktivitas sistem yang tepat harus disesuaikan agar produk informasi yang tepat dihasilkan bagi para pemakai akhir.
2.1.5 Pengertian Sistem Informasi Akuntansi
M enurut Rama dan Jones (2008, p.6), “Sistem Informasi Akuntansi itu adalah suatu subsistem dari Sistem Informasi M anajemen yang menyediakan informasi akuntansi dan keuangan, juga informasi lain yang diperoleh dari pengolahan rutin atas transaksi akuntansi.”
M enurut Barry E. Cushing yang dikutip oleh Baridwan (2008, p.3), “sistem informasi akuntansi adalah suatu set sumber daya manusia dan modal dalam suatu organisasi, yang bertugas untuk menyiapkan informasi keuangan dan juga informasi yang diperoleh dari kegiatan pengumpulan dan pengolahan data transaksi.”
Dapat disimpulkan pengertian Sistem Informasi Akuntansi merupakan bagian dari sistem informasi manajemen yang menggabungkan sumber daya yang ada untuk diatur dan diproses menjadi informasi yang berkaitan dengan transaksi akuntansi.
2.1.5.1 Prinsip-prinsip Sistem Informasi Akuntansi
M enurut Gondodiyoto (2007, p123), “prinsip-prinsip yang harus dipertimbangkan di dalam penyusunan sistem informasi akuntansi adalah :
1. Keseimbangan biaya dengan manfaat
Yang dimaksud dengan keseimbangan antara biaya dengan manfaat ialah bahw a sistem akuntansi suatu perusahaan harus disusun dengan sebaik-baiknya, tetapi dengan biaya yang semurah-murahnya. M aksudnya adalah sistem akuntansi harus sesuai dengan kebutuhan masing-masing perusahaan tetapi juga harus dengan pertimbangan manfaat yang diperoleh harus lebih besar dari biayanya
2. Luwes dan dapat memenuhi perkembangan
Ciri khas suatu perusahaan modern adalah perubahan (organization change). Setiap perubahan harus terus-menerus menyesuaikan diri dengan lingkungan dan perkembangannya, termasuk perubahan kebijakan, perubahan peraturan, dan perkembangan teknologi. Sistem akuntansi harus luwes dalam menghadapi tuntutan perubahan tersebut (flexibility to meet future needs)
3. Pengendalian internal yang memadai
Suatu sistem akuntansi harus dapat menyajikan informasi akuntansi yang diperlukan oleh pengelola perusahaan sebagai pertanggungjawaban kepada pemilik, maupun kepada pihak-pihak yang berkepentingan lainnya. Informasi yang disajikan harus bebas bias, error, dan hal lain yang dapat menyesatkan. Selain dari itu sistem akuntansi juga harus dapat menjadi alat manajemen untuk menjalankan/mengendalikan operasi perusahaan, termasuk pengamanan aset perusahaan (adequate internal control)
4. Sistem pelaporan yang efektif
Bila kita menyiapkan laporan, maka pengetahuan tentang pemakai laporan (yaitu mengenai keinginannya, kebutuhan saat ini dan yang akan datang) harus dapat diketahui dengan sebaik-baiknya sehingga kita dapat menyajikan informasi yang relevan dan dipahami oleh mereka yang menggunakannya.
2.1.5.2 Kegunaan Sistem Informasi Akuntansi
M enurut Gondodiyoto (2007, p.124) sistem informasi akuntansi memiliki tujuan atau manfaat/kegunaan sebagai berikut :
a. Untuk melakukan pencatatan (recording) transaksi dengan biaya klerikal seminimal mungkin dan menyediakan informasi (information value added mechanism) bagi
pihak intern untuk pengelolaan kegiatan usaha (managers) serta para pihak terkait (stockholder/stakeholder).
b. Untuk memperbaiki informasi yang dihasilkan oleh sistem yang sudah ada, baik mengenai mutu, ketepatan penyajian maupun struktur informasinya.
c. Untuk menerapkan (implementasi) sistem pengendalian intern, memperbaiki kinerja dan tingkat keandalan (reliability) informasi akuntansi dan untuk menyediakan catatan lengkap mengenai pertanggungjawaban (akuntanbilitas).
d. M enjaga/meningkatkan perlindungan kekayaan perusahaan.
M enurut Rama dan Jones (2008, p.7), mengemukakan terdapat 5 kegunaan Sistem Informasi Akuntansi, yaitu :
1. M embuat Laporan Eksternal
Perusahaan menggunakan sistem informasi akuntansi untuk menghasilkan laporan-laporan khusus untuk memenuhi kebutuhan informasi dari para investor, kreditor, dinas pajak, badan-badan pemerintah, dan yang lain. Laporan-laporan ini mencakup laporan keuangan, SPT pajak, dan laporan yang diperlukan oleh badan-badan pemerintah yang mengatur perusahaan dalam industri perbankan dan utilitas 2. M endukung Aktivitas Rutin
Para manajer memerlukan sistem informasi akuntansi untuk menangani aktivitas operasi rutin sepanjang siklus operasi perusahaan itu. Contohnya antara lain menerima pesanan pelanggan, mengirimkan barang dan jasa, membuat faktur penagihan pelanggan, dan menagih kas ke pelanggan. Sistem komputer mahir menangani transaksi-transaksi yang berulang, dan banyak paket peranti lunak akuntansi yang mendukung fungsi-fungsi yang rutin ini. Teknologi lain, seperti scanner untuk memindai kode produk, meningkatkan efisiensi dari proses bisnis
3. M endukung Pengambilan Keputusan
Informasi juga diperlukan untuk mendukung pengambilan keputusan yang tidak rutin pada semua tingkat dari suatu organisasi. Contohnya antara lain mengetahui produk-produk yang penjualannya bagus dan pelanggan mana yang paling banyak melakukan pembelian. Informasi ini sangat penting untuk merencanakan produksi baru, memutuskan produk-produk apa yang harus ada di persediaan, dan memasarkan produk kepada para pelanggan
4. Perencanaan dan Pengendalian
Suatu sistem informasi juga diperlukan untuk aktivitas perencanaan dan pengendalian. Informasi mengenai anggaran dan biaya standar disimpan oleh sistem informasi, dan laporan dirancang untuk membandingkan angka anggaran dengan jumlah aktual. M enggunakan pemindai untuk mencatat barang yang dibeli dan dijual mengakibatkan terkumpulnya jumlah informasi yang sangat banyak dengan biaya yang rendah, memungkinkan pengguna untuk merencanakan dan mengendalikan dengan lebih terperinci. Sebagai contoh, analisis pendapatan dan beban bisa dilakukan di tingkatan produk secara individu
5. M enerapkan Pengendalian Internal
Pengendalian internal (internal control) mencakup kebijakan-kebijakan, prosedur-prosedur, dan sistem informasi yang digunakan untuk melindungi aset-aset perusahaan dari kerugian atau korupsi, dan untuk memelihara keakuratan data keuangan. Dimungkinkan untuk membangun pengendalian ke dalam suatu sistem informasi akuntansi yang terkomputerisasi untuk membantu mencapai tujuan ini. Sebagai contoh, satu sistem informasi dapat menggunakan kata sandi (password) untuk mencegah individu lain memiliki akses ke format data entri dan laporan yang
tidak diperlukan untuk menjalankan pekerjaan mereka. Selain itu, format data entri dapat dirancang untuk secara otomatis memeriksa error dan mencegah jenis tertentu dari data entri yang akan melanggar aturan-aturan yang sudah dibuat.
2.1.6 Pengertian Pengendalian Internal
M enurut Gondodiyoto (2009, p.133) yang mengutip dari Information System Audit and Control Association (ISACA, dalam Cangemi 2003, p.65) menyatakan bahwa internal control adalah:
The policies, procedures, practice and organizational structures, designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented, or detected, and corrected.
Gondodiyoto (2009, p.133) yang mengutip dari The Institute of Internal Auditors (IIA) adalah:
The attitude and actions of management and the board regarding the significance of control within the organization. The control environment provides the discipline and structure for the achievement of the primary objectives of the system of internal control. The control environment includes the following elements: integrity and ethical values, manage-ment’s philosophy and operating style, organizational structure, assignment of authority and responsibility, human resources policies and practices, and competence of personnel.
M enurut M ulyadi (2001, p.163) mengemukakan, “Sistem pengendalian intern meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya manajemen.”
M enurut Rama dan Jones (2008, p.132), “pengendalian internal (internal control) adalah suatu proses, yang dipengaruhi oleh dewan direksi entitas, manajemen, dan personel lainnya, yang dirancang untuk memberikan kepastian yang beralasan terkait dengan pencapaian sasaran kategori sebagai berikut : efektifitas dan efisiensi operasi; keandalan pelaporan keuangan; dan ketaatan terhadap hukum dan peraturan yang berlaku.”
Berdasarkan definisi yang sudah disebutkan maka dapat disimpulkan bahwa sistem pengendalian intern adalah suatu perencanaan yang berisi kebijakan, prosedur, dan standar yang dikelola untuk menjaga dan mengendalikan kegiatan proses bisnis agar berjalan secara efektif, efisien, dan sesuai yang diharapkan.
2.1.6.1 Tujuan Pengendalian Intern
M enurut M ulyadi (2001, p.180), “Rincian tujuan pengendalian intern akuntansi adalah sebagai berikut :
1. M enjaga kekayaan perusahaan
a. Penggunaan kekayaan perusahaan hanya melalui sistem otorisasi yang telah ditetapkan
b. Pertanggungjawaban kekayaan perusahaan yang dicatat dibandingkan dengan kekayaan yang sesungguhnya ada;
2. M engecek ketelitian dan keandalan data akuntansi
a. Pelaksanaan transaksi melalui sistem otorisasi yang telah ditetapkan b. Pencatatan transaksi yang terjadi dalam catatan akuntansi;
Tujuan tersebut dirinci lebih lanjut sebagai berikut :
a. Penggunaan kekayaan perusahaan hanya melalui sistem otorisasi yang telah ditetapkan :
1) Pembatasan akses langsung terhadap kekayaan 2) Pembatasan akses tidak langsung terhadap kekayaan
b. Pertanggungjawaban kekayaan perusahaan yang dicatat dibandingkan dengan kekayaan yang sesungguhnya ada :
1) Perbandingan secara periodik antara catatan akuntansi dengan kekayaan yang sesungguhnya ada
2) Rekonsiliasi antara catatan akuntansi yang diselenggarakan c. Pelaksanaan transaksi melalui sistem otorisasi yang telah ditetapkan :
1) Pemberian otorisasi oleh pejabat yang berwenang
2) Pelaksanaan transaksi sesuai dengan otorisasi yang diberikan oleh pejabat yang berwenang
d. Pencatatan akuntansi yang terjadi dalam catatan akuntansi 1) Pencatatan semua transaksi yang terjadi
2) Transaksi yang dicatat adalah benar-benar terjadi 3) Transaksi yang dicatat dalam jumlah yang benar
4) Transaksi dicatat dalam periode akuntansi yang seharusnya 5) Transaksi dicatat dengan penggolongan yang seharusnya 6) Transaksi dicatat dan diringkas dengan teliti
3. M eningkatkan efisiensi dan operasi kegiatan perusahaan
4. M endorong terlaksananya kepatuhan terhadap kebijaksanaan manajemen yang telah ditetapkan.
M enurut James A. Hall (2007, p.181), Tujuan dari pengendalian internal adalah: 1. M enjaga aset perusahaan
3. M endorong efisiensi dalam operasional perusahaan
4. M engukur kesesuian kebijakan serta prosedur yang ditetapkan oleh pihak manajemen
2.1.6.2 Unsur-unsur Pengendalian Intern
Laporan COSO yang dikutip dari buku Rama dan Jones (2008, p.134) mengidentifikasikan lima komponen pengendalian internal yang berpengaruh terhadap kemampuan organisasi dalam mencapai sasaran pengendalian internal.
1. Lingkungan pengendalian mengacu pada faktor-faktor umum yang menetapkan sifat organisasi dan mempengaruhi kesadaran karyawannya terhadap pengendalian. Faktor-faktor ini meliputi integritas, nilai-nilai etika, serta filosofi dan gaya operasi manajemen. Juga meliputi cara manajemen memberikan wewenang dan tanggun g jawab, mengatur dan mengembangkan karyawannya, serta perhatian dan arahan yang diberikan oleh dewan direksi
2. Penentuan resiko adalah identifikasi dan analisis risiko yang mengganggu pencapaian sasaran pengendalian internal
3. Aktivitas pengendalian adalah kebijakan dan prosedur yang dikembangkan oleh organisasi untuk menghadapi risiko. Aktivitas pengendalian meliputi hal-hal berikut:
a. Penelaahan kinerja merupakan aktivitas-aktivitas yang mencakup analisis kinerja misalnya, melalui perbandingan hasil aktual dengan anggaran, proyeksi standar, dan data periode lalu
b. Pemisahan tugas mencakup pembebanan tanggung jawab untuk otorisasi transaksi, pelaksanaan transaksi, pencatatan transaksi, dan pemeliharaan aset kepada karyawan yang berbeda-beda
c. Pengendalian aplikasi diterapkan pada masing-masing aplikasi SIA
d. Pengendalian umum adalah pengendalian umum yang berkaitan dengan banyak aplikasi. Sebagai contoh, pengendalian yang membatasi akses ke komputer, peranti lunak, dan data perusahaan. Pengendalian umum juga mencakup pengendalian atas proses pengembangan dan pemeliharaan peranti lunak aplikasi
4. Informasi dan komunikasi. Sistem informasi perusahaan merupakan kumpulan prosedur (otomatisasi dan manual) dan record yang dibuat untuk memulai, mencatat, memproses, dan melaporkan kejadian pada proses entitas. Komunikasi meliputi penyediaan pemahaman mengenai peran dan tanggung jawab individu 5. Pengawasan. M anajemen harus mengawasi pengendalian internal untuk memastikan
bahwa pengendalian organisasi berfungsi sebagaimana dimaksudkan.
M ulyadi (2001, p.167-173), mengemukakan “unsur-unsur pengendalian intern adalah
1. Struktur organisasi yang memisahkan tanggungjawab fungsional secara tegas.
Struktur organisasi merupakan kerangka (framework) pembagian tanggungjawab fungsional kepada unit-unit organisasi yang dibentuk untuk melaksanakan kegiatan-kegiatan pokok perusahaan.
Pembagian tanggung jawab fungsional dalam organisasi ini didasarkan pada prinsip-prinsip dibawah ini :
a. Harus dipisahkan fungsi-fungsi operasi dan penyimpanan dari fungsi akuntansi b. Suatu fungsi tidak boleh diberi tanggung jawab penuh untuk melaksanakan
2. Sistem wewenang dan prosedur pencatatan yang memberikan perlindungan yang cukup terhadap kekayaan, utang, pendapatan dan biaya. Dengan adanya sistem otorisasi akan menjamin dihasilkannya dokumen pembukuan yang dapat dipercaya, sehingga akan menjadi masukan yang dapat dipercaya bagi proses akuntansi. Selanjutnya, prosedur-prosedur pencatatan yang baik akan menghasilkan informas i yang teliti dapat dipercaya mengenai kekayaan, utang, pendapatan dan biaya suatu organisasi
3. Praktek yang sehat dalam melaksanakan tugas dan fungsi setiap unit organisasi. Pembagian tanggung jawab fungsional dan sistem wewenang dan prosedur pencatatan yang telah ditetapkan tidak akan terlaksana dengan baik jika tidak diciptakan cara-cara untuk menjamin praktik yang sehat dalam pelaksanaannya. Adapun cara-cara yang umumnya ditempuh oleh perusahaan dalam menciptakan praktik yang sehat adalah :
a. Penggunaan formulir bernomor urut tercetak yang pemakaiannya harus dipertanggungjawabkan oleh yang berwenang
b. Pemeriksaan mendadak (surprised audit), dilaksanakan tanpa pemberitahuan terlebih dahulu terhadap pihak yang akan diperiksa, dengan jadwal yang tidak teratur
c. Setiap transaksi tidak boleh dilaksanakan dari awal sampai akhir oleh satu orang atau satu unit organisasi, tanpa ada campur tangan dari orang atau unit organisasi lain
d. Perputaran jabatan (job rotation), diadakan secara rutin akan dapat menjaga independensi pejabat dalam melaksanakan tugasnya, sehingga persekongkolan diantara mereka dapat dihindari
e. Keharusan pengambilan cuti bagi karyawan yang berhak. Karyawan kunci perusahaan diwajibkan mengambil cuti yang menjadi haknya
f. Secara periodik diadakan pencocokan fisik kekayaan dengan catatannya
g. Pembentukan unit organisasi yang bertugas untuk mengecek efektifitas unsur-unsur sistem pengendalian intern yang lain. Unit organisasi ini disebut satuan pengawas intern atau staf pemeriksaan intern
4. Karyawan yang mutunya sesuai dengan tanggung jawab.
Unsur-unsur mutu karyawan merupakan unsur sistem pengendalian intern yang paling penting. Untuk mendapatkan karyawan yang kompeten dan dapat dipercaya, berbagai cara berikut ini dapat ditempuh :
a. Seleksi calon karyawan berdasarkan persyaratan yang dituntut oleh pekerjaannya
b. Program yang baik dalam seleksi calon karyawan yang akan menjamin diperolehnya karyawan yang dapat memiliki kompetensi seperti yang dituntut jabatan yang akan dimiliki
c. Pengembangan pendidikan karyawan
d. Selama menjadi karyawan perusahaan-perusahaan sesuai dengan tuntutan perkembangan pekerjaannya.”
2.1.6.3 Pihak yang Berkepentingan dalam Pengendalian Internal
M enurut Gondodiyoto (2007, p.254), “pihak yang terkait atau berkepentingan terhadap pengendalian internal, yaitu :
Pihak manajemen organisasi berkepentingan terhadap pengendalian internal, karena struktur pengendalian intern suatu perusahaan pada dasarnya adalah tanggungjawab manajemen puncak (top management)
2. Dewan komisaris, auditor intern, dan sebagainya 3. Para karyawan perusahaan itu sendiri
4. Regulatory Body (Badan pengatur/pemerintahan atau ikatan profesi) 5. Auditor ekstern independen.”
2.1.6.4 Penggolongan Pengendalian Internal
M enurut Gondodiyoto (2007, p.250), “Pengendalian intern digolongkan dalam preventive, detection, corrective, yaitu :
1. Preventive Controls, yaitu pengendalian intern yang dirancang dengan maksud untuk mengurangi kemungkinan (atau mencegah/menjaga) jangan sampai terjadi kesalahan (kekeliruan, kelalaian, error) maupun penyalahgunaan (kecurangan, fraud). Contoh jenis pengendalian ini ialah misalnya desain formulir yang baik, itemnya lengkap, mudah diisi, serta user-training atau pelatihan kepada orang-oran g yang berkaitan dengan input sistem, sehingga mereka tidak melakukan kesalahan 2. Detection Controls, adalah pengendalian yang didesain dengan tinjauan agar apabila
data direkam (di-entry)/dikonversi dari media sumber (media input) untuk ditransfer ke sistem komputer dapat dideteksi bila terjadi kesalahan (maksudnya tidak sesuai dengan criteria yang ditetapkan). Contoh jenis pengendalian ini ialah misalnya jika seseorang mengambil uang di ATM , maka seharusnya program komputer mendeteksi jika dana tidak cukup, atau saldo minimal tidak mencukupi, atau melebihi jumlah maksimal yang diijinkan untuk pengambilan tiap harinya
3. Corrective Controls, ialah pengendalian yang sifatnya jika terdapat data yang sebenarnya error tetapi tidak terdeteksi oleh detection controls, atau data yang error yang terdeteksi oleh program validasi, harus ada prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data yang salah dengan maksud untuk mengurangi kemungkinan kerugian kalau kesalahan/penyalahgunaan tersebut sudah benar-benar terjadi”.
2.1.6.5 Keterbatasan Sistem Pengendalian Intern
M enurut Gondodiyoto (2007, p.253), disamping perlu diingat bahwa sistem pengendalian intern yang baik terbaik adalah bukan struktur pengendalian yang seketat mungkin secara maksimal, sistem pengendalian intern juga mempunyai keterbatasan-keterbatasan, antara lain sebagai berikut:
1. Persekongkolan (kolusi)
Pengendalian intern mengusahakan agar persekongkolan dapat dihindari sejauh mungkin, misalnya dengan mengharuskan giliran bertugas, larangan dalam menjalankan tugas-tugas yang bertentangan oleh mereka yang mempunyai hubungan kekeluargaan, keharusan mengambil cuti dan seterusnya. Akan tetapi pengendalian intern tidak dapat menjamin bahwa persekongkolan tidak terjadi
2. Perubahan
Struktur pengendalian intern pada suatu organisasi harus selalu diperbarui sesuai dengan perkembangan kondisi dan teknologi
3. Kelemahan manusia
Banyak kebobolan terjadi pada sistem pengendalian intern yang secara teoritis sudah baik. Hal tersebut dapat terjadi karena lemahnya pelaksanaan yang dilakukan oleh personil yang bersangkutan. Oleh karena itu personil yang paham dan
kompeten untuk menjalankannya merupakan salah satu unsur terpenting dalam pengendalian intern
4. Azas biaya-manfaat
Pengendalian juga harus mempertimbangkan biaya dan kegunaannya. Biaya untuk mengendalikan hal-hal tertentu mungkin melebihi kegunaannya, atau manfaat tidak sebanding dengan biaya yang dikeluarkan (cost-benefit analysis). M engenai pengendalian intern, seringkali dihadapi dilema antara menyusun sistem pengendalian yang komprehensif sedemikian rupa dengan biaya yang relative menjadi semakin mahal, atau se-optimal mungkin dengan risiko, biaya dan waktu yang memadai.
2.1.6.6 Sistem Pengendalian Intern pada Sistem Berbasis Komputer 2.1.6.6.1 Pengendalian Umum
M enurut Gondodiyoto (2007, p.301), Pengendalian Umum ialah sistem pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh.
M enurut Gondodiyoto (2007, p.301) ruang lingkup yang termasuk dalam pengendalian umum adalah sebagai berikut :
1. Pengendalian top manajemen (top management controls), dalam lingkup ini termasuk pengendalian manajemen sistem operasi (information system management controls)
Pengendalian pucuk pimpinan (top management controls) adalah sistem pengendalian intern yang ada pada suatu organisasi yang mendorong keterlibatan, kepedulian dan tanggung jawab pucuk pimpinan organisasi terhadap kegiatan TI
(teknologi informasi) pada organisasi tersebut, berikut semua konsekuensi, dampak dan syarat-syarat yang harus dipenuhi demi berjalannya sistem secara memadai. 2. Pengendalian manajemen pengembangan sistem (system development management
controls), termasuk manajemen program (programming management controls) Pengendalian pengembangan dan pemeliharaan sistem diperlukan untuk mencegah dan mendeteksi kemungkinan kesalahan pada waktu pengembangan dan pemeliharaan sistem (systems development/maintenance), serta untuk memperoleh keyakinan memadai bahwa sistem berbasis teknologi informasi dikembangkan dan dipelihara dengan cara yang efisien dan melalui proses otorisasi yang semestinya. 3. Pengendalian manajemen sumber data (data resources management controls)
Di dalam suatu sistem berbasis teknologi informasi, pengendalian sumber data (data resources management) yang baik adalah:
a. User harus dapat berbagi data (data sharing among users)
b. Data harus tersedia untuk digunakan kapan saja, dimana pun, dan dalam bentuk apapun (sudah tentu dengan aturan akses/wewenang yang jelas)
c. Sistem manajemen data harus menjamin adanya sistem penyimpanan yang efisien, tidak terjadi redundancy data, adanya data security, data integrity, dan data independence
d. Data harus dapat dimodifikasi dengan mudah (user friendly) oleh yang berwenang sesuai dengan kebutuhan user
4. Pengendalian manajemen operasi (operations management controls)
M erupakan jenis pengendalian intern yang didesain untuk menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan pembagian tugas yang baik dalam suatu organisasi yang menggunakan sistem berbasis teknologi informasi.
Sumber daya informasi meliputi hardware, software, netware, brainware, data itu sendiri dan seluruh komponen yang diperlukan untuk mendukung berlangsungnya operasi sistem informasi yang baik.
M enurut Gondodiyoto (2007, p.338-340) operasi jaringan yang digunakan terdiri dari 2 (dua) jenis, yaitu :
a. Wide Area Network Controls
Area network yang luas memerlukan intervensi manusia, sebagai contoh, adanya jaringan komunikasi yang gagal, program diberhentikan secara tidak normal, antrian berita memenuhi seluruh kapasitas penyimpanan, operator harus dapat mengidentifikasikan kapan masalah itu dapat terjadi dan memastikan bahw a jaringan dapat mengakomodasi masalah tersebut.
b. Local Area Network Controls
Server memainkan peranan penting untuk mekanisme control akses data pada local area network. Utilities operating system di server membuat staf operasional dapat mengelola kegiatan operasi menjadi lebih baik, misalnya :
a) Jumlah space kosong pada harddisk server dapat selalu dimonitor, jika tempat kosong pada server tinggal sedikit maka kinerja network dapat menjadi kacau b) Aktivitas pemakaian dan pola perjalanan data pada jaringan dapat dimonitor.
Informasi ini dapat membuat operator dapat menentukan konfigurasi jaringan untuk meningkatkan kinerja jaringan, melakukan identifikasi pemakai yang menggunakan jaringan secara tidak pantas, dan mengetahui tingkat interaksi dengan jaringan lain dengan menggunakan gateway atau bridge.
c) Kartu network khusus sering digunakan untuk masuk ke jaringan pada LAN (Local Area Network)
d) File pada server dapat digunakan untuk menjalankan software yang dapat melakukan tindakan preventif, detektif, dan menghilangkan virus.
File server merupakan komponen kritis LAN, server berisi data yang sensitif dan program yang digunakan untuk berkompromi dengan keamanan dan integrity dengan jaringan. Auditor dapat menggunakan interview, observasi, dan review dokumentasi untuk mengevaluasi keandalan control terhadap operasional local area network.
5. Pengendalian manajemen keamanan (security management controls)
Pengendalian ini dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak berwujud (non-fisik, misalnya data/informasi, dan program aplikasi komputer). Keamanan sistem komputer mencakup keamanan perangkat keras, perangkat lunak, data/informasi, sistem prosedur dan manusia. Dimensi keamanan informasi mencakup penggunaan teknologi komputer, proses, dan orang yang dapat dijabarkan sebagai berikut :
a. Peranan teknologi yang mendukung keamanan komputer terkait (network) dan media komunikasi yang terkait kehandalan dan kecepatan penyampaian informasi dari sumber informasi ke tujuan
b. Proses dilihat dari penyusunan kebijakan keamanan informasi, peranan manajemen, dan jaminan terhadap keamanan informasi agar tidak dapat disusupi oleh pihak yang ingin mendapatkan informasi dengan cara yang tidak benar
c. Pemakai akhir, staf, IT department, maupun manajemen puncak. Resiko yang dimulai dari proses rekruitmen, dan pelatihan karyawan.
6. Pengendalian manajemen jaminan kualitas (quality assurance management controls)
Kebijakan tentang quality assurance ini menyangkut masalah kepedulian dan komitmen pimpinan terhadap aspek mutu atau kualitas jasa informasi yang mereka berikan kepada para penggunanya. Di dalam suatu perusahaan industri misalnya, jasa informasi yang diberikan pusat komputer kepada divisi penjualan, divis i produksi, divisi personalia harus betul-betul dirasakan kegunaannya dalam bentuk data yang akurat, lengkap, dan relevan. Jadi sistem informasi komputerisasi yang dibangun untuk para user tersebut benar-benar sesuai dengan kebutuhan mereka. 2.1.6.6.2 Pengendalian Aplikasi
M enurut Gondodiyoto (2007, p.372), pengendalian aplikasi adalah sistem pengendalian intern pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan/aplikasi tertentu (setiap aplikasi memiliki karakteristik dan kebutuhan pengendalian yang berbeda). Pengendalian aplikasi diperlukan untuk mengurangi terjadinya resiko, atau jika resiko ternyata terjadi juga, hendaknya tingkat kerugiannya supaya seminimal mungkin.
M enurut Gondodiyoto (2007, p.374), pengendalian aplikasi terdiri dari : 1. Boundary controls (Pengendalian Batasan)
Boundary adalah interface antara pengguna (user) dengan sistem berbasis TI. Tujuan utama Boundary controls ialah :
a. Untuk mengenal identitas dan otentik atau tindakan user/pemakai sistem
b. Untuk menjaga agar sumber daya informasi digunakan oleh user tersebut dengan cara yang ditetapkan.
Beberapa control yang diimplementasikan dalam boundary controls: a. Chryptographic control
Adalah sistem pengendalian internal yang didesain untuk menjaga privacy, serta menjaga agar orang/pihak tidak berwenang tidak dapat melakukan kegiatan yang berkaitan dengan merubah atau menambah data, dan menghapus data
b. Access control
Access control bertujuan agar sumber daya sistem digunakan hanya oleh orang-orang yang berhak, menjamin agar kegiatan pengguna dilakukan sesuai dengan ketentuan, dan menjamin bahwa peralatan yang digunakan sesuai dengan semestinya. Ada beberapa cara yang diterapkan dalam kontrol ini, antara lain dengan password. Kelemahan password, antara lain : password dicatat, sehingga kemungkinan dibaca orang lain, orang cenderung membuat password dengan angka tertentu yang mudak ditebak, password tidak pernah diperbaharui, password sering dianggap tidak penting dan dibuat menjadi rahasia umum dengan menyuruh orang lain mengetik password kita
c. Audit trail
Adalah catatan-catatan atau data tertentu yang disimpan di dalam sistem komputer dengan tujuan apabila di kemudian hari ada masalah, maka catatan/data tersebut dapat digunakan untuk pelacakan. Cakupan audit trail : identitas user, informasi otentiknya, identitas sumber daya yang digunakan, jenis kegiatan yang dilakukan, apakah yang bersangkutan harus mencoba akses beberapa kali karena akses gagal, dan kapan mulai serta berakhirnya kegiatan
d. Existance control
Didesain untuk menjaga agar jika aktivitas user terhenti karena suatu sebab kegagalan tertentu, akses tersebut tidak diproses lebih lanjut demi untuk menjaga integritas data maupun pengamanan aset.
2. Input controls (Pengendalian M asukan)
Input merupakan salah satu tahap dalam sistem komputerisasi yang paling penting dan mengandung resiko. Input controls dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan.
M ekanisme masuknya data input ke sistem dapat dikategorikan dalam dua cara, yaitu:
a. Batch delayed processing system
Pada cara ini, data tiap transaksi diolah dalam satuan kelompok dokumen, dan pengolahan bersifat tertunda, yaitu updating data di komputer tidak sama dengan terjadinya transaksi
b. Online transaction processing system (real time system)
Pada cara ini, peng-update-an data di komputer bersamaan dengan terjadinya transaksi. Sistem ini beresiko tinggi. Pada umumnya perusahaan sekarang ini menggunakan jaringan publik karena biaya yang lebih murah dan alasan keterbukaan akses ke pasar vendor partners dan lingkungan perusahaan lainnya (entity’s environment). Konsekuensinya adalah tingkat keamanan sistem dan data.
Pengendalian input dalam sistem online real time dilakukan pada tahap : a. Entry data & validation
Dalam sistem ini, seringkali sudah tidak dengan dokumen lagi (paperless). Data lazimnya langsung di entry ke sistem komputer, misalnya dengan workstation, automatic teller machine, atau point of sales. M esin-mesin tersebut sudah dilengkapi dengan software yang antara lain berisi fungsi validasi terprogram b. Pada sistem ini, data di entry langsung oleh pemakai maupun petugas
operasional
c. M asalah audit trail menjadi semakin penting pada sistem ini karena pada umumnya paperless. Oleh karena itu, masalah audit trail dalam bentuk existance control betul-betul diperhatikan.
3. Process controls (Pengendalian Proses)
Ialah pengendalian intern untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses. 4. Output controls (Pengendalian Keluaran)
Output controls merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat, lengkap dan digunakan sebagaimana mestinya. Output controls ini didesain untuk menjamin agar output atau informasi dapat disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak secara cepat dan tepat waktu. Kemungkinan resiko yang terkait dengan keluaran dan harus dideteksi ialah : laporan tidak akurat, tidak lengkap, terlambat atau data tidak up-to-date, banyak item data yang tidak relevan, bisa dibaca oleh pihak yang tidak berhak
M etode pengendalian bersifat preventive objective misalnya ialah perlunya disediakan tabel atau matriks pelaporan : jenis laporan, periode laporan, dan siapa pengguna, serta check list konfirmasi tanda terima oleh penggunanya. Pengendalian bersifat detection objective misalnya ialah cek antar program pelaporan, perlunya dibuat nilai-nilai subtotal dan grand-total yang dapat diperbandingkan untuk mengevaluasi keakurasian laporan, judul dan kolom-kolom laporan perlu didesain dengan sungguh-sungguh. Sedangkan pengendalian intern yang bersifat corrective objective misalnya ialah prosedur-prosedur klaim ketidakpuasan pelayanan, tersedianya help-desk dan contact person, persetujuan dengan users mengenai service level yang disepakati.
Yang termasuk pengendalian keluaran antara lain ialah : a. Rekonsiliasi Keluaran dengan M asukan dan Pengolahan
Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran dari sistem dengan dokumen asal
b. Penelaahan dan Pengujian hasil-hasil Pengolahan
Pengendalian ini dilakukan dengan cara melakukan penelaahan, pemeriksaan dan pengujian terhadap hasil-hasil pengolahan dari sistem
c. Pendistribusian Keluaran
Pengendalian ini didesain untuk memastikan bahwa keluaran didistribusikan kepada pihak yang berhak, dilakukan secara tepat waktu dan hanya keluaran yang diperlukan saja yang didistribusikan
5. Pengendalian file/database atau files/database controls, terdiri dari akses dan integritas data
6. Pengendalian komunikasi aplikasi/communication controls terdiri dari pengendalian kegagalan unjuk kerja dan gangguan komunikasi.
2.1.7 Pengertian Audit Sistem Informasi
M enurut Bodnar dan Hopwood (2006, p.565), Istilah auditing sistem informasi digunakan umumnya untuk menjelaskan perbedaan dua jenis aktivitas yang terkait dengan komputer. Salah satunya adalah untuk menjelaskan proses mengkaji ulang dan mengevaluasi pengendalian internal dalam sebuah sistem pemrosesan data elektronik.
M enurut Weber dalam Gondodiyoto (2007, p.442) “EDP auditing is the process of collecting and evaluating evidence to determine whether a computer systems safeguard assets, maintains data integrity, archieves organizational goals effectively, and consumes resources efficiently”.
Namun seiring dengan perkembangan jaman saat ini istilah Electronic Data Processing (EDP) sudah tidak sesuai lagi. Pada awalnya bidang-bidang pekerjaan yang tepat menggunakan komputer ialah kegiatan pengolahan dokumen input yang jumlahnya relatif banyak tetapi pengolahan dokumen input atau rumusan pengolahannya sederhana (kegiatan pembukuan) atau digunakan sebagai alat pengolahan data secara elektronik sehingga dikenal dengan istilah Electronic data Processing (EDP). Istilah Electronic Data Processing Audit (EDP-Audit), kini lebih sering disebut dengan audit sistem informasi yang berkaitan dengan general financial audit atau audit dalam rangka evaluasi terhadap IT governance. Gondodiyoto (2007, p.443) definisi audit sistem informasi disempurnakan menjadi :
“Secara garis besar audit sistem informasi merupakan suatu evaluasi untuk mengetahui tingkat kesesuaian antara sistem informasi dengan prosedur yang telah ditetapkan (atau kebutuhan pengguna, user needs), dan untuk mengetahui apakah suatu
sistem informasi telah didesain dan diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai”.
Dapat disimpulkan bahwa pengertian audit sistem informasi adalah suatu proses untuk mengumpulkan bukti-bukti dalam sistem untuk mengetahui apakah sistem sudah berjalan sesuai dengan kebijakan, prosedur, dan standar yang telah ditetapkan.
2.1.7.1 Tahapan Audit
Tahapan Audit
Subjek Audit Tentukan/identifikasi unit/lokasi yang diaudit
Sasaran Audit Tentukan sistem secara spesi fik, fungsi atau unit org anisasi yang akan diperiksa
Jangkauan Audit Identi fikasi sistem secara spesi fik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan
Rencana Pre-audit 1. Identi fikasi kebutuhan keahlian teknik dan sumber day a yang diperlukan untuk audit
2. Identi fikasi sumber bukti untuk tes atau review seperti fungsi flow chart, kebijak an, standard p rosedur d an kertas kerja audit sebelumnya
Prosedur audit dan langkah-langk ah
pengumpulan bukti audit
1. Identi fikasi dan pilih pend ekatan audit untuk memeriksa dan menguji pengendalian intern
2. Identi fikasi daftar individu untuk interview
3. Identi fikasi dan menghasilkan kebijak an yang berhubungan dengan bagian, standard an pedoman untuk interview
4. Mengembangkan instrument audit dan metodologi penelitian dan pemeriksaan control internal
Prosedur untuk evaluasi
1. Organisasikan sesuai kondisi dan situasi
2. Identi fikasi prosedur evalu asi atas tes efektivitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijak an dan pros edur yang diaudit
Pelaporan hasil audit Siapkan laporan yang objekti f, konstrukti f (b ersi fat membangun) dan menampung penjelasan auditee
Tabel 2.1 Tahapan Audit
(Sumber:Gondodiyoto 2007,p.487 yang mengutip dari CISA Review M anual 2003,p.35)
2.1.7.2 Instrumen Audit
M enurut Gondodiyoto (2007, p.596) terdapat berbagai teknik pemeriksaan yang bisa diterapkan dalam melaksanakan audit. Teknik-teknik pemeriksaan tersebut sering
disebut dengan istilah instrument audit. Berikut ini adalah contoh-contoh instrumen audit yang dapat digunakan pada saat pelaksanaan audit :
1. Observasi (Observation)
Observasi adalah cara memeriksa dengan menggunakan panca indera terutama mata, yang dilakukan secara berkelanjutan selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah
2. Wawancara (Interview)
Wawancara merupakan teknik pemeriksaan berupa tanya-jawab secara lisan antara auditor dengan auditee untuk memperoleh bahan bukti audit. Tanya-jawab dapat dilakukan secara lisan (wawancara) atau tertulis
3. Kuesioner (Questionaire)
Teknik ini merupakan teknik pemeriksaan yang mudah dan praktis karena tertulis. Dengan metode ini, responden ditentukan, kemudian dikirim surat pengantar beserta daftar pertanyaan (questionaire) tentang hal-hal yang ditanyakan dengan pedoman pengisian dan tanggal jawab yang ditentukan
4. Inspeksi fisik (physical inspection)
Inspeksi merupakan cara memeriksa dengan memakai panca indera terutama mata, untuk memperoleh bukti atas suatu keadaan atau suatu masalah pada saat tertentu. Inspeksi merupakan usaha pemeriksa untuk memperoleh bukti-bukti secara langsung di tempat dimana keadaan atau masalah ingin dibuktikan
5. Prosedur analisis
Analisis artinya memecah atau menguraikan suatu keadaan atau masalah ke dalam beberapa bagian atau elemen dan memisahkan bagian tersebut untuk digabungkan
dengan keseluruhan atau dibandingkan dengan yang lain. Dengan analisis pemeriksa dapat melihat hubungan penting antara satu unsur dengan unsur lainnya 6. Penelaahan dokumen
Pada teknik ini dilakukan penelaahan pada dokumen yang tersedia pada suatu organisasi, seperti bagan arus, bagan organisasi, manual program, manual operasi, manual referensi, notulen rapat, surat perjanjian, dan catatan-catatan historis lainnya. Jika mungkin, dokumen-dokumen penting harus ditelaah sebelum wawancara.
Dokumentasi yang bermanfaat adalah diagram (flowchart/bagan alir) dan DFD (data flow diagram/diagram arus data). DFD menekankan pada hubungan arus data dan pemrosesan. DFD sangat sederhana dan mudah digunakan.
2.1.7.3 Pendekatan Audit Sistem Informasi
Gondodiyoto (2007, p.451), Auditor harus memutuskan pendekatan mana yang akan ditempuh, diantara tiga pendekatan audit yang berkaitan dengan komputer :
1. Audit di sekitar (input/output) komputer (audit around the computer)
Dalam pendekatan audit di sekitar komputer, auditor dapat melangkah kepada perumusan pendapat dengan hanya menelaah struktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem manual (bukan sistem informasi berbasis komputer). Auditor tidak perlu menguji pengendalian sistem informasi berbasis komputer klien (yaitu terhadap file program atau data di komputer), melainkan cukup terhadap input serta output sistem aplikasi saja. Dari penilaian terhadap kualitas dan kesesuaian antara input dengan output sistem aplikasi ini, auditor dapat mengambil
kesimpulan tentang kualitas pemrosesan data yang dilakukan klien (meskipun proses/program komputernya tidak diperiksa).
2. Audit M elalui Komputer (Audit Trough the Computer)
Dalam pendekatan audit ke sistem komputer auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit sistem informasi berbasis komputer. Auditor menggunakan komputer (software bantu) atau dengan cek logika atau listing program (desk test on logic or program source code) untuk menguji logika program dalam rangka pengujian pengendalian yang ada dalam komputer. Selain itu auditor juga dapat meminta penjelasan dari para teknisi komputer mengenai spesifikasi sistem atau program yang diperiksanya. Dalam pendekatan ini fokus perhatian auditor langsung pada operasi pemrosesan di dalam sistem komputer.
3. Audit Dengan Komputer (Audit with the Computer)
Dalam audit dengan komputer atau audit berbantuan komputer (computer assisted audit), auditor dapat menggunakan cara-cara berikut:
1) M emproses/melakukan pengujian dengan sistem komputer klien itu sendiri sebagai bagian dari pengujian pengendalian/substantif
2) M enggunakan komputer untuk melaksanakan tugas audit yang terpisah dari catatan klien, yaitu mengambil copy data/file dan/atau program milik klien untuk dites dengan komputer lain (di kantor auditor)
3) M enggunakan komputer sebagai alat bantu audit dalam pengujian program dan/atau file/data yang dipergunakan dan dimiliki perusahaan.
2.1.7.4 Tujuan Audit Sistem Informasi
M enurut Gondodiyoto (2007, p.474), “audit objectives pada audit atas IT governance menurut CobIT ialah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility. Sedangkan menurut Weber (1999) tujuan audit teknologi informasi (audit objectives) lebih ditekankan pada beberapa aspek penting, yaitu pemeriksaan dilakukan untuk dapat menilai: (a) apakah sistem komputerisasi suatu organisasi/perusahaan dapat mendukung pengamanan aset (assets saveguarding), (b) apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan (system effectiveness), (c) apakah sistem komputerisasi tersebut sudah memanfaatkan sumber-daya secara efisien (efficiency), dan (d) apakah terjamin konsistensi dan keakuratan datanya (data integrity).
a. Pengamanan Aset
Dalam model CobIT, tujuan audit ini tidak dinyatakan eksplisit (tidak tertulis). Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file/data dan fasilitas lain harus dijaga dengan sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.
b. Efektifitas Sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan benar (doing the right thing), telah sesuai dengan kebutuhan user. Informasi yang dibutuhkan oleh para manajer dapat dipenuhi dengan baik.
c. Efisiensi Sistem
Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal. Cara kerja sistem benar (doing thing right).
Adapun ekonomis mencerminkan kalkulasi untung rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisien berarti sumber daya minimum untuk mencapai hasil maksimal, sedangkan ekonomis lebih bersifat pertimbangan ekonomi.
d. Ketersediaan (Availability)
Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi (TI). TI hendaknya dapat mendukung secara kontinyu terhadap proses bisnis (kegiatan perusahaan). M akin sering terjadi gangguan (system down) maka berarti tingkat ketersediaan sistem rendah.
e. Kerahasiaan (Confidentiality)
Fokusnya ialah pada proteksi terhadap informasi dan supaya terlindungi dari akses dari pihak-pihak yang tidak berwenang.
f. Kehandalan (Realibility)
Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organisasi, pelaporan dan pertanggungjawaban.
g. M enjaga integritas data
Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki informasi/laporan yang benar, bahkan perusahaan dapat menderita kerugian karena pengawasan tidak tepat atau keputusan-keputusan yang salah. Faktor utama yang membuat data berharga bagi organisasi dan pentingnya untuk menjaga integritas data adalah :
a. M akna penting data/informasi bagi pengambilan keputusan. Peningkatan data sehingga dapat memberikan informasi bagi para pengambil keputusan.
b. Nilai data bagi pesaing, jika data tersebut berguna bagi pesaing maka kehilangan data akan memberikan dampak buruk bagi organisasi tersebut. Pesaing dapat menggunakan data tersebut untuk mengalahkan organisasi sehingga mengakibatkan organisasi menjadi kehilangan pasar (market), berkurangnya keuntungan, dan sebagainya.”
2.1.7.5 Perlunya Kontrol dan Audit
M enurut Gondodiyoto (2007, p. 476), mengemukakan “mengapa dengan adanya dukungan teknologi informasi, maka kebutuhan kontrol internal sistem yang makin baik dan perlunya audit makin meningkat? Salah satu komponen atau unsur sistem informasi ialah control internal atau pengendalian intern (internal system controls). Terlebih lagi sistem berbasis teknologi informasi akan mempunyai potensi risiko yang makin besar. Risiko yang makin besar mendorong perlunya kontrol yang makin memadai, dan pada akhirnya kita perlu mengevaluasi apakah sistem cukup dilengkapi kontrol dan apakah kalau sudah ada kontrol maka kontrol tersebut sudah dijalankan dengan secara
sungguh-sungguh. Untuk mengetahui apakah sistem sudah dilengkapi dengan kontrol yang memadai, dan apakah kontrol tersebut benar-benar dijalankan, maka perlu dilakukan audit. Proses penelitian dan pemeriksaan dengan bahan bukti dan evaluasi berdasarkan kriteria atau standar yang ada adalah merupakan audit.
M enurut Gondodiyoto (2007, p. 476) yang mengutip dari Weber (1999, p.6) Faktor-faktor yang mendorong pentingnya kontrol dan audit SI adalah antara lain untuk:
1. M endeteksi agar komputer tidak dikelola secara kurang terarah, tidak ada visi, misi, perencanaan teknologi informasi (IT Plan, information technology plan), pucuk pimpinan organisasi kurang peduli, tidak ada pelatihan dan pola karier personil yang baik, dan sebagainya
2. M endeteksi risiko kehilangan data
3. M endeteksi risiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputersasi salah/lambat/tidak lengkap
4. M enjaga aset perusahaan karena nilai hardware, software dan personil yang lazimnya tinggi
5. M endeteksi risiko error komputer
6. M endeteksi risiko penyalahgunaan komputer (fraud)
7. M enjaga kerahasiaan, maksudnya ialah bahwa sistem informasi berbasis teknologi informasi (apalagi yang didesain dengan jaringan publik), hendaknya mempunyai kemampuan untuk memproduksi data, aman terjaga privacy para penggunanya, dan sebagainya
8. M eningkatkan pengendalian evolusi penggunaan komputer, yaitu jangan sampai suatu organisasi/perusahaan melakukan komputerisasi secara tidak terkendali
sehingga terjadi pemborosan-pemborosan atau tingkat keamanan yang kurang memadai.”
M enurut Gondodiyoto (2007, p.479), “kontrol internal dan audit sangat penting bagi suatu organisasi/perusahaan, karena:
1. Jika data pada sistem komputer hilang, atau rusak, maka kerugiannya akan tidak terkirakan (kerugian yang sangat besar)
2. Bila data pada sistem komputerisasi tidak benar, atau prosesnya salah, sehingga laporan yang dihasilkan error, maka mungkin terjadi pengambilan keputusan yang tidak benar (karena menggunakan data yang salah)
3. Nilai hardware, software, infrastructure komputer dan pegawai yang terlatih bernilai sangat tinggi. Perusahaan telah mengeluarkan investasi yang sangat besar untuk mendapatkan aset sistem informasi (data, hardware, software dan brainware) dan sekaligus merupakan sumberdaya kritis dari perusahaan. Beberapa perusahaan memiliki hardware dan software yang bernilai sangat tinggi dan apabila terjadi kerusakan maka berarti kerugian besar. Selain itu terhentinya proses juga merupakan kerugian tak ternilai
4. Biaya tinggi akibat error-nya komputer
Pada saat ini banyak kegiatan perusahaan yang dilakukan secara otomatisasi berbasis komputer, mengolah data, mengontrol pasien, mengontrol pesawat terbang, mengontrol misil nuklir, dan semua dilakukan secara otomatis oleh komputer. Apabila terjadi error pada komputer, atau komputer rusak sehingga organisasi tidak dapat beroperasi dengan normal, maka dapat dibayangkan apa yang akan terjadi dan berapa besar biaya yang disebabkannya
5. Data pada sistem komputerisasi banyak yang bersifat pribadi seperti pajak, kredit, kesehatan, dan sebagainya. Data pribadi yang seharusnya menjadi rahasia seseoran g pada jaringan TI dapat tersebar, sehingga mengakibatkan orang-orang kehilangan hak privacy-nya
6. Bila perkembangan komputerisasi tidak dikelola dan dikontrol dengan baik, mungkin akan terjadi perkembangan yang makin tidak terarah
7. Biaya penyalahgunaan komputer bisa berakibat fatal. ”
M enurut Gondodiyoto (2007, p.481), “Penyalahgunaan komputer lainnya dapat berupa:
1. Pengrusakan aset (hardware, software, data, fasilitas, dokumentasi, supplies) 2. Pencurian aset (hardware, software, data, dokumentasi atau supply)
3. Pengubahan aset (hardware, software, data atau dokumentasi) yang diubah secara illegal
4. Pelanggaran privacy yaitu melanggar privasi data perusahaan seperti membuka dokumen yang bukan haknya
5. Gangguan operasi yaitu operasi harian dapat berhenti sesaat karena gangguan, termasuk gangguan teknis
6. Penggunaan aset tanpa izin yaitu hardware, software, data, fasilitas, dokumentasi atau supply yang digunakan tanpa izin/wewenang
7. M engabaikan, tidak mengikuti prosedur operasi, atau ketidakpedulian terhadap perawatan assets.”
2.1.8 CobIT (Control Objectives for Information and Related Technology) 2.1.8.1 Latar Belakang dan S ejarah Singkat CobIT
M enurut Gondodiyoto (2009, p.161-162) mengemukakan ”CobIT disusun oleh the IT Governance Institute (ITGI) dan Information Systems Audit and Control Association (ISACA), tepatnya Information System Audit and Control Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003) dan saat ini adalah edisi keempat pada Desember 2005.
M odel CobIT adalah kulminasi dari evolusi ISACA’s control objectives. Pada tahun 1977, EDPAA mempublikasikan konsep pertama control objectives, yang merupakan kompilasi teknik dan prosedur audit SI. Control objective tidak hanya menyangkut tujuan controls, tetapi juga prosedur audit. Jadi, control objective menyediakan benchmark bagi auditor SI dalam mengukur audit effectiveness dan best practices. Pada tahun 1996 ISACF merevisi control objective ke panduan yang lebih baru yang disebut Control Objectives for Information Technology (CobIT). CobIT menjembatani gaps antara business risks, control needs, dan isu-isu teknis.
CobIT mengadopsi definisi control dari CO SO : The policies, procedures, practices, and organizational structures are designed to provide reasonable assurance that business objective will be achieved and that undesired events will be prevented or detected and corrected. CobIT juga mengadopsi pengertian control TI dari SAC : a statement of the desired result or purpose to be achieved by implementing control procedures in a particular IT activity. CobIT memberi tekanan pada peran dan dampak IT control dalam kaitannya dengan proses bisnis.
CobIT dan ISO/IEC 17799:2005 merupakan standar yang sekarang banyak digunakan (ISO/IEC 17799:2005 adalah code of practice for implementing security management), dan keduanya bersifat saling melengkapi. Ruang lingkup ISO/IEC
17799:2005 adalah aspek security, sedangkan CobIT lebih luas, merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan dan dikenal sebagai acuan model (seperti : COSO), dan disejajarkan dengan standar industri (seperti : ITIL, CMM, BS7799, ISO9000), CobIT juga dilengkapi dengan IT balanced scorecard. Secara komplitnya paket produk CobIT terdiri dari CobIT product family, yaitu executive summary, framework, control objectives, audit guidelines, implementation tool set, serta management guidelines, yang sangat berguna atau dibutuhkan oleh auditor, para IT users, dan manajer, pada gambar berikut
CobIT Product Family
Gambar 2.1 CobIT Family of Product
Sumber : (Gondodiyoto 2009, p.163 yang mengutip dari CobIT Framework, 2003) 2.1.8.2 Pengertian CobIT
M enurut Gondodiyoto (2009, p.163) mendefinisikan “CobIT adalah sekumpulan best practices untuk IT governance yang dapat membantu auditor, pengguna user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis IT. CobIT dapat dipakai sebagai alat yang komprehensif untuk
EXECUTIVE SUMM ARY
FRAMEWORK
With High-Level Control Objectives
MANAGEMENT GUIDELINES DETAILED CONTROL OBJECTIVES AUDIT GUIDELINES
Maturity Models Critical Success Factors Key Goal Indicators Key Perfomance Indicators IMPLEMENTATION TOOL SET
menciptakan IT Governance pada suatu perusahaan. CobIT mendukung manajemen dalam mengoptimumkan investasi TI-nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi. M anajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas control individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumberdaya TI perusahaan. Sumber daya TI merupakan suatu elemen yang sangat disoroti CobIT.”
Romney dan Steinbart (2005, h.231), “CobIT (Control Objectives for Information and Related Technology) adalah sebuah kerangka praktik pengendalian untuk teknologi informasi, keamanan sistem informasi yang umumnya dapat diaplikasikan.
2.1.8.3 Kerangka Kerja CobIT
CobIT memberikan arahan (guidelines) yang berorientasi pada bisnis dan karena itu business process owners dan manajer, termasuk juga auditor dan users, diharapkan dapat memanfaatkan guidelines dengan baik. M enurut Gondodiyoto (2007, p279) kerangka kerja CobIT terdiri atas beberapa arahan (guidelines), yakni :
1. Control Objectives
Control Objectives TI adalah pernyataan mengenai hasil atau tujuan yang harus dicapai melalui penerapan prosedur kendali dalam aktivitas TI tertentu. Terdiri atas 4 tujan pengendalian tingkat tinggi (high level control objectives) yang tercermin dalam 4 domain, yaitu :
Domain ini mencakup pembahasan tentang identifikasi dan strategi investasi TI yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Termasuk didalamnya strategi dan taktik yang digunakan TI untuk mencapai sasaran bisnis, perencanaan strategi, strategi komunikasi, strategi manajemen, manajemen resiko, dan manajemen sumber daya yang menjamin bahwa kebutuhan infrastruktur teknologi dan sumber daya manusia berada pada sasaran yang tepat.
b. Akuisisi dan Implementasi (Acquire and Implementation)
Untuk merealisasi strategi TI, perlu diatur kebutuhan TI, diidentifikasi, dikembangkan, atau diimplementasikan secara terpadu dalam proses bisnis perusahaan. Di samping itu harus memperhatikan life cycle dari sistem yang telah ada melalui pemeliharaan, peningkatan, dan penyelesaian pada tahap akhir. Proses akuisisi dan implementasi berfokus pada bagaimana cara membawa teknologi ke dalam organisasi dan menggunakannya melalui perubahan manajemen yang tepat dan prosedur instalasi. Tujuan kendali utama dalam cakupan ini meliputi :
1. Identifikasi solusi TI dan pemeliharaan software dan hardware yang terkait.
2. M emastikan dokumentasi dan pilihan tersedia yang mendukung penggunaan sistem.
3. Pengelolaan perubahan infrastruktur dan operasi. 4. Validasi dan akreditasi instalasi sistem yang baru. c. Layanan dan Dukungan (Delivery and Support)
Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan operasional bisnis (tingkat jasa layanan TI aktual atau service level) dan aspek urutan (prioritas implementasi dan pelatihannya).
d. Pengawasan dan Evaluasi (Monitoring and Evaluation)
Semua proses TI membutuhkan penilaian secara berkala agar kualitas dan tujuan dukungan TI tercapai dengan kebutuhan-kebutuhan kontrol.
2. Audit Guidelines
Berisi sebanyak 210 tujuan-tujuan pengendalian rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan saran perbaikan.
3. Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
a. Sejauh mana TI harus bergerak dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya ?
b. Apa saja indikator untuk suatu kinerja yang bagus ?
c. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factor) ?
d. Bagaiamana dengan perusahaan lainnya, apa yang mereka lakukan? e. Bagaimana anda mengukur keberhasilan dan menilainya ?
2.1.8.4 Kriteria Kerja CobIT
CobIT mendukung manajemen dalam mengoptimumkan investasi TI-nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi. M anajemen perusahaan harus
memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas control individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan. Sumberdaya TI merupakan suatu elemen yang sangat disoroti CobIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan keandalan informasi (effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability).
Kriteria kerja CobIT meliputi :
Efektivitas Untuk memperoleh info rmasi yang relev an dan berhubungan deng an proses bisnis seperti penyampaian in formasi dengan ben ar, konsisten, dapat dipercay a dan tepat waktu.
Efisiensi Memfokusk an p ada k etentuan in formasi m elalui penggun aan sumber d aya yang optimal.
Kerah asiaan Memfokusk an prot eksi terh adap in fo rmasi yang penting dari orang yang tidak memiliki hak otorisasi.
Integritas Berhubungan d engan k eaku ratan dan k elengk apan in fo rmasi seb agai kebenaran yang sesuai dengan harapan dan nilai bisnis.
Keters ediaan Berhubungan deng an in formasi yang ters edia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.
Kepatuhan Sesuai menurut hukum, peraturan dan ren can a perjanjian untuk p roses bisnis.
Keakuratan In fo rmasi Berhubungan d engan ketentuan kecocok an in form asi untuk man ajemen mengoperasik an entitas dan mengatu r pelatihan keu angan d an kelengk apan laporan pertanggung jawaban.
Tabel 2.2 : Kriteria Kerja CobIT
Sumber : (Gondodiyoto 2009, p.164 yang mengutip dari CobIT Framework, 2003) 2.1.8.5 CobIT Domain
CobIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk manajemen TI yang mencakup 4 (empat) domain, yaitu : perencanaan & organisasi, akuisis i & implementasi, penyerahan & dukungan TI, dan monitor. 4 domains pada CobIT framework tersebut dirinci menjadi 34 high-level control objectives (dan selanjutnya dirinci ke dalam 215 detail control objectives), sebagai berikut :
CobIT Domain High Level Objectives 1 Plan and Organize 1. Define a strategic IT Plan and direction
2. Define the information architecture 3. Determine technological direction
4. Define IT processes, organization and relationship 5. Manage the IT investment
6. Communicate management aim and direction 7. Manage IT human resources
8. Manage Quality
9. Assess and manage IT risks 10. Manage projects
2 Acquire and Implement 1. Identify automated solutions
2. Acquire and maintain application software 3. Acquire and maintain technology infrastructure 4. Enable operation and use
5. Procure IT resources 6. Manage Changes
7. Install and accredit solutions and changes ]3 Deliver and Support 1. Define and manage service levels
2. Manage third-party services 3. Manage performance and capacity 4. Ensure continuous service
5. Ensure systems security 6. Identify and allocate costs 7. Educate and train users
8. Manage service desk and incidents 9. Manage the configuration
10. Manage problems 11. Manage data
12. Manage the physical environment 13. Manage operations
4 Monitor and Evaluate 1. Monitor and evaluate IT processes 2. Monitor and evaluate internal control 3. Ensure relatory compliance
4. Provide IT Governance
Tabel 2.3 : Domain & High Level Controls CobIT Sumber : (Gondodiyoto 2009, p.169-170) 2.1.9 Penentuan Kriteria Pengukuran
CobIT 4.1 membedakan pengukuran atau penilaian menjadi 4 bagian, yaitu financial perspective, customer perspective, internal perspective, learning and growth perspective. Dimana dalam kriteria pengukuran customer perspective ini memiliki beberapa business goals yang harus dicapai, yaitu :
