8
LANDASAN TEORI
2.1. Teori Umum
2.1.1. Pengertian Sistem
Menurut McLeod, Jr. (2001, h9), “A system is a group of elements that are integrated with the common purpose of achieving an objective “, yang artinya sistem adalah sekelompok elemen-elemen yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan”.
Menurut Hall (2001, h5), “Sistem adalah sekelompok dua atau lebih komponen-komponen yang saling berkaitan (interrelated) atau subsistem-subsistem yang bersatu untuk mencapai tujuan yang sama ( common purpose )”.
Menurut Romney dan Steinbart (2003,p2), “A system is a set of two or more interrelated components that interact to achieve a goal “, artinya sistem adalah rangkaian dari dua atau lebih komponen-komponen yang saling berhubungan yang berinteraksi untuk mencapai suatu tujuan.
Jadi, dapat disimpulkan bahwa sistem adalah sekelompok komponen yang saling berkaitan dan bekerja sama untuk mencapai suatu tujuan tertentu.
2.1.2. Pengertian Informasi
Menurut McLeod (2001,h12), “Informasi adalah data yang telah diproses, atau data yang memiliki arti.”
Menurut Hall (2001, h14), “Informasi menyebabkan pemakai melakukan suatu tindakan yang dapat ia lakukan atau tidak dilakukan. Informasi sering kali didefinisikan sebagai data yang diproses”.
Menurut Romney dan Steinbart (2003,p9), “Information is data that have been organized and processed to provide meaning”, artinya informasi adalah data yang telah diatur dan diproses untuk memberikan arti.
Jadi, dapat disimpulkan informasi adalah data yang telah diproses dan diatur sedemikian rupa sehingga memiliki arti yang digunakan untuk mengambil keputusan yang dapat menyebabkan pemakai melakukan suatu tindakan yang dapat ia lakukan atau tidak dilakukan.
2.1.3. Kualitas Informasi
Menurut Peltier (2001, p4-5), program jaminan kualitas informasi meliputi :
1. Integrity : informasi yang tanpa modifikasi, bersifat mentah atau belum tercemar
2. Availability : informasi yang apabila pihak yang berwenang ingin mengakses aplikasi dan sistem selalu tersedia
3. Confidentiality : informasi yang dilindungi dari pihak yang tidak berwenang atau tidak berkepentingan
2.1.4. Pengertian Sistem Informasi
Menurut McLeod, Jr. (2001, p6), menyimpulkan arti sistem informasi dengan sangat singkat yaitu “sistem penghasil informasi”.
Menurut Hall (2001, p7), “Sistem informasi diartikan sebagai rangkaian prosedur formal dimana data dikumpulkan, diproses menjadi informasi dan didistribusikan kepada para pemakai”.
Menurut Laudon (2003, p7), “Interrelated components working together to collect, process, store, and disseminate information to support decision making, coordination, control, analysis, and visualization in an organization”, yang memiliki arti sistem informasi adalah serangkaian komponen yang saling berhubungan yang dapat
mengumpulkan, memproses, menyimpan, dan menyebarkan informasi untuk pengambilan keputusan, koordinasi, dan kontrol di dalam organisasi”.
Jadi, dapat disimpulkan bahwa sistem informasi adalah sekumpulan komponen yang saling berhubungan digunakan untuk mengolah data dan diubah menjadi sebuah informasi yang digunakan untuk pengambilan sebuah keputusan dalam organisasi.
2.1.5. Auditing
2.1.5.1. Pengertian Audit
Menurut Hall (2001, p42), “Auditing adalah salah satu bentuk pengujian independen yang dilakukan oleh seorang ahli auditor yang menunjukkan pendapatnya tentang kejujuran sebuah laporan keuangan”.
Menurut Arens & Loebbecke (2003, h1), “Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai entitas ekonomi yang dilakukan oleh seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan kriteria-kriteria yang telah ditetapkan.”
Jadi, dapat disimpulkan bahwa audit adalah sebuah proses yang sistematis yang dilakukan oleh auditor independen
dengan mengumpulkan dan mengevaluasi bahan bukti secara objektif dengan tujuan untuk memberikan pendapat yang disajikan dalam sebuah laporan.
2.1.5.2. Jenis-jenis audit
Menurut CISA Review Manual (2005,p.36-37) jenis audit terbagi menjadi :
a. Audit Keuangan (Financial Audits)
Tujuan audit keuangan adalah untuk menilai kebenaran laporan keuangan organisasi. Audit jenis ini berhubungan dengan integritas dan kehandalan informasi.
b. Audit Operasional (Operational Audits)
Audit Operasional dirancang untuk mengevaluasi struktur pengendalian internal yang ada pada proses atau area.
c. Audit Gabungan (Integrated Audits)
Audit gabungan mengkombinasikan langkah-langkah audit keuangan dan operasional. Audit gabungan juga dijalankan untuk menilai keseluruhan tujuan dalam organisasi, berhubungan dengan informasi keuangan dan pengamanan asset, efisiensi, dan ketaatan. Audit gabungan dapat dijalankan oleh auditor eksternal atau
internal dan bisa meliputi pengujian ketaatan pengendalian internal dan langkah audit substantif.
d. Audit Administratif (Administrative Audits)
Audit administratif berorientasi untuk menilai permasalahan yang berhubungan dengan efisiensi produktivitas operasional dalam organisasi.
e. Audit Sistem Informasi (Information System Audits) Proses ini mengumpulkan dan mengevaluasi bukti untuk menentukan apakah sistem informasi dan sumber daya yang berhubungan dengan baik mengamankan asset, merawat data dan integritas sistem, menyediakan informasi yang berhubungan dan dapat dipercaya, dan memiliki dampak pengendalian internal yang menyediakan kepastian yang masuk akal bahwa bisnis, operasional dan tujuan pengendalian akan sesuai dan kejadian yang tidak diinginkan akan bisa dicegah atau dideteksi dan dikoreksi dalam waktu yang tepat. f. Audit Khusus (Specialized Audits)
Dalam kategori audit sistem informasi, terdapat beberapa review khusus yang menguji bagian seperti pelayanan yang dijalankan oleh pihak ketiga dan audit forensic.
g. Audit Forensik (Forensic Audits)
Dahulu, audit forensik telah didefinisikan sebagai audit khusus dan menemukan, menyingkap dan melanjutkan kecurangan dan kejahatan. Tujuan utamanya adalah untuk pengembangan bukti untuk review oleh pelaksanaan hukum dan otoritas pengadilan.
2.1.5.3. Perlunya Kontrol dan Audit Sistem Informasi
Menurut Weber ( 1999, p5-10 ), faktor yang mendorong pentingnya control dan audit sistem informasi adalah :
1. Biaya perusahaan yang timbul karena kehilangan data (Organizational costs of data loss).
2. Biaya yang timbul karena kesalahan dalam pengambilan keputusan (Cost of incorrect decision making).
3. Biaya yang timbul karena penyalahgunaan komputer (Cost of computer abuse).
4. Nilai dari hardware, software, dan personel (Value of hardware, software, personnel).
5. Biaya yang besar akibat kerusakan komputer (High costs of computer error).
6. Perlunya melakukan perlindungan terhadap privasi (Maintenance of privacy).
7. Perlunya pengendalian terhadap perubahan penggunaan komputer (Controlled evolution of computer use).
2.1.6. Metodologi Pengumpulan Data
Menurut Sugiyono (2008, h194-203), terdapat 3 teknik metodologi pengumpulan data :
1. Interview (Wawancara), merupakan teknik pengumpulan data, apabila peneliti ingin melakukan studi pendahuluan untuk menemukan permasalahan yang harus diteliti, dan juga apabila peneliti ingin mengetahui hal-hal dari responden yang lebih mendalam dan jumlah respondennya sedikit/ kecil. Wawancara dapat dilakukan secara terstruktur maupun tidak terstruktur, dan dapat dilakukan melalui tatap muka (face to face) maupun dengan menggunakan telepon.
1.1 Wawancara Terstruktur
Wawancara terstruktur digunakan sebagai teknik pengumpulan data, bila peneliti atau pengumpul data telah mengetahui dengan pasti tentang informasi yang akan diperoleh. Biasanya dalam wawancara, pengumpul data telah menyiapkan instumen penelitian berupa
pertanyaan-pertanyaan tertulis yang alternatif jawabannya pun telah disiapkan.
1.2 Wawancara Tidak Terstruktur
Wawancara tidak terstruktur, adalah wawancara yang bebas dimana peneliti tidak menggunakan pedoman wawancara yang telah tersusun secara sistematis dan lengkap untuk pengumpulan datanya. Pedoman yang digunakan hanya berupa garis-garis besar permasalahan yang akan ditanyakan.
2. Kuesioner (Angket), merupakan teknik pengumpulan data yang dilakukan dengan cara memberi seperangkat pertanyaan atau pertanyaan tertulis kepada responden untuk dijawabnya. Kuesioner cocok digunakan bila jumlah responden cukup besar dan tersebar di wilayah yang luas, dapat berupa pertanyaan/ pertanyaan tertutup atau terbuka, dapat diberikan kepada responden secara langsung atau dikirim melalui pos atau internet.
3. Observasi, sebagai teknik pengumpulan data mempunyai ciri yang spesifik bila dibandingkan dengan teknik yang lain. Observasi digunakan bila, penelitian berkenaan dengan perilaku manusia, proses kerja, gejala-gejala alam dan bila responden yang diamati tidak terlalu besar.
2.1.7. Pengertian Struktur Organisasi
Menurut Wursanto (2005, h108-129), “Susunan hubungan antar satuan-satuan organisasi, jabatan-jabatan, tugas-tugas, wewenang dan penanggungjawaban- pertanggung jawaban dalam organisasi disebut struktur organisasi.”. Agar struktur organisasi tampak jelas, mudah dilihat, mudah dan cepat dibaca oleh siapapun, struktur organisasi perlu digambar dalam sebuah gambaran grafis yang dinamakan bagan organisasi. “Bagan organisasi adalah gambaran struktur organisasi yang ditunjukkan dengan kotak-kotak atau garis-garis yang disusun menurut kedudukan yang masing-masing memuat fungsi tertentu dan satu sama lain dihubungkan dengan garis-garis saluran wewenang.”
2.1.8. Diagram Aliran Data
Menurut Hall (2001,p69), “Diagram Aliran Data menggunakan simbol-simbol untuk mencerminkan proses, sumber-sumber data, arus data dan entitas dalam suatu sistem”.
Menurut Whitten, Bentley dan Dittman (2004,h326-239), “ Diagram Aliran Data adalah model proses yang digunakan untuk menggambarkan aliran data melalui sebuah sistem dan tugas atau pengolahan yang dilakukan oleh sistem”.
Jadi dapat disimpulkan bahwa Diagram Aliran Data adalah suatu model yang menggambarkan simbol-simbol untuk menggambarkan aliran data melalui sebuah sistem.
Terdapat tingkatan-tingkatan yang menggambarkan isi sistem di dalam diagram aliran data diantaranya :
• Diagram hubungan/ Diagram konteks
Diagram konteks merupakan diagram tunggal yang menggambarkan hubungan sistem aliran data (data flow) dan entiti eksternal (external entity)
• Diagram nol
Diagram yang menggambarkan subsistem dari diagram hubungan yang diperoleh dengan memecahkan proses pada diagram hubungan.
• Diagram rinci
Diagram yang merupakan uraian diagram nol yang berisi proses-proses yang menggambarkan bab dari subsistem pada diagram nol.
Berikut ini merupakan contoh simbol-simbol standar yang digunakan dalam diagram aliran data yaitu :
• External Entity
Entitas yang berada diluar sistem. External entity ini dapat berupa orang (human), organisasi (organization) atau sistem lainnya yang akan member input atau menerima output dari sistem.
• Proses
Berfungsi mengubah satu atau beberapa data keluaran sesuai dengan spesifikasi yang diinginkan. Setiap proses memiliki beberapa data masukkan serta menghasilkan satu atau beberapa keluaran.
• Data Store
Suatu alat penyimpanan bagi file transaksi, file induk atau file referensi
• Aliran Data
Arah arus data dari suatu entitas ke entitas lainnya yang berupa : o Antara 2 proses yang berurutan
o Dari data store ke proses o Dari source ke proses. 2.1.9. Visi
Menurut Hax dan Majluf (1991,p337), “The Vision of the firm is a permanent statement to communicate the nature of the existence of the organization in terms of corporate purpose, business scope, and competitive leadership; to provide the framework that regulates the relationships among the firm and its primary stakeholders; and to state the broad objectives of the firm’s performance”. Artinya, visi
perusahaan adalah pernyataan permanen untuk mengkomunikasikan keberadaan alami organisasi dalam jangka waktu tertentu mengenai tujuan perusahaan, ruang lingkup bisnis, dan kepemimpinan yang kompetitif; untuk menghasilkan kerangka kerja yang mengatur hubungan antara perusahaan dan stakeholder primer; dan untuk membagi tujuan utama dari kinerja perusahaan.
Komponen utama visi perusahaan : • Misi perusahaan
• Segmentasi bisnis
• Strategi horisontal dan integrasi vertikal • Filosofi perusahaan
• Masalah-masalah khusus perusahaan 2.1.10. Misi
Menurut Arnoldo C. Hax dan Nicolas S. Majluf (1991,p337),” The mission of firm is a statement of the current and future expected product scope, market scope, and geographical scope as well as the unique competencies the firm has developed to achieve a long-term sustainable advantage”. Artinya, misi perusahaan adalah suatu pernyataan saat ini maupun harapan perusahaan di masa mendatang mengenai ruang lingkup produk, ruang lingkup pemasaran, dan ruang lingkup geografis yang memiliki nilai kompetitif yang dikembangkan untuk mencapai keuntungan jangka panjang.
2.2. Teori Khusus
2.2.1. Audit Sistem Informasi
Menurut Weber (1999, p10), “ Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”, yang memiliki arti bahwa audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah suatu sistem komputer dapat melindungi asset, memelihara keutuhan data, membuat pencapaian tujuan organisasi menjadi lebih efektif dan telah menggunakan sumber daya secara efisien.
Menurut Romney dan Steinbart (2003, p321), “The information system audit reviews the controls of an Accounting Information System to assess its compliance with internal control policies and procedures and its effectiveness in safeguarding assets”. Yang artinya, audit sistem informasi mengkaji ulang pengendalian sistem informasi akuntansi untuk menilai pemenuhannya dengan kebijakan dan prosedur pengendalian internal dan keefektifan perlindungan terhadap asset.
Jadi, dapat disimpulkan audit sistem informasi adalah suatu proses sistematis dengan mengumpulkan dan mengevaluasi bukti-bukti yang menunjukkan bahwa sistem informasi berbasis komputer dapat mencapai tujuan perusahaan.
2.2.2. Tujuan Audit Sistem Informasi
Menurut Weber (1999, p11-12), Tujuan Audit Sistem Informasi dibagi menjadi empat yaitu :
1. Peningkatan keamanan asset ( Asset Safeguarding Objectives )
Asset sistem informasi dalam organisasi meliputi hardware, software, fasilitas, orang ( pengetahuan ), file data, sistem dokumentasi, dan penjualan yang harus dilindungi oleh sebuah sistem pengendalian internal.
2. Meningkatkan integritas data ( Data Integrity Obejctives )
Integritas data adalah konsep dasar dari audit sistem informasi yang harus memiliki atribut tertentu, yaitu lengkap ( completeness ), kuat ( soundness ), murni ( purity ), dan ketelitian ( veracity).
Faktor utama yang menyebabkan data bernilai bagi organisasi dan pentingnya untuk menjaga integritas data, yaitu :
a) Nilai informasi dari data bagi pengambilan keputusan perorangan.
b) Peningkatan data sehingga dapat memberikan informasi bagi para pengambil keputusan.
c) Nilai data bagi pesaing, jika data tersebut berguna bagi pesaing maka pesaing dapat menggunakan data tersebut untuk mengalahkan organisasi.
3. Meningkatkan efektifitas sistem (System Effectiveness Objectives)
Sebuah sistem informasi dikatakan efektif jika dapat melaksanakan tujuan yang ingin dicapai.
4. Meningkatkan efisiensi sistem ( System Efficiency Objectives )
Sistem informasi dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan pengguna dengan sumber daya yang minimum.
2.2.3. Tahapan Audit Sistem Informasi
Menurut Hunton (2004, p208-212), proses tahapan audit meliputi : perencanaan (planning), penaksiran risiko (risk assessment), pengembangan audit program (development of audit program), pengumpulan bukti (gathering evidence), pernyataan kesimpulan (forming conclusions), pernyataan pendapat audit (preparing the audit opinion), and pengkajian ulang (following up).
Bagan Tahapan Audit Sistem Informasi.
Gambar 2.1 Tahapan Audit SI
1. Planning
Langkah pertama melibatkan perencanaan proyek audit TI, dalam hal ini berarti menentukan risiko bawaan pada audit (inherent risk), menjalin hubungan dengan klien dan lingkungan dimana klien beroperasi, dan membuat rencana tahapan audit, meliputi staff yang akan mengaudit dan bagaimana audit akan dilakukan.
Standar ISACA 050.010, “Audit Planning” , menyatakan : “Sistem Informasi auditor membuat kerangka kerja mengenai ruang lingkup audit dan tujuan audit berdasarkan standar audit yang berlaku.”
ISACA Guideline 050.010.020 memberikan panduan perencanaan yang lebih spesifik. Per the guideline, auditor harus mengikuti standar yang berlaku selama proses perencanaan, yaitu : • Auditor akan menentukan ruang lingkup dan tujuan
pengendalian audit.
• Melakukan penaksiran pengendalian yang berhubungan dengan proses yang akan diaudit oleh auditor.
• Memahami organisasi dan bisnis keuangan dan risiko, serta masalah-masalah yang dihadapi oleh industri atau klien. • Mengidentifikasi sejauh mana klien bergantung pada
outsourcing.
• Auditor akan mengembangkan audit program yang berisi prosedur audit yang spesifik selama proses audit berlangsung.
• Dokumen kertas kerja audit dengan rencana audit dan program audit dan dokumentasi lain yang diperlukan untuk memahami proses bisnis klien dan lingkungan operasinya.
2. Risk Assessment
Penilaian risiko merupakan komponen penting bagi auditor dalam mengaudit teknologi informasi. Banyak auditor menggunakan pendekatan audit berbasiskan risiko dalam melakukan audit. Auditor harus memahami apa yang salah dalam sistem dengan menggunakan penaksiran risiko. Penilaian risiko membutuhkan auditor yang memahami klien, industri dan lingkungan dimana klien beroperasi dan proses bisnis klien. Tanpa pemahaman, maka auditor akan gagal dalam mengidentifikasi risiko yang ada pada bisnis proses klien.
3. Prepare Audit Program
Tidak ada standar audit program bagi auditor IT, namun pada umumnya audit program meliputi :
Ruang lingkup audit Tujuan audit
Prosedur audit
Audit program harus didokumentasikan dalam kertas kerja yang berfungsi sebagai pedoman dalam melaksanakan audit. Setelah audit selesai, audit program akan memberikan dokumentasi mengenai siapa yang diaudit, sebagai referensi kertas kerja dimana hasil setiap test dan langkah audit bisa dilihat.
4. Gathering Evidence
Tujuan kerja lapangan adalah mengumpulkan “…cukup, dapat diandalkan, dan bukti – bukti yang berguna untuk mencapai tujuan audit secara efektif. Temuan audit dan kesimpulan yang didukung dengan analisis dan intepretasi yang tepat (ISACA Standard 060.020,”Evidence”).
ISACA guideline 060.020.030 mengidentifikasikan beberapa tipe bukti bagi auditor IT yang akan dikumpulkan sebagai bagian dari kerja lapangan, meliputi :
Proses pengamatan pada barang – barang fisik seperti pengoperasian komputer dan prosedur backup
Dokumentasikan bukti seperti program pengubahan password, hak akses, hak otorisasi
Dapatkan gambaran seperti flowchart, narasi dan kebijakan tertulis dan prosedur
Analisa prosedur CAATs (Computer Assisted Audit Techniques) pada file data.
5. Forming Conclusions
Setelah bukti audit dikumpulkan, maka auditor mengevaluasi bukti dan bentuk kesimpulan apakah tujuan audit telah dapat dipenuhi dan kecukupan prosedur audit yang dilakukan dalam mencapai suatu opini audit secara keseluruhan. Auditor akan mengidentifikasi kondisi laporan yang mengacu pada situasi yang menggambarkan kelemahan pengendalian. Laporan yang menggambarkan kondisi biasanya disusun dalam Management Letter yang akan didiskusikan dengan komite audit dan klien.
6. Deliver Audit Opinion
Didalam laporan audit, tidak ada standar baku yang digunakan dalam penyusunan laporan audit. Point-point utama yang terdapat pada laporan audit yang diberikan oleh ISACA Guideline 070.010.010 antara lain :
Nama organisasi yang diaudit Judul, tanda tangan dan tanggal Tujuan Audit
Metodologi yang digunakan atau standar dan kriteria yang digunakan oleh auditor
Temuan yang diperoleh (findings)
Risiko yang berhubungan dengan temuan
Rekomendasi yang diberikan sehubungan dengan temuan dan risiko
Kesimpulan akhir 7. Following Up
Tahap akhir dari tahapan audit IT adalah penindak lanjutan. Setelah menyampaikan hasil audit kepada klien dan memberikan opini audit kepada klien, auditor akan membuat ketentuan untuk melakukan langkah lebih lanjut dengan klien setiap kondisi atau kekurangan ditemukan selama audit.
2.2.4. Pengendalian dan Risiko Sistem Informasi
2.2.4.1. Pengertian Pengendalian
Menurut Laudon (2001, p441), “ Controls are all of methods, policies, and organizational procedures that ensure the safety of the organization’s assets, the accuracy, and reliability of its accounting records, and operational adherence to management standards “, artinya pengendalian
adalah segala bentuk metode, kebijakan, dan prosedur organisasi yang memastikan keamanan aset organisasi, ketepatan, dan keandalan pencatatan akuntansi dan kepatuhan terhadap standar operasional manajemen.
2.2.4.2. Pengendalian Internal
Menurut Cascarino(2007,p57), “Pengendalian internal adalah suatu tindakan yang diambil oleh manajemen untuk meningkatkan lingkungan dalam upaya mencapai tujuan. Dihasilkan dari perencanaan manajemen, pengorganisasian dan kepemimpinan, dan yang lainnya (seperti pengendalian manajemen, pengendalian internal, dan lain lain)”.
2.2.4.3. Tujuan Pengendalian Internal
Menurut Cascarino(2007,p59) secara keseluruhan tujuan pengendalian internal secara rinci diantaranya :
1. Integritas dan tingkat kepercayaan informasi
Jika manajemen tidak dapat mempercayai integritas dan kehandalan dari informasi yang ada dan diproses didalam sistem informasi, semua informasi harus dicurigai untuk beberapa kasus, hal ini akan merusak organisasi daripada kehilangan informasi itu sendiri.
2. Ketaatan dengan peraturan, perencanaan, prosedur, hukum dan undang – undang yg berlaku.
Hukum dn peraturan merupakan kewajiban dari luar dan harus ditaati. Ketidakcukupan sistem informasi dapat membuat organisasi melanggar hukum yang ada dinegara sehingga akibatnya organisasi akan kehilangan keunggulannya, penalty dan hukuman dapat dijatuhi pada karyawan.
3. Perlindungan atas asset
Kehilangan harta (asset) adalah salah satu dari sekian banyak risiko yang terlihat yang dapat organisasi hadapi dan khususnya mengakibatkan penerapan dari sebagian besar pengendalian yang terlihat seperti kunci pada pintu, keamanan, penjagaan barang berharga dan lain - lain.Didalam sebuah organisasi yang berdasarkan sistem informasi, pengendalian asset dapat termasuk pengendalian yang tidak dapat diukur seperti perlindungan ganda, pemisahan tugas, dan teknik autentikasi komputer.
4. Operasional yang efisien dan efektif.
Efektifitas meliputi pencapaian tujuan yang diharapkan dan harus menjadi pusat perhatian dan segala bentuk pengendalian dan kegiatan operasional, efisiensi
dikelompokkan sebagai ukuran dari kepastian atas pengunaan dari sumber daya yang jarang diperoleh serta termasuk mengurangi penghamburan sebagai usaha untuk pengurangan penggunaan sumber daya.
2.2.4.4. Fungsi Pengendalian Internal
Menurut Cascarino (2007,p6) fungsi pengendalian internal diklasifikasikan dalam 5 tipe yaitu :
1. Pengendalian pencegahan ( preventife )
Pengendalian preventif adalah pencegahan yang dilakukan sebelum masalah terjadi tetapi tidak pernah 100% efektif sehingga tidak dapat sepenuhnya tergantung pada pengendalian ini. Pengendalian preventif meliputi batasan oleh pengguna kebutuhan password dan pemisahan tugas.
2. Pengendalian pendeteksian (detective)
Pengendalian ini mendeteksi permasalahan setelah masalah timbul dan lebih mudah dilakukan daripada mengecek setiap transaksi dengan pengendalian preventif. Pengendalian ini meliputi keefektifan pelatihan penggunan audit dan laporan – laporan pengecualian.
3. Pengendalian pengkoreksian (corrective)
Pengendalian ini mengoreksi masalah – masalah yang telah diidentifikasi oleh pengendalian detektif dan biasanya ada campur tangan sistem informasi. Pengendalian ini meliputi proses perencanaan perbaikan (disaster recovery plan) dan kemampuan perbaikan transaksi. Pengendalian korektif memiliki risiko yang tinggi karena terjadi pada lingkup yang tidak biasa dan dibutuhkan keputusan untuk melakukannya serta dibutuhkan pertimbangan pelaksanaan. Contoh pengendalian korektif adalah jejak – jejak audit, laporan – laporan , kesalahan statistik, pendukung, pemulihan dan lain – lain .
4. Pengendalian langsung
Pengendalian dirancang untuk menghasilkan keputusan yang positif dan meningkatan kebiasaan yang dapat diterima. Pengendalian tidak hanya mencegah perilaku yang tidak diinginkan dan yang pada umumnya terdapat kebijaksaaan dalam suatu situasi. Akan tetapi juga memberitahukan kepada pemakai komputer bahwa menjadi tanggung jawab mereka untuk meyakinkan terdapat backup yang cukup dan disimpan
semestinya. Bagaimanapun pengendalian ini dapat diawasi dan tindakan dapat diambil ketika pengendalian dilaksanakan.
5. Pengendalian kompensasi
Pengendalian ini dapat dilakukan ketika kelemahan didalam suatu pengendalian dapat dikompensasi oleh pengendalian lain. Pengendalian ini digunakan untuk membatasi risiko dan hal-hal yg tidak diinginkan, hal ini dibenarkan oleh auditor menghadapi integrasi sistem yang rumit dan struktur pengendalian yang melibatkan gabungan dari pengolahan sistem dan pengendalian dari area operasional yang beraneka ragam.
2.2.4.5. Komponen Pengendalian
Menurut Hunton(2004, p106-121), komponen pengendalian meliputi keamanan, input, output, backup dan recovery.
1. Security Control ( Pengendalian Keamanan), meliputi Physical dan Logical Security :
a) Physical Security (Keamanan Berwujud),
komputer, peralatan komunikasi, dan aspek infrastruktur komputer yang nyata agar aman dari bahaya
b) Logical Security (Keamanan Tidak Berwujud) menfokuskan pada keamanan yang tidak nyata seperti keamanan data, software. Bagian sistem keamanan yang meliputi komponen logika ditangani melalui pengendalian fisik seperti penempatan data dan software pada komputer, server dan tempat penyimpanan data. Bagian lain dari keamanan logika ditangani .melalui pengendalian akses komputer, monitor dan review sistem
2. Information Controls (Pengendalian Informasi)
meliputi:
a. Input controls (Pengendalian Input)
Pengendalian yang memfokuskan pada prosedur tertulis mengenai otorisasi, persetujuan, dan input baik berupa dokumen maupun transaksi sehingga mampu mengurangi kesalahan yang dapat terjadi.
b. Output controls (Pengendalian Output)
Pengendalian yang memfokuskan pada hasil yang didapat dari input yang telah diproses melalui sistem komputer, agar mendapatkan hasil yang sesuai dengan yang diharapkan.
3. Continuity Controls (Pengendalian Berkelanjutan) meliputi :
a. Backup Controls (Pengendalian Backup) :
i. Data Backup
Kegiatan yang dilakukan oleh organisasi dengan menyimpan dan mereplikasi data secara berkala sesuai dengan prosedur yang telah ditetapkan yang berfungsi sebagai cadangan data sehingga apabila sewaktu-waktu data hilang atau rusak, perusahaan dapat memperoleh data dari backup yang telah dilakukan.
ii. Hardware Backup
Kegiatan yang dilakukan perusahaan dengan mengamankan hardware perusahaan
berdasarkan prosedur yang telah ditetapkan, sehingga perusahaan dapat mengurangi kerugian bila terjadi bencana pada perusahaan.
b. Disaster Recovery Controls (Pengendalian
Pemulihan Bencana)
Pengendalian yang dilakukan untuk mengantisipasi adanya bencana yang akan terjadi pada perusahaan sehingga operasi sistem pada perusahaan dapat berjalan kembali dengan waktu yang singkat.
2.2.4.6. Pengertian Risiko
Menurut Hall (2007,h201), “Risiko adalah kemungkinan kerugian atau kerusakan yang dapat mengurangi atau meniadakan kemampuan perusahaan untuk mencapai berbagai tujuannya”.
2.2.4.7. Jenis-Jenis Risiko
Menurut Hunton( 2004,p48 ), klasifikasi risiko sebagai berikut :
1. Business Risk ( Risiko Bisnis), risiko yang dapat memungkinkan bahwa organisasi tidak akan mencapai tujuan bisnis secara objektif. Faktor eksternal dan internal ikut mempengaruhi risiko ini.
2. Audit Risk ( Risiko Audit ), kemungkinan auditor eksternal membuat kesalahan ketika mengeluarkan pendapat dalam membuktikan kewajaran suatu laporan keuangan atau auditor IT gagal dalam mengungkapkan kesalahan yang bersifat material.Merupakan gabungan dari beberapa risiko yaitu inherent risk (risiko bawaan), control risk (risiko pengendalian), detection risk (risiko deteksi).
3. Security Risk ( Risiko Keamanan ), risiko yang berkaitan dengan akses data dan integritas data. Data akses berhubungan dengan akses yang tidak berwenang yaitu physical atau logical. Data integritas adalah keandalan dan konsistensi data di dalam sistem manajemen data organisasi.
4. Continuity Risk ( Risiko berkelanjutan ), risiko yang berhubungan dengan ketersediaan sistem informasi, backup dan proses pemulihan. Ketersediaan diartikan sebagai keamanan untuk memastikan bahwa sistem
informasi selalu dapat diakses oleh pengguna. Prosedur backup dan recovery memastikan bahwa kasus gangguan berkelanjutan, tersedia prosedur untuk proses restore dan pengoperasian data.
2.2.5. Sistem Informasi Aktiva Tetap
2.2.5.1. Pengertian Aktiva Tetap
Menurut Ikatan Akuntan Indonesia (2004, PSAK No.16, h16.2), adalah aktiva yang berwujud yang diperoleh dalam bentuk siap pakai atau dengan dibangun lebih dahulu, yang digunakan dalam operasi perusahaan, tidak dimaksudkan untuk dijual dalam rangka kegiatan normal perusahaan dan mempunyai masa manfaat lebih dari satu tahun.
2.2.5.2. Pengertian Sistem Informasi Aktiva Tetap
Berdasarkan pengertian sistem informasi dan aktiva tetap, maka dapat disimpulkan bahwa sistem informasi aktiva tetap adalah sekumpulan komponen yang saling berhubungan digunakan untuk mengolah data dan diubah menjadi sebuah informasi untuk pengambilan keputusan dalam organisasi yang berhubungan dengan aktiva tetap.
2.2.5.3. Pengertian Penyusutan
Menurut Ikatan Akuntan Indonesia (2004, PSAK No 16, h), Penyusutan adalah alokasi sistematik jumlah yang dapat disusutkan dari suatu aktiva sepanjang masa manfaat.
2.2.5.4. Metode Penyusutan Aktiva Tetap
Menurut Fess (2005,h510), menyatakan metode penyusutan sebagai berikut :
a) Metode Garis Lurus ( Straight Line Method ) menghasilkan jumlah beban penyusutan yang sama setiap tahun sepanjang umur suatu aktiva tetap.
Formula :
Besar Penyusutan = Harga Perolehan – Nilai Sisa Umur Ekonomis
b) Metode Saldo Menurun ( Declining – Balance Method ) menghasilkan beban periodik yang terus menurun sepanjang estimasi umur manfaat aktiva.
Formula :
Tarif Penyusutan = 1 - NS 1/n HP NS = Nilai Residu
HP = Harga Perolehan
n = Jumlah Tahun
Besar Penyusutan = Tarif x Nilai Buku
Nilai Buku = Harga Perolehan – Akumulasi Penyusutan
2.2.5.5. Pengakuan Aktiva Tetap
Menurut Ikatan Akuntan Indonesia (2004, PSAK No.16, h13), suatu benda berwujud harus diakui sebagai suatu aktiva dan dikelompokkan sebagai aktiva tetap bila :
a) Besar kemungkinan (probable) bahwa manfaat keekonomian di masa yang akan datang yang berkaitan dengan aktiva tersebut akan mengalir ke dalam perusahaan; dan
b) Biaya perolehan aktiva dapat diukur secara andal.
2.2.5.6. Penghentian dan Pelepasan Aktiva Tetap
Menurut Ikatan Akuntan Indonesia (2004,PSAK No.16. h16.17), menyatakan suatu aktiva tetap dieleminasi dari neraca ketika dilepaskan atau bila aktiva secara permanen ditarik dari penggunaannya dan tidak ada manfaat keekonomian masa yang akan datang diharapkan dari pelepasannya dan keuntungan atau kerugian yang timbul dari
penghentian atau pelepasan suatu aktiva tetap diakui sebagai keuntungan atau kerugian dalam laporan laba rugi.
2.2.5.7. Risiko dan Pengendalian Sistem Informasi Aktiva Tetap
Menurut Hall (2001,h343), kontrol aktiva tetap akan dipusatkan pada tiga area yang berbeda dari yaitu :
a) Kontrol Otorisasi
Akuisisi aktiva tetap harus formal dan secara eksplisit diotorisasi. Setiap transaksi harus dimulai dengan permintaan tertulis dari pemakai atau departemen. Dalam kasus item-item yang bernilai tinggi, harus terdapat proses persetujuan independen yang mengevaluasi mutu permintaan berdasarkan basis biaya-manfaat.
b) Kontrol Supervisi
Karena aktiva modal secara luas didistribusikan ke seluruh organisasi, mereka rentan terhadap pencurian dan penyalahgunaan, dibandingkan dengan persediaan yang aman disimpan dalam gudang. Oleh karena itu, supervisi manajemen merupakan elemen yang penting dalam keamanan fisik aktiva tetap.Para supervisi harus memastikan bahwa aktiva tetap yang
digunakan sesuai dengan kebijakan organisasi dan praktik bisnis.
c) Kontrol Verifikasi Independen
Secara periodik, auditor internal harus memeriksa akuisisi aktiva dan prosedur persetujuan untuk menentukan kelayakan faktor yang digunakan dalam analisis. Dalam hal ini termasuk umur ekonomis aktiva, biaya keuangan orisinil, penghematan biaya yang ditawarkan karena membeli aktiva tersebut, tarif diskon yang digunakan, dan metode penganggaran modal yang digunakan dalam analisis.
Auditor internal harus menverifikasi lokasi, kondisi, dan nilai pasar dari aktiva tetap organisasi dibandingkan dengan catatan aktiva dalam buku besar pembantu. Selain itu, pembebanan biaya penyusutan otomatis yang dihitung oleh sistem aktiva tetap harus diperiksa dan diverifikasi keakuratan dan kelengkapannya.Kesalahan sistem dalam menghitung penyusutan dapat menghasilkan biaya operasi, pelaporan pendapatan, dan nilai aktiva yang salah pula.
