BAB 2 LANDASAN TEORI

(1)

BAB 2

LANDASAN TEORI

2.1 Sistem Informasi

2.1.1 Pengertian Sistem

Menurut McLeod (2001,p9) sebuah sistem merupakan integrasi dari sekumpulan elemen yang dirancang untuk mencapai tujuan tertentu. Menurut Mulyadi (1993,p2) sistem adalah sekelompok unsur yang erat hubungannya satu dengan lainnya, yang berfungsi bersama-sama untuk mencapai tujuan tertentu. Menurut Muchtar (1999,p2) sistem adalah suatu entiti yang terdiri dari dua atau lebih komponen yang saling berinteraksi untuk mencapai tujuan.

Dari pengertian diatas dapat disimpulkan sistem merupakan sekumpulan elemen yang saling berkaitan dan mempunyai tujuan tertentu.

2.1.2 Pengertian Informasi

Menurut Gondodiyoto (2003,p96) informasi adalah data yang telah diolah menjadi suatu bentuk yang sesuai dengan keinginan si penerima. Menurut McLeod (2001,p12) informasi adalah data yang telah diproses atau data yang memiliki arti. Menurut Wilkinson (1995,p6) informasi adalah data yang telah diproses sehingga bentuknya berubah dan nilainya semakin tinggi, oleh karena itu dapat dinyatakan bahwa data sebagai bahan baku dan informasi sebagai barang jadi.

Dari pengertian diatas dapat disimpulkan bahwa informasi merupakan data yang telah diproses menjadi bentuk yang lebih berguna bagi yang menerimanya.

(2)

2.1.3 Pengertian Sistem Informasi

Menurut Muchtar (1999,p3) sistem informasi dapat diartikan sebagai suatu pengorganisasian peralatan untuk mengumpulkan, menginput, memproses, menyimpan, mengatur, mengontrol dan melaporkan informasi untuk pencapaian tujuan perusahaan. Menurut Alter (1999,p42) sistem informasi adalah tipe khusus dari sistem kerja yang menggunakan teknologi informasi untuk memperoleh, mengirim, menyimpan, memanggil, memanipulasi, atau menampilkan informasi, dengan demikian mendukung satu atau lebih sistem kerja lain.

Dari pengertian diatas dapat disimpulkan sistem informasi adalah suatu pengorganisasian peralatan bagi sumberdaya-sumberdaya yang terkoordinasi guna mengumpulkan, memproses, mengendalikan dan memanajemen data untuk mencapai tujuan perusahaan.

2.1.4 Pengertian Sistem Informasi Produksi

Menurut Ahyari (1998,p6) produksi diartikan sebagai kegiatan yang dapat menimbulkan tambahan manfaat atau penciptaan faedah baru. Faedah atau manfaat ini dapat terdiri dari berbagai macam, misalnya faedah bentuk, faedah waktu, faedah tempat serta kombinasi dari faedah-faedah tersebut. Menurut Assauri (1999,p11) pada umumnya produksi diartikan kegiatan atau proses yang mentransformasikan masukan (input) menjadi hasil keluaran (output). Menurut Reksohadiprodjo dan Gito Sudarmo (2000,p1), pada hakikatnya produksi itu merupakan penciptaan atau penambahan faedah bentuk, waktu dan tempat atas faktor-faktor produksi sehingga lebih bermanfaat bagi pemenuhan kebutuhan manusia.

(3)

Jadi, produksi merupakan kegiatan yang menciptakan dan menambah kegunaan suatu barang atau jasa (input) yang menggunakan faktor-faktor produksi yang tersedia sehingga keluaran (output) dapat lebih bermanfaat dalam memenuhi kebutuhan manusia.

2.1.5 Prosedur Produksi

Fungsi-fungsi yang terkait dalam prosedur antara lain adalah: 1. Fungsi Penjualan

Dalam perusahaan yang produksinya berdasarkan pesanan, maka proses produksi ditentukan oleh pesanan yang diterima oleh bagian penjualan. Tetapi dalam perusahaan yang berproduksi secara massa, maka produksi ditentukan bersama dalam rapat bulanan antar fungsi produksi dengan fungsi pemasaran. Fungsi produksi melayani order berdasarkan persedian produk yang ada digudang.

2. Fungsi Produksi

Fungsi ini bertanggungjawab atas perbuatan perintah produksi bagi fungsi-fungsi dibawahnya yang akan terkait dalam pelaksanaan proses produksi guna memenuhi permintaan produksi dari bagian penjualan. Dalam perusahaan besar, fungsi produksi biasanya dibantu oleh fungsi perencanaan dan pengawasan produksi dalam pembuatan order produksi tersebut.

3. Fungsi Perencanaan dan Pengawasan Produksi

Fungsi ini merupakan fungsi staf yang membantu fungsi produksi dalam merencanakan dan mengawasi kegiatan produksi. Perencanaan produksi diwujudkan dalam perhitungan rencana kebutuhan bahan dan peralatan yang digunakan dalam memproduksi pesanan yang diterima dari fungsi penjualan.

(4)

4. Fungsi Gudang

Bertanggungjawab atas pelayanan permintaan bahan baku dan barang lain yang disimpan di gudang.

5. Fungsi Akun Biaya

Fungsi ini bertanggungjawab untuk mencatat berbagai pemakaian bahan, tenaga dan lain-lain.

Secara umum fungsi produksi bertanggungjawab atas pengolahan bahan baku dan penolong menjadi barang jadi atau jasa. Untuk melaksanakan fungsi produksi dibutuhkan serangkaian kegiatan yang merupakan suatu sistem, karena terdapat berbagai kegiatan yang harus dilakukan oleh banyak bagian.

2.1.6 Pengertian SAP (System Application and Product) R/3

Menurut Hernandez (1997,p3) SAP adalah sistem aplikasi produk dalam pengolahan data. Teknologi SAP R/3 merupakan evolusi logis sistem SAP R/2 dan merupakan perluasan produk SAP, yang membuatnya menjadi pemimpin dan standar de facto dalam industri. R/3 menjadi sistem pilihan untuk perusahaan-perusahaan yang bergerak dalam sel karakter peninggalan aplikasi untuk men-downsize sistem komputer. Dengan peluncuran Enjoy SAP (SAP R/3 peluncuran 4.6), SAP user interface mengambil tahapan menuju modern, didasarkan pada peraturan, personal, kemudahan dan fleksibel bagi pengguna lingkungan kerja.

(5)

2.1.7 Pengertian Process Order

Menurut Blain (2000,pp324-325) process order merupakan dokumen utama yang digunakan dalam rincian perencanaan dan eksekusi proses manufaktur. Fungsi process order (production planning for process industries in process order / PP-PI-POR) yaitu untuk mendapatkan informasi dari master recipe dan membuat suatu process order untuk suatu produksi yang berjalan atau pelayanan output.

Langkah-langkah pelaksanaan process order, yaitu:

1. Perencanaan proses, yakni pembuatan process order dengan menggunakan master recipe, pembuatan pemesanan atau membuat salinan dari order yang telah direncanakan, mengkalkulasi biaya perencanaan, memasukkan syarat-syarat kapasitas untuk sumber yang diperlukan.

2. Membuat jadwal dari tanggal order dengan pilihan otomatis yang berurutan atau penjadwalan kembali secara manual.

3. Mengeluarkan process order untuk memulai pelaksanaan process order dan proses manajemen.

4. Membuat dan men-download pengendalian persediaan. 5. Mencetak dokumen shop floor (yang sudah jadi).

6. Menyelesaikan penarikan material dibawah kendali pengambilan persediaan dari gudang.

7. Merekam konfirmasi.

8. Menyelesaikan pengamatan kualitas proses.

9. Mem-posting penerimaan barang (goods receipt), yakni mengirim produk jadi ke gudang dengan mem-posting penerimaan barang (goods receipt).

(6)

2.2 Audit Sistem Informasi

2.2.1 Pengertian Audit Sistem Informasi

Menurut Weber (1999,p10), audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem komputer dapat melindungi aset atau kekayaan, memelihara integritas data, memungkinkan tujuan organisasi untuk dicapai secara efektif dan menggunakan sumber daya secara efisien. Menurut Arens dan Loebbecke (1991,p2), audit adalah proses yang dilakukan oleh orang yang kompeten dan independen dengan cara mengumpulkan dan mengevaluasi bukti tentang informasi yang dapat diukur atau dihitung yang berhubungan dengan kesatuan ekonomi yang khusus untuk menentukan dan melaporkan tingkat kesesuaian antara informasi yang dapat dihitung dengan kriteria yang ditentukan.

2.2.2 Terminologi Auditing

Menurut sumber yang dikutip dari www.Abrema.net : 1. Prosedur Substantif

Prosedur substantif (tes substantif) adalah aktivitas yang dilakukan oleh auditor (selama tes substantif langkah audit) untuk mengumpulkan banyaknya bukti yang menyangkut kelengkapan, kebenaran dan ketelitian saldo rekening dan mendasari kelompok transaksi.

Ada dua kategori prosedur substantif yakni prosedur analitis dan tes rincian. Prosedur analitis biasanya menyediakan lebih sedikit bukti yang dapat dipercaya daripada tes rincian. Sebagai catatan yakni auditor juga menggunakan prosedur analitis daripada prosedur substantif.

(7)

2. Keandalan Bukti Audit

Keandalan bukti yang dikumpulkan oleh auditor merupakan variabel. Hal ini merupakan suatu aspek terhadap mutu bukti audit selain bukti yang saling berkaitan. Umumnya resiko yang lebih besar terdapat pada pernyataan material yang salah dari suatu saldo rekening, keperluan yang cukup, lebih dapat diandalkan untuk pengumpulan bukti. Sebagai catatan, ketika mengevaluasi bukti audit, auditor mengadopsi suatu sikap kesangsian profesional.

Faktor yang mempengaruhi keandalan bukti meliputi:

a. Sumber bukti, auditor mempertimbangkan bukti yang diperoleh secara langsung dari klien dibandingkan bukti yang diperoleh secara langsung dari pihak ketiga yang independen.

b. Efektivitas prosedur pengendalian internal yang terkait, merupakan faktor yang relevan jika bukti diperoleh secara langsung dari klien. Bukti itu dapat digunakan untuk dikumpulkan dengan menggunakan prosedur analitis atau CAATs.

c. Jenis prosedur audit yang digunakan untuk mengumpulkan bukti, bukti yang dikumpulkan menggunakan prosedur analitis biasanya kurang dapat dipercaya dibanding bukti yang dikumpulkan menggunakan tes detil.

d. Metode pengumpulan bukti, masing-masing jenis prosedur audit (tes pengendalian, tes detil, prosedur analitis) terdapat sejumlah metode pengumpulan bukti, dimana auditor mempertimbangkan bukti yang dikumpulkan melalui salah satu jenis tes detil yaitu tes fisik. Tes fisik menjadi lebih dapat dipercaya dibandingkan dengan mengumpulkan bukti melalui jenis tes detil yang lainnya.

(8)

JENIS PROSEDUR AUDIT Jenis Prosedur Audit Metode Pengumpulan Bukti Keandalan Relatif Keterangan

Pengamatan Tinggi Hanya menyediakan bukti dalam hubungan dengan pengendalian efektivitas mendekati poin dari waktu prosedur pengamatan.

Pemeriksaan Sedang Tergantung pada

keandalan bukti yang diperiksa. Mengacu pada sumber bukti di atas

Tes

Pengendalian

Penyelidikan Rendah - Sangat rendah

Format bukti kurang dapat diandalkan.

Tes Fisik Tinggi Lihat siapa yang

mengumpulkan dan mengevaluasi bukti

Perhitungan

Kembali Tinggi Lihat siapa yang mengumpulkan dan mengevaluasi bukti

Konfirmasi Tinggi Mempertimbangkan

kelayakan wewenang dan integritas orang yang menandatangani

konfirmasi.

Jaminan Sedang Tergantung pada keandalan bukti yang

dijamin. Mengacu pada sumber bukti di atas

Tes Cut-off Sedang Lihat siapa yang

mengumpulkan dan mengevaluasi bukti

Tes Detil

Penyelidikan Rendah - Sangat rendah

Format bukti kurang dapat diandalkan.

Tes

Kebijaksanaan

Sedang Lihat siapa yang

mengumpulkan dan mengevaluasi bukti di bawah Prosedur analitis Prosedur Analisis lainnya

Sedang ke nol Mempertimbangkan

keefektifan prosedur pengendalian intern yang terkait di atas.

Tabel 2.1 Jenis Prosedur Audit Sumber: www.Abrema.net

(9)

e. Kapan bukti dikumpulkan, tergantung pada sasaran prosedur yang digunakan untuk mengumpulkan bukti itu. Dalam beberapa hal, bukti yang dikumpulkan untuk menyeimbangkan tanggal lebih dapat dipercaya dibandingkan mengumpulkan bukti dari salah satu keutamaan menyeimbangkan tanggal.

f. Orang yang mengumpulkan dan mengevaluasi bukti. Auditor yang lebih berkompeten atau berpengalaman, lebih sedikit membuat kesalahan dalam mengumpulkan dan mengevaluasi bukti audit. Sehingga, bukti yang dikumpulkan atau yang dievaluasi lebih dapat dipercaya daripada bukti yang dikumpulkan atau dievaluasi oleh auditor yang kurang berkompeten atau kurang berpengalaman.

3. Keterkaitan Bukti audit

Bukti audit bersifat relevan ketika berhubungan dengan pernyataan tentang bukti yang dikumpulkan. Ini merupakan salah satu aspek mutu bukti audit dan aspek lainnya adalah keandalan bukti. Jika auditor mengumpulkan bukti secara fisik dengan pengujian sejumlah materi persediaan yang ditangani dengan kesamaan tanggal dan kemudian menelusuri rincian saldo rekening, auditor memperoleh informasi tentang kelengkapan saldo rekening. Prosedur ini tidak mengumpulkan bukti yang sah dari saldo rekening yang tidak mungkin bagi auditor untuk memilih dan menggunakan prosedur ini dari sepuluh aset samaran manapun. Auditor hanya mengumpulkan bukti yang berkaitan.

2.2.3 Pendekatan Audit

Menurut sumber yang dikutip dari www.Abrema.net/glossary audit approach.htm, pendekatan audit mengacu pada terminologi luas, dimana cara auditor merencanakan pengumpulan dan pengevaluasian bukti yang berkaitan dengan

(10)

pernyataan saldo rekening. Pendekatan audit, khususnya mengacu pada tingkatan auditor yang menaruh kepercayaan kepada (i) prosedur pengendalian internal manajemen, (ii) pengujian dasar transaksi saldo rekening dan (iii) prosedur analitis.

1. Tingkat perencanaan kepercayaan pada prosedur pengendalian internal manajemen. Auditor merencanakan kepercayaan penting atas pengendalian sistem informasi manajemen, pendekatan dalam pernyataan saldo rekening dikenal sebagai pendekatan sistem. Auditor melaksanakan pengujian pengendalian untuk mengumpulkan bukti efektivitas operasi dari prosedur pengendalian sistem atas kepercayaan yang direncanakan seperti melaksanakan prosedur substantif. Jika auditor tidak dapat mengandalkan pengendalian sistem, maka pendekatan audit untuk pernyataan dapat mengandalkan pendekatan verifikasi atau pendekatan substantif. Dalam kejadian ini, auditor tidak melaksanakan pengujian pengendalian apapun dan sebagai gantinya mempercayai keandalan atas hasil prosedur substantif. 2. Tingkat perencanaan kepercayaan pada pengujian dasar transaksi saldo rekening.

Auditor mempercayakan pentingnya hasil pengujian kelompok transaksi yang mendasar. Pendekatan yang menyangkut pernyataan keseimbangan rekening dikenal sebagai pendekatan yang mendalam. Pendekatan yang tidak mendalam adalah pendekatan dimana auditor tidak melaksanakan pengujian pengendalian maupun pengujian detil kelompok transaksi saldo rekening dan sebagai gantinya mempercayai hasil pengujian saldo rekening dan membaca sekilas dasar kelompok transaksi.

Dalam hubungan dengan prosedur substantif yang direncanakan menunjuk pada hal dimana auditor mempercayakan pentingnya hasil prosedur analitis sebagai lawan hasil tes detil, pendekatan untuk pernyataan saldo rekening dikenal sebagai

(11)

pendekatan analitis. Pada pendekatan non-analitis, auditor tidak melaksanakan prosedur analitis apapun dan sebagai gantinya mempercayakan hasil tes detil.

3. Auditor mengadopsi pendekatan analitis untuk pernyataan keseimbangan rekening ketika tingkat pendeteksian resiko diizinkan untuk dievaluasi setinggi mungkin, pendekatan analitis ketika sedang dan pendekatan non-analitis ketika rendah.

Auditor menentukan pendekatan audit untuk masing-masing pernyataan yang berkaitan dengan keseimbangan rekening masing-masing selama langkah perencanaan audit. Dokumen auditor pendekatan audit dan perubahan didalam kertas kerja audit sebagai bagian dari rencana audit.

2.2.4 Program Audit

Menurut sumber yang dikutip dari www.Abrema.net/glossary audit program.htm, auditor mengembangkan suatu program audit untuk masing-masing saldo rekening. Program audit menguraikan apa dan berapa banyak bukti yang diperlukan untuk dikumpulkan dan dievaluasi, bagaimana, kapan dan oleh siapa bukti itu dikumpulkan dan dievaluasi selama kunjungan sementara dan terakhir.

Auditor menyiapkan program audit yang menyangkut pengumpulan dan pengevaluasian bukti disetiap uji pengendalian, langkah-langkah perumusan pendapat dan tes substantif. Hal itu disiapkan, atau ditinjau kembali, sebagai bagian dari aktivitas perencanaan operasional dimana ada tiga langkah audit dan didokumentasikan dalam kertas kerja.

Program audit yang dirancang untuk mengumpulkan bukti dalam langkah pengujian pengendalian yang menyangkut efektivitas operasi prosedur rekonsiliasi bank klien. Program tidak hanya terdaftar dalam prosedur audit yang direncanakan, tetapi diuraikan dalam sifat dasar detil, pemilihan waktu dan keluasan prosedur audit yang

(12)

direncanakan, seperti halnya pegawai audit yang bertanggung jawab dalam melakukan prosedur audit masing-masing.

Sifat dasar dari prosedur yang direncanakan menjelaskan bukti apa yang diperlukan dan bagaimana dikumpulkan, pemilihan waktu menjelaskan ketika bukti dikumpulkan, keluasan menjelaskan berapa banyak bukti diperlukan dan tanggung jawab menjelaskan oleh siapa bukti dikumpulkan dan dievaluasi.

2.2.5 Strategic Grid Model

Salah satu model yang dapat digunakan oleh auditor adalah strategic-grid model yang dikembangkan oleh McFarlan et al. (1983). Mereka mengemukakan bahwa sifat dasar dan sejumlah perencanaan sistem informasi yang sesuai bagi suatu organisasi didasari atas fungsi dari dua faktor penting: (1) Pentingnya strategi dari portofolio suatu organisasi tentang keberadaan sistem informasi; dan (2) Pentingnya strategi dari portopolio suatu organisasi tentang sistem yang diusulkan. Mereka mengidentifikasi empat jenis organisasi, masing-masing berbeda kebutuhan perencanaan sistem informasinya.

Low High Low

Dampak Strategik Low Sistem Operasi

yang Ada High

Gambar 2.1 Strategic Grid Model Sumber: Mc Farlan et al

Support Turnaround Organization Organization Factory Strategic Organization Organization

(13)

Jenis Organisasi Kebutuhan akan Perencanaan Sistem Informasi

Support Keberadaan dan usulan atas sistem informasi tidak terlalu penting. Hanya beberapa perencanaan saja yang dibutuhkan.

Factory Walaupun sistem yang diusulkan relatif tidak penting, sistem yang ada berjalan kritis. Minimumkan sejumlah perencanaan yang dibutuhkan, terutama pusatkan pada kebutuhan sumber organisasi jangka pendek. Contoh: perusahaan manufaktur, angkatan udara dan pengecer. Turnaround Walaupun sistem yang diusulkan relatif tidak penting,

sistem yang ada berjalan kritis. Minimumkan sejumlah perencanaan besar yang diperlukan, terutama pusatkan pada kebutuhan organisasi aplikasi jangka panjang. Contoh: perusahaan manufaktur yang sedang berkembang pesat.

Strategic Sistem yang berjalan dan masa depan sistem kritis. Perencanaan berarti yang harus dikerjakan, pusatkan pada kedua-duanya yaitu sumber dan kebutuhan aplikasi organisasi jangka pendek dan jangka panjang. Contoh: bank-bank dan perusahaan asuransi.

(14)

2.2.6 Tujuan Audit Sistem Informasi

Tujuan Audit sistem informasi menurut Weber (1999,pp11-13) terbagi menjadi empat antara lain :

1. Meningkatkan objektifitas keamanan aset perusahaan

Aset informasi perusahaan seperti hardware, software, sumber daya manusia dan data harus dijaga oleh sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan.

2. Meningkatkan objektifitas integritas data

Integritas data merupakan konsep dasar sistem informasi. Data memiliki atribut seperti kelengkapan, kebenaran dan keakuratan. Jika integritas data tidak dipelihara, maka perusahaan tidak akan lagi memiliki laporan yang benar bahkan dapat menderita kerugian.

3. Meningkatkan objektifitas efektifitas sistem

Efektifitas sistem informasi memiliki peranan penting dalam proses pengambilan keputusan. Sistem informasi dapat dikatakan efektif bila telah sesuai dengan kebutuhan user.

4. Meningkatkan objektifitas efisiensi sistem

Efisiensi menjadi hal yang penting ketika komputer tidak lagi memiliki kapasitas yang memadai. Jika cara kerja sistem aplikasi komputer menurun, maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

(15)

2.2.7 Efektif dan Efisiensi

Menurut Weber (1999,pp895-914) efektif adalah jika suatu tujuan, sasaran, dan program yang dapat dicapai dalam batas waktu yang ditargetkan tanpa mempedulikan biaya yang dikeluarkan. Efisien adalah jika dengan biaya (input) yang sama bisa dicapai suatu hasil (output) yang lebih besar dalam jumlah dan kualitasnya.

Ukuran efektifitas ada 11, antara lain: 1. Response time

2. Kualitas dokumentasi 3. Penggunaan fasilitas help

4. Kemudahan berinteraksi degan sistem

5. Kegunaan fungsi yang disediakan dengan sistem 6. Kemudahan untuk mempelajari sistem

7. Uniqueness (non-redundancy) 8. Konsistensi antara input dan output 9. Produktifitas tinggi

10. Dapat berintegrasi dengan sistem lain

11. Relevansi, keakuratan, kelengkapan, kestabilan, keandalan, dan tepat waktu selama pemrosesan

2.2.8 Tahapan Audit Sistem Informasi

Perencanaan adalah tahap pertama dalam audit. Untuk auditor eksternal, berarti mensurvei klien baru dan lama untuk mengetahui apakah persetujuan audit harus diterima, memberi tugas kepada staf yang layak untuk auditor, mendapatkan surat persetujuan, mendapatkan informasi latar belakang klien, memahami kewajiban resmi klien dan menganalisis prosedur untuk dapat mengerti bisnis klien lebih baik serta

(16)

mengidentifikasi resiko dalam audit tersebut. Untuk auditor internal, menempatkan staf yang sesuai dan mengidentifikasi resiko.

Dalam tahap perencanaan, auditor harus memutuskan persiapan materi apa saja yang dapat digunakan untuk audit. Perhatian auditor eksternal terletak pada banyaknya kesalahan pernyataan dalam pernyataan keuangan. Auditor internal juga dapat memberi perhatian pada besarnya kerugian yaitu dapat atau mungkin meningkatnya dalam hal ketidakefektifan dan efisiensi operasi.

Auditor juga harus membuat keputusan dalam resiko audit yang diinginkan. Mungkin kesulitan terbesar untuk mengambil keputusan dalam tahap perencanaan ini adalah memilih tingkatan dalam pengambilan resiko yaitu yang berhubungan dengan setiap bagian dalam audit.

Pengendalian intern terdiri dari lima komponen: 1. Pengendalian pengembangan

2. Penaksiran resiko 3. Pengendalian aktivitas 4. Informasi dan komunikasi 5. Pengawasan

(17)

Menurut Weber (1999,p48) tahapan audit sistem informasi digambarkan dalam bentuk flowchart sebagai berikut:

M u lai S u rve i A u d it P e nd a h u lua n M e m a h a m i S tru ktu r P e n ge n d alian In te rn M en ila i R e siko A u d it A p a ka h K o ntro l da p a t d ia n da lka n ?

L a kuka n p en g u jia n T e rha d a p P e n ge n d a lia n

M e n ila i U la n g R esiko A u d it

A p a ka h K o ntro l M a sih D a p at D ih a n d alka n ?

T in g ka tkan K eh a n da la n

K o n tro l B ata si T es S ub sta n tif B u a t La p o ra n A u d it P e rlu a s T e s S u b stan tif

S e le sa i Ya Ya T id a k T id a k T ida k Y a

Gambar 2.2 Tahapan Audit Sistem Informasi Sumber: Weber (1999,p48)

(18)

Menurut Weber (1999,pp47-55), tahapan audit sistem informasi dapat dijelaskan sebagai berikut:

1. Perencanaan audit

Tahap pertama yang dilakukan adalah pemahaman terhadap sasaran yang akan di audit, pengumpulan informasi awal dan identifikasi resiko.

2. Pengujian atas pengendalian

Auditor bergantung pada pengendalian sebagai dasar untuk menghasilkan banyak percobaan. Dalam tahap ini, auditor tidak mengetahui apakah identifikasi pengendalian operasi efektif. Uji pengendalian itu untuk mengevaluasi apakah spesifikasi pengendalian material sudah benar dan dapat dipercaya.

3. Pengujian atas transaksi

Auditor menggunakan uji transaksi untuk mengevaluasi apakah terdapat kesalahan atau tidak teraturnya proses transaksi yang mengarah pada kesalahan pernyataan dalam materi informasi keuangan. Uji transaksi meliputi penelusuran seluruh jurnal sampai ke sumber dokumen, memeriksa informasi harga properti dan tes akurasi komputerisasi.

4. Pengujian keseimbangan atau keseluruhan hasil

Auditor melakukan uji ini untuk memeriksa kebenaran bukti-bukti dalam membuat keputusan final untuk mencegah kerugian atau kesalahan akuntansi yang terjadi ketika fungsi sistem informasi gagal untuk menjaga keamanan aset, mempertahankan kesatuan data dan melakukan sistem dengan efektif dan efisien. 5. Penyelesaian audit

Pada tahap akhir dari audit, auditor eksternal mengambil alih beberapa uji tambahan untuk membawa koleksi dari bukti untuk ditutup.

(19)

Standar Profesional pada banyak negara membutuhkan satu dari empat tipe pendapat:

a. Penyangkalan pendapat b. Pendapat yang berlawanan c. Pendapat yang memenuhi syarat d. Pendapat yang tidak memenuhi syarat

Dalam menjaga keamanan aset data dan kesatuan data, auditor internal juga harus memutuskan apakah kerugian materi telah terjadi karena fungsi sistem informasi telah gagal untuk menjalankan sistem secara efektif.

2.2.9 Metode Audit

Menurut Weber (1999,pp55-57), metode audit meliputi: 1. Auditing Around the Computer

Merupakan suatu pendekatan audit yang memperlakukan komputer sebagai black-box, maksudnya metode ini tidak menguji langkah-langkah proses secara langsung, tetapi hanya berfokus pada masukan dan keluaran dari sistem komputer. Diasumsikan bahwa jika masukan benar, maka akan diwujudkan pada keluaran, sehingga pemrosesan juga benar dan tidak melakukan pengecekan terhadap pemrosesan komputer secara langsung.

Pendekatan ini mengandung beberapa kelemahan antara lain:

a. Umumnya database mencakup jumlah data yang banyak dan sukar untuk ditelusuri secara manual.

b. Tidak menciptakan sarana bagi auditor untuk menghayati dan mendalami lebih mantap liku-liku sistem komputer.

(20)

c. Cara ini mengabaikan pengendalian sistem dalam pengolahan komputer itu sendiri, sehingga rawan terhadap adanya kelemahan dan kesalahan yang potensial di dalam sistem.

d. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit menjadi sia-sia.

e. Tidak dapat mencakup keseluruhan maksud dan tujuan penyelenggaraan audit. 2. Auditing Through the Computer

Merupakan suatu pendekatan audit yang berorientasi pada komputer dengan membuka black-box, dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer. Dengan asumsi bahwa apabila sistem pemrosesan mempunyai pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak akan terlewat untuk dideteksi, sebagai akibatnya keluaran dapat diterima.

Keuntungan utama dari pendekatan ini adalah dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan dari pengujian yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap keandalan dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan. Selain itu, dengan memeriksa secara langsung logika pemrosesan dari sistem aplikasi dapat diperkirakan kemampuan sistem dalam menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.

Kelemahannya sebagai berikut:

a. Biaya yang dibutuhkan relatif tinggi yang disebabkan jumlah jam kerja yang banyak untuk dapat lebih memahami struktur pengendalian internal dari pelaksanaan sistem aplikasi.

b. Butuh keahlian teknik yang lebih mendalam untuk memahami cara kerja sistem.

(21)

2.3.1 Pengertian Pengendalian Internal

Menurut Weber (1999,p35), pengendalian adalah suatu sistem untuk mencegah, mendeteksi dan mengoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung redundansi, tidak efektif dan tidak efisien. Dengan demikian, tujuan dari pengendalian adalah untuk mengurangi resiko atau mengurangi pengaruh yang sifatnya merugikan akibat suatu kejadian (penyebab).

Berdasarkan pengertian diatas maka pengendalian dikelompokkan menjadi tiga bagian: 1. Preventive Control

Pengendalian ini digunakan untuk mencegah masalah sebelum masalah itu muncul. 2. Detective Control

Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian segera setelah masalah tersebut muncul.

3. Corrective Control

Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada pengendalian detektif. Pengendalian ini mencakup prosedur untuk menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi sistem proses. Dengan demikian bisa mencegah kejadian yang sama dimasa mendatang.

Menurut Mukhtar (1999,pp41-42), pengendalian internal merupakan perencanaan organisasi guna mengkoordinasikan metode atau cara pengendalian dalam suatu perusahaan untuk menjaga aset perusahaan guna meningkatkan tingkat kepercayaan dan akurasi data, serta menjalankan operasional perusahaan secara efisien.

(22)

Menurut sumber yang dikutip dari www.Abrema.net/glossary internal controls.htm, auditor menitikberatkan pada keefektifan pengendalian internal dengan dua alasan. Pertama, kelemahan pada prosedur pengendalian internal menghasilkan pernyataan material yang salah dalam informasi yang tidak dapat dideteksi oleh auditor. Kedua, keefektifan prosedur pengendalian internal memberikan jaminan terhadap pernyataan yang salah yang akan dideteksi oleh klien dan bergantung pada auditor. Dengan adanya kepercayaan ini memudahkan audit sehingga menjadi lebih efisien. Sebagai catatan batasan prosedur pengendalian internal tidak pernah dapat menyediakan jaminan yang layak.

Jadi, pengendalian internal secara normal meliputi prosedur pengendalian yang dirancang untuk menyediakan manajemen dengan tingkat jaminan bahwa informasi yang disajikan oleh sistem informasi dapat dipercaya dan disajikan tepat waktu.

Ada dua kategori prosedur pengendalian internal: prosedur pengendalian khusus dan prosedur pengendalian umum. Pengendalian khusus merupakan pengendalian yang menyediakan manajemen jaminan atas aspek khusus sistem informasi. Pengendalian umum merupakan pengendalian yang menyediakan dukungan untuk pengendalian khusus dan menyediakan manajemen dengan jaminan yang berhubungan dengan aspek dari sistem informasi.

Sebagai catatan jika auditor merencanakan keandalan pada pengendalian umum atau pengendalian khusus, maka auditor mengumpulkan bukti yang menyangkut keefektifan operasional atas prosedur pengendalian.

(23)

2.3.2 Komponen Pengendalian Internal

Menurut Weber (1999,p49), pengendalian internal terdiri dari lima komponen yang saling terintegrasi, antara lain:

1. Control Environment

Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian wewenang dan tanggungjawab yang harus dilakukan, cara komite audit berfungsi, dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja.

2. Risk Assesment

Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi oleh perusahaan dan cara-cara untuk menghadapi resiko tersebut.

3. Control Activities

Komponen yang beroperasi untuk memastikan transaksi telah terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan aset dan record, pengecekan kinerja, dan penilaian dari jumlah record yang terjadi

4. Information and Communication

Komponen dimana informasi digunakan untuk mengidentifikasi, mendapatkan dan menukarkan data yang dibutuhkan untuk mengendalikan dan mengatur operasi perusahaan.

5. Monitoring

(24)

2.3.3 Jenis Pengendalian

Menurut Weber (1999,pp67-674), ruang lingkup pengendalian dibedakan atas dua jenis, yaitu management control framework (pengendalian manajemen) dan application control framework (pengendalian aplikasi).

2.3.3.1 Pengendalian Manajemen

Pengendalian umum (general control) ialah sistem pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Pengendalian ini berguna untuk menyediakan infrastruktur yang stabil sehingga sistem informasi dapat dibangun, dioperasikan, dan dipelihara secara berkesinambungan.

Menurut sumber yang dikutip dari www.Abrema.net/glossary control environmet.htm, pengendalian umum adalah lingkungan dimana prosedur pengendalian internal beroperasi. Beberapa pengendalian umum, seperti kebijakan pengendalian yang luas, akan berguna untuk meminimalkan resiko turunan tanpa ada kebijakan pengendalian dan dapat mengurangi resiko turunan.

Bukti yang dikumpulkan oleh auditor untuk mengevaluasi pengendalian umum meliputi bukti yang menunjuk pada ISA400.8 IFAC's seperti:

1. Filsafat manajemen dan gaya beroperasi. Cara mempertimbangkan gaya operasi manajemen adalah dengan mempertimbangkan tingkat keseganan manajemen dalam mengambil resiko. Personil manajemen dalam beberapa kesatuan cenderung mencari resiko secara alami, beberapa diantaranya cenderung untuk mengambil resiko yang menentang dan yang lainnya berdusta ditempatnya.

(25)

2. Organisasi dan kebijakan otorisasi. Penetapan kebijakan yang berkenaan dengan tugas otoritas dimana manajemen dan karyawan lain merupakan lingkungan pengendalian yang positif dimana ada perbedaan tugas dari tingkat otoritas yang berbeda kepada tingkat manajemen, dengan otoritas yang tersisa dalam suatu kerjasama.

3. Audit internal, Teknologi Informasi dan Kebijakan Sumber Daya Manusia. Keberadaan dari fungsi audit internal dapat memperkuat lingkungan pengendalian, dimana auditor internal bertanggung jawab untuk memonitor tingkat karyawan yang bertahan dalam prosedur pengendalian yang dibentuk. Kebijakan sumber daya manusia bertujuan untuk meningkatkan kemampuan manajemen dan pegawai lainnya, seperti perekrutan pegawai dan kebijakan pelatihan, dimana pengendalian internal yang beroperasi lebih positif.

4. Kebijakan Panitia Audit. Panitia audit adalah panitia yang terdiri dari sebagian besar anggota Dewan Direktur non-eksekutif mandiri yang ditugaskan untuk memproses pengauditan kesalahan laporan keuangan.

Pengendalian manajemen terdiri dari:

1. Pengendalian top manajemen (Top Level Management Control)

Mengendalikan peranan manajemen dalam perencanaan kepemimpinan dan pengawasan fungsi sistem.

2. Pengendalian manajemen sistem informasi (Information System Management Control)

Mengendalikan alternatif dari model pengembangan proses sistem informasi sehingga dapat digunakan sebagai dasar pengumpulan dan pengevaluasian bukti.

(26)

3. Pengendalian manajemen pengembangan sistem (System Development Management Control)

Mengendalikan tahapan utama dari daur hidup program dan pelaksanaan dari tiap tahap.

4. Pengendalian manajemen sumber data (Data Resource Management Control)

Mengendalikan peranan dan fungsi dari data administrator atau database administrator.

5. Pengendalian manajemen jaminan kualitas (Quality Assurance Management Control)

Mengendalikan fungsi utama yang harus dilakukan oleh Quality Assurance Management untuk meyakinkan bahwa pengembangan, pelaksanaan, pengoperasian, dan pemeliharaan dari sistem informasi sesuai dengan standar kualitas.

6. Pengendalian manajemen keamanan (Security Management Control)

Mengendalikan fungsi utama dari security administrator dalam mengidentifikasi ancaman utama terhadap fungsi sistem informasi dan perancangan, pelaksanaan, pengoperasian, dan pemeliharaan terhadap pengontrolan yang dapat mengurangi kemungkinan kehilangan dari ancaman ini sampai pada tingkat yang dapat diterima. 7. Pengendalian manajemen operasi (Operations Management Control)

Mengendalikan fungsi utama dari manajemen operasi untuk meyakinkan bahwa pengoperasian sehari-hari dari fungsi sistem informasi diawasi dengan baik.

(27)

Pengendalian aplikasi dapat berupa:

1. Pengendalian Boundary (Boundary Control)

Mengendalikan sifat dan fungsi pengendalian akses, penggunaan pengkodean dalam pengendalian akses, nomor identifikasi personal (PIN), digital signatures dan plastic cards.

Tujuan dari boundary control adalah:

a. Untuk menetapkan identitas dan otoritas User terhadap sistem komputer

b. Untuk menetapkan identitas dan kebenaran sumber informasi yang akan digunakan User.

c. Untuk membatasi kegiatan User dalam mendapat sumber informasi berdasarkan kewenangan.

Jenis-jenis pengendalian dalam subsistem boundary, yaitu:

a) Pengendalian Kriptografi

Kriptografi merupakan sistem untuk mentransformasikan data menjadi kode (cryptograms) sehingga tidak memiliki arti bagi orang yang tidak memiliki sistem untuk mengubah kembali data tersebut. Tujuannya untuk menjaga kerahasiaan informasi dengan mengacak data.

b) Pengendalian Akses

Pengendalian akses berfungsi untuk membatasi penggunaan sumberdaya sistem komputer, membatasi dan memastikan User untuk mendapatkan sumberdaya yang mereka butuhkan. Langkah-langkah umum untuk menunjang fungsi tersebut, yaitu:

1) Mengesahkan User yang telah mengidentifikasikan dirinya ke sistem; 2) Mengesahkan sumberdaya yang diminta oleh User, serta

(28)

(a) Fungsi mekanisme pengendalian akses

Mekanisme pengendalian akses memproses permintaan User melalui tiga tahap yaitu:

1) User mengidentifikasikan dirinya untuk mengidentifikasikan bahwa User sungguh-sungguh melakukan permintaan terhadap sistem;

2) User mengautentifikasikan dirinya, begitu juga dengan mekanisme; Terdapat dua cara proses autentifikasi; mekanisme harus yakin terhadap User dan User pun harus yakin terhadap mekanisme.

3) User meminta sumberdaya khusus.

Data access control name, account number

Identifikasi user

a. Proses Identifikasi

Data access control Remembered information

possessed objects personal characteristic Valid/invalid user b. Proses Otentikasi User X Mekanisme access controls User X Otorisasi data Otentikasi data Identifikasi data User X Mekanisme access controls User X Otorisasi data Otentikasi data Identifikasi data

(29)

Data access control

Object resources

Action request

Permitted/denied user c. Proses Otorisasi

Gambar 2.3 Tahapan Mekanisme Pengendalian Akses Sumber: Weber (1999,p379)

(1) Identifikasi dan Otentikasi

User mengidentifikasi dirinya pada mekanisme pengendalian akses dengan memberi informasi seperti nama atau nomor rekening. Informasi tersebut memungkinkan mekanisme untuk menentukan bahwa data yang masuk sesuai dengan informasi pada file otentikasi.

Terdapat tiga bagian yang dapat diisi oleh User untuk informasi otentikasi.

Pembagian informasi Contoh

Informasi yang mudah diingat

Nama, tanggal lahir, no account, password, PIN

Benda-benda yang dimiliki Badge, finger print, kunci, kartu.

Karakteristik pribadi Sidik jari, suara, ukuran tangan, tanda tangan, pola retina.

Setiap bagian memiliki kelemahan masing-masing. Permasalahan pada bagian informasi yang mudah diingat User adalah lupa, akibatnya

User X Mekanisme access controls User X Otorisasi data Otentikasi data Identifikasi data

(30)

kebanyakan User memilih informasi yang mudah ditebak atau mencatatnya disuatu tempat yang kurang aman.

Beberapa masalah sehubungan dengan password dapat dihat pada tabel 2.2

1 Untuk mengingat password, biasanya User mencatatnya didekat komputernya;

2 User memilih password yang mudah untuk ditebak, seperti nama keluarga atau bulan kelahiran;

3 User tidak mengganti password pada jangka waktu yang lama; 4 User kurang menyadari pentingnya password;

5 User memberitahu passwordnya kepada teman atau teman kerjanya;

6 Beberapa mekanisme pengendalian akses meminta User untuk mengingat beberapa password;

7 Beberapa mekanisme pengendalian akses tidak menyimpan password dengan menggunakan enkripsi;

8 Password tidak diganti ketika User keluar dari organisasi;

9 Password ditransmisikan melalui jalur komunikasi dalam bentuk cleartext.

Tabel 2.2 Permasalahan pada Password Sumber: Weber (1999,p381)

The U.S. National Bureau of Standards (1985) dan the U.S. Departement of Defense (1985), sebagaimana dikutip oleh Weber (1999,p382) mengusulkan langkah-langkah untuk menggenerasikan password.

(31)

Prinsip mengatur password dengan baik dapat dilihat pada tabel 2.3

1 Jumlah password yang ada seharusnya dapat diterima oleh mekanisme pengendalian akses;

2 Mekanisme pengendalian akses tidak menyetujui apabila panjang password kurang dari minimum;

3 Mekanisme pengendalian akses tidak memperbolehkan User menggunakan password yang kata-katanya mudah dicari dikamus; 4 User diharuskan mengganti passwordnya secara periodik;

5 User tidak diperbolehkan menggunakan kembali password yang usianya lebih dari 12 bulan;

6 Password harus dienkripsi ketika akan disimpan atau ditransmisikan;

7 User harus diberi penjelasan mengenai pentingnya keamanan password, prosedur yang dapat digunakan untuk memilih password yang aman, dan prosedur untuk menjaga keamanan password;

8 Password harus segera diganti, apabila terdapat indikasi bahwa password telah dikompromikan;

9 Mekanisme pengendalian akses membatasi User untuk memasukkan password yang salah.

Tabel 2.3 Prinsip-prinsip Mengatur Password Sumber: Weber (1999, p382)

(32)

Contoh identifikasi dan otentikasi yang dapat dilakukan oleh User ketika mengakses sistem diantaranya, yaitu:

a. Personal Identification Numbers (PIN)

PIN adalah suatu informasi yang mudah diingat dan digunakan untuk mengotentikasi User pada sistem transfer dana elektronik.

b. Plastic Card

Plastic card dimaksudkan untuk mengidentifikasikan setiap individu yang akan menggunakan sistem komputer.

c. Password

Menurut sumber yang dikutip dari website (www.oucs.ox.ac.uk/registration/password/password_security.xml),

password adalah sekelompok karakter yang kita berikan untuk memverifikasi bahwa yang mengakses sistem komputer adalah kita sendiri.

(2) Sumber Daya Objek

Sumberdaya yang digunakan oleh User untuk bekerja pada lingkungan sistem informasi berbasiskan komputer dapat dibagi menjadi empat, yaitu:

Klasifikasi Sumberdaya Contoh

Hardware Terminal, printer, prosesor, disk, jalur komunikasi.

Software Program sistem aplikasi, generalisasi software sistem.

(33)

Komoditi Kecepatan prosesor, tempat penyimpanan.

Data File, grup, data item (termasuk gambar dan suara)

Setiap sumberdaya harus diberi nama karena secara umum mekanisme pengendalian akses harus menyesuaikannya dengan permintaan User. (3) Action Privileges (Hak Istimewa)

Action privileges diberikan kepada User berdasarkan pada tingkatan kewenangan User dan jenis sumberdaya yang akan digunakan.

(b) Kebijakan Pengendalian Akses

Mekanisme pengendalian akses digunakan untuk menghasilkan kebijakan pengendalian akses, yaitu:

1) Discretionary Access Control

Apabila sebuah organisasi menggunakan jenis ini, User diizinkan untuk menentukan kepada siapakah mekanisme pengendalian akses memberikan akses atas file-nya. Dengan demikian User dapat memilih apakah digunakan sendiri atau akan berbagi dengan User lainnya.

2) Mandatory Access Control

Pada jenis ini baik User maupun sumberdaya menggunakan keamanan atribut yang tetap. Mekanisme pengendalian akses menggunakan atribut tersebut untuk menentukan User manakah yang dapat mengakses sumber daya tertentu. Hanya system administrator yang dapat mengubah keamanan atribut User dan sumber daya.

(34)

3) Audit Trail

Audit trail merekam semua kejadian yang berhubungan dengan boundary system. Audit trail dapat digunakan untuk menganalisa suatu kesalahan, selain itu dapat dijadikan bukti ketidakefisiensian dan ketidakefektifan penggunaan sumber daya.

2. Pengendalian Input (Input Control)

Menurut Weber (1999,pp420-450) komponen pada subsistem input bertanggungjawab dalam mengirimkan data dan instruksi kedalam sistem aplikasi dimana kedua tipe input tersebut haruslah divalidasi, selain itu banyaknya kesalahan yang terdeteksi harus dikontrol sehingga input yang dihasilkan akurat, lengkap, unik dan tepat waktu.

Pengendalian input merupakan hal yang kritis didasarkan tiga alasan, yaitu jumlah pengendalian yang paling besar pada sistem informasi terhadap kehandalan subsistem input, aktivitas pada subsistem input yang bersifat rutin, dalam jumlah besar dan campur tangan manusia dapat mengalami kebosanan sehingga cenderung mengalami error, subsistem input sering menjadi target dari fraud. Banyak ketidakberesan yang ditemukan dengan cara penambahan, penghapusan, atau pengubahan transaksi input.

(35)

Komponen pngendalian input ada delapan yaitu mencakup:

a) Metode Data Input

PC Point of Sales device, ATM, Image Reader Touchscreen, Mice,Joystick Video, Sound, Voice.

b) Perancangan Dokumen Sumber

Menurut sudut pandang pengendalian, perancangan dokumen sumber yang baik memiliki beberapa tujuan:

1. Mengurangi kemungkinan perekaman data yang error 2. Meningkatkan kecepatan perekaman data

3. Mengendalikan alur kerja

4. Memfasilitasi pemasukan data kedalam sistem komputer

5. Dapat meningkatkan kecepatan dan keakuratan pembacaan data 6. Memfasilitasi pengecekan referensi berikutnya

Auditor harus memahami fundamental perancangan dokumen sumber yang baik. Perancangan dokumen sumber dimulai setelah melakukan analisis, dimana analisis dokumen sumber menentukan data apa yang akan diambil, bagaimana pengambilan data, siapa yang mengambil data, bagaimana data dipersiapkan dan dimasukkan

State/

Event Perekam _Media _ReadingDirect

Direct Entry Keyboarding

(36)

kedalam sistem komputer, juga penanganan, penyimpanan, dan pengarsipan dokumen. Adapun dasar-dasar yang perlu diperhatikan untuk penilaian perancangan dokumen sumber yang baik adalah:

1. Karakteristik media kertas yang digunakan untuk dokumen sumber, meliputi seleksi panjang dan lebar kertas, kualitas kertas.

2. Tampilan dan style yang digunakan sebagai dokumen sumber.

Secara garis besar, hal yang penting dalam perancangan dokumen sumber terdiri: 1. Penggunaan preprint,

2. Menyediakan judul (mengidentifikasikan tujuan dokumen sumber), headings (memisahkan dokumen kedalam seksi logis), catatan dan instruksi (membantu user dalam melengkapi dokumen).

3. Penggunaan teknik untuk perhatian dan perbedaan-perbedaan yang penting 4. Menyusun field yang mudah dalam penggunaannya, urutan field-field

menurut alur kerja.

5. Penggunaan pendekatan “caption above fill-in area” untuk judul halaman dan field data

6. Menyediakan pilihan ganda untuk pertanyaan-pertanyaan untuk menghindari kehilangan data.

7. Penggunaan tanda tick atau nilai indikator untuk mengidentifikasikan field-size errors

8. Kombinasi instruksi dengan pertanyaan 9. Ruang item yang tepat dalam formulir 10. Prenumber dokumen sumber

(37)

12. Memenuhi standar organisasional.

c) Perancangan Layar Data Entry

Jika data yang di key masuk ke sistem melalui terminal, rancangan layar dengan kualitas tinggi sangat penting untuk meminimumkan error input dan mencapai keefektifan dan keefisiensian subsistem input. Auditor harus mampu memeriksa layanan data-entry pada sistem aplikasi dan memberikan penilaian terhadap frekuensi error input yang kemungkinan dibuat dan perluasan perancangan layar yang meningkatkan atau mengurangi keefektifan dan keefisiensian. Penilaian ini akan mempengaruhi cara mereka memutuskan untuk mengadakan audit yang masih tersisa.

Subseksi berikut ini menjelaskan pengenalan perancangan layar dengan singkat dan terutama berdasarkan Galitz (1993), Weinschenk dan Yeo (1998), Mullet dan Sano (1995), dan Herton (1994). Prinsip perancangan yang jelas ditujukan untuk semua jenis layar data-entry. Lainnya berbeda-beda, tetapi berdasarkan saat layar digunakan untuk direct-entry input atau saat input pengambilan data melalui dokumen sumber. Salah satu daya tariknya adalah perbedaan penulis sering menimbulkan konflik terhadap rekomendasi yang merupakan perancangan layar yang baik. Contohnya, adanya rekomendasi bahwa kotak ditempatkan di sekitar data-entry fields, sedangkan yang lainnya merekomendasikan penggunaan karakter underscore. Demikian pula ada yang merekomendasikan judul halaman selalu diletakkan di left-aligned, sedangkan yang lainnya merekomendasikan judul halaman diletakkan di right-aligned jika ukuran judul halaman terdapat perbedaan yang sangat mencolok. Pada akhirnya auditor harus membuat penilaian terhadap kualitas perancangan layar data entry.

(38)

Macam-macam bagian dalam perancangan layar data entry

(1) Organisasi Layar

Layar seharusnya diorganisasi dengan rapih dan simetris. Elemen data seharusnya diorganisasi kedalam grup-grup berdasarkan fungsinya. Jika jumlah baris, point alignment vertikal, dan elemen data pada layar meningkat, maka kekompleksitasan layar juga meningkat.

Tujuan yang penting pada perancangan layar adalah ketepatan. User mengembangkan fasilitas dengan desain khusus. Oleh karenanya, perancangan ini kemungkinan dapat digunakan kapanpun melalui aplikasi berulang kali. Sebagai contoh, bagian khusus dari layar seharusnya digunakan untuk menampilkan instruksi untuk kelengkapan layar, pesan error, instruksi untuk pengaturan layar, dan pesan status.

(2) Perancangan Judul Halaman

Judul halaman mengindikasikan sifat data yang dimasukkan ke dalam field pada layar. Yang perlu dipertimbangkan dalam perancangan meliputi struktur, ukuran, jenis huruf, intensitas tampilan, format, penjajaran, justification dan spacing.

Faktor utama yang mempengaruhi perancangan judul halaman yaitu:

1. Memilih apakah screen digunakan untuk direct-entry input data atau input data yang siap diambil dari dokumen sumber

2. Judul halaman harus lengkap dieja

3. Jika layar digunakan untuk direct entry data maka layar memberikan petunjuk selama proses data-capture

(39)

4. Maksud dari judul halaman tidak boleh ambigu

5. Jika data yang dimasukkan berdasarkan dokumen sumber, judul halaman dapat disingkat

6. Judul halaman dapat dibedakan dengan jelas dari asosiasi field data entry 7. Memiliki intensitas tampilan yang lebih tinggi daripada data yang

dimasukkan oleh User

8. Secara alternatif, judul halaman dan judul field dapat ditampilkan dengan perbedaan warna

9. Judul halaman harus selalu mendahului asosiasi field data entry kecuali saat field data entry banyak berhubungan dengan judul halaman yang sama.

(3) Perancangan Field Data-Entry

1. Field data entry harus mengikuti asosiasi field data entry judul halaman pada baris yang sama atau jika field berulang-ulang, beberapa baris dibawah judul halaman

2. Ukuran field seharusnya diindikasikan dengan penggunaan karakter underscore atau karakter lainnya

3. Jika masing-masing karakter baru dimasukkan ke dalam field maka karakter yang ada diganti

4. Secara alternatif ukuran field dapat diindikasikan dengan penggunaan sebuah lined box filled dengan warna atau background yang kontras 5. Adanya bantuan penyelesaian untuk mengurangi keying error

6. Radio buttons dan check boxes hanya digunakan saat satu atau sedikit pilihan yang ada, list boxes untuk daftar pilihan yang panjang, dan spin boxes digunakan untuk siklus terhadap batasan pilihan dengan jumlah terbatas.

(40)

(4) Tabbing dan Skipping

Skipping otomatis untuk field baru seharusnya dihindari dalam perancangan layar data entry, karena dua alasan. Pertama, ciri dari skip otomatis, yakni operator keyboard membuat kesalahan ukuran field yang tidak terdeteksi karena kursor dengan mudah melompat ke field baru. Kedua, dalam banyak field data entry sering tidak diisi, sehingga operator keyboard masih harus tab ke field berikutnya. Meskipun tab membutuhkan key-stroke tambahan tetapi rhythm pada operator keying dipelihara.

(5) Warna

Warna dapat digunakan untuk membantu dalam pengalokasian judul halaman atau data item yang khusus, untuk memisahkan area pada tampilan, atau mengindikasikan perubahan status (seperti situasi error). Munculnya warna untuk mengurangi waktu pencarian untuk item pada layar dan memotivasi User karena layar lebih menarik.

(6) Waktu Respon

Waktu respon merupakan interval yang berlalu antara pemasukan item data dan indikasi sistem yang siap menerima item data baru. Pada transaksi, waktu respon seharusnya cepat tanggap kira-kira 2 sampai 4 detik. Waktu respon yang cepat dibutuhkan jika data di key dari dokumen sumber.

(7) Tingkat Tampilan

Tingkat tampilan merupakan tingkat saat karakter atau image pada layar ditampilkan. Hal ini merupakan fungsi kecepatan saat data dikomunikasikan

(41)

antara terminal dengan komputer (boud rate). Jika tingkat display lambat atau variabel, maka tingkat kesalahan pemasukan data yang muncul lebih tinggi.

(8) Fasilitas Prompting dan Help

Fasilitas prompting menyediakan petunjuk atau informasi tentang aksi User yang seharusnya digunakan saat mereka bekerja dengan layar data entry saat itu juga. Sebuah prompt sering menggunakan bentuk pop-up window yang memuat pesan instruksional yang muncul secara otomatis saat User memindahkan cursor ke field khusus. Petunjuk informasi yang disediakan harus singkat dan mudah dipahami. Fasilitas help menyediakan petunjuk atau informasi yang dicari tentang aksi User yang seharusnya digunakan saat mereka bekerja dengan layar data entry. Fasilitas prompting dan help berguna saat memasukkan data tidak berdasarkan dokumen sumber yang ditujukan serta berguna untuk User baru atau User yang jarang melakukan tugas memasukkan data.

d) Pengendalian Kode Data

Tujuan kode data yang unik yaitu untuk mengidentifikasi entitas sebagai anggota dalam suatu grup atau set, dan lebih rapih dalam menyusun informasi yang dapat mempengaruhi tujuan integritas data, keefektifan serta keefisiensian.

(1) Kesalahan dalam pengkodean data

Ada lima jenis kesalahan dalam pengkodean data, yaitu:

1. Addition (penambahan), sebuah karakter ekstra ditambahkan pada kode, contoh 87942 dikode menjadi 879142.

2. Truncation (pemotongan), sebuah karakter dihilangkan dari kode, contoh 87942 dikode menjadi 8792.

(42)

3. Transcription (perekaman), sebuah karakter yang salah direkam, contoh 87942 dikode menjadi 81942.

4. Transposition (perubahan), karakter yang berdekatan pada kode dibalik, contoh 87942 dikode menjadi 78942.

5. Double Transposition, karakter dipisahkan oleh satu atau lebih karakter yang dibalik, contoh 87942 dikode menjadi 84972.

Lima faktor yang mempengaruhi terjadinya kasalahan dalam pengkodean antara lain:

1. Panjang kode yang cenderung menyebabkan kesalahan 2. Gabungan alfabet dengan numerik

3. Pilihan karakter

4. Gabungan huruf besar dengan huruf kecil 5. Kemampuan prediksi dari karakter berurutan

(2) Jenis sistem pengkodean

Kode spesifik dipilih dalam konteks sistem pengkodean. Dalam teori, sistem pengkodean mencapai 5 tujuan, yaitu:

1. Fleksibilitas, suatu kode seharusnya mengizinkan tambahan item atau kategori baru dengan mudah.

2. Keberartian, jika mungkin kode seharusnya mengidentifikasikan nilai atribut dari entitas.

3. Kepadatan, suatu kode seharusnya menyampaikan informasi maksimum yang disampaikan dengan jumlah karakter yang minimum.

(43)

5. Kemampuan, jika mungkin suatu kode dapat diadaptasi dengan perubahan syarat-syarat berkembang User.

Tipe-tipe dari sistem pengkodean: 1. Serial codes

Memberikan urutan nomor atau alfabet sebagai suatu obyek, terlepas dari kelompok obyek tersebut. Maka, dapat dikatakan bahwa serial codes secara unik mengidentifikasi suatu obyek. Keuntungan utama dari pengkodean ini adalah kemudahan untuk menambahkan item baru dan juga pengkodean ini ringkas dan padat.

2. Block sequence codes

Pengkodean dengan block sequence memberikan satu blok dari nomor-nomor sebagai suatu kategori khusus dari sebuah obyek. Kelompok utama dari obyek dalam suatu kategori harus ditentukan dan disertai dengan satu blok dari nomor-nomor untuk masing-masing nilai dari kelompok tersebut. Keuntungan dari pengkodean ini adalah dalam memberikan nilai mnemonic (mudah diingat). Kesulitan yang dihadapi adalah dalam menentukan ukuran atau panjang dari kode.

3. Hierarchical codes

Hierarchical codes membutuhkan pemeliharaan serangkaian nilai kelompok dari suatu obyek yang akan dikodekan dan diurutkan berdasarkan tingkat kepentingannya. Hierarchical codes lebih berarti dibanding serial atau block sequence karena pengkodean ini mendeskripsikan lebih banyak kelompok dari obyek.

(44)

4. Assosiation codes

Dengan association codes, kelompok dari obyek yang akan diberi kode dipilih, dan kode yang unik diberikan untuk masing-masing nilai dari kelompok tersebut. Kode tersebut dapat berupa numerik, alfabet, atau alfanumerik. Association codes mempunyai nilai mnemonik yang tinggi. Pengkodean ini lebih cenderung salah jika tidak ringkas atau terdiri dari banyak gabungan alfabet atau karakter numerik.

e) Cek Digit

Cek digit digunakan sebagai peralatan untuk mendeteksi kesalahan dalam banyak aplikasi, sebagai contoh: tiket pesawat, proses kartu kredit, proses rekening bank, proses pengumpulan item bank dan proses lisensi mengemudi.

(1) Sifat cek digit

Cek digit digunakan untuk menentukan apakah User memasukkan cek digit atau mengkalkulasikan cek digit yang sama. Jika sama, kemungkinan kode dikoreksi. Jika berbeda, kemungkinan terjadi kesalahan kode.

(2) Mengkalkulasikan cek digit

Ada beberapa cara mengkalkulasi cek digit. Cara yang sederhana dengan menjumlahkan digit dalam suatu angka dan menentukan hasilnya menjadi karakter suffix. Sebagai contoh jika kode 2148 maka cek digitnya 2+1+4+8=15. Keluarkan digit puluhan, maka cek digit menjadi 5 sehingga kode 21485. Cek digit tidak mendeteksi jenis yang sangat biasa dari kesalahan pengkodean yakni kesalahan transparansi. Kode yang salah 2814 tetap menghasilkan cek digit yang dikoreksi.

(45)

f) Pengendalian Batch

Batching merupakan proses pengelompokkan transaksi bersama-sama yang menghasilkan beberapa jenis hubungan antara yang satu dengan lainnya. Pengendalian yang bermacam-macam dapat digunakan pada batch untuk mencegah atau mendeteksi error atau kesalahan. Ada dua jenis batch yang digunakan yaitu batch fisik dan batch logis. Physical batches merupakan grup transaksi yang menjalankan unit fisik. Logical batches merupakan grup transaksi yang dikelompokkan bersama berdasarkan logis.

Penilaian terhadap pengendalian batch dapat dilakukan dengan mengacu pada: (1) Batch Cover Sheet

Batch cover sheet memuat jenis informasi seperti, angka batch yang unik, total kontrol untuk batch, data umum untuk berbagai transaksi pada batch, tanggal saat batch disiapkan, kesalahan informasi yang terdeteksi pada batch dan tanda tangan personalia yang menangani batch dalam berbagai cara. (2) Batch Register Control

Batch register control mencatat perpindahan physical batches antara berbagai lokasi dalam suatu organisasi.

g) Validasi Input Data

Jenis pengecekan validasi input data: (1) Field Checks

Tes validasi dapat diaplikasikan pada field yang tidak bergantung pada field lainnya dalam laporan input.

(46)

(2) Record Checks

Tes validasi dapat diaplikasikan ke field berdasarkan hubungan timbal balik yang logis dari suatu field dengan field lainnya dalam laporan.

(3) Batch Checks

Tes validasi memeriksa apakah karakteristik laporan batch yang dimasukkan sama dengan rumusan karakteristik batch.

(4) File Checks

Tes validasi menguji apakah karakteristik penggunaan file selama pemasukan data sama dengan rumusan karakteristik file.

h) Instruksi Input

Dalam memasukkan instruksi ke dalam sistem aplikasi sering terjadi kesalahan karena adanya instruksi yang bermacam-macam dan kompleks. Karena itu perlu menampilkan pesan kesalahan. Pesan kesalahan yang ditampilkan harus dikomunikasikan pada User dengan lengkap dan jelas.

Ada enam cara untuk memasukan instruksi ke dalam sistem informasi: (1) Menu-Driven Languages

Cara yang paling sederhana untuk User dalam menyediakan instruksi ke dalam sistem aplikasi adalah melalui sebuah menu. Sistem tersebut memfasilitasi User dengan suatu daftar pilihan dan User dapat menentukan pilihan dalam beberapa cara, yaitu dengan mengetik angka atau huruf, memposisikan kursor kemudian menekan tombol enter atau dengan mengklik mouse, menggunakan light pen atau touch screen.

(47)

(2) Question-Answer Dialogs

Digunakan untuk menghasilkan input data. Sistem aplikasi memberikan pertanyaan tentang item data dan User meresponnya. Question-answer dialog juga dapat digunakan untuk menghasilkan instruksi input bersama dengan data input.

(3) Command Languages

Memerlukan User untuk memberikan perintah tertentu dengan meminta beberapa proses dan sekumpulan argumen yang secara spesifik memberitahukan bagaimana proses tersebut seharusnya dijalankan.

(4) Form-Based Languages

Memerlukan User memberikan perintah dan data tertentu yang terdapat dalam konteks beberapa format keluaran atau masukan.

(5) Natural Languages

Mengijinkan User untuk memberikan instruksi kepada sistem aplikasi melalui recognition device.

(6) Direct Manipulation Interfaces

User memberikan instruksi pada sistem aplikasi melalui manipulasi langsung pada objek layar.

4. Pengendalian Output (Output Control)

Pengendalian output digunakan untuk memastikan bahwa data yang diproses tidak mengalami perubahan yang tidak sah oleh personel operasi komputer dan memastikan hanya personil yang berwenang saja yang menerima output.

(48)

Pengendalian output yang dilakukan berupa:

1) Mencocokkan data output dangan total pengendali sebelumnya yang telah ditetapkan yang diperoleh dalam tahap input dari siklus pemrosesan

2) Mereview data output untuk melihat format yang tepat

3) Mengendalikan data input yang ditolak oleh komputer selama pemrosesan dan mendistribusikan data yang ditolak tersebut ke personel yang tepat 4) Mendistribusikan laporan-laporan output ke departemen pemakai tepat pada

waktunya

5. Pengendalian Database (Database Control)

Menurut Porter dan Perry (1996,p204), pengendalian database digunakan untuk menjaga integritas data dalam suatu database. Pengendalian yang dilakukan mencakup pengendalian terhadap pelaporan kemacetan, sistem kamus data, sistem kamus data yang terintegrasi, tanggung jawab unsur data, pengendalian data bersama dan pemecahan hambatan.

6. Pengendalian Komunikasi (Communication Control)

Menurut Weber (1999,p474) pengendalian komunikasi digunakan untuk mengendalikan pendistribusian pembukaan komunikasi subsistem, komponen fisik, kesalahan jalur komunikasi, aliran dan hubungan, pengendalian topologi, pengendalian akses hubungan, pengendalian atas ancaman subversif, pengendalian internetworking, dan pengendalian arsitektur komunikasi.

(49)

2.4 Teknik Audit Berbantuan Komputer

Menurut sumber yang dikutip dari Standar Profesional Akuntan Publik (2001,pp327.01-327.09) tujuan dan lingkup keseluruhan suatu audit dilaksanakan dalam suatu lingkungan sistem informasi komputer. Namun, penerapan prosedur audit mengharuskan auditor untuk mempertimbangkan teknik-teknik yang menggunakan komputer sebagai suatu alat audit. Berbagai macam penggunaan komputer dalam audit disebut dengan istilah Teknik Audit Berbantuan Komputer (TABK) atau Computer Assisted Audit Techniques (CAATs).

TABK dapat digunakan dalam pelaksanaan berbagai prosedur audit berikut ini:

a. Pengujian rincian transaksi dan saldo, seperti penggunaan perangkat lunak audit untuk menguji semua (suatu sampel) transaksi dalam file komputer.

b. Prosedur review analitik, seperti penggunaan perangkat lunak audit untuk mengidentifikasi unsur atau fluktuasi yang tidak biasa.

c. Pengujian pengendalian (test of control) atas pengendalian umum sistem informasi komputer, seperti penggunaan data uji untuk menguji prosedur akses keperpustakaan program (program libraries).

d. Pengujian pengendalian atas pengendalian aplikasi sistem informasi komputer, seperti penggunaan data uji untuk menguji berfungsinya prosedur yang telah diprogram.

e. Mengakses file, yaitu kemampuan untuk membaca file yang berbeda record-nya dan berbeda formatnya.

f. Mengelompokkan data berdasarkan kriteria tertentu.

g. Mengorganisasi file, seperti menyortasi dan menggabungkan. h. Membuat laporan, mengedit dan memformat keluaran.

(50)

Teknik data uji digunakan dalam pelaksanaan prosedur audit dengan cara memasukkan data (misalnya suatu contoh transaksi) ke dalam sistem komputer entitas, dan membandingkan hasil yang diperoleh dengan hasil yang telah ditentukan sebelumnya.

Contoh penggunaan teknik data uji adalah:

a. Data uji digunakan untuk menguji pengendalian khusus dalam program komputer, seperti on-line password dan pengendalian akses data.

b. Transaksi uji yang dipilih dari transaksi yang telah diproses atau telah dibuat sebelumnya oleh auditor untuk menguji karakteristik pengolahan tertentu yang dilakukan entitas dengan sistem komputernya. Transaksi ini umumnya diolah secara terpisah dari pengolahan normal yang dilakukan oleh entitas.

c. Transaksi “dummy unit” (seperti departemen atau karyawan) untuk mem-posting transaksi uji kedalam dummy unit tersebut dalam siklus pengolahan normal entitas.

Jika data diolah dengan pengolahan normal entitas, auditor harus mendapatkan keyakinan bahwa transaksi uji kemudian dihapus dari catatan akuntansi entitas.

2.5 DFD (Data Flow Diagram)

Menurut Yourdon (1989,pp139-173) DFD (Data Flow Diagram) merupakan salah satu hal yang paling penting bagi seorang sistem analisis. DFD dipopulerkan oleh Tom De Marco (1978) dan Gane & Sarson (1979) dengan menggunakan pendekatan Metoda Analisis Sistem Terstruktur (Structured System Analysist Method).

DFD digunakan untuk merepresentasikan suatu sistem yang otomatis maupun dengan melalui gambar yang berbentuk jaringan grafik. Dengan menggunakan DFD, sistem analis dapat memahami aliran data dalam sebuah sistem.

(51)

Ada 3 keuntungan memahami aliran data dalam suatu sistem, yaitu:

1. Terhindar dari usaha untuk mengimplementasikan suatu sistem yang terlalu dini. Sistem analis perlu memikirkan secara cermat aliran-aliran data yang diperlukan sebelum terlalu cepat mengambil keputusan untuk merealisasikannya secara teknik. 2. Dapat mengerti lebih mendalam hubungan sistem dengan subsistemnya. Dengan

DFD, sistem analis dapat membedakan sistem dari lingkungannya dengan batasan-batasannya (boundaries). Untuk itu, dibutuhkan pengertian yang benar untuk memahami konsep dari sistem dari sudut pandang luar.

3. Dapat menginformasikan sistem yang berlaku kepada User melalui DFD. DFD dapat digunakan sebagai tool untuk berinteraksi dengan User dalam representasi.

Simbol yang digunakan dalam DFD 1. External Entity

a. Dilambangkan dengan

b. Entitas yang berada di luar sistem yang memberikan data kepada sistem (source) atau yang menerima informasi dari sistem (sink).

c. Tidak termasuk bagian dari sistem.

d. Nama external entity merupakan kata benda dan tidak boleh memiliki nama sama.

2. Process

b. Menggambarkan apa yang dilakukan oleh sistem.

c. Berfungsi mentransformasikan satu atau beberapa data masukan menjadi satu atau beberapa data keluaran sesuai dengan spesifikasi yang diinginkan.

(52)

3. Data Flow

b. Menggambarkan aliran data dari satu entity ke entity yang lain

c. Jika nama data flow terdiri dari beberapa kata dihubungkan dengan garis sambung

4. Data Store

a. Dilambangkan dengan b. Tempat menyimpan data

c. Nama data store harus mencerminkan isi dari data store Tingkatan dalam DFD, yaitu:

1. Context Diagram

a. Merupakan level tertinggi yang menggambarkan input dan output b. Terdiri dari satu proses dan tidak ada data store

2. Diagram Nol a. Ada data store

b. Diagram yang tidak dirinci pada akhir nomor diberi * 3. Diagram Rinci

a. Merupakan rincian dari diagram nol atau diagram level diatasnya b. Proses yang ada tidak boleh kurang dari 7 dan maksimum 9

Aliran data yang masuk ke dalam dan ke luar proses harus sama dengan aliran data yang masuk ke dalam dan ke luar dari rincian proses tersebut.