UNIVERSITAS TARUMANAGARA PROGRAM PASCA SARJANA
PROGRAM STUDI MAGISTER MANAJEMEN
TESIS
PELAKSANAAN PEMERIKSAAN SISTEM
INFORMASI PADA PT AIR
DIAJUKAN OLEH:
ALFRED FEBIAN GANI
117.04.3001
UNIVERSITAS TARUMANAGARA PROGRAM PASCA SARJANA
PROGRAM STUDI MAGISTER MANAJEMEN
TANDA PERSETUJUAN TESIS
NAMA : ALFRED FEBIAN GANI
NIM : 117.04.3001
KONSENTRASI : MANAJEMEN KEUANGAN
JUDUL TESIS : PELAKSANAAN PEMERIKSAAN SISTEM INFORMASI PADA PT AIR
UNIVERSITAS TARUMANAGARA PROGRAM PASCA SARJANA
PROGRAM STUDI MAGISTER MANAJEMEN
TANDA PERSETUJUAN TESIS
NAMA : ALFRED FEBIAN GANI
NIM : 117.04.3001
KONSENTRASI : MANAJEMEN KEUANGAN
JUDUL TESIS : PELAKSANAAN PEMERIKSAAN SISTEM INFORMASI PADA PT AIR
Tanggal: Januari 2006 Ketua Panitia: Dr. Suparman Ibrahim Abdullah, MSc
Tanggal: Januari 2006 Anggota Panitia: Taridi, SE, MBA
DAFTAR ISI
Halaman
HALAMAN JUDUL ……… i
HALAMAN PERSETUJUAN ………. ii
KATA PENGANTAR ……….. iii
RINGKASAN EKSEKUTIF ………. v
DAFTAR ISI ………. vi
DAFTAR LAMPIRAN ………. x
DAFTAR GAMBAR ………. xi
BAB I PENDAHULUAN ……….. 1 - 10 1.1. Latar Belakang ……… 1
1.2. Perumusan Permasalahan ……….. 6
1.3. Tujuan Penelitian ……….. 6
1.4. Manfaat Penelitian ……… 7
1.5. Ruang Lingkup Penelitian ………. 8
1.6. Kerangka penulisan ……….. 9
BAB II LANDASAN TEORI ………. 11 - 36 2.1. Pemeriksaan Akuntan ……… 11
2.2. Pemeriksaan Sistem Informasi ……….. 14
2.3. Konsep-Konsep Pemeriksaan SIK ……… 15 2.4. Pengendalian Intern dalam Lingkungan SIK
secara On-Line ……….. 17
2.5. Pengendalian Intern Lingkungan SIK ………... 18
2.6. Pengendalian Umum ………. 21
2.7. Desain Pengendalian Umum SIK ………. 25
2.8. Kecurangan dalam Organisasi PDE ………... 27
2.9. Pengendalian Intern Dalam Lingkungan Database ……... 28
2.10. Operasional Komputer ……….. 31
2.11. Kelangsungan Bisnis ………. 32
BAB III METODE PENELITIAN ………... 37 - 47 3.1. Pemilihan Obyek Penelitian ……….. 37
3.2. Metode dan Desain Penelitian ………... 38
3.3. Jenis Data ………... 38
3.4. Tehnik Pengumpulan Data ……… 40
3.5. Rencana Persiapan Pengumpulan Data ………. 42
3.6. Tehnik Pengolahan Data ……… 44
3.7. Elemen-elemen yang akan dievaluasi ………... 46
BAB IV GAMBARAN UMUM PERUSAHAAN ………... 48 - 60 4.1. Sejarah Singkat Perusahaan ……….. 48
4.2. Lokasi dan Bidang Usaha Perusahaan ……….. 49
4.3. Struktur Organisasi dan Uraian Tugas ……….. 51
4.3.1. Struktur Organisasi ……… 51
4.3.2. Uraian Tugas ………. 51
BAB V EVALUASI DAN PEMBAHASAN ……… 61 - 115 5.1. Pengendalian Umum ………. 62
5.1.1. Pengendalian Organisasi ………... 63
5.1.2. Pengendalian Administratif ………... 71
5.1.3. Pengendalian Pengembangan dan Pemeliharaan Sistem ………. 88
5.1.4. Pengendalian Hardware dan Software ………….. 91
5.1.5. Pengendalian Dokumentasi ………... 92
5.1.6. Pengendalian Keamanan ………... 94
5.2. Pengendalian Umum secara On-Line ……… 101
5.2.1. Pendekatan Baku untuk untuk Pengembangan dan Pemeliharaan Program Aplikasi ……… 103
5.2.2. Kepemilikan Data ……….. 105
5.2.3. Akses ke Database ……… 106
5.2.4. Pemisahan Tugas ………... 107
5.3. Dukungan Operasional Lingkungan SIK terhadap Kelangsungan Bisnis Perusahaan ………... 108
5.3.1. Resiko Gangguan Bisnis ……… 108
5.3.2. Kelangsungan Bisnis ………. 109
5.3.3. Frekuensi Back-up ……… 109
5.3.5. Lokasi Back-up ………. 113 5.3.6. Test Kemampuan Pemulihan ………. 113
BAB VI KESIMPULAN DAN SARAN ………... 116 - 123
6.1. Kesimpulan ………. 116
6.2. Saran ………... 118
DAFTAR PUSTAKA………. 124
DAFTAR LAMPIRAN
LAMPIRAN – LAMPIRAN ………. L i - xxiv LAMPIRAN 1 METODOLOGI PENGEMBANGAN SISTEM … L i
LAMPIRAN II STRUKTUR ORGANISASI PT. AIR
(Sumber: PT. AIR) ……….. L ii
LAMPIRAN III SISTEM AREAL NETWORK PADA PT. AIR
(Sumber: Fox AbiPro Software - Manual Book) …. L iii
LAMPIRAN IV DAFTAR LEVEL OTORISASI PASSWORD
(Sumber: PT. AIR – System Admin, IT Div.) …….. L iv
LAMPIRAN V DAFTAR KUESIONER – COMPLIANCE TEST – DIVISI IT ……… L v
LAMPIRAN VI DAFTAR KUESIONER – COMPLIANCE TEST – DIVISI FINANCE & ACCOUNTING ………….. L xiv
LAMPIRAN VII LOCAL SECURITY POLICY (Sumber: PT. AIR – System Admin, IT Div.) ………. L xxi
LAMPIRAN VIII SKEDUL PEMERIKSAAN SIK PT.AIR ………... L xxiv
DAFTAR GAMBAR
Gambar 1. Contoh SPT Tahunan PPh psl.21, form 1721 A1 untuk Karyawan dengan nama Alvin, staff F&A (data entry) – Bab 5 halaman72.
EXECUTIVE SUMMARY
The purpose of this research is to evaluate the process of information system’s auditing in PT. AIR. The research problems in this study are: 1) Is the computerized information system’s general control adequate in PT. AIR; 2) Is the computerized information system’s general control On-Line adequate in PT. AIR; 3) How far the computerized information system’s operational environment support the business continuity.
The research used a survey technique using questionnaire, where the research environment is a field setting and the ability researcher to influence the research variables is ex post facto, with cross sectional time dimension.
The result of the research show as follows: 1) The computerized information system’s general control in PT. AIR is adequate; 2) The computerized information system’s general control On-Line in PT. AIR is also adequate; 3) The computerized information system’s operational environment is adequate to support the business continuity.
To improve the general control in PT. AIR, the company need to do corrective actions such as: control of delegation authority, build a structured documentation, employees competencies, and scientific based for program development method.
RINGKASAN EKSEKUTIF
Tujuan penelitian ini adalah untuk mengevaluasi pelaksanaan pemeriksaan sistem informasi pada PT. AIR. Perumusan masalah dalam penelitian ini adalah: 1) Apakah Pengendalian Umum lingkungan sistem informasi komputerisasi (SIK) PT. AIR telah memadai; 2) Apakah Pengendalian Umum SIK secara On-Line PT. AIR telah memadai; 3) Sejauh mana Operasional lingkungan SIK PT. AIR telah mendukung kelangsungan bisnis perusahaan.
Jenis penelitian yang digunakan dalam penelitian ini adalah survey dengan menggunakan daftar pertanyaan penelitian (questionnaire), di mana lingkungan penelitiannya adalah lapangan (a field setting) dan kemampuan peneliti untuk mempengaruhi variabel dalam penelitian ini adalah ex post facto, dengan dimensi waktu penelitian cross-sectional. Sumber data dalam penelitian ini adalah data primer dan data sekunder, dan untuk analisis data mengunakan metode deskriptif analisis kualitatif.
Penelitian menunjukkan hasil sebagai berikut: 1) Pengendalian Umum (General
Control) lingkungan Sistem Informasi Komputerisasi (SIK) PT. AIR pada dasarnya telah
cukup memadai, namun untuk lebih meningkatkan pelaksanaan pengendalian umum secara keseluruhan, perlu diadakan penyempurnaan terutama dalam bidang administrasi komputerisasi yang meliputi: pendelegasian wewenang (otorisasi), dokumentasi terstruktur, peningkatan kompetensi karyawan, dan pengendalian keamanan secara fisik; 2) Pengendalian Umum Sistem Iinformasi Komputerisasi (SIK) secara On-Line pada PT. AIR pada dasarnya telah cukup memadai untuk pelaksanaan pengendalian intern sistem manajemen database (DBMS). Hal-hal yang perlu diperhatikan untuk meningkatkan pengendalian intern tersebut diantaranya adalah: perencanaan metode baku untuk pengembangan program yang belum dimiliki oleh PT. AIR serta pengawasan penggunaan password guna terselenggaranya sistem keamanan komputerisasi yang optimal; 3) Operasional Lingkungan Sistem Informasi Komputerisasi PT. AIR secara umum telah mendukung kelangsungan bisnis perusahaan secara keseluruhan. Dukungan operasional lingkungan sistem informasi komputerisasi akan meningkat apabila perusahaan melakukan langkah-langkah perbaikan sebagai berikut: melakukan uji coba pemulihan terhadap backup yang telah dilakukan dan dokumentasi untuk rencana kelangsungan bisnis secara memadai.
KATA PENGANTAR
Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa yang telah memimpin dan menyertai penulis sejak memulai kuliah hingga menyelesaikan tesis ini. Tesis ini disusun untuk memenuhi salah satu persyaratan dalam menyelesaikan pendidikan Strata II (S2) Program Studi Magister Manajemen, Jurusan Manajemen Keuangan, Universitas Tarumanagara.
Tesis ini tidak akan selesai dengan baik tanpa bantuan semua pihak yang telah turut serta membantu penulis dalam menyusun tesis ini. Oleh karena itu, pada kesempatan ini, penulis ingin menyampaikan terima kasih dan penghargaan yang sebesar-besarnya kepada berbagai pihak yang telah membantu dalam penyelesaian tesis ini, yaitu kepada:
1. Ibu Ir. Tufrida M. Hasyim, MM, MHSM sebagai dosen pembimbing yang telah membimbing penulisan tesis ini dengan penuh perhatian, kesabaran dan memberikan semangat kepada penulis.
2. Bapak Prof. Dr. H. Arjatmo Tjokronegoro, Ph.D., selaku Direktur Program Pasca Sarjana Universitas Tarumanagara.
3. Bapak Dr. Suparman Ibrahim Abdullah, MSc., selaku Ketua Program Studi Magister Manajemen Universitas Tarumanagara.
4. Ibu Dra. Thea Herawati Rahardjo, MM, selaku Sekretaris Program Studi Magister Manajemen Universitas Tarumanagara.
6. Manajer Keuangan dan Manajer IT PT. AIR beserta staff yag telah membantu penulis dalam proses penelitian dengan memberikan data dan informasi yang diperlukan.
7. Teman-teman seperjuangan Angkatan 26 MM UNTAR, yang selalu memberikan dorongan dan konsultasi pada saat itu diperlukan.
8. Serta kepada semua pihak lainnya yang tidak dapat disebutkan satu persatu yang baik secara langsung maupun tidak langsung telah turut memberikan dukungan dalam penyusunan tesis ini.
Penulis juga tidak lupa mengucapkan terima kasih yang sebesar-besarnya kepada Papa Dr. Heryanto S Gani, SE, MSi, Ak. dan Mama Maylani Sidhi serta Keluarga lainnya yang selalu setia mendoakan, memberikan dorongan, dan bantuan baik moril maupun materil.
Besar harapan penulis agar tesis ini dapat bermanfaat bagi para Civitas Akademika untuk pengetahuan yang lebih lanjut atas tehnik pemeriksaan serta pedoman-pedoman pemeriksaan atas lingkungan SIK.
Semoga tesis ini dapat bermanfaat bagi yang memerlukan.
Jakarta, 16 Desember 2005 Penulis,
BAB I
PENDAHULUAN
1.1. Latar Belakang
Pada setiap perusahaan, baik pada perusahaan dagang, manufaktur maupun perusahaan jasa, pelaporan keuangan merupakan hal yang sangat penting karena merupakan sumber informasi untuk pembuatan keputusan (decision making) bagi manajemen. Sehubungan dengan itu maka atas aktivitas tersebut haruslah didukung oleh administrasi yang baik untuk menghindari hal-hal yang tidak diinginkan / merugikan perusahaan. Itulah sebabnya perusahaan-perusahaan besar pada umumnya memiliki administrasi yang baik dan sudah terkomputerisasi. Apabila perusahaan memiliki administrasi yang kurang baik maka informasi yang digunakan untuk pembuatan keputusan oleh manajemen pun kurang handal, sehingga dapat menyebabkan resiko terjadinya kekeliruan dalam pengambilan keputusan, yang berakibat kinerja perusahaan akan terganggu dan akan berpengaruh pada kelangsungan hidup perusahaan.
adalah hal-hal penting dalam perusahaan yang harus diperhatikan pengelolaannya. Perusahaan harus merancang serta menyusun suatu sistem administrasi yang baik dan terkomputerisasi, serta harus pula menyusun suatu sistem pengendalian atas sistem komputerisasi tersebut dalam rangka pencapaian tujuan secara efektif dan efisien.
Jika dicermati pada umumnya implementasi teknologi informasi selalu dimulai dari fungsi akuntansi yang ada dalam perusahaan yang membutuhkan kontrol dan audit yang efektif untuk menjamin bahwa data-data akuntansi diproses secara valid, lengkap dan akurat.
Dengan semakin majunya teknologi informasi, maka penggunaan sistem manual dalam pengolahan data semakin ditinggalkan dan mengarah pada penggunaan sistem elektronik. Hal tersebut juga terjadi di dunia auditing, dengan terlihatnya semakin banyak perusahaan yang menggunakan Sistem Informasi Akuntansi (SIA) yang terkomputerisasi. Hal tersebut memberikan dampak bagi dunia auditing (Hendang, 1999), yaitu:
1. Dengan digunakannya sistem pengolahan informasi timbul dampak signifikan terhadap struktur pengendalian intern, dan pada akhirnya berpengaruh terhadap pemahaman dan evaluasi Auditor terhadap struktur pengendalian intern; dan
2. Penyimpanan informasi keuangan dalam komputer memungkinkan digunakannya komputer dalam mengaudit informasi keuangan.
(user) program aplikasi dengan mudah dapat memilih program yang cocok (suitable) dengan kebutuhan perusahaannya karena banyaknya variasi harga dan variasi fungsi. Seperti halnya perusahaan dagang umumnya akan mengambil
software GL, A/P, A/R dan Inventory serta Cash Flow untuk mendukung
administrasi perusahaannya agar menjadi lebih baik. Tetapi di dalam pelaksanaannya, tidak semua paket software dapat memenuhi kebutuhan setiap perusahaan, sehingga untuk perusahaan-perusahaan tertentu yang tidak suitable memakai paket software, terpaksa membangun sendiri software aplikasinya, walaupun dengan biaya yang relatif lebih besar.
Ada beberapa perbedaan dalam pengolahan data secara manual dan komputerisasi. Auditor harus memahami perbedaan ini dalam melakukan audit dalam lingkungan komputer, yaitu:
1. Perbedaan dalam Pengolahan data dengan komputer.
Auditor mungkin tidak dapat mengamati arus data secara fisik, hal tersebut disebabkan dapat terjadinya suatu transaksi tanpa menghasilkan bukti dokumen tercetak mengenai timbulnya transaksi. Disamping itu, Auditor mungkin mengalami kesulitan untuk mengamati apa yang dilakukan komputer pada waktu mengolah transaksi, sebab komputer mampu mengolah transaksi dengan cepat.
2. Perbedaan atas fasilitas yang diperlukan.
3. Perbedaan dalam perihal pemisahan tugas.
Pengumpulan data terpusat pada sistem informasi. Hal ini menimbulkan kelemahan terhadap pemisahan fungsi, karena fungsi yang sebelumnya dilakukan oleh petugas yang terpisah dan independent, sekarang dilaksanakan oleh komputer, yang memberikan akses bagi orang dalam fungsi sistem informasi dari proses pencatatan; dan
4. Perbedaan untuk adanya pengolahan transaksi yang seragam.
Hal ini menyebabkan pada saat informasi dimasukkan ke dalam sistem komputer, maka akan diproses sesuai dengan informasi.
Menurut Baridwan (1994), hal ini berarti jika pengolahannya dilakukan secara benar, maka hasilnya akan benar secara konsisten, namun apabila ada kesalahan dalam pengolahannya, maka hasilnya akan salah secara konsisten pula. (Garbage In Garbage Out)
Dalam melakukan audit, seorang Auditor harus menfokuskan perhatian pada penaksiran kemungkinan kesalahan atau ketidakbenaran material dalam laporan keuangan. Pengolahan dengan komputer seperti juga pengolahan manual, merupakan suatu arus pengolahan transaksi dari sumber transaksi sampai pencatatan transaksi itu dalam laporan keuangan. Arus ini mengandung titik rawan yang bisa mengandung risiko kesalahan dan ketidakberesan yang harus diperhatikan oleh Auditor. Jadi, dalam sistem komputer terdapat lebih banyak titik rawan dimana kesalahan dan ketidakberesan dapat terjadi.
dalam pengolahan sistem informasi akuntansi, maka paling tidak Auditor harus memahami atau sedikitnya mempunyai pengetahuan tentang ruang lingkup teknologi informasi dan aplikasi yang digunakan untuk pemrosesan transaksi dari sistem tersebut. Hal ini membawa peluang terhadap suatu jenis audit baru yaitu audit terhadap sistem informasi akuntansi yang berbasis komputer.
PT. AIR sebagai perusahaan yang telah menerapkan sistem informasi akuntansi yang berbasis komputer telah menjalankan perusahaan dengan dukungan sistem yang ada. Sebelum melakukan peralihan sistem akuntansi, PT. AIR awalnya masih menggunakan metode pencatatan akuntansi secara manual (tradisional). Tetapi seiring dengan waktu, kemajuan serta perkembangan teknologi dan frekuensi transasksi yang kian bertambah, maka manajemen memutuskan untuk melakukan alih teknologi dari pencatatan akuntansi secara manual menjadi sistem informasi akuntansi dengan basis komputer.
Sampai saat ini PT. AIR terus berusaha untuk mengimplementasikan suatu sistem perusahaan yang terintegrasi secara penuh, dan untuk kepentingan itu masih dilakukan pengembangan serta penelitian lebih lanjut mengenai sistem informasi manajemen yang memang cocok untuk kelangsungan bisnis PT. AIR. Semakin tinggi tingkatan sistem yang akan diterapkan pada PT. AIR menunjukkan bahwa sistem informasi tersebut menjadi satu kesatuan yang diharapkan dapat mendukung kelangsungan bisnis perusahaan.
AIR sebagai obyek penelitian dengan perumusan permasalahan sebagaimana akan dibahas pada berikut ini.
Tidak dicantumkannya nama perusahaan secara lengkap adalah sesuai dengan permintaan manajemen perusahaan, yaitu agar nama perusahaan dicantumkan dengan initial: PT. AIR.
1.2. Perumusan Masalah
Berdasarkan hal-hal yang telah dibahas sebelumnya, maka permasalahan sehubungan dengan pelaksanaan pemeriksaan sistem informasi pada PT. AIR sebagai berikut:
1. Apakah Pengendalian Umum lingkungan sistem informasi komputerisasi (SIK) PT. AIR telah memadai.
2. Apakah Pengendalian Umum SIK secara On-Line PT. AIR telah memadai.
3. Sejauh mana Operasional lingkungan SIK PT. AIR telah mendukung kelangsungan bisnis perusahaan.
1.3. Tujuan Penelitian
Tujuan yang diharapkan dapat dicapai melalui penelitian ini, adalah:
1. Untuk menyakinkan bahwa Pengendalian Umum telah memadai, dilakukan evaluasi terhadap elemen-elemen sebagai berikut:
a. Pengendalian organisasi b. Pengendalian administratif
d. Pengendalian hardware dan software e. Pengendalian dokumentasi
f. Pengendalian keamanan.
2. Untuk menyakinkan bahwa Pengendalian Umum secara sistem On-Line PT AIR telah memadai, dilakukan evaluasi terhadap Pengendalian umum Data
Base Management System (DBMS).
3. Untuk menyakinkan bahwa Operasional lingkungan EDP PT AIR telah mendukung kelangsungan bisnis perusahaan, dilakukan evaluasi terhadap kondisi yang direncanakan untuk memberikan jaminan yang cukup bahwa Aplikasi telah berjalan sesuai Prosedur, sesuai dengan kebutuhan bisnis, keandalan program untuk antisipasi kejadian yang baru, serta kelangsungan bisnis perusahaan.
1.4. Manfaat Penelitian
Manfaat yang diharapkan dapat dicapai melalui penelitian ini, adalah:
1. Bagi PT AIR, yang dijadikan obyek penelitian, akan memperoleh saran dan rekomendasi yang diharapkan bermanfaat untuk peningkatan efisiensi dan efektivitas perusahaan atas penggunaan software serta dalam upaya pelaksanaan fungsi pengendalian umum untuk sistem komputer perusahaan.
3. Hasil penelitian juga diharapkan dapat digunakan dan bermanfaat bagi masyarakat luas khususnya civitas akademica yang mendalami bidang sistem informasi akuntansi.
1.5. Ruang Lingkup Penelitian
Dalam penelitian ini terdapat pembatasan dengan keterangan sebagai berikut : 1. Pembatasan Topik
Berhubung sangat luasnya prosedur pemeriksaan atas sistem informasi komputerisasi (SIK), maka penulis membatasi penelitian hanya pada pengendalian umum lingkungan SIK perusahaan.
2. Keterbatasan Waktu Penelitian
Dalam penyusunan Tesis ini, penulis melakukan penelitian dalam kurun waktu bulan Agustus – September tahun 2005, sehingga setelah periode penelitian tersebut kemungkinan terdapat perubahan-perubahan dalam penggunaan program aplikasi dengan tujuan pemutakhiran program aplikasi yang digunakan. 3. Keterbatasan Materi
1.6. Kerangka Penulisan
Untuk memudahkan pemahaman dan pengertian atas isi tesis ini, penulis membagi pembahasan menjadi lima bab yang dapat dijelaskan secara garis besar sebagai berikut:
BAB I PENDAHULUAN
Dalam bab ini, diterangkan mengenai latar belakang penelitian, perumusan permasalahan, tujuan penelitian, manfaat penelitian, ruang lingkup penelitian dan kerangka penulisan yang dibuat agar dapat memberikan gambaran singkat dari keseluruhan isi tesis.
BAB II LANDASAN TEORI
BAB III METODOLOGI PENELITIAN
Dalam bab ini diuraikan pemilihan obyek penelitian, metode penelitian, rencana persiapan pengumpulan data, tehnik pengolahan data, elemen-elemen yang akan dievaluasi.
BAB IV GAMBARAN UMUM PERUSAHAAN
Dalam Bab Tinjauan Umum Perusahaan, diuraikan mengenai sejarah singkat perusahaan, lokasi dan bidang usaha, struktur organisasi dan uraian tugas (job description) pada PT AIR.
BAB V ANALISIS DAN PEMBAHASAN
Dalam bab ini penulis membahas mengenai hasil penelitian dan melakukan analisis mengenai pelaksanaan pemeriksaan sistem informasi pada PT AIR dengan tujuan untuk menyakinkan bahwa Pengendalian Umum dari PT AIR telah memadai.
BAB VI KESIMPULAN DAN SARAN
BAB II
LANDASAN TEORI
2.1. Pemeriksaan Akuntan
Mulyadi di dalam bukunya “Auditing” mendefinisikan pengertian
auditing (pemeriksaan akuntan) secara umum sebagai berikut:
“Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif, mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.” (Mulyadi, 2002)
Definisi auditing secara umum tersebut memiliki unsur-unsur penting yang diuraikan sebagai berikut:
Suatu proses sistematik. Auditing adalah suatu proses sistematik, yaitu berupa
suatu rangkaian langkah dan prosedur yang logis, berkerangka dan terorganisasi. Auditing dilaksanakan dengan suatu urutan langkah yang direncanakan, terorganisasi dan bertujuan.
Untuk memperoleh dan mengevaluasi bukti secara objektif. Proses
Pernyataan mengenai kegiatan dan kejadian ekonomi. Pernyataan mengenai
kegiatan dan kejadian ekonomi yang dimaksud dalam hal ini mencakup hasil proses akuntansi. Akuntansi merupakan suatu proses pengindentifikasian, pengukuran dan penyampaian informasi ekonomi yang dinyatakan dalam satuan uang. Proses akuntansi ini menghasilkan suatu pernyataan yang disajikan dalam laporan keuangan, yang umumnya terdiri dari empat laporan keuangan pokok: neraca, laporan laba-rugi, laporan saldo laba (retained earnings), dan laporan arus kas. Laporan keuangan juga dapat pula berupa laporan biaya pusat pertanggungjawaban tertentu dalam perusahaan.
Menetapkan tingkat kesesuaian. Pengumpulan bukti mengenai pernyataan
dan evaluasi terhadap hasil pengumpulan bukti tersebut dimaksudkan untuk menetapkan kesesuaian pernyataan tersebut dengan kriteria yang telah ditetapkan.
Kriteria yang telah ditetapkan. Kriteria atau standar yang dipakai sebagai
dasar untuk menilai pernyataan (yang berupa hasil proses akuntansi) dapat berupa:
a. Peraturan yang ditetapkan oleh suatu badan legislatif;
b. Anggaran atau ukuran prestasi lain yang ditetapkan oleh manajemen; dan c. Prinsip akuntansi yang diterima umum (Generally Accepted Accounting
Principles/GAAP)
Penyampaian hasil. Penyampaian hasil auditing sering disebut juga atestasi.
Atestasi dalam bentuk laporan tertulis ini dapat menaikkan atau menurunkan tingkat kepercayaan pemakai laporan keuangan atau asersi yang dibuat oleh pihak yang diaudit.
Pemakai yang berkepentingan. Dalam dunia bisnis, pemakai yang
berkepentingan terhadap laporan audit, adalah para pemakai informasi laporan keuangan, seperti pemegang saham, manajemen, kreditur, calon investor, dan kreditur, organisasi buruh, dan Kantor Pelayanan Pajak.
Auditing ditinjau dari sudut profesi akuntan publik menurut Mulyadi dan
Kanaka dalam bukunya “Auditing” adalah:
Auditing adalah pemeriksaan (examination) secara objektif atas laporan
keuangan suatu perusahaan atau organisasi lain dengan tujuan untuk menentukan apakah laporan keuangan tersebut menyajikan secara wajar, dalam semua hal yang material, posisi keuangan dan hasil usaha perusahaan dan organisasi tersebut.
(Mulyadi dan Kanaka, 1998)
2.2. Pemeriksaan Sistem Informasi
“ Audit Sistem Informasi adalah suatu proses untuk mengumpulkan dan
mengevaluasi bukti untuk menentukan apakah suatu sistem komputer menjaga asset, memelihara integritas data, mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien. ” (Weber, 1998)
Jadi pemeriksaan sistem informasi adalah pemeriksaan yang bertujuan untuk memberikan opini (pernyataan) terhadap sistem informasi yang terkomputerisasi, dimana auditor harus menilai apakah sumber daya telah digunakan secara efisien dan ekonomis, semua kekayaan aktiva dilindungi dengan baik, terjaminnya integritas data, serta terdapatnya struktur pengendalian intern yang memadai. Dengan kata lain, auditor harus dapat menyatakan apakah sistem informasi yang terkomputerisasi telah terselenggara dengan efisien dan efektif.
Sehubungan dengan pemeriksaan atas sistem informasi, Standar Professional Akuntan Publik (PSA No. 57, SA Seksi 335) menyatakan:
“ Auditor harus memiliki pengetahuan memadai tentang Sistem Informasi Komputer (SIK) untuk merencanakan, mengarahkan, melakukan supervisi, dan me-review pekerjaan yang dilakukan. Auditor harus mempertimbangkan apakah keterampilan SIK khusus diperlukan dalam suatu audit. Hal ini kemungkinan diperlukan untuk:
a. Memperoleh pemahaman tentang sistem akuntansi dan sistem pengendalian intern yang dipengaruhi oleh lingkungan SIK.
b. Menentukan dampak lingkungan SIK terhadap penaksiran risiko secara keseluruhan dan risiko pada tingkat saldo akun dan golongan transaksi.
c. Mendesain dan melaksanakan pengujian pengendalian dan pengujian substantif yang tepat.
pendekatan audit yang digunakan (audit around the computer atau audit
through the computer). “ (IAI, SPAP, 2001: 335.2)
2.3. Konsep-Konsep Pemeriksaan SIK
Menurut Arens dan Loebbecke (2001), ada tiga metode pemeriksaan SIK yaitu:
2.3.1. Audit Around The Computer
Auditing sekitar komputer dapat dilakukan jika dokumen sumber tesedia
dalam bahasa non mesin, dokumen-dokumen disimpan dengan cara yang memungkinkan pengalokasiaannya untuk tujuan auditing, outputnya memuat detail yang memadai, yang memungkinkan auditor menelusuri suatu transaksi dari dokumen sumber ke output atau sebaliknya.
Dalam metode ini, pelaksanaan penelahan pengendalian intern dan pengujian atas transaksi serta prosedur verifikasi saldo perkiraan sama dengan yang dilaksanakan pada sistem pengolahan data biasa, tidak tidak ada penguji efektivitas pengendalian pada departemen EDP (meskipun auditor menggunakan komputer untuk melaksanakan prosedur auditing). Dalam hal ini auditor memandang sistem dan program komputer sebagai “kotak hitam” dan hanya menelah dokumen input-input. Data input diseleksi dan diuji, dibandingkan dengan hasil outputnya, jika cocok, sah, dan akurat, maka pengendalian intern dapat dikatakan berjalan dengan baik.
2.3.2. Audit through The Computer
Auditing melalui komputer lebih ditekakan pada pengujian sistem
komputer daripada pengujian output komputer. Auditor menguji dan menilai efektivitas prosedur pengendalian operasi dan program komputer serta kecepatan proses didalam komputer. Hal ini dilakukan dengan menelah dan mengesahkan sumber transaksi dan langsung menguji program logika serta program pengendalian komputer.
Menurut Halim (2003), keungulan metode ini adalah bahwa auditor memiliki kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem komputer. Hasil kerja lebih dapat dipercaya dan sistem memiliki kemampuan untuk menghadapi perubahan lingkungan. Sedangkan kelemahan sistem ini terletak pada biaya yang sangat besar dan memerlukan tenaga ahli yang berpengalaman.
2.3.3. Audit With The Computer
Dalam metode ini, audit dilakukan dengan menggunakan komputer dan
software untuk mengotomatiskan prosedur pelaksanaan audit.
2.4. Pengendalian Intern dalam Lingkungan SIK secara On-Line
Menurut SPAP (2001) dalam SA Seksi 344.5 No. 18, Pengendalian sistem informasi komputer (SIK) umum tertentu sangat penting dalam pengolahan on-line. Pengendalian Intern ini mencangkup:
a. Pengendalian akses–prosedur yang didesain untuk membatasi akses ke dalam program dan data. Secara khusus, prosedur ini didesain untuk mencegah atau mendekteksi:
(1) Akses yang tidak semestinya ke peralatan terminal on-line, program dan data.
(2) Pemasukan transaksi tanpa otorisasi. (3) Perubahan arsip data tanpa otorisasi.
(4) Pengunaan program komputer yang masih operasional oleh personel yang tidak berwenang.
(5) Pengunaan program komputer yang belum mendapatkan otorisasi.
Prosedur pengunaan akses ini mencangkup penggunaan password dan perangkat lunak pengendalian akses khusus seperti monitor on-line yang menyelengarakan pengendalian terhadap menu, daftar otorisasi, password, asip dan program yang diizinkan untuk diakses oleh pemakai. Prosedur ini juga mencangkup pengendalian fisik seperti pengunaan kunci pengaman atas peralatan terminal. b. Pengendalian terhadap password—prosedur untuk pemberian dan pemeliharaan
c. Pengendalian atas pengembangan dan pemeliharaan sistem—prosedur tambahan untuk menjamin bahwa pengendalian yang sangat penting terhadap aplikasi
on-line, seperti password,pengendalian akses, validasi dan prosedur pemulihan data
secara on-line, dimasukkan di dalam sistem selama pengembangan dan pemeliharaan sistem.
d. Pengendalian pemrograman—prosedur yang didesain untuk mencegah atau mendekteksi perubahan yang tidak semestinya terhadap program komputer yang diakses melalui peralatan terminal on-line. Akses dapat dibatasi dengan pengendalian seperti pengunaan keputusan yang diselengarakan terpisah antara program yang sedang dikembangkan dengan program yang secara operasional sedang digunakan dan dengan pengunaan perangkat lunak kepustakaan khusus. Adalah penting untuk menyelengarakan dokumen memadai tentang perubahan secara on-line terhadap program.
e. Transaction log—laporan yang didesain untuk membuat jejak audit untuk semua
transaksi on-line. Laporan ini seringkali mendokumentasikan sumber suatu transaksi (terminal, waktu dan pemakai) serta rincian transaksi.
2.5. Pengendalian Intern Lingkungan SIK.
a. “ Pengendalian umum: pengendalian menyeluruh yang berdampak
terhadap lingkungan SIK yang terdiri atas: 1. Pengendalian organisasi dan manajemen.
2. Pengendalian terhadap pengembangan dan pemeliharaan sistem. 3. Pengendalian terhadap operasi sistem.
4. Pengendalian terhadap perangkat lunak sistem. 5. Pengendalian terhadap entri data dan program.
b. Pengendalian aplikasi: pengendalian khusus atas aplikasi akuntansi
yang meliputi:
1. Pengendalian atas masukan.
2. pengendalian atas pengolahan dan file data komputer. 3. Pengendalian atas keluaran.
4. Pengendalian masukan, pengolahan, dan keluaran dalam sistem
on-line. “ (IAI, SPAP, 2001)
Pada pelaksanaan pengendalian intern untuk lingkungan SIK pada perusahaan, pengendalian umum memegang peranan penting dalam pengendalian secara keseluruhan. Tujuan pengendalian umum (general control) SIK adalah untuk membuat rerangka pengendalian menyeluruh atas aktivitas SIK dan untuk memberikan tingkat keyakinan memadai bahwa tujuan pengendalian intern secara keseluruhan dapat tercapai. Pengendalian umum sebagai dasar untuk pengendalian aplikasi, karena pada pengendalian aplikasi kita perlu memperhatikan faktor karyawan yang berfungsi sebagai user sekaligus operator. Pengendalian aplikasi dilakukan untuk melakukan pengawasan input, proses dan output. Prinsip “garbage
in – garbage out” berlaku dalam pengendalian aplikasi. Contohnya; apabila dalam
memadai (dalam arti melakukan banyak kesalahan dalam menginput data, tidak melakukan proses otorisasi, saling bertukar password dengan teman sejawat yang memiliki level otorisasi yang lebih rendah, dan lain-lain). Karena itulah untuk menilai pelaksanaan pengendalian lingkungan SIK akan lebih diutamakan untuk melakukan pemeriksaan terhadap pelaksanaan pengendalian umum lingkungan SIK yang akan mewakili pengendalian SIK secara keseluruhan.
Pengendalian umum SIK dapat memiliki dampak luas atas pengolahan transaksi dalam sistem aplikasi. Jika pengendalian ini tidak efektif, maka akan terdapat risiko bahwa salah saji mungkin terjadi dan berlangsung tanpa dapat didekteksi dalam sistem aplikasi. Jadi, kelemahan dalam pengendalian umum SIK menghalangi pengujian pengendalian aplikasi SIK tertentu; namun, prosedur manual yang dilaksanakan oleh pemakai dapat memberikan pengendalian efektif pada tingkat aplikasi.
2.6. Pengendalian Umum
2.6.1. Pengendalian Organisasi
Menurut Bodnar dan Hopwood (2004), pengendalian organisasi ini bertujuan untuk memenuhi pengendalian intern berupa:
1. Pemisahan tugas yang memadai untuk mencegah adanya ketidakcocokan fungsi personil IT dalam departemen dan antara departemen IT dengan pemakai.
2. Pencegahan akses tidak sah terhadap peralatan komputer, program, dan file data oleh karyawan IT maupun pemakai.
Pengendalian ini juga menyangkut pemisahan fungsi dalam departemen IT dan antara departemen IT dengan pemakai. Kelemahan dalam pengendalian ini biasanya mempengaruhi semua aplikasi SIK.
Beberapa hal yang harus diperhatikan dalam pengendalian ini adalah :
a) Pengabungan antara fungsi sistem analis, pemrogram, dan operasi dalam satu orang akan menyebabkan mudahnya orang tersebut melakukan dan menyembunyikan kesalahan.
b) Departemen IT harus berdiri independen dari departemen pemakai, dengan demikian manajer IT harus melapor pada orang/atasan yang tidak terlibat langsung dalam otorisasi transaksi untuk pemrosesan komputer.
c) Personil IT seharusnya tidak mengotorisasi atau menandatangani transaksi atau mempunyai hak atas asset.
2.6.2. Pengendalian Administratif
Manfaat dan tujuan pengendalian intern yang ingin dicapai dari pengendalian ini adalah :
1. Memberikan kerangka untuk mencapai tujuan sistem informasi secara keseluruhan, memberikan arah pengembangan sistem informasi, dan menggambarkan sumber-sumber daya yang diperlukan melalui pembuatan rencana induk (master plan).
2. Menyediakan seperangkat prosedur yang mengambarkan tindakan-tindakan yang harus diambil dalam keadaan darurat, misalnya jika sistem komputer gagal, rusak, atau bencana lainnya melalui pembuatan rencana tak terduga (contingency plan).
3. Menyediakan pelatihan dan pengarahan bagi karyawan, penyaringan dan seleksi karyawan sehingga menghasilkan personil yang andal dan kompeten.
2.6.3. Pengendalian Pengembangan dan Pemeliharaan Sistem.
Pengendalian pengembangan sistem berhubungan dengan: 1. Review, pengujian, dan pengesahan sistem baru.
2. Pengendalian atas perubahan program. 3. Prosedur dokumentasi.
Prosedur berikut ini akan membantu dalam memberikan pengendalian yang memadai:
a. Desain sistem harus melibatkan departemen pemakai, akuntansi dan internal
auditor.
b. Setiap sistem harus tertulis secara spesifik serta direview dan disetujui oleh mamajemen dan pemakai.
c. Pengujian sistem harus dilakukan dengan kerja sama antara pemakai dan personal EDP.
d. Manajer EDP, data base administrator, pemakai, dan top management harus memberikan persetujuan akhir atas sebuah sistem baru sebelum dioperasikan. e. Perubahan dan perbaikan program harus disetujui sebelum diimplementasikan
untuk menentukan apakah mereka telah diotorisasi, diuji dan didokumen-tasikan.
2.6.4. Pengendalian Hardware dan Software
1. Pengendalian hardware dilakukan dengan melaksanakan pengawasan secara fisik komputer dan menyangkut hal-hal untuk mempertahankan, menjaga dan memelihara komputer dari kerusakan yang dapat mengganggu jalannya suatu sistem.
2. Diatur juga mengenai penggunaan komputer (akses terhadap program) hanya diijinkan bagi mereka yang berkepentingan (telah memiliki otorisasi) dan hanya untuk menjalankan program yang sudah diotorisasi, dan komputer tidak boleh digunakan oleh pihak yang tidak memiliki otorisasi tersebut.
3. Pengendalian software dilakukan dengan menerapkan kata sandi (password) untuk setiap user yang menggunakan, serta terdapat pendeteksian lebih awal atas suatu pengolahan dan kesalahan tersebut dapat dikoreksi.
2.6.5. Pengendalian Dokumentasi
Pengendalian dokumentasi berhubungan dengan dokumen dan catatan yang dirancang oleh perusahaan dan untuk menggambarkan aktivitas pemrosesan komputer.
Dokumen yang dimaksud meliputi :
1. Penjelasan dan flow chart dari sistem dan program. 2. Instruksi operasi untuk operator komputer.
2.6.6. Pengendalian keamanan
Pengendalian akses atas file dan program. Pengendalian akses seharusnya mencegah penggunaan secara tidak sah dalam departemen EDP, data files, dan program komputer, pengendalian spesifik meliputi penyelamatan fisik maupun prosedur.
2.7. Desain Pengendalian Umum SIK.
Desain pemeriksaan untuk melaksanakan Pengendalian umum meliputi:
a. Pengendalian organisasi dan manajemen – didesain untuk menciptakan
kerangka organisasi aktivitas SIK, yang mencakup:
(1) Kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian. (2) Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan
transaksi masukan, pemrograman, dan operasi komputer).
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi –
didesain untuk memberikan keyakinan memadai bahwa sistem dikembangkan dan dipelihara dalam suatu cara yang efisien dan melalui proses otorisasi semestinya.
Pengendalian ini juga didesain untuk menciptakan pengendalian atas:
(1) Pengujian, perubahan, implementasi, dan dokumensasi sistem yang direvisi.
(2) Perubahan terhadap sistem aplikasi. (3) Akses terhadap dokumentasi sistem.
c. Pengendalian terhadap operasi sistem – didesain untuk mengendalikan
operasi sistem dan untuk memberikan keyakinan memadai bahwa: (1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi.
(2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah mendapat otorisasi.
(3) Hanya program yang telah diotorisasi yang digunakan. (4) Kekeliruan pengolahan dapat didektesi dan dikoreksi.
d. Pengendalian terhadap perangkat lunak sistem – didesain untuk
memberikan keyakinan memadai bahwa perangkat lunak sistem diperoleh atau dikembangkan dengan cara yang efisien dan melalui proses otorisasi semestinya, termasuk:
(1) Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi perangkat lunak sistem baru dan modifikasi perangkat lunak sistem. (2) Pembatasan akses terhadap perangkat lunak dan dokumentasi sistem
hanya bagi karyawan yang telah mendapatkan otorisasi.
e. Pengendalian terhadap entry data dan program – didesain untuk memberikan
keyakinan bahwa:
Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi terhadap kelangsungan pengolahan SIK. Hal ini meliputi:
a. Pembuatan cadangan data program komputer di lokasi di luar perusahaan. b. Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian, atau
penghancuran data baik yang disengaja maupun yang tidak disengaja. Penyedian pengolahan di lokasi di luar perusahaan untuk mengantisipasi hal terjadi bencana.
2.8. Kecurangan dalam Organisasi PDE.
2.9. Pengendalian Intern Dalam Lingkungan Database
Menurut SPAP dalam SA Seksi 345.4 No. 15 – 21, pada umumnya pengendalian intern dalam lingkungan database memerlukan pengendalian efektif terhadap
database, DBMS dan aplikasi. Efektivitas pengendalian intern tergantung terutama
atas sifat tugas pengolahan database sebagaimana yang diuraikan, tergantung bagaimana pelaksanaan tugas tersebut.
Oleh Karena adanya data sharing, independensi dan karakteristik lain sistem
database, pengendalian umum sistem informasi komputer (SIK) umumnya lebih
besar pengaruhnya terhadap sistem database dibandingkan dengan pengendalian aplikasi. Pengendalian umum SIK terhadap database, DBMS, dan aktivitas fungsi pengolahan databse berpengaruh pervasif atas pengolahan aplikasi. Pengendalian umum SIK yang penting dalam lingkungan database dapat digolongkan ke dalam kelompok berikut ini:
1. Pendekatan baku untuk untuk pengembangan dan pemeliharaan program aplikasi.
2.9.1. Pendekatan Baku Untuk Pengembangan dan Pemeliharan Program Aplikasi
Oleh karena data dibagi kebanyak pemakai (data sharing policy to other user), pengendalian dapat ditingkatkan jika digunakan pendekatan baku didalam pengembangan setiap program aplikasi dan modifikasi terhadap program aplikasi. Pengendalian ini mencakup diikutinya pendekatan resmi dan tahap demi tahap yang harus dipatuhi oleh individu yang mengembangkan atau mengubah program aplikasi. Pengendalian ini juga mencakup dilaksanakannya analisis terhadap dampak transaksi baru dan telah ada atas database setiap kali modifikasi diperlukan. Hasil analisis akan menunjukan dampak perubahan tersebut atas keamanan dan integritas database. Implementasi pendekatan baku dalam pengembangan dan perubahan program aplikasi merupakan teknik yang dapat membantu meningkatkan kecermatan integritas dan kelengkapan database.
2.9.2. Kepemilikan Data
kepemilikan data membantu memberikan jaminan terhadap integritas database. Sebagai contoh, manajer kredit dapat ditunjuk sebagai “pemilik” batas kredit
customer, dan oleh karena itu, ia bertanggung jawab untuk menentukan pemakai
yang berwenang untuk mengunakan informasi tersebut. Jika beberapa orang dapat membuat keputusan yang berdampak terhadap integritas dan kecermatan data tertentu, kemungkinan data akan dikorupsi atau yang disalah gunakan menjadi meningkat.
2.9.3. Akses ke Database
Akses oleh pemakai ke database dapat dibatasi dengan mengunakan password. Pembatasan ini dapat diterapkan kepada individu, peralatan terminal, dan program. Agar password efektif, diperlukan prosedur memadai untuk mengubah password, penjagaan kerahasiaan password dan pelaksanaan review dan penyelidikan terhadap usaha untuk melanggar keamanan. Pengaitan password ke peralatan terminal, program, dan data membantu menjamin bahwa hanya pemakai yang berwenang dan program yang sah dapat mengakses, mengubah, atau menghapus data. Sebagai contoh, manajer kredit dapat memberi wewenang kepada wiraniaga untuk mengacu kebatas kredit customer, sedangkan karyawan fungsi gudang tidak memiliki wewenang.
2.9.4. Pemisahan Tugas
Tanggung Jawab untuk melaksanakan berbagai aktivitas yang diperlukan untuk mendesain, mengimplementasikan, dan mengoperasikan database dibagi di antara personel teknik, desain, pengelola, dan pemakai. Tugas mereka mencakup desain sistem, desain database, pengelolaan, dan operasi. Pembagian tugas tersebut diperlukan untuk menjamin kelengkapan, integritas, dan kecermatan database. Sebagai contoh, orang yang bertanggung jawab dalam merubah program database karyawan harus berbeda dengan orang yang berwenang untuk mengubah tarif upah karyawan dalam database.
2.10. Operasional Komputer (Computer Operations)
Tujuannya adalah untuk memastikan bahwa ‘platforms’ pada sistem telah berjalan sesuai, menjamin keberadaan data (data availability), dapat dipercaya (data
reliable), dan sistem yang berjalan pada setiap saat.
Sistem Informasi beroperasi dalam mengendalikan sistem informasi perangkat keras (hardware) dan perangkat lunak (software) sehari-hari. Lingkungan sistem informasi sangat bervariasi antara satu organisasi dengan organisasi lainnya tergantung pada ukuran instalasi komputer dan beban kerja.
Operasional sistem informasi umumnya mencakup fungsi pada area berikut ini:
Manajemen sistem informasi secara operasional;
Operasional komputer (Computer operation);
Scheduling;
Pengendalian input dan output data (Controlling input/ output data);
Prosedur pengendalian perubahan program (change control procedure);
Librarian function; dan
Prosedur untuk mengawasi penggunaan komputer.
2.11. Kelangsungan Bisnis (Business Continuity)
Menurut ISAACA (2002), tujuan secara keseluruhan adalah untuk meminimalkan kegagalan dan memastikan bahwa bisnis akan berjalan secara efektif (dalam waktu yang dapat diterima – acceptable recovery time) pada saat fasilitas sistem informasi tidak tersedia. Area ini mencakupi pengetahuan bahwa IS Auditor mengevaluasi proses untuk mengembangkan, mengkomunikasikan, dan melakukan tes yang direncanakan untuk kelangsungan operasional bisnis perusahaan dan proses sistem informasi apabila menghadapi masalah.
Ada tiga tujuan khusus dalam area ini, yaitu:
1. Mengevaluasi kecukupan dari backup dan pemulihan (recovery) guna memastikan keberadaan data (data availability) jika terjadi kerusakan atau gangguan (disaster) lainnya.
3. Mengevaluasi kemampuan perusahaan untuk memastikan kelangsungan usaha pada saat terjadi gangguan bisnis.
2.11.1. Rencana Kelangsungan Bisnis (Business Continuity Plan (BCP))
Penanggulangan sebagai kemampuan perusahaan untuk meneruskan operasinya dalam hal terjadi gangguan (disaster) di sistem informasi dan supaya perusahaan tetap bertahan ketika gangguan (disaster) itu berlangsung.
Senior manajemen bertanggungjawab atas rencana kelangsungan bisnis (Business
Continuity Plan – BCP) yang memadai. Rencana ini harus melingkupi semua fungsi
dan asset yang dibutuhkan untuk meneruskan bisnis perusahaan. IT Disaster
Recovery Plan (DRP) harus konsisten dan mendukung jalannya bisnis di
perusahaan.
Senior Sistem Informasi dan user manajemen harus menentukan dan memprioritaskan fungsi bisnis yang kritikal untuk dilindungi. Manajemen harus berkomitmen bahwa BCP harus dapat menegaskan tanggung jawab baik untuk rencana pengembangan BCP dan rencana implementasi dan menetapkan waktu untuk melakukan pengujian BCP.
2.11.2. Waktu Pemulihan Kritis (Critical Recovery Time Period)
keuangan seperti bank atau perusahaan broker memerlukan waktu recovery yang lebih pendek daripada perusahaan manufaktur.
2.11.3. Tempat penyimpanan cadangan data diluar perusahaan (Off-site)
Karena diperlukan untuk memastikan bahwa aktivitas bisnis (termasuk operasional IS yang mensupport keseluruhan bisnis) tidak terganggu atas gangguan (disaster), maka media penyimpanan kedua (biasanya tape cartridge, removable hard disks,
atau cassettes) digunakan untuk menyimpan program dan data untuk keperluan
backup. Tape back up atau media penyimpan kedua ini harus disimpan di suatu
tempat (disebut juga off-site library) untuk menjamin keberadaan data dari risiko gangguan bisnis.
Adapun yang di simpan di off-site storage adalah:
a. Prosedur operasional (Standard Operating Procedure) seperti: manual
operating system, buku applikasi, prosedur khusus;
b. Sistem dan dokumentasi program seperti: flowchart, daftar program source
code, penjelasan logika program, kondisi error, user manual.
c. Dokumen input dan output, seperti: copy, summary yang dibutuhkan untuk audit, klaim asuransi.
2.11.4. Fasilitas keamanan dan pengendalian Offsite (Security and Control of Off-site
Facilities)
Fasilitas pemrosesan informasi yang ada di offsite juga harus dilindungi dan diawasi seperti site yang original. Hal ini termasuk pengendalian terhadap akses secara fisik yang memadai seperti pintu yang terkunci, dan terlindungi dari pihak yang tidak berkepentingan.
Data dan software seharusnya dibackup periodic basis. Adapun strategi backup harus mengantisipasi kegagalan dari langkah backup. Data yang sensitive harus disimpan offsite pada lemari penyimpanan tahan api.
2.11.5. Pengujian Rencana Kelangsungan Bisnis (Business Continuity Plan Testing)
Banyak test kelangsungan bisnis yang tidak berhasil sebagaimana mestinya. Oleh karena itu, test untuk pemulihan kelangsungan bisnis harus dilakukan secara periodik untuk meminimalkan gangguan pada operasional, guna menentukan apakah rencana kelangsungan bisnis harus diperbarui. Akhir pekan atau hari libur adalah saat yang tepat untuk melaksanakan test. Penting bagi anggota team pemulihan (recovery team) untuk terlibat pada proses tes BCP tersebut.
Tugas IS Auditor dalam melakukan audit terhadap IT Disaster Recovery Plan (IT DRP) dan Busines Continuity Plan (BCP) meliputi:
b. Menverifikasi rencana Kelangsungan Perusahaan (BCP) apakah telah efektif untuk memastikan bahwa kemampuan pemrosesan informasi telah cukup dan me-review hasil pengetesan terakhir oleh Departemen Sistem Informasi dan staf yang terkait;
c. Melakukan evaluasi tempat offsite untuk memastikan kecukupannya, dengan cara menginspeksi dan me-review isi offsite storage dan pengendalian lingkungannya;
BAB III
METODE PENELITIAN
3.1. Pemilihan Obyek Penelitian
Penelitian merupakan suatu kegiatan yang dilakukan dengan sistematis dan praktis untuk mencari solusi terhadap suatu masalah. Untuk memilih obyek penelitian harus dipastikan terdapat masalah di dalam obyek penelitian tersebut, bukan akibat yang ada.
Obyek penelitian dalam penelitian ini adalah dukungan lingkungan Sistem Informasi Komputerisasi (SIK) terhadap kelangsungan bisnis perusahaan. Unit penelitian atau unit observasi dalam penelitian ini PT. AIR. Yang menjadi fokus penelitian adalah pelaksanaan pengendalian umum lingkungan SIK untuk mendukung kelangsungan bisnis perusahaan. Penelitian dilakukan untuk menilai lingkungan SIK memadai dalam mendukung kelangsungan bisnis PT. AIR.
3.2. Metode & Desain Penelitian
Jenis penelitian yang digunakan adalah survey dengan menggunakan daftar pertanyaan penelitian (questionnaire). Karena sifat penelitian ini adalah
survey, maka lingkungan penelitiannya adalah lapangan (a field setting
research) dan kemampuan peneliti untuk mempengaruhi fakta (temuan) dalam
penelitian ini adalah ex post facto, yang berarti bahwa peneliti tidak dapat mengendalikan fakta yang diteliti, karena fakta tersebut sudah ada dan tidak dapat dimanipulasi. Karena penelitian ini hanya dilaksanakan satu kali, maka dimensi waktu dalam penelitian ini adalah cross-sectional / one-shot studies (Uma Sekaran, 2000).
Ditinjau dari tujuannya penelitian ini bersifat deskriptif dan terapan. Deskriptif dalam arti penelitian ingin juga mengetahui deskripsi atau gambaran pelaksanaan pemeriksaan atas pengendalian lingkungan sistem informasi komputerisasi berdasarkan kuesioner yang diberikan kepada key manager saat melakukan interview. Terapan dalam arti mempunyai tujuan dan memiliki alasan praktis yaitu untuk mengetahui cara untuk mengimplementasikan pengendalian umum lingkungan SIK secara lebih baik, efektif dan efisien.
3.3. Jenis Data
3.3.1. Data Primer
primer yang diperoleh: Hasil jawaban kuesioner dan penjelasan tambahan yang diperoleh dari Manajer IT dan Manajer Keuangan.
Data Primer ini diperoleh pada saat dilakukan Penelitian
Lapangan (Field Research). Dalam teknik pengumpulan data secara
langsung kepada responden guna memperoleh gambaran yang objektif, penulis mengadakan pengumpulan data dengan jalan mengadakan penelitian atas obyek yang dibahas.
3.3.2. Data Sekunder
Data Sekunder yaitu data yang diperoleh dalam bentuk yang sudah jadi atau berupa publikasi, atau data yang sudah dikumpulkan oleh pihak instansi lain. Data sekunder yang diperoleh: Laporan Keuangan Audited Tahun 2003 - 2004, Akte pendirian perusahaan dan ADP, Accounting
Software System Manual, Hardware and Network Manual.
Data Sekunder diperoleh dengan melakukan Penelitian
Kepustakaan (Library Research). Teknik pengumpulan data ini bertujuan
3.4. Tehnik Pengumpulan Data
3.4.1. Tehnik Pengumpulan Data Primer
Dalam melakukan Penelitian Lapangan, tehnik pengumpulan data primer yang dilakukan adalah sebagai berikut:
1. Kuesioner (Questionaire).
Kuesioner adalah tehnik pengumpulan data dengan membuat pertanyaan-pertanyaan yang jelas dan relevan dengan permasalahan yang diteliti, kemudian memberikan sejumlah daftar pertanyaan kepada responden atau perusahaan untuk diisi. Melalui Kuesioner akan diperoleh data yang akan saling melengkapi hasil wawancara.
Keakuratan data yang diperoleh dari kuesioner sangat dipengaruhi oleh kemauan dan kemampuan responden dalam menjawab pertanyaan. Tehnik penyampaian kuesioner adalah dengan mendatangi secara langsung perusahaan responden yang dianggap lebih efektif dan praktis. Kuesioner diajukan kepada “Key Manager” yang memang cukup berperan dalam kegiatan operasional lingkungan SIK dan kegiatan bisnis perusahaan.
2. Wawancara (Interview)
Data primer yang diperoleh selama melakukan penelitian lapangan, merupakan keterangan atau jawaban tambahan yang diperoleh pada saat dilakukan wawancara langsung (face-to-face) dengan Key
Manager sebagai tanggapan atas kuesioner yang telah mereka terima.
Diperlukan waktu 2 minggu untuk pertemuan yang harus direncanakan sebelumnya sebanyak 4 kali pertemuan mengingat padatnya skedul manajer-manajer tersebut. Wawancara yang dilakukan secara terstruktur dan tidak terstruktur agar informasi yang diperoleh dapat saling melengkapi dan bersifat relevan.
Terdapat penjelasan yang bersifat sangat rahasia, secara etika penelitian sudah terdapat perjanjian tidak tertulis bahwa informasi tersebut akan dimanfaatkan informasi ini dengan baik, bijaksana sejauh hal itu untuk keperluan penelitian ilmiah semata.
3. Pengamatan Langsung (Direct Observation)
Data dikumpulkan dengan melakukan pengamatan langsung atau melakukan review terhadap obyek penelitian di lokasi penelitian. Observasi dilakukan dengan tujuan untuk dapat melihat secara jelas keadaan maupun kondisi yang berlangsung di dalam perusahan. Diperolehnya data mengenai pelaksanaan pengendalian lingkungan SIK PT. AIR membutuhkan waktu kurang lebih 2 bulan terhitung sejak bulan Agustus 2005 sampai dengan September 2005. Untuk skedul Observasi lihat lampiran VIII. Jadwal Pemeriksaan Lingkungan SIK PT. AIR.
3.4.2. Tehnik Pengumpulan Data Sekunder
Dalam melakukan Penelitian Kepustakaan, tehnik pengumpulan data sekunder yang dilakukan adalah Dokumentasi Kepustakaan yaitu tehnik pengumpulan data dengan mengambil data-data berbentuk teori, serta informasi yang mendukung mengenai pelaksanaan pemeriksaan lingkungan SIK pada PT. AIR. Data yang besifat landasan teori yang menunjang penelitian ini dapat di lihat pada Bab 2 Telaah Kepustakaan.
3.5. Rencana Persiapan Pengumpulan Data
1. Peninjauan Pendahuluan. Mempersiapkan pengetahuan umum mengenai
obyek penelitian dan unit penelitian. Obyek penelitian adalah Divisi IT dan unit penelitian adalah PT. AIR. Dari data sekunder diperoleh informasi mengenai sejarah perusahaan, bidang usaha (company’s core business), skala perusahaan, sistem informasi yang diterapkan, infrastruktur yang dimiliki perusahaan, dan pengetahuan umum lainnya mengenai perusahan. Seluruh informasi dasar ini akan menjadi bahan perbandingan dengan jawaban kuesioner.
2. Melakukan persiapan untuk Wawancara, Kuesioner, serta Observasi.
Mempersiapkan kuesioner untuk memperoleh data selama observasi langsung dengan skedul yang telah disepakati bersama dengan pihak responden. Kuesioner di susun untuk mengetahui tingkat ketaatan perusahaan dalam melaksanakan fungsi pengendalian umum. Kuesioner ketaatan diberikan kepada divisi yang dapat mempengaruhi kelangsungan bisnis perusahaan. Mengingat konsentrasi penelitian lebih terfokus terhadap pelaksanaan pengendalian lingkungan SIK, maka seluruh pertanyaan kuesioner dirancang untuk pengumpulan informasi lingkungan SIK saja.
3. Dokumentasi serta Pooling data untuk proses selanjutnya. Setelah
langsung untuk melengkapi keterangan jawaban kuesioner. Seluruh jawaban kuesioner yang ditulis tangan, hasil pengamatan langsung serta hasil wawancara didokumentasikan dengan baik untuk proses selanjutnya. (lihat point 3.4. Tehnik Pengolahan Data)
3.6. Tehnik Pengolahan Data
Setelah data yang dibutuhkan telak dikumpulkan, tahap selanjutnya dalam penelitian adalah tahap pengolahan data. Dalam tahap ini, data diolah melalui suatu proses analisis sehingga memberikan hasil yang sesuai dengan tujuan penelitian, yaitu memecahkan permasalahan yang sedang dihadapi. Proses pengolahan data merupakan proses yang sangat penting karena merupakan masukan yang menentukan bermutu atau tidaknya suatu penelitian.
Dalam melakukan pengolahan data, tehnik pengolahan data yang dilakukan dalam pemeriksaan terhadap pengendalian lingkungan SIK pada PT. AIR adalah sebagai berikut:
1. Editing
2. Verifying
Kegiatan yang dilakukan pada tahap ini adalah memeriksa apakah data yang sudah terkumpul relevan dengan penelitian yang akan dilakukan dan untuk mengetahui apakah hasil-hasil penelitian sesuai dengan teori yang ada mengenai masalah yang bersangkutan.
Hasil-hasil yang diperoleh dari suatu penelitian diperiksa benar tidaknya melalui 2 (dua) cara, yaitu:
a. Penyelidikan dari sumber-sumber kesalahan yang mungkin ada di dalam penelitian.
b. Evaluasi tentang tingkat akseptabilitas hasil, baik atas dasar teoritis maupun empiris.
3. Analyzing (Evaluating)
diinterpratasikan sehingga diperoleh informasi yang diperlukan untuk menganalisis masalah yang akan diteliti.
Tujuan digunakannya analisis kualitatif adalah untuk menemukan fakta apakah data dan kinerja obyek penelitian telah sesuai dengan standar atau kriteria dalam landasan teori yang diperoleh dari telaah kepustakaan.
Hasil evaluasi data akan menjelaskan dan menguraikan hal-hal sebagai berikut: a. Landasan Teori atas Pelaksanaan pengendalian yang ideal (sesuai
dengan peraturan ketaatan yang berlaku umum)
b. Temuan Pelaksanaan yang terjadi dalam praktek (sesuai fakta kondisi pada PT. AIR)
c. Efek Negatif yang dihasilkan kondisi tersebut jika tidak dilakukan suatu perubahan.
d. Kesimpulan mengenai pelaksanaan pengendalian umum lingkungan SIK PT. AIR
e. Rekomendasi terhadap suatu kondisi dan diharapkan atau sesuai dengan teori dan dapat diimplementasikan pada perusahaan dengan tujuan untuk mencapai kondisi yang lebih baik, efektif dan efisien.
3.7. Elemen-Elemen yang akan dievaluasi
a. Pengendalian organisasi. b. Pengendalian administratif.
c. Pengendalian pengembangan dan pemeliharaan sistem. d. Pengendalian hardware dan software.
e. Pengendalian dokumentasi. f. Pengendalian keamanan.
Diharapkan pada akhir tahap pengevaluasian data, maka dapat menyelesaikan Pokok permasalahan yang sedang diteliti, yaitu:
a. Bagaimana menyakinkan bahwa Pengendalian Umum lingkungan sistem informasi komputerisasi (SIK) PT. AIR telah memadai?
b. Bagaimana menyakinkan bahwa Pengendalian Umum SIK secara
On-Line PT. AIR telah memadai?
BAB IV
GAMBARAN UMUM PERUSAHAAN
4.1. Sejarah Singkat Perusahaan
PT AIR didirikan pada tahun 1987 dengan Akta Notaris Sri Nanning, SH No. 2 tanggal 24 Oktober 1987. Akta Pendirian PT AIR tersebut telah memperoleh persetujuan dari Menteri Kehakiman Republik Indonesia sesuai Surat Keputusan No. C2-8109 HT.01.01 tahun 1988 tanggal 5 September 1988.
PT AIR pada awalnya berkedudukan di Semarang. Khusus untuk pembuatan
furniture, perusahaan membuat furniture di Jepara. Setelah beberapa tahun
melaksanakan operasi di Semarang, pada tahun 1991 PT AIR memindahkan kegiatan operasionalnya dari Semarang ke Jakarta yang dijadikan sebagai Kantor Pusat dan berlokasi di Jakarta Barat.
Dewasa ini seluruh kegiatan PT AIR telah berlokasi di Jakarta seluruhnya. Pusat kegiatan operasional dari Semarang pun telah di pindahkan ke Jakarta, dan lokasi kegiatan pabrikasi furniture dipindahkan ke daerah Jakarta Barat. Gudang yang berada di Jakarta Barat, selain berfungsi sebagai tempat untuk penyimpanan barang, juga digunakan untuk memperluas kegiatan pabrikasi dan sebagai tempat ruang kerja (work shop).
4.2. Lokasi dan Bidang Usaha Perusahaan
Perseroan berdomisili di Jakarta, Indonesia. Kegiatan utama PT AIR adalah dalam bidang perdagangan (trading), yaitu perdagangan Veneer,
Plywood & MDF dan Furniture. PT AIR sudah melakukan export trading
sejak berdomisili di Semarang dengan konsentrasi pasar Eropa (Inggris, Perancis, Canada dan Amerika Serikat), pasar Asia (Jepang, Thailand dan Malaysia) serta pasar domestik Indonesia. Disamping kegiatan bidang perdagangan, PT AIR juga melaksanakan kegiatan di bidang Jasa
Laminating dan Interior Design, serta melaksanakan kegiatan proses
pabrikasi furniture. Dewasa ini perusahaan mempunyai 6 (enam) Divisi bidang usaha, yaitu: Divisi Veneer, Divisi Furniture, Divisi Plywood &
MDF, Divisi Laminating, Divisi Interior Design, dan Divisi Marquetery.
Perkembangan Divisi-divisi bidang usaha perusahaan dari sejak awal perusahaan berdiri, dapat diuraikan sebagai berikut:
2. Divisi Furniture, berdiri pada tahun 1992. Divisi ini berdiri setelah perusahaan berhasil mengembangkan Divisi Veneer. Divisi ini melaksanakan kegiatan pabrikasi furniture dan melaksanakan kegiatan trading secara lokal dan eksport.
3. Divisi Plywood & MDF, didirikan pada tahun 1995, yaitu divisi trading secara retail.
4. Divisi Laminating, didirikan tahun 1996. Divisi tersebut berdiri untuk sebagai pelengkap (penunjang) karena semakin banyaknya konsumen yang membeli veneer maupun plywood & MDF.
5. Divisi Interior Design, berdiri tahun 1997. Divisi tersebut berdiri setelah kelima divisi diatas berdiri. Divisi ini memberikan jasa interior design untuk keperluan hotel, convention room, perumahan, sekolah/perguruan tinggi, ruang tamu, kitchen set, bar pantry, dll.
6. Divisi Marquetery, divisi terakhir yang didirikan pada tahun 1999, merupakan divisi yang termasuk dalam "mata rantai pelengkap (penunjang)" kegiatan operasi perusahan. Divisi Marquetery tersebut melaksanakan kegiatan pembuatan ornamen/hiasan pada kayu.
Yang dimaksud dengan istilah "mata rantai" adalah gabungan aktivitas tiap-tiap divisi dan bersifat komplementer, seperti veneer, plywood & MDF,
laminating dan marquetery. Konsumen membeli veneer secara retail, tapi ia
Tetapi konsumen sekarang tidak hanya membeli kayu berlapis veneer tetapi juga kayu yang memiliki hiasan/ornamen yang terpatri pada kayu lapis tersebut. Proses pembuatan ornamen inilah merupakan jasa divisi
Marquetery, dan untuk tahap penyelesaian harus melalui proses laminating
kembali.
4.3. Struktur Organisasi dan Uraian Tugas
4.3.1. Struktur Organisasi
Susunan Dewan Komisaris terdiri dari Presiden Komisaris dan Anggota Komisaris. Susunan Dewan Direksi terdiri dari Presiden Direktur dan Anggota Direksi.
Adapun struktur organisasi PT AIR dapat dilihat pada lampiran II.
4.3.2. Uraian Tugas (Job Description)
Dibawah ini adalah uraian tugas masing-masing fungsi dalam struktur organisasi perusahaan PT AIR.
1. Dewan Komisaris
Dewan Komisaris mempunyai tugas dan tanggung jawab sebagai berikut:
menyimpang dari anggaran dasar dan peraturan lainnya yang telah ditetapkan oleh perusahaan.
b. Melaksanakan penilaian atas kinerja (performance) dari Dewan Direksi.
c. Melaksanakan tugas-tugas lainnya sesuai dengan anggaran dasar perusahaan dan melaksanakan keputusan-keputusan hasil Rapat Umum Pemegang Saham (RUPS).
2. Presiden Direktur
Tugas dan tanggung jawabnya sebagai berikut:
a. Bertanggung jawab atas kelancaran jalannya perusahaan kepada Dewan Komisaris dengan mengkoordinir, mengarahkan dan mengawasi jalannya kegiatan perusahaan agar sesuai dengan tujuan dan kebijakan perusahaan yang telah ditetapkan.
b. Memimpin perusahaan dengan mengorganisir serta mengawasi pelaksanaan seluruh kegiatan perusahaan, baik kegiatan operasional maupun kegiatan non operasional.
c. Mengkoordinir penyusunan rencana kerja secara keseluruhan, menetapkan arah kebijakan perusahaan dan mengambil keputusan untuk kelancaran mekanisme perusahaan.
e. Mewakili perusahaan dalam segala kejadian yang berhubungan dengan perusahaan, baik yang bersifat internal maupun eksternal.
f. Wajib memberikan laporan yang diperlukan oleh dewan komisaris.
3. Direktur Keuangan
Tugas dan tanggung jawabnya sebagai berikut:
a. Bertanggung jawab dalam bidang keuangan perusahaan kepada Presiden Direktur dengan mengkoordinir, mengarahkan dan mengawasi jalannya kegiatan perusahaan agar sesuai dengan tujuan dan kebijakan perusahaan yang telah ditetapkan.
b. Mengorganisir serta mengawasi pelaksanaan kegiatan keuangan perusahaan.
c. Mengambil keputusan sesuai dengan wewenangnya untuk kelancaran mekanisme operasional perusahaan.
d. Melakukan Approval/Pengesahan dan Otorisasi.
e. Mengkoordinir penyusunan rencana kerja dan anggaran perusahaan, baik jangka pendek maupun jangka panjang. f. Mengevaluasi pelaksanaan tugas dan menilai kinerja
g. Mewakili perusahaan dalam segala kejadian yang berhubungan dengan perusahaan, baik yang bersifat intern maupun ekstern.
h. Memberikan laporan yang diperlukan oleh Presiden Direktur.
4. Manajer Keuangan & Akuntansi (Finance and Accounting Manager)
Manajer Keuangan & Akuntansi membawahi bagian Piutang Dagang, bagian Keuangan, bagian Akuntansi, bagian administrasi Penjualan dan bagian administrasi Persediaan.
Tugas dan tanggung jawabnya adalah:
a. Merencanakan, mengawasi dan mengkoordinasikan semua kegiatan administrasi dan keuangan perusahaan.
b. Mengawasi posisi likuiditas dan operasi perusahaan serta mengatur aliran kas masuk dan aliran kas keluar.
c. Menyediakan dana untuk anggaran yang diperlukan.
