BAB 2
LANDASAN TEORI
2.1 Konsep Sistem Informasi
2.1.1 Pengertian Sistem
Menurut Mcleod (2001, p9), sistem adalah sekelompok elemen-elemen
yang berintegrasi dengan maksud yang sama untuk mencapai suatu tujuan.
Pendapat Hall (2001, p5) yang diterjemahkan oleh Amir Abadi Jusuf,
sistem adalah sekelompok dua atau lebih komponen-komponen yang saling berkaitan (inter-related) atau subsistem-subsistem yang bersatu untuk mencapai tujuan yang sama (common purpose).
Jadi secara umum sistem dapat diartikan sebagai sekumpulan elemen atau komponen yang saling berinteraksi dan terkoordinasi untuk melakukan suatu kegiatan guna mencapai tujuan bersama.
2.1.2 Pengertian Informasi
Menurut Mcleod (2001, p12) informasi adalah data yang telah diproses
atau data sudah memiliki arti tertentu bagi kebutuhan penggunanya.
Pendapat Hall (2001, p14), yang diterjemahkan oleh Amir Abadi Jusuf, informasi menyebabkan pemakai melakukan suatu tindakan yang dapat ia lakukan atau tidak dilakukan. Informasi ditentukan oleh efeknya pada pemakai bukan oleh bentuk fisiknya.
Jadi, dapat disimpulkan informasi adalah kumpulan dari data–data yang telah diproses dimana informasi tersebut haruslah akurat dan terpercaya sehingga informasi tersebut berguna bagi para penggunanya.
2.1.3 Pengertian Sistem Infromasi
Menurut Husein dan Wibowo (2002, p8), sistem informasi dapat
diartikan sebagai seperangkat komponen yang saling berhubungan yang berfungsi mengumpulkan, memproses, menyimpan dan mendistribusikan infromasi untuk mendukung pembuatan keputusan dan pengawasan dalam organisasi.
Menurut O’brien dalam bukunya yang diterjemahkan oleh Fitriasari
dan Arnos (2005, p5), sistem informasi merupakan kombinasi teratur apapun dari orang-orang, hardware, software, jaringan komunikasi dan sumber daya data yang mengumpulkan, mengubah dan menyebarkan informasi dalam sebuah organisasi.
Sedangkan menurut Sutabri (2005, p42), sistem informasi adalah suatu sistem didalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian yang mendukung fungsi operasi organisasi yang bersifat manajerial dengan kegiatan strategi dari suatu organisasi untuk dapat menyediakan kepada pihak luar tertentu dengan laporan-laporan yang diperlukan. Dengan demikian, dapat disimpulkan bahwa sistem informasi adalah beberapa komponen, antara lain rangkaian prosedur dimana informasi
itu sendiri diolah sedemikian rupa sehingga dapat berguna bagi para pemakai untuk mencapai sasaran-sasaran perusahaan.
2.1.4 Komponen-Komponen Sistem Informasi
Menurut Sutabri (2005, p42-43), system informasi terdiri dari
komponen-komponen yang disebut blok bangunan (building block), yang teridri dari blok masukan, blok model, blok keluaran, blok teknologi, blok basis data dan blok kendali. Sebagai suatu sistem, keenam blok tersebut masing-masing saling berinteraksi satu dengan yang lain membentuk satu kesatuan untuk mencapai sasaran.
a. Blok Masukan (Input Block)
Input mewakili data yang masuk ke dalam sistem informasi. Input disini termasuk metode dan media untuk menangkap data yang akan dimasukkan, yang dapat berupa dokumen-dokumen dasar.
b. Blok Model (Model Block)
Blok ini terdiri dari kombinasi prosedur, logika dan model matematik yang akan memanipulasi data input dan data yang tersimpan di basis data dengan cara yang sudah tertentu untuk menghasilkan keluaran yang diinginkan.
c. Blok Keluaran (Output Block)
Produk dari sistem informasi adalah keluaran yang merupakan informasi yang berkualitas dan dokumentasi yang berguna untuk semua tingkatan manajemen serta semua pemakaian sistem.
d. Blok Teknologi (Technology Block)
Teknologi merupakan “tool box” dalam sistem informasi. Teknologi digunakan untuk menerima input, menjalankan model, menyimpan dan mengakses data, menghasilkan dan mengirimkan keseluruhan. Teknologi terdiri dari 3 (tiga) bagian utama, yaitu teknisi (brainware), perangkat lunak (software) dan perangkat keras (hardware).
e. Blok Basis Data (Database Block)
Basis data (database) merupakan kumpulan data yang saling berkaitan dan berhubungan satu dengan lain, tersimpan diperangkat keras komputer dan menggunakan perangkat lunak untuk memanipulasinya. Data perlu disimpan dalam basis data untuk keperluan penyediaan informasi lebih lanjut.
f. Blok Kendali (Control Block)
Banyak hal yang dapat merusak sistem informasi, seperti bencana alam, api, temperatur, air, debu, kecurangan-kecurangan, kegagalan-kegagalan system itu sendiri, ketidak efisienan dan sabotase. Beberapa pengendalian perlu dirancang dan ditetapkan untuk meyakinkan bahwa hal-hal yang dapat merusak sistem dapat dicegah atau bila terlanjur terjadi kesalahan-kesalahan dapat langsung cepat diatasi.
2.1.5 Pengertian Persediaan
Menurut Mulyadi (2001, p431), persediaan merupakan unsur aktiva
yang disimpan dengan tujuan untuk dijual dalam kegiatan bisnis yang normal atau barang-barang yang akan dikonsumsi dalam pengolahan produk yang akan dijual.
Menurut Assauri (1999, p169), persediaan adalah suatu aktiva yang
meliputi barang-barang milik perusahaan dengan maksud untuk dijual dalam suatu periode usaha yang normal atau masih dalam proses maupun menunggu penggunaannya dalam suatu proses produksi.
2.1.6 Pengertian Sistem Informasi Pesediaan
Menurut penulis dari konsep-konsep teori diatas merupakan barang atau produk baik barang mentah maupun barang jadi yang telah diproses untuk dijual kembali kepada yang membutuhkan. Dimana suatu sistem informasi
tersebut melibatkan orang-orang dalam organisasi, data, prosedur dan sarana pendukung untuk mengoperasikan sistem persediaan hingga dapat menghasilkan informasi yang mendukung kepentingan bagian persediaan dalam menganalisis dan mengendalikan keadaan persediaan.
2.2 Sistem Pengendalian Intern
2.2.1 Pengertian Sistem Pengendalian Intern
Menurut Weber (1999, p35), “A Control Is A System That Prevents,
Detects, Or Corrects Unlawful Events”, yang berarti bahwa sistem pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan mengoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan.
Menurut Cangemi dan Singleton (2002, p66), pengendalian internal
adalah aturan, praktek, prosedur, dan peralatan yang dirancang untuk :
1) Keamanan asset yang berhubungan dengan badan hukum.
2) Menyakinkan akurasi dan kepercayaan perolehan data dan
informasi produk.
3) Mendapatkan efisiensi.
4) Mengukur pemenuhan dengan aturan yang berhubungan dengan
badan hukum.
5) Mengukur pemenuhan dengan regulasi-regulasi.
6) Mengatur kejadian-kejadian negatif dan pengaruh dari
Berdasarkan pengertian diatas maka pengendalian dikelompokkan menjadi 3 bagian yaitu :
1) Preventive Control
Pengendalian ini digunakan untuk mencegah masalah sebelum masalah tersebut muncul.
2) Detective Control
Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian segera setelah masalah tersebut muncul.
3) Corrective Control
Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada detective control. Pengendalian ini mencakup prosedur untuk menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi sistem proses. Dengan demikian bisa mencegah kejadian yang sama dimasa mendatang.
2.2.2 Tujuan Sistem Pengendalian Intern
Menurut Hall (dalam Gondodiyoto, 2006, p156), tujuan sistem
pengendalian intern terdiri dari :
a. Menyajikan data yang dapat dipercaya (To Ensure the Accuracy
Pimpinan hendaklah memiliki informasi yang tepat dalam rangka melaksanakan kegiatannya. Mengingat bahwa berbagai jenis informasi dipergunakan untuk bahan mengambil keputusan sangat penting artinya, karena itu suatu mekanisme atau sistem yang dapat mendukung penyajian informasi yang akurat sangat diperlukan oleh pimpinan organisasi/perusahaan.
b. Mengamankan Aktiva Dan Pembukuan (Safeguarding Assests
Of The Firm).
Pengamanan atas berbagai harta benda dan catatan pembukuan menjadi semakin penting dengan adanya komputer. Data/informasi yang begitu banyaknya disimpan di dalam media komputer seperti magnetic tape dapat dirusak apabila tidak diperhatikan pengamanannya.
c. Meningkatkan Efesiensi Operasional (To Promote Efficiency In
The Firm’s Operations).
Pengawasan dalam suatu organisasi merupakan alat untuk mencegah penghamburan usaha, menghindarkan pemborosan dalam setiap segi dunia usaha dan mengurangi setiap jenis penggunaan sumber-sumber yang ada secara tidak efisien.
d. Mendorong Pelaksanaan Kebijakan Yang Ada (To Measure Compliance With Management’s Policies And Procedures) Pimpinan menyusun tata cara dan ketentuan yang dapat dipergunakan untuk mencapai tujuan perusahaan. Sistem pengendalian intern berarti memberikan jaminan yang layak bahwa kesemuanya itu telah dilaksanakan oleh karyawan perusahaan.
Tujuan pengendalian intern harus dipandang dalam kaitannya dengan individu yang menjalankan sistem pengendalian tersebut. Sistem harus dirancang sedemikian rupa sehingga para pegawai merasakannya sendiri dan yakin bahwa pengendalian bertujuan mengurangi kesulitan-kesulitan dalam operasi, melindungi organisasi, merupakan persyaratan tercapainya tujuan, dan dengan demikian mendorong terpenuhinya kebijakan manajemen yang telah digariskan.
2.2.3 Unsur-Unsur Sistem Pengendalian Intern
Pendapat Weber (1999, p49), pengendalian internal terdiri dari lima
unsur/komponen yang saling berintegrasi, antara lain : a) Control Environment
Komponen ini diwujudkan dengan cara pengoperasian, cara pembagian wewenang dan tanggung jawab yang harus
dilakukan, cara komite audit berfungsi, dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja. b) Risk Assessment
Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi oleh perusahaan dan cara-cara untuk menghadapi resiko tersebut.
c) Control Activities
Komponen yang dioperasikan untuk memastikan transaksi telah terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan aset dan record, pengecekan kinerja dan penilaian dari jumlah record yang terjadi.
d) Information and Communication
Komponen dimana informasi digunakan untuk mengidentifikasi, mendapatkan, dan menukarkan data yang dibutuhkan untuk mengendalikan dan mengatur operasi perusahaan.
e) Monitoring
Komponen yang memastikan pengendalian internal beroperasi secara dinamis.
Unsur-unsur sistem pengendalian intern sangat penting karena sistem mempunyai beberapa unsur dan sifat-sifat tertentu yang dapat meningkatkan kemungkinan dapat dipercayainya data-data akuntansi serta tindakan pengamanan terhadap aktiva dan catatan perusahaan.
2.2.4 Jenis Pengendalian Internal Berbasis Komputer
Pendapat Weber (1999, p67), ruang lingkup kontrol dibedakan atas dua jenis, yaitu pengendalian umum dan pengendalian khusus.
1. Pengendalian Umum
Pengendalian umum artinya ketentuan-ketentuan yang berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut. Apabila tidak dilakukan pengendalian ini ataupun pengendaliannya lemah maka dapat berakibat negatif terhadap aplikasi.
Pengendalian umum berupa : a. Top Management Control
Mengontrol peranan manajemen dalam perencanaan kepemimpinan dan pengawasan fungsi .
b. System Development Management Control
Mengontrol alternatif dari model proses pengembangan system informasi sehingga dapat digunakan sebagai dasar perkumpulan dan pengevaluasian bukti.
c. Control Programming Management
Mengontrol tahapan utama dari siklus program dan pelaksanaan dari tiap tahap.
d. Data Resource Management Control
Mengontrol peranan dan fungsi dari data administrator atau database administrator.
e. Operation Management Control
Mengontrol fungsi utama yang harus dilakukan oleh quality assurance management untuk meyakinkan bahwa pengembangan, pelaksanaan, pengoperasian, pemeliharaan dari sistem informasi sesuai dengan standar kualitas.
f. Security Management Control
Mengontrol fungsi utama dari security administrator dalam mengidentifikasi ancaman utama terhadap fungsi sistem informasi dan perancangan, pelaksanaan, pengoperasian, dan pemeliharaan terhadap pengontrolan yang dapat mengurangi kemungkinan kehilangan dari ancaman ini sampai pada tingkat yang dapat diterima. Secara garis besar pengendalian terhadap manajemen keamanan bertanggung jawab dalam menjamin aset sistem informasi tetap aman.
2. Pengendalian Khusus
Pengendalian khusus dilakukan dengan tujuan untuk menentukan apakah pengendalian sistem informasi dari sistem yang terkomputerisasi pada aplikasi komputer tertentu sudah memadai untuk memberikan jaminan bahwa data dicatat, diolah,
dan dilaporkan secara akurat, tepat waktu, dan sesuai dengan kebutuhan manajemen.
Pengendalian khusus berupa :
a) Pengendalian Batasan (Boundary Control)
Mengontrol sifat dan fungsi kontrol akses, penggunaan pengkodean dalam kontrol akses, PIN, digital signatures, dan plastic cards.
Menurut Weber (1999, p368), pengendalian boundary adalah
suatu pengendalian yang memiliki tiga tujuan utama yaitu :
1. Mengatur identitas dan otentifikasi dari calon user.
2. Mengatur identitas dan otentifikasi dari sumber daya
komputer yang diminta oleh user.
3. Membatasi tindakan yang dilakukan oleh user yang
menggunakan sumber daya komputer dari serangkaian hak yang diberikan kepadanya.
Menurut Weber (1999, p370), “The boundary subsystem
establishes the interface between the would be user of a computer system and the computer system itself”. Inti dari pernyataan tersebut adalah subsystem batasan (boundary) membangun suatu hubungan (interface) antara pengguna (user)
komputer dengan sistem komputer itu sendiri melalui suatu tampilan.
Menurut Gondodiyoto (2003, p140), Boundary Control adalah
bahwa dalam suatu sistem aplikasi komputer harus jelas desainnya, mencakup hal-hal :
1. Ruang lingkup sistem
Suatu sistem komputerisasi harus jelas ruang lingkupnya, apa dokumen inputnya, dari mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya (user), siapa pemegang kewenangan.
2. Bagian-bagian sistem
Sistem terdiri dari subsistem, modul program, dan perlu kejelasan ruang lingkupnya (boundary control), dan keterkaitan (interface) antar subsistem-subsistem atau modul-modul.
Tiga tujuan pengendalian subsistem boundary adalah sebagai berikut :
1. Untuk menetapkan identitas dan kewenangan user dari
sistem komputer.
2. Untuk menetapkan identitas dan kewenangan dari
3. Membatasi tindakan-tindakan yang dilakukan oleh user yang menggunakan sumber daya komputer terhadap tindakan-tindakan yang tidak terotorisasi.
b) Pengendalian Input (Input Control)
Menurut Weber (1999, p420), berpendapat, “Components in the input subsystem are responsible for bringing both data and instructions into an application controls”. Intinya adalah komponen dalam subsistem input bertanggung jawab untuk memasukkan data dan instruksi ke dalam sisten aplikasi. Kedua jenis input tersebut harus divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol sehingga input yang dimasukkan akurat, lengkap dan tepat waktu.
Pengendalian input merupakan hal kritis yang didasarkan tiga alasan, yaitu jumlah pengendalian yang paling besar pada sistem informasi terhadap kehandalan subsitem input, aktivitas pada sub yang bersifat rutin dalam jumlah besar dan campur tangan manusia dapat mengalami kebosanan sehingga cenderung mengalami error, sub input sering menjadi target kecurangan. Banyak ketidakberesan yang ditemukan dengan cara penambahan, penghapusan atau pengubahan transaksi di input.
Pengendalian input sangat penting dilakukan karena :
1. Pada sistem informasi kontrol yang besar jumlahnya adalah
pada subsistem input, sehingga auditor harus memberikan perhatian yang lebih kepada keandalan pengendalian input yang ada.
2. Aktivitas subsistem input terkadang melibatkan besarnya
rutinitas, campur tangan manusia yang monoton, sehingga dapat menyebabkan terjadinya kesalahan.
3. Subsistem input sering menjadi sasaran tindak kejahatan (fraud)
banyak kegiatan yang tidak seharusnya dilakukan yang melibatkan penambahan, pengurangan, atau perubahan input transaksi.
c) Process Control
Menurut Gondodiyoto (2003, p144), “Pengendalian proses
adalah pengendalian intern untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses. Kemungkinan penyebabnya terjadinya error adalah kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan antara subsistem ataupun kesalahan teknis lainnya”.
d) Pengendalian Output (Output Control)
Digunakan untuk memastikan bahwa data yang diproses tidak mengalami perubahan yang tidak sah oleh operator komputer dan memastikan hanya orang yang berwenang saja yang menerima output. Pengendalian output berupa :
1. Mencocokkan data output (khususnya total pengendalian)
dengan total pengendalian yang sebelumnya telah ditetapkan yang diperoleh dalam tahap input dari siklus pemrosesan.
2. Mereview data output untuk melihat format yang tepat yang terdiri dari judul laporan, tanggal dan waktu pencetakan,
banyaknya copy laporan untuk masing-masing pihak yang
berwenang, periode laporan, nama program (termasuk versinya yang menghasilkan laporan), nama personil yang bertanggung jawab atas dikeluarkannya laporan tersebut, masa berlaku laporan, nomor halaman, tanda akhir halaman.
3. Mengendalikan data input yang ditolak oleh komputer selama
pemrosesan dan mendistribusikan data yang ditolak itu ke personil yang tepat.
4. Mendistribusikan laporan-laporan output ke departemen
e) Pengendalian Basis Data (Database Control)
Menurut Weber (1999, p563), berpendapat bahwa “the database subsystem provides function to difine, create, modify, delete, and read data in an informations system”. Intinya adalah bahwa subsistem database menyediakan fungsi-fungsi untuk mendefinisikan, menciptakan, memodifisikan, menghapus, dan membaca data di dalam suatu sistem inforormasi.
f) Pengendalian Komunikasi (Communication Control)
Menurut Weber (1999, p474), berpendapat bahwa “The
Communication subsystem is responsible for transporting data among all the others subsystem within a system and for transporting data to or receiving data from another system”. Intinya adalah subsistem komunikasi bertanggung jawab untuk pengiriman data ke subsistem yang lain pada suatu sistem dan untuk pengiriman data ke penerima data dari sistem yang lain.
2.3 Konsep Audit Sistem Informasi
2.3.1 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p10), audit system informasi adalah proses
pengumpulan dan pengevaluasian bukti untuk menentukan apakah system komputer dapat melindungi asset kekayaan, memelihara integritas data, memungkinkan sumber daya yang efisien. Menurut Gondodiyoto (2003, p151),
EDP-Audit (Electronic Data Processing) atau sering juga disebut dengan audit sistem informasi adalah proses pengumpulan dan penilaian bahan bukti audit untuk dapat menentukan apakah system komputerisasi perusahaan telah menggunakan aset sistem informasi secara tepat dan mampu mendukung pengamanan aset tersebut, memelihara kebenaran dan integritas data dalam pencapaian tujuan perusahaan secata efektif dan efisien. Dengan demikian dapat disimpulkan bahwa pengertian audit sistem informasi adalah pengumpulan dan pemeriksaan terhadap sekumpulan elemen-elemen dalam hal ini yaitu sekumpulan informasi yang membentuk suatu sistem untuk mencapai tujuan perusahaan.
2.3.2 Pentingnya Audit Sistem Informasi
Menurut Weber (1999, p5-10), faktor yang mendorong pentingnya
audit sistem informasi adalah untuk:
1. Mendeteksi agar komputer tidak dikelolah secara kurang
terarah, tidak ada visi, misi, perencanaan teknologi, pimpinan organisasi yang tidak peduli dan tidak ada pelatihan serta pola karir personil yang baik.
2. Mendeteksi resiko kehilangan data.
3. Mendeteksi resiko pengambilan keputusan yang salah akibat
informasi hasil proses sistem terkomputerisasi salah atai lambat atau tidak lengkap.
4. Menjaga aset perusahaan karena nilai hardware, software dam personil yang lazimnya tinggi.
5. Mendeteksi resiko error pada komputer.
6. Mendeteksi resiko penyalahgunaan komputer (fraud).
7. Menjaga kerahasiaan, maksudnya ialah bahwa system informasi
berbasis komputer (apalagi yang didesain dengan jaringan publik), hendaknya mempunyai kemampuan untuk memproteksi data, aman terjaga privacy para penggunanya.
Meningkatkan pengendaliaan evolusi penggunaan komputer, yaitu jangan sampai suatu organisasi atau perusahaan malakukan komputerisasi secara tidak terkendali sehingga terjadi pemborosan-pemborosan atau tingkat keamanan yang kurang memadai.
2.3.3 Tujuan Audit Sistem Informasi
Menurut Weber (1999, p11), secara garis besar dibagi menjadi empat,
antar lain:
1. Meningkatkan keamanan aset-aset perusahaan
2. Meningkatkan integritas data
3. Meningkatkan efektifitas sistem
Dari uraian diatas dapat disimpulkan tujuan audit sistem informasi adalah untuk menjaga dan meningkatkan keamanan aset-aset perusahaan serta
meningkatkan kehandalan, efektifitas serta efisiensi sistem.
2.3.4 Metode Audit Sistem Informasi
Menurut Weber dalam bukunya “Information System Control And
Audit” (1999, p56 - 57), metode audit terdiri dari : 1. Auditing Around The Computer
Adalah mentrasir balik (traceback) hasil pengelolahan komputer
antara lain output ke bukti dasarnya antara lain input tanpa
melihat prosesnya.
2. Auditing Throught The Computer
Auditor harus memperlakukan komputer sebagai target audit dan melakukan audit through atau memasuki area program. Oleh karena itu, pendekatan auditing throught the computer
termasuk juga dalam CAATs (Computer Assisted Audit
Technique), yaitu Teknik Audit Berbantuan Komputer (TABK).
2.3.5 Standar Audit
Standar auditing merupakan pedoman bagi auditor dalam menjalankan tanggung jawab profesionalnya. Standar-standar ini meliputi pertimbangan mengenai kualitas profesional mereka, seperti keahlian dan independensi,
persyaratan pelaporan dan bahan bukti. Pedoman utama adalah sepuluh (10) standar auditing atau 10 Generally Accepted Auditing Standar-GAAS.
Kesepuluh standar tersebut adalah :
1) Standar Umum:
a. Audit harus dilaksanakan oleh seseorang atau lebih yang
memiliki keahlian dan pelatihan teknis cukup sebagai auditor.
b. Dalam semua hal yang berhubungan dengan penugasan,
independensi dalam sikap mental harus dipertahankan oleh auditor.
c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor
wajib menggunakan kemahiran profesionalnya secara cermat dan seksama.
2) Standar Pekerjaan Lapangan :
a. Pekerjaan harus direncanakan sebaik-baiknya dan jika
digunakan asisten harus disupervisi dengan semestinya.
b. Pemahaman yang memadai atas struktur pengendalian intern
harus diperoleh untuk merencanakan audit dan menentukan sifat, saat, dan lingkup pengujian yang harus dilakukan.
c. Bukti audit yang kompeten yang cukup harus diperoleh melalui
inspeksi, pengamatan, pengajuan pertanyaan dan konfirmasi sebagai dasar yang memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit.
3) Standar Lapangan:
a. Laporan audit harus menyatakan apakah laporan keuangan telah
disusun sesuai dengan prinsip akuntansi yang berlaku umum.
b. Laporan audit harus menunjukkan keberadaan yang di dalamnya
prinsip akuntansi tidak secara konsisten ditetapkan dalam penyusunan laporan keuangan periode berjalan dalam hubungannya dengan prinsip akuntansi yang ditetapkan dalam periode sebelumnya.
c. Pengungkapan informatif dalam laporan keuangan harus
dipandang memadai, kecuali dinyatakan lain dalam laporan audit.
d. Laporan audit harus memuat suatu pernyataan pendapat
mengenai laporan keuangan secara keseluruhan atau suatu asersi bahwa pernyataan demikian tidak dapat diberikan. Jika pendapat secara keseluruhan tidak dapat diberikan, maka alasannya harus dinyatakan. Dalam semua hal yang mana auditor dihubungkan dengan laporan keuangan, laporan auditor harus memuat petunjuk yang jelas mengenai sifat pekerjaan auditor, jika ada, dan tingkat tanggung jawab yang dipikulnya.
2.3.6 Standar ISACA (Information Systems Audit and Control Association)
Adapun menurut Information Systems Audit and Control Association (ISACA) (dalam Gondodiyoto, 2006, p68-70), standar untuk audit sistem informasi adalah :
1. Audit Charter
1.1 Responsibility, Authority and Accountability
Definisi dari tanggung jawab, otoritas, dan accountability dari fungsi audit sistem informasi lebih tepat bila didokumentasi dalam suatu perjanjian.
2. Independen
2.1 Profesional Independence
Dalam permasalahan yang berkaitan dengan audit, auditor sistem informasi harus bersikap independen dalam tingkah laku dan tindakannya.
2.2 Organizational Relationship
Fungsi audit sistem informasi harus berada independen dari area yang diaudit untuk mencapai tujuan objektivitas dari suatu proses audit.
3. Profesional Ethics and Standards 3.1 Code of Profesional Ethics
Auditor dari sistem informasi harus menghormati dan mentaati etika profesional dari Information System Audit and Control Association.
3.2 Due Profesional Care
Standard auditing profesional harus diterapkan dalam segala aspek dalam pekerjaan yang dilakukan oleh auditor sistem informasi.
4. Competence
4.1 Continuing Professional Education
Auditor sistem informasi harus me-maintenance kompetensi teknikal melalui pendidikan lanjut profesional.
5. Planning 5.1 Audit Planning
Auditor sistem informasi harus merencanakan perencanaan audit sistem untuk menempatkan tujuan audit dan untuk melengkapi standar profesional audit.
6. Performance of Audit Work 6.1 Supervision
Staff dari audit sistem informasi harus tepat untuk dapat menjamin tujuan dari audit yang dijalankan dan standar profesional auditing dapat terpenuhi.
6.2 Evidence
Selama masa pekerjaan audit, auditor sistem informasi harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan objektif dari suatu audit.
7. Reporting
7.1 Report Content and Form
Auditor sistem informasi harus menyediakan report dalam bentuk yang tepat pada saat penyelesaian tugas audit. Laporan audit berupa lingkup, tujuan, periode audit, dan lingkungan
dimana audit dijalankan. Laporan audit harus mengidentifikasi
permasalahan yang terjadi dalam jangka waktu audit. Laporan audit juga untuk memberikan rekomendasi dari layanan atau kualifikasi yang diberikan auditor terhadap tugas audit yang dijalankan.
8. Follow Up Activities 8.1 Follow Up
Auditor sistem informasi harus meminta dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu dan
rekomendasi yang dihasilkan pada periode audit terdahulu untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan dalam satu periode.
2.3.7 Prosedur Audit Sistem Informasi
Menurut Weber dalam bukunya “Information System Control And
Audit” (1999, p45-46), terdapat empat jenis prosedur audit,, yaitu : 1) Prosedures To Obtain An Understanding Of Controls :
Penyelidikan, pemeriksaan, observasi dapat digunakan untuk memperoleh sebuah pengertian mengenai apakah kontrol itu ada, seberapa bagus kontrol itu dibuat atau dirancang dan apakah kontrol itu digunakan dalam kegiatan operasional.
2) Test Of Control :
Penyelidikan, pemeriksaan, pengamatan, dan penerapan prosedur kontrol dapat digunakan untuk mengevaluasi apakah kontrol tersebut beroperasi secara efektif.
3) Subtantive Test Of Details Of Account Balances :
Pengujian (test) ini digunakan untuk mengetahui apakah transaksi telah dibukukan dengan benar.
4) Analytical Review Procedures :
Pengujian (test) ini fokus pada hubungan antara data dengan tujuan audit.
2.3.8 Instrument Audit Sistem Informasi
Menurut Weber dalam bukunya “Information System Control And
Audit” (1999, p789-810) terdapat tiga instrument audit sistem informasi yaitu:
1. Wawancara (Interview)
Auditor merupakan wawancara dengan orang-orang yang berhubungan dengan sistem yang berjalan dalam perusahaan. 2. Check List
Check list digunakan untuk mengetahui kehandalan sistem dengan mengajukan pertanyaan kepada pihak-pihak terkait.
Kemudian auditor memeriksa jawaban-jawaban yang diberikan
untuk menentukan kehandalan sistem. 3. Control Flowchart
Control flowchart menunjukkan pengendalian apa yang ada dalam perusahaan dan dimana letak pengendalian tersebut.
2.4 Persediaan
2.4.1 Definisi Persediaan
Niswonger, Waren, Reeve dan Fess (2002, p350), mendefinisikan
bahwa, “Inventory is merchandise held for sell in the normal course of
business and materials in the process of production or held for production”. Secara garis besar dapat diartikan bahwa persediaan adalah barang-barang yang disimpan untuk penjualan dalam proses bisnis ataupun bahan baku dalam proses produksi yang disimpan dan digunakan untuk keperluan produksinya.
Menurut Mulyadi (2001, p112), berpendapat bahwa, “inventory atau persediaan terdiri dari barang dagangan yang dimaksud untuk diperjualbelikan serta bahan baku dan bahan pembantu yang dipakai dalam proses produksi barang yang akan dijual”.
Berdasarkan pendapat diatas penulis menyimpulkan bahwa persediaan adalah barang atau material yang dapat berupa bahan baku, bahan setengah jadi dan bahan jadi yang tersedia di gudang yang dapat digunakan untuk mendukung perusahaan dalam mencapai tujuannya.
2.4.2 Jenis Persediaan
Menurut Mulyadi (2001, p553), kita dapat membagi jenis persediaan ke dalam lima bentuk yaitu :
1. Persediaan bahan baku.
Yaitu persediaan barang berwujud yang digunakan dalam produksi, barang tersebut diperoleh dari sumber-sumber alam ataupun dibeli dari pemasok atau perusahaan lain.
2. Persediaan suku cadang.
Yaitu persediaan yang terdiri dari suku cadang atau komponen-komponen rakitan yang menunjang proses produksi.
3. Persediaan bahan penolong.
Yaitu persediaan yang diperlukan dalam proses produksi untuk membantu proses tersebut tetapi bukan merupakan komponen utama.
4. Persediaan barang dalam proses.
Yaitu persediaan yang merupakan keluaran dari bagian dalam proses produksi yang telah diolah menjadi suatu bentuk, tetapi perlu diproses lebih lanjut untuk menjadi barang jadi.
5. Persediaan produk jadi.
Yaitu persediaan yang telah selesai diproses atau diolah dalam pabrik dan siap untuk dipasarkan.
2.4.3 Fungsi Persediaan
Menurut Mulyadi (2002, p242), ada lima fungsi dari persediaan, yaitu:
1) Untuk melakukan pembatasan terhadap inflasi dan perubahan
harga.
2) Untuk menghindari dari kekurangan stok yang dapat terjadi
karena cuaca, kekurangan pasokan, masalah mutu, atau pengiriman yang tidak tepat.
3) Untuk memberikan suatu stok barang-barang agar dapat
memenuhi permintaan yang diantisipasi akan timbul dari produsen.
4) Untuk mengambil keuntungan dari potongan jumlah, karena
pembelian dalam jumlah besar dapat secara substansial menurunkan biaya.
5) Untuk memasangkan produksi dengan distribusi. Misalnya jika
perusahaan dapat membentuk stok pada musim tinggi sehingga biaya kekurangan stok dan kehabisan stok dapat dihindari.
2.4.4 Metode Pencatatan Persediaan
Menurut Mulyadi (2001, p556), ada dua macam metode pencatatan
persediaan yaitu :
a) Metode Mutasi Persediaan (Perpetual Inventory Method)
Dalam metode mutasi persediaan, setiap mutasi persediaan dicatat dalam kartu persediaan.
b) Metode Persediaan Fisik (Physical Inventory Method)
Dalam metode persediaan fisik, hanya ditambah persediaan dari pembelian saja yang dicatat, sedangkan mutasi berkurangnya persediaan karena pemakaian tidak dicatat dalam kartu persediaan.
2.4.5 Metode Penilaian Persediaan
Menurut Skousen (2001, p524), ada tiga metode dalam melakukan
penilaian persediaan, yaitu :
1. Metode FIFO (First In First Out)
Metode ini didasarkan asumsi bahwa harga yang terjual, dinilai menurut harga pembelian barang yang terdahulu (pertama) masuk. Dengan demikian, persediaan akhir dinilai menurut harga pembelian barang yang terakhir masuk.
2. Metode LIFO (Last In First Out)
Metode ini didasarkan atas asumsi bahwa harga yang sudah terjual dinilai menurut harga pembelian barang yang terakhir masuk sehingga persediaan yang masih ada dinilai berdasarkan harga pembelian barang yang terdahulu.
3. Metode Rata-Rata (Weight Average Method)
Metode ini didasarkan atas harga rata-rata, dimana harga tersebut dipengaruhi jumlah barang yang diperoleh pada masing-masing harganya. Dengan demikian persediaan dinilai berdasarkan harga rata-rata.
2.4.6 Pengendalian Pada Persediaan
Mengacu pada Warren (2005), terdapat dua tujuan utama dari pengendalian internal pada persediaan yaitu: perlindungan terhadap persediaan yang ada dan pelaporan persediaan yang wajar di dalam laporan keuanga. Pengendalian internal pada persediaan dapat bersifat preventif maupun detektif:
a) Pengendalian Preventif (Preventive Control)
Pengendalian ini dilakukan untuk mencegah kemungkinan terjadinya error atau kesalahan dalam penyajian.
b) Pengendalian Detektif (Detective Control)
Pengendalian ini dilakukan untuk mendeteksi error atau kesalahan penyajian yang telah terjadi.
2.4.7 Teknik Penilaian Resiko
Menurut buku Woolf (1999, p167) yang berjudul Auditing Today,
penilaian resiko sistem informasi dibagi menjadi beberapa tingkatan kategori, yaitu :
a) Low
Resiko dinilai jarang terjadi dan tidak dapat mempengaruhi operasi perusahaan ataupun sistem internal kontrol dalam suatu organisasi.
b) Medium
Resiko yang dinilai jarang atua sering terjadi tetapi dapat memberikan dampak yang tidak terlalu mempengaruhi operasi perusahaan dan sistem internal kontrol dalam organisasi.
c) High
Resiko yang dinilai sering terjadi dan secara langsung dapat mempengaruhi kegiatan operasi perusahaan dan mengancam sistem internal kontrol organisasi.
2.4.8 Penetapan Penilaian Resiko
Penetapan penilaian resiko Sistem Informasi Persediaan Barang Habis Pakai pada PT. Loka Mampang Indah Realty, menggunakan level penilaian pesiko. Level Penilaian Resiko merupakan suatu cara untuk menganalisa seberapa besar pengaruh kemungkinan terjadinya ancaman (Threat Likelihood) terhadap akibat yang ditimbulkan (Impact).
Likelihood Likelihood Definition
High Sumber ancaman dianggap sangat mungkin terjadi, dan control untuk mencegah vulnerabilitas terjadi dianggap tidak efektif.
Medium Sumber ancaman mungkin terjadi, tetapi control diterapkan ditempat yang dapat mengganggu keberhasilan pencegahan vulnerabilitas.
Low Sumber ancaman kecil kemungkinan terjadi, atau control
diterapkan untuk mencegah, atau sebaliknya menghalangi vulnerabilitas.
Tabel 2.1 Definisi Likelihood level ( Level Kemungkinan Terjadi ) Sumber : www.nist.org
Risk Level Risk Description and Necessary Action
High Jika sebuah temuan dievaluasi sebagai High Risk, maka penting untuk mempertimbangkan tindakan perbaikan.
Medium Jika sebuah temuan ditentukan sebagai Medium Risk, tindakan perbaikan diperlukan dan sebuah rencana harus diterapkan.
Low Jika sebuah temuan ditentukan sebagai Low Risk,
dipertimbangkan apakah diperlukan perbaikan atau memutuskan untuk menerima resiko.
Tabel 2.2 Definisi Magnitude of Impact (Besar Dampak Resiko) Sumber : www.nist.org
Besarnya nilai Threat Likelihood dinyatakan dengan: a. High (H) diberi nilai 1.0
b. Medium (M) diberi nilai 0.5 c. Low (L) diberi nilai 0.1
Sedangkan besarnya nilai Impact dinyatakan dengan: a. High (H) diberi nilai 100
b. Medium (M) diberi nilai 50 c. Low (L) diberi nilai 10
Threat Likelihood Impact
Low (10) Medium(50) High(100)
High (1.0) Medium 10 x 1.0 = 10 High 50 x 1.0 = 50 High 100 x 1.0 = 100 Medium (0.5) Low 10 x 0.5 = 5 Medium 50 x 0.5 = 25 High 100 x 0.5 = 50 Low (0.1) Low 10 x 0.1 = 1 Low 50 x 0.1= 5 Medium 100 x 0.1= 10
Tabel 2.3 Matriks Penilaian Resiko Sumber : www.nist.org
Teknik perhitungan dalam level penilaian resiko menggunakan fungsi perkalian antara Threat Likelihood dengan impact. Caranya yaitu:
1. Tentukan kemungkinan terjadinya ancaman (Threat Likelihood)
berdasarkan nilai yang ada, apakah high, medium, atau low.
2. Kemudian tentukan dampak yang mungkin terjadi (Impact) berdasarkan
nilai yang ada apakah high, medium, atau low.
3. Setelah itu kalikan antara Threat Likelihood dengan Impact.
4. Hasil perkalian tersebut dijumlahkan dan dibagi dengan jumlah
pertanyaan.
5. Hasil pembangian tersebut dinilai dengan menggunakan Risk Scale
apakah termasuk kategori high, medium, atau low.
6. Ancaman yang akan dijadikan resiko dan diberikan rekomendasinya
hanya kategori medium dan high.
Low Medium High
Risk Scale 1 to 9 ≥ 10 to 49 ≥ 50 to 100
Tabel 2.4 Risk Scale Sumber : www.nist.org
