bab 2 landasan teori 2.1 pengertian sistem informasithesis.binus.ac.id/asli/bab2/2010-1-00891-ka bab...

7

7

BAB 2

LANDASAN TEORI

2.1 Pengertian Sistem Informasi

Menurut O’Brien ( 2003, p5 ), sistem informasi merupakan kombinasi teratur

apapun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya

data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah

organisasi. Orang bergantung pada sistem informasi untuk berkomunikasi antara satu

sama lain dengan menggunakan berbagai jenis alat fisik (hardware), perintah dan

prosedur pemrosesan informasi (software), saluran komunikasi (jaringan), dan data

yang disimpan (sumber daya data) sejak permulaan peradaban.

Menurut Laudon (2002, p7-8), sistem informasi merupakan sekumpulan

komponen yang saling berhubungan, yang mengumpulkan, memproses, menyimpan

dan mendistribusikan informasi untuk membantu manajer dalam mengambil

keputusan, pengontrolan, pengkoordinasian, penganalisaan masalah dan

penanggungan masalah yang kompleks dalam suatu perusahaan atau organisasi.

Dari definisi di atas dapat disimpulkan bahwa sistem informasi merupakan

sekumpulan elemen yang berinteraksi dan dikoordinasikan untuk mengubah data

menjadi informasi tepat dan akurat kepada pihak tertentu agar dapat digunakan untuk

analisis, fungsi operasional, memanajemen dan mendukung pengambilan keputusan

dalam suatu perusahaan.

8

2.2 Sistem Informasi Persediaan

2.2.1 Pengertian Sistem Informasi Persediaan

Menurut Smith dan Skousen (2001, p328), persediaan menunjukkan

barang yang dimiliki untuk dijual kembali dalam kegiatan normal perusahaan

serta untuk perusahaan manufaktur merupakan barang – barang yang sedang

diproduksi atau akan dimasukkan kedalam proses produksi.

Menurut Mulyadi (2001, p553), Sistem informasi persediaan adalah suatu

sistem yang menyediakan informasi atau laporan-laporan yang dibutuhkan oleh

pihak manajemen yang berhubungan dengan operasi pemesanan, penyimpanan

dan persediaan bahan baku.

Berdasarkan pendapat diatas, penulis manyimpulkan bahwa sistem

informasi persediaan adalah suatu rancangan sistem informasi yang digunakan

untuk membantu memantau pengendalian persediaan yang terdapat dalam

gudang - gudang yang dimiliki oleh perusahaan. Bagi pihak persediaan, Sistem

informasi ini digunakan untuk membantu proses pencatatan persediaan dan

juga proses pengecekan fisik persediaan pada gudang – gudang yang

bersangkutan. Laporan – laporan yang dihasilkan berupa laporan posisi stok,

laporan kartu stok, dan laporan mutasi stok. Semua laporan tersebut digunakan

bagi pihak pengendalian persediaan untuk mengadakan pengecekan dan

penelusuran transaksi guna mendapatkan saldo akhir persediaan.

9

2.2.2 Jenis-jenis Persediaan

Jenis-jenis persediaan menurut Skousen, Stice, dan Stice (2000, p426)

menyatakan bahwa dalam perusahaan manufaktur terdapat 3 jenis persediaan,

yaitu :

a. Bahan mentah ( raw material )

Bahan mentah merupakan bahan yang diperoleh untuk digunakan dalam

proses manufaktur atau proses produksi.

b. Barang dalam proses ( work in process )

Barang dalam proses ini terdiri atas bahan-bahan yang diproses sebagian

dimana dibutuhkan proses lebih lanjut sebelum barang tersebut dijual.

c. Barang jadi ( finished goods )

Barang jadi merupakan produk-produk manufaktur yang siap jual.

2.2.3 Metode Pencatatan Persediaan

Menurut Mulyadi (2001, p556), ada dua macam metode pencatatan

persediaan yaitu :

a) Metode Mutasi Persediaan (Perpetual Inventory Method)

Dalam metode mutasi persediaan, setiap mutasi persediaan dicatat dalam

kartu persediaan.

b) Metode Persediaan Fisik (Physical Inventory Method)

Dalam metode persediaan fisik, hanya ditambah persediaan dari pembelian

saja yang dicatat, sedangkan mutasi berkurangnya persediaan karena

pemakaian tidak dicatat dalam kartu persediaan.

10

2.2.4 Metode Penilaian Persediaan

Menurut Skousen (2001, p524), ada tiga metode dalam penilaian

persediaan, yaitu :

1. Metode FIFO ( First In First Out )

Metode ini didasarkan asumsi bahwa harga yang terjual, dinilai menurut

harga pembelian barang yang terdahulu ( pertama masuk ). Dengan

demikian persediaan akhir dinilai menurut harga pembelian barang yang

terakhir masuk.

2. Metode LIFO ( Last In First Out )

Metode ini didasarkan atas asumsi bahwa harga yang sudah terjual dinilai

menurut harga pembelian barang yang terakhir masuk sehingga persediaan

yang masih ada dinilai berdasarkan harga pembelian yang terdahulu.

3. Metode Rata-Rata ( Weight Average Method )

Metode ini didasarkan atas harga rata-rata, dimana harga tersebut

dipengaruhi jumlah barang yang diperoleh pada masing-masing harganya.

Dengan demikian persediaan dinilai berdasarkan harga rata-rata.

2.2.5 Fungsi Persediaan

Menurut Mulyadi (2002, p242), ada lima fungsi dari persediaan, yaitu:

1) Untuk melakukan pembatasan terhadap inflasi dan perubahan harga.

2) Untuk menghindari dari kekurangan stok yang dapat terjadi karena cuaca,

kekurangan pasokan, masalah mutu, atau pengiriman yang tidak tepat.

3) Untuk memberikan suatu stok barang-barang agar dapat memenuhi

permintaan yang diantisipasi akan timbul dari produsen.

11

4) Untuk mengambil keuntungan dari potongan jumlah, karena pembelian

dalam jumlah besar dapat secara substansial menurunkan biaya.

5) Untuk memasangkan produksi dengan distribusi. Misalnya jika permintaan

produk tinggi hanya pada musim panas, suatu perusahaan dapat

membentuk stok pada musim tinggi sehingga biaya kekurangan stok dan

kehabisan stok dapat dihindari.

2.2.6 Prosedur dalam persediaan

Menurut Mulyadi (2001, p559), sistem dan prosedur yang berkaitan

dengan persediaan bahan baku adalah:

1. Prosedur pencatatan persediaan yang dibeli.

Prosedur ini merupakan salah satu prosedur yang membentuk sistem

pembelian dimana dalam prosedur ini, barang yang dibeli dicatat kedalam

catatan barang masuk.

2. Prosedur pencatatan persediaan yang diretur ke pemasok.

Prosedur ini merupakan prosedur pengurangan kuantitas persediaan atau

sebagai pengurangan utang ke pemasok. Prosedur ini juga membentuk

sistem pembelian.

3. Prosedur pencatatan persediaan yang dijual.

Prosedur ini merupakan salah satu prosedur yang membentuk sistem

penjualan, dimana dalam prosedur ini barang yang dijual dicatat kedalam

catatan barang keluar.

12

4. Prosedur pencatatan persediaan yang dikembalikan oleh pelanggan.

Prosedur ini merupakan prosedur penambahan kuantitas persediaan dan

sebagai pengurangan piutang pelanggan. Prosedur ini juga membentuk

sistem penjualan.

5. Sistem penghitungan fisik persediaan.

Sistem ini biasanya digunakan oleh perusahaan untuk menghitung secara

fisik persediaan yang disimpan digudang, yang hasilnya digunakan untuk

meminta pertanggung jawaban bagian gudang mengenai pelaksanaan

fungsi penyimpanan dan pertanggung jawaban mengenai keandalan

pencatatan persediaan yang diselenggarakan serta untuk melakukan

penyesuaian terhadap catatan dengan fisik persediaan.

2.2.7 Tujuan Audit Persediaan

( Mulyadi dan Puradiredja, 1998, p257) Tujuan audit terhadap persediaan

antara lain :

1. Memperoleh keyakinan tentang keandalan catatan akuntansi yang

bersangkutan dengan persediaan.

2. Membuktikan asersi keberadaan persediaan yang dicantumkan di neraca

dan keterjadian transaksi yang berkaitan dengan persediaan.

3. Membuktikan asersi kelengkapan transaksi yang berkaitan dengan

persediaan yang dicatat dalam catatan akuntansi dan kelengkapan saldo

persediaan yang disajikan dineraca.

4. Membuktikan asersi hak kepemilikan klien atas persediaan yang

dicantumkan di neraca.

13

5. Membuktikan asersi penilaian persediaan yang dicantumkan di neraca.

6. Membuktikan asersi penyajian dan pengungkapan persediaan di neraca.

2.3 Sistem Pengendalian Intern

2.3.1 Pengertian Sistem Pengendalian Intern

Menurut pendapat Weber (1999, p35), “A Control Is A System That

Prevents, Detects, Or Corrects Unlawful Events”, yang berarti bahwa sistem

pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan

mengoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan.

Menurut Michael P.Cangemi dan Tommie Singleton (2002, p66),

pengendalian internal adalah aturan, praktek, prosedur, dan peralatan yang

dirancang untuk :

1) Keamanan aset yang berhubungan dengan badan hukum.

2) Menyakinkan akurasi dan kepercayaan perolehan data dan informasi

produk.

3) Mendapatkan efisiensi.

4) Mengukur pemenuhan dengan aturan yang berhubungan dengan badan

hukum.

5) Mengukur pemenuhan dengan regulasi-regulasi.

6) Mengatur kejadian-kejadian negatif dan pengaruh dari penyuapan,

kejahatan, dan aktivitas pengrusakan.

14

Berdasarkan pengertian diatas maka pengendalian dikelompokkan

menjadi tiga bagian yaitu :

1) Preventive Control

Pengendalian ini digunakan untuk mencegah masalah sebelum masalah

tersebut muncul.

2) Detective Control

Pengendalian ini digunakan untuk menemukan masalah yang berhubungan

dengan pengendalian segera setelah masalah tersebut muncul.

3) Corrective Control

Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan

pada detective control. Pengendalian ini mencakup prosedur untuk

menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau

kesulitan yang timbul, memodifikasi sistem proses. Dengan demikian bisa

mencegah kejadian yang sama dimasa mendatang.

2.3.2 Tujuan Sistem Pengendalian Intern

Menurut Hall (dalam Gondodiyoto, 2006, p156), tujuan sistem

pengendalian intern terdiri dari :

a. Menyajikan data yang dapat dipercaya (To Ensure The Accuracy And

Reliability Of The Accounting Records And Information).

Pimpinan hendaklah memiliki informasi yang tepat dalam rangka

melaksanakan kegiatannya. Mengingat bahwa berbagai jenis informasi

dipergunakan untuk bahan mengambil keputusan sangat penting artinya,

karena itu suatu mekanisme atau sistem yang dapat mendukung penyajian

15

informasi yang akurat sangat diperlukan oleh pimpinan organisasi /

perusahaan.

b. Mengamankan Aktiva Dan Pembukuan (Safeguarding Assests Of The

Firm).

Pengamanan atas berbagai harta benda dan catatan pembukuan menjadi

semakin penting dengan adanya komputer. Data/informasi yang begitu

banyaknya disimpan di dalam media komputer seperti magnetic tape dapat

dirusak apabila tidak diperhatikan pengamanannya.

c. Meningkatkan Efesiensi Operasional (To Promote Efficiency In The Firm’s

Operations).

Pengawasan dalam suatu organisasi merupakan alat untuk mencegah

penghamburan usaha, menghindarkan pemborosan dalam setiap segi dunia

usaha dan mengurangi setiap jenis penggunaan sumber-sumber yang ada

secara tidak efisien.

d. Mendorong Pelaksanaan Kebijakan Yang Ada (To Measure Compliance

With Management’s Policies And Procedures)

Pimpinan menyusun tata cara dan ketentuan yang dapat dipergunakan

untuk mencapai tujuan perusahaan. Sistem pengendalian intern berarti

memberikan jaminan yang layak bahwa kesemuanya itu telah dilaksanakan

oleh karyawan perusahaan.

16

2.3.3 Unsur-Unsur Sistem Pengendalian Intern

Pendapat Weber (1999, p49), pengendalian internal terdiri dari lima

unsur/komponen yang saling berintegrasi, antara lain :

a) Control Environment

Komponen ini diwujudkan dengan cara pengoperasian, cara pembagian

wewenang dan tanggung jawab yang harus dilakukan, cara komite audit

berfungsi, dan metode-metode yang digunakan untuk merencanakan dan

memonitor kinerja.

b) Risk Assessment

Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi

oleh perusahaan dan cara-cara untuk menghadapi resiko tersebut.

c) Control Activities

Komponen yang dioperasikan untuk memastikan transaksi telah

terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan

record, perlindungan aset dan record, pengecekan kinerja dan penilaian

dari jumlah record yang terjadi.

d) Information and Communication

Komponen dimana informasi digunakan untuk mengidentifikasi,

mendapatkan, dan menukarkan data yang dibutuhkan untuk mengendalikan

dan mengatur operasi perusahaan.

e) Monitoring

Komponen yang memastikan pengendalian internal beroperasi secara

dinamis.

17

2.3.4 Jenis Pengendalian Internal Berbasis Komputer

Pendapat Weber (1999, p67), ruang lingkup kontrol dibedakan atas dua

jenis, yaitu pengendalian manajemen dan pengendalian aplikasi.

1. Pengendalian Manajemen

Pengendalian Manajemen dilakukan untuk memastikan bahwa

pengembangan, pengimplementasian, pengoperasian dan pemeliharaan

sistem informasi telah direncanakan dan dikontrol dengan baik.

Susbsistem Manajemen Keterangan

Pengendalian Top

Management

Manajemen puncak harus memastikan bahwa

fungsi sistem informasi telah berjalan dengan

baik, tanggung jawab utama mereka adalah

untuk membuat keputusan jangka panjang

pada sistem terhadap bagaimana sistem

informasi akan digunakan dalam organisasi.

Pengendalian

Manajemen

Pengembangan Sistem

Bertanggung jawab merancang,

mengimplementasikan dan memelihara

sistem aplikasi.

Pengendalian

Manajemen Sumber Data

Bertanggung jawab dalam menerjemahkan

rencana dan pengendalian yang berhubungan

dengan penggunaan data organisasi.

18

Susbsistem Manajemen Keterangan

Pengendalian

Manajemen Keamanan

Bertanggung jawab dalam pengendalian

terhadap akses dan pengamanan fisik dari

fungsi sistem informasi.

Penendalian Manajemen

Operasional

Bertanggung jawab dalam perencanaan dan

pengendalian terhadap operasional informasi

setiap hari.

Pengendalian

Manajemen Jaminan

Kualitas

Bertanggung jawab dalam memberikan

keyakinan mengenai kesesuaian antara

pengembangan pengimplementasian,

pengoperasian dan pemeliharaan sistem

informasi dengan standard kualitas yang ada.

Tabel 2.1 Kategori Pengendalian Manajemen

Pengendalian Manajemen yang dibahas terdiri dari 2, yaitu :

a. Pengendalian Manajemen Keamanan

Menurut Weber (1999, p256-272), terdapat ancaman utama terhadap

keamanan yang disebabkan oleh alam dan kelalaian atau kesengajaan

manusia, yaitu :

1. Ancaman kebakaran ( Fire Damage )

Beberapa pengamanan untuk ancaman kebakaran yaitu :

19

a) Alarm dan alat pemadam kebakaran manual dan otomatis

diletakkan ditempat strategis, khususnya ditempat aset sistem

informasi berada.

b) Memiliki tombol power utama ( termasuk AC ).

c) Bangunan terbuat dari bahan tahan api, khususnya ditempat aset

sistem informasi berada.

d) Letak tangga dan pintu darurat diberi tanda yang jelas sehingga

memudahkan untuk menggunakannya.

e) Sistem perlindungan kebakaran diawasi dan diuji secara rutin.

2. Ancaman Air ( Water Damage )

Beberapa pengamanan untuk ancaman air, yaitu :

a. Bangunan ( platfon, dinding, dan lantai ) terbuat dari bahan tahan

air.

b. Memiliki sistem drainase yang baik.

c. Aset sistem informasi diletakkan ditempat yang tinggi.

d. Menutup perangkat keras dengan bahan tahan air apabila tidak

digunakan.

3. Perubahan Tegangan Sumber Energi ( Energy Variation )

Pengamanan untuk mengantisipasi perubahan tegangan sumber energi

listrik dapat diatasi dengan menggunakan peralatan yang dapat

menstabilkan tegangan listrik seperti :

a. UPS ( Uninteruptable Power Suply ).

b. Stabilizer.

20

4. Kerusakan Struktural ( structural Damage )

Beberapa pengamanan untuk kerusakan struktural yaitu :

a. Mengasuransikan aset sistem informasi.

b. Pilih lokasi yang jarang terjadi bencana alam.

5. Polusi ( Pollution )

Beberapa pengamanan untuk mengatasi polusi yaitu :

a. Melarang karyawan membawa makanan dan minuman di sekitar

komputer.

b. Membersihkan aset secara berkala.

6. Penyusup ( Unauthorized Intrusion )

Beberapa pengamanan untuk mengantisipasi adanya penyusup yaitu:

a. Adanya kamera pengawas.

b. Adanya satpam/security.

c. Adanya alarm keamanan.

d. Memastikan tidak adanya bugs.

7. Viruses dan Worms

Pelaksanaan keamanan untuk mengantisipasi Viruses dan Worms yaitu :

a. Tindakan preventif, seperti install dan update antivirus secara rutin,

serta melakukan scan pada file yang akan digunakan.

b. Tindakan detektif, seperti melakukan scan untuk mendeteksi ada

tidaknya virus secara rutin.

c. Tindakan korektif, seperti backup data bebas virus, pemakaian

antivirus terhadap file yang terinfeksi.

21

8. Penyalahgunaan Software, data dan Service

Tipe penyalahgunaan Software, data dan Service yaitu :

a. Perangkat lunak dan database dicuri oleh pegawai atau kompetitor.

b. Perusahaan tidak dapat menjaga kerahasiaan data dalam basis data.

c. Pegawai menggunakan jasa sistem untuk kepentingan pribadi.

9. Hacking

Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking

yaitu:

a. Penggunaan pin dengan minimal digit.

b. Administrator keamanan melakukan monitor sistem secara berkala.

Apabila terjadi bencana, pengendalian yang dapat dilakukan yaitu :

1. Rencana Pemulihan Bencana ( Disaster Recovery Plan )

Memungkinkan fungsi sistem informasi untuk memperbaiki operasional

saat terjadi bencana.

a. Rencana Darurat ( Emergency Plan ), merupakan tindakan khusus

yang akan dilakukan segera setelah terjadinya bencana.

b. Back-up Plan, berisi jangka waktu back-up dilakukan, prosedur

untuk melakukan back-up, letak perlengkapan back-up, karyawan

yang bertanggungjawab untuk melakukan kegiatan back-up.

c. Recovery Plan, merupakan kelanjutan dari rencana back-up karena

Recovery adalah kegiatan yang dilakukan agar sistem informasi

dapat berjalan seperti biasa.

22

d. Test Plan, komponen terakhir dari Disaster Recovery Plan adalah

test plan yang berfungsi untuk memastikan bahwa ketiga rencana

diatas berjalan dengan baik.

2. Asuransi

Kadangkala asuransi digunakan untuk mengurangi kerugian yang

meningkat ketika bencana terjadi.

b. Pengendalian Manajemen Operasional

Menurut Weber (1999, p292-316) terdapat fungsi delapan tanggung

jawab manajemen operasional yaitu:

1. Operasional Komputer ( computer operation )

Terdapat tiga pengendalian operasional komputer, yaitu:

a. Pengendalian Operasional ( Operation Control )

Pengendalian operasional bertujuan untuk memastikan

keotentikan, keakuratan dan kelengkapan kegiatan operasional.

Misalnya program harus dihidupkan dan dimatikan, media

penyimpanan harus tersedia dan informasi dan laporan

didistribusikan kepada pengguna.

b. Pengendalian Jadwal ( Scheduling Control )

Pengendalian jadwal digunakan untuk memastikan komputer

digunakan untuk kegiatan yang seharusnya dan pemakaian

sumber daya sistem telah efisien.

23

c. Pengendalian Pemeliharaan ( Maintenance Control )

Merupakan tindakan preventif yang dilakukan untuk mencegah

kerusakkan perangkat keras.

2. Network Operation

• LAN : suatu kumpulan komputer dimana terdapat beberapa unit

komputer ( client ) dan satu unit komputer untuk bank data (

server ). Antara masing-masing client maupun antara client

dan server dapat saling berrtukar file maupun saling

menggunakan printer yang terhubung pada unit-unit

komputer yang terhubung pada jaringan LAN.

• WAN : kumpulan dari LAN atau work group yang dihubungkan

dengan menggunakan alat komunikasi modem dan jaringan

internet dari / ke komputer pusat dan cabang maupun antar

kantor cabang.

3. Persiapan dan entry data (Data preparation and entry)

Seluruh sumber data untuk sistem aplikasi dikirim ke bagian

persiapan data untuk diketik dan diverifikasi sebelum dimasukkan ke

sistem. faktor-faktor yang yang harus diperhatikan yaitu:

- Pencahayaan ruangan yang cukup,

- Ruangan yang tenang,

- Tata ruang yang baik,

- Desain peralatan kantor ( monitor komputer, meja dan kursi yang

argonomis ),

24

- Memastikan adanya back up pada persiapan pemasukkan data.

4. Pengendalian produksi ( production control )

Terdapat lima fungsi pada pengendalian produksi, yaitu:

- Pengendalian input dan output

Bertanggung jawab menjamin input hanya dilakuan oleh pihak yang

berwenang, menerima dan memasukkan input, menjaga input,

secara berkala mengumpulkan input dan menyimpan input sampai

tidak dibutuhkan lagi.

- Job scheduling control

Pada operasional komputer, suatu pekerjaan dilakukan oleh satu

atau lebih program. Bagian pengendalian produksi bertanggung

jawab menetapkan jadwal operasional serta mempersiapkan dan

menguji file pengendalian pekerjaan yang diperlukan untuk setiap

pekerjaan.

- Management of service – level agreement

Service level agreement (SAL) merupakan perjanjian antar

pengguna dengan fasilitas operasional komputer. SAL berisi waktu

respon sistem yang diinginkan pengguna, tingkat pemeliharaan

sistem, biaya jasa dan penalti jika sistem tidak sesuai dengan

perjanjian.

- Transfer Pricing / chargeout control

Apabila operasi komputer dilengkapi dengan transfer pricing

pengendalian produksi dapat ditingkatkan.

25

- Acquisition of consumables

Operasional komputer membutuhkan banyak peralatan pendukung

seperti kertas printer, disket, flashdisk, tinta printer.

5. File library

File library bertanggung jawab mengolah media penyimpanan.

a. Penyimpanan media penyimpan ( storage of storage media )

Media penyimpan sebaiknya ditempatkan di ruang yang terpisah,

akses untuk masuk dibatasi, terdapat petugas yang mengawasi, suhu

ruangan dijaga dan ruangan harus bebas dari debu.

b. Penggunaan media penyimpan ( used of storage media )

Penggunaan media penyimpan harus diawasi dengan baik. Media

penyimpan hanya diberikan kepada pegawai yang berwenang dan

pada saat yang telah ditentukan.

c. Pemeliharaan dan Pembuangan media penyimpanan ( maintenance

and disposal of storage media )

Media penyimpan dapat digunakan untuk jangka waktu yang lama,

tetapi secara umum kemampuannya berkurang seiring dengan umur

media penyimpan tersebut. Karena itulah sebaiknya media

penyimpan tidak digunakan dalam jangka waktu yang panjang

karena resiko yang timbul juga akan semakin tinggi.

d. Lokasi media penyimpan (location of storage media)

Media penyimpan dapat diletakkan didalam maupun diluar ruang

komputer. Media komputer sebaiknya diletakkan di dalam ruang

komputer jika sering digunakan. Tetapi jika hanya digunakan untuk

26

back up dan keperluan pemulihan, dapat diletakkan diluar ruang

komputer.

6. Documentation and Program Library

Banyak tipe dokumentasi yang digunakan untuk mendukung fungsi

sistem informasi, perencanaan strategis dan operasional, dokumentasi

sistem informasi, dokumentasi sistem perangkat lunak, dan

perlengkapan program, dokumentasi basis data, manual operasional,

manual pengguna, manual standar. Petugas bertanggung jawab untuk

memastikan penyimpanan dokumentasi aman, memastikan bahwa

hanya pegawai yang berwenang yang dapat mengakses dokumentasi,

memastikan dokumentasi selalu diperbaharui, serta memastikan

adanya back up untuk setiap dokumentasi.

7. Help Desk / Technical Support

Bertanggung jawab untuk membantu pegawai menggunakan

perangkat keras dan perangkat lunak, serta menyediakan dukungan

teknis untuk membantu menyelesaikan masalah. Agar dapat efektif

dan efisien diperlukan petugas yang kompeten dan terpercaya serta

terdapat sistem pengelolaan masalah.

8. Capacity Planning and Performance Monitoring

Manajemen operasional harus terus menerus memantau kinerja

perangkat keras dan perangkat lunak untuk memastikan bahwa sistem

telah berjalan efisien dan memiliki waktu respon yang dapat diterima.

27

2. Pengendalian Aplikasi ( Application Control )

Pengendalian aplikasi dilakukan dengan tujuan untuk menentukan apakah

pengendalian sistem informasi dari sistem yang terkomputerisasi pada

aplikasi komputer tertentu sudah memadai untuk memberikan jaminan

bahwa data dicatat, diolah, dan dilaporkan secara akurat, tepat waktu, dan

sesuai dengan kebutuhan manajemen.

Kategori Pengendalian Jenis-jenis pengendalian

Boundary Control • Otoritas akses ke sistem aplikasi

• Identitas dan Otentitas pengguna

Input Control • Otorisasi dan validasi masukan

• Transmisi dan konversi data

• Penanganan kesalahan

Proses Control • Pemeliharaan ketepatan data

• Pengujian terprogram atas batasan dan

memadainya pengolahan

Output Control • Rekonsiliasi keluaran

• Penelaahan dan pengujian hasil

pengolahan

• Distribusi keluaran

• Record retention

Database Control • Akses

28

Kategori Pengendalian Jenis-jenis pengendalian

• Integritas data

Communication Control • Pengendalian kegagalan unjuk kerja

• Gangguan komunikasi

Table 2.2 Kategori Pengendalian Aplikasi

Pengendalian aplikasi berupa :

a) Pengendalian Batasan (Boundary Control)

Mengontrol sifat dan fungsi kontrol akses, penggunaan pengkodean

dalam kontrol akses, PIN, digital signatures, dan plastic cards.

Menurut Weber (1999, p368), pengendalian boundary adalah

suatu pengendalian yang memiliki tiga tujuan utama yaitu :

1. Mengatur identitas dan otentifikasi dari calon user.

2. Mengatur identitas dan otentifikasi dari sumber daya komputer yang

diminta oleh user.

3. Membatasi tindakan yang dilakukan oleh user yang menggunakan

sumber daya komputer dari serangkaian hak yang diberikan

kepadanya.

Tiga tujuan pengendalian subsistem boundary adalah sebagai

berikut :

1. Untuk menetapkan identitas dan kewenangan user dari sistem

komputer.

29

2. Untuk menetapkan identitas dan kewenangan dari sumber daya

yang digunakan user.

3. Membatasi tindakan-tindakan yang dilakukan oleh user yang

menggunakan sumber daya komputer terhadap tindakan-tindakan

yang tidak terotorisasi.

b) Pengendalian Input (Input Control)

Menurut Weber (1999, p420) berpendapat, “Components in the

input subsystem are responsible for bringing both data and instructions

into an application controls”. Intinya adalah komponen dalam

subsistem input bertanggung jawab untuk memasukkan data dan

instruksi ke dalam sistem aplikasi. Kedua jenis input tersebut harus

divalidasi, setiap kesalahan data harus dapat diketahui dan dikontrol

sehingga input yang dimasukkan akurat, lengkap dan tepat waktu.

Pengendalian input merupakan hal kritis yang didasarkan tiga

alasan, yaitu jumlah pengendalian yang paling besar pada sistem

informasi terhadap kehandalan subsitem input, aktivitas pada sub yang

bersifat rutin dalam jumlah besar dan campur tangan manusia dapat

mengalami kebosanan sehingga cenderung mengalami error, sub input

sering menjadi target kecurangan. Banyak ketidaksesuaian yang

ditemukan dengan cara penambahan, penghapusan atau pengubahan

transaksi di input.

30

Pengendalian masukan sangat penting dilakukan karena :

1. Pada sistem informasi kontrol yang besar jumlahnya adalah pada

subsistem input, sehingga auditor harus memberikan perhatian yang

lebih kepada keandalan pengendalian input yang ada.

2. Aktivitas subsistem input terkadang melibatkan besarnya rutinitas,

campur tangan manusia yang monoton, sehingga dapat

menyebabkan terjadinya kesalahan.

3. Subsistem input sering menjadi sasaran tindak kejahatan (fraud),

banyak kegiatan yang tidak seharusnya dilakukan yang melibatkan

penambahan, pengurangan, atau perubahan input transaksi.

c) Process Control

Menurut Gondodiyoto (2003, p144), “Pengendalian proses adalah

pengendalian internal untuk mendeteksi jangan sampai data (khususnya

data yang sesungguhnya sudah valid) menjadi error karena adanya

kesalahan proses. Kemungkinan penyebabnya terjadinya error adalah

kesalahan logika program, salah rumus, salah urutan program,

ketidakterpaduan antara subsistem ataupun kesalahan teknis lainnya”.

d) Pengendalian Output (Output Control)

Menurut Gondodiyoto (2003, p145). Pengendalian keluaran

adalah pengendalian internal untuk mendeteksi jangan sampai

informasi yang disajikan tidak akurat, tidak lengkap, atau

didistribusikan kepada orang-orang yang tidak berhak.

31

Digunakan untuk memastikan bahwa data yang diproses tidak

mengalami perubahan yang tidak sah oleh operator komputer dan

memastikan hanya orang yang berwenang saja yang menerima output.

Pengendalian output berupa :

1. Mencocokkan data output (khususnya total pengendalian) dengan

total pengendalian yang sebelumnya telah ditetapkan yang

diperoleh dalam tahap input dari siklus pemrosesan.

2. Meninjau kembali data output untuk melihat format yang tepat yang

terdiri dari judul laporan, tanggal dan waktu pencetakan, banyaknya

copy laporan untuk masing-masing pihak yang berwenang, periode

laporan, nama program (termasuk versinya yang menghasilkan

laporan), nama personil yang bertanggung jawab atas

dikeluarkannya laporan tersebut, masa berlaku laporan, nomor

halaman, tanda akhir halaman.

3. Mengendalikan data input yang ditolak oleh komputer selama

pemrosesan dan mendistribusikan data yang ditolak itu ke personil

yang tepat.

4. Mendistribusikan laporan-laporan output ke departemen pemakai

tepat pada waktunya.

e) Pengendalian Basis Data (Database Control)

Weber (1999, p563) berpendapat bahwa “the database subsystem

provides function to difine, create, modify, delete, and read data in an

32

informations system”. Intinya adalah bahwa subsistem database

menyediakan fungs i-fungsi untuk mendefinisikan, menciptakan,

memodifisikan, menghapus, dan membaca data di dalam suatu sistem

informasi.

f) Pengendalian Komunikasi (Communication Control)

Weber (1999, p474) berpendapat bahwa “The Communication

subsystem is responsible for transporting data among all the others

subsystem within a system and for transporting data to or receiving

data from another system”. Intinya adalah subsistem komunikasi

bertanggung jawab untuk pengiriman data ke subsistem yang lain pada

suatu sistem dan untuk pengiriman data ke penerima data dari sistem

yang lain.

2.3.5 Teknik Penilaian Resiko

Metode penetapan penilaian resiko ini didasari oleh teori Pickett yang

dinyatakan dalam bukunya yang berjudul The Essential Book of Internal

Auditing (2005, p.76) yang sebagian dari esensial buku ini juga didukung oleh

Peltier dalam bukunya yang berjudul Information Security Risk Analysis (2001,

p.60-63).

Matriks penilaian resiko adalah suatu cara untuk menganalisa seberapa besar

suatu resiko yang ada dari suatu temuan audit. Hal ini dimungkinkan dengan

cara menganalisa pengaruh dan kolerasi antara tingkat impact (dampak) yang

33

ditimbulkan dari suatu resiko dengan tingkat Likelihood (kejadian) dari resiko

tersebut.

Likelihood Likelihood Definition

High Sumber ancaman dianggap sangat mungkin terjadi, dan

kontrol untuk mencegah vulnerabilitas terjadi dianggap tidak

efektif.

Medium Sumber ancaman mungkin terjadi, tetapi kontrol diterapkan

ditempat yang dapat mengganggu keberhasilan pencegahan

vulnerabilitas.

Low Sumber ancaman kecil kemungkinan terjadi, atau kontrol

diterapkan untuk mencegah, atau sebaliknya menghalangi

vulnerabilitas

Tabel 2.3 Definisi Likelihood level ( level kemungkinan terjadi

Risk Level Risk Description and Necessary Action

High Jika sebuah temuan dievaluasi sebagai High Risk, maka

penting untuk mempertimbangkan tindakan perbaikan.

Medium Jika sebuah temuan ditentukan sebagai Medium Risk,

tindakan perbaikan diperlukan dan sebuah rencana harus

diterapkan.

Low Jika sebuah temuan ditentukan sebagai Low Risk,

dipertimbangkan apakah diperlukan perbaikan atau

34

Risk Level Risk Description and Necessary Action

memutuskan untuk menerima resiko.

Tabel 2.4 Definisi Magnitude of impact ( besar dampak resiko )

Besarnya nilai Threat Likelihood dinyatakan dengan:

a. High (H) diberi nilai 1.0

b. Medium (M) diberi nilai 0.5

c. Low (L) diberi nilai 0.1

Sedangkan besarnya nilai impact dinyatakan dengan:

a. High (H) diberi nilai 100

b. Medium (M) diberi nilai 50

c. Low (L) diberi nilai 10

Threat Likelihood Impact

Low (10) Medium (50) High (100)

High (1.0) Low

10 x 1.0 = 10

Medium

50 x 1.0 = 50

High

100 x 1.0 = 100

Medium (0.5) Low

10 x 0.5 = 5

Medium

50 x 0.5 = 25

High

100 x 0.5 = 50

Low (0.1) Low

10 x 0.1 = 1

Medium

50 x 0.1= 5

High

100 x 0.1= 10

Tabel 2.5 Matriks penilaian resiko

35

Teknik perhitungan dalam Level penilaian resiko menggunakan fungsi perkalian

antara Threat Likelihood dengan impact. Caranya yaitu:

1. Tentukan kemungkinan terjadinya ancaman (Threat Likelihood) berdasarkan

nilai yang ada, apakah High, Medium, atau Low.

2. Kemudian tentukan dampak yang mungkin terjadi (Impact) berdasarkan nilai

yang ada apakah High, Medium, atau Low.

3. Setelah itu kalikan antara Threat Likelihood dengan Impact.

4. Hasil perkalian tersebut dijumlahkan dan dibagi dengan jumlah pertanyaan.

5. Hasil pembangian tersebut dinilai dengan menggunakan Risk Scale apakah

termasuk kategori High, Medium, atau Low.

6. Ancaman yang akan dijadikan resiko dan diberikan rekomendasinya hanya

kategori Medium dan High.

Low Medium High

Risk Scale 1 to 10 >10 to 50 >50 to 100

Tabel 2.6 Risk Scale

36

2.4 Audit

2.4.1 Definisi Audit

Menurut Sanyoto Gondodiyoto (2003, p53) auditing didefinisikan

sebagai suatu proses yang dilakukan seseorang yang kompeten dan independen

yang menghimpun dan mengevaluas i bukti-bukti dari informasi terukur dari

suatu kesatuan ekonomi dengan tujuan untuk mempertimbangkan dan

melaporkan tingkat kesesuaian dari keterangan terukur yang diperoleh

pemeriksaannya tersebut dengan kriteria-kriteria yang telah ditetapkan.

Menurut Mulyadi dan Puradiredja (2003, p1), auditing adalah suatu

proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang

dapat diukur mengenai suatu entitas ekonomi yang dilakukan oleh seorang

yang kompeten dan independan untuk dapat menentukan dan melaporkan

kesesuaian informasi yang dimaksud dengan kriteria-kriteria yang telah

ditetapkan.

Jadi dapat disimpulkan audit adalah sebuah kegiatan yang dilakukan oleh

seseorang yang memiliki kompeten dan bersifat independen dalam melakukan

evaluasi dan menghimpun bukti-bukti terhadap objek penelitiannya sehingga

dapat mempertanggung jawabkan informasi yang ia berikan yang disebut

laporan audit.

2.4.2 Jenis-Jenis Audit

Pada umumnya kegiatan audit dapat diklasifikasikan didalam beberapa jenis

audit. Menurut Arens & Loebbecke (2003, p4) terdapat tiga jenis audit, yaitu :

37

1) Audit Laporan Keuangan (General Financial Statement Audit)

Audit yang dilakukan oleh auditor eksternal independen terhadap laporan

keuangan yang disajikan oleh klien untuk menyatakan pendapat mengenai

kewajaran keuangan tersebut serta kesesuaiannya dengan standar akuntansi

keuangan.

2) Audit Kepatuhan (Compliance Audit)

Audit yang tujuannya untuk menentukan apakah objek yang diaudit telah

sesuai dengan kondisi atau peraturan tertentu.

3) Audit Operasional / Manajemen (Operational/Management Audit)

Meninjau kembali secara sistematik kegiatan organisasi atau kegiatan dari

padanya, dalam hubungannya dalam tujuan tertentu, lazimnya menyangkut

efektivitas, efisiensi, dan ekonomis tidaknya operasi suatu organisasi.

2.4.3 Bahan Bukti Audit

Arens and Loebbecke (2003, p153-161) berpendapat bahwa dalam menentukan

prosedur audit mana yang akan digunakan, ada tujuh katagori bahan bukti audit

yang dapat dipilih auditor yaitu :

1) Pemeriksaan Fisik

Merupakan perhitungan secara fisik atau aktiva berwujud seperti uang

tunai, inventory, dll.

2) Konfirmasi

Konfirmasi digambarkan sebagai penerimaan jawaban tertulis maupun

lisan dari pihak ketiga yang independen dalam memverifikasi akurasi

informasi yang telah diminta auditor.

38

3) Dokumentasi (Pemeriksaan Dokumen/Voucing)

Merupakan pemeriksaan auditor atas dokumentasi dan catatan klien untuk

mendukung informasi yang ada atau seharusnya ada dalam laporan

keuangan.

4) Pengamatan

Adalah penggunaan panca indera untuk menilai/menetapkan suatu aktivasi

tertentu.

5) Tanya Jawab Dengan Klien

Tanya jawab adalah mendapatkan informasi tertulis atau lisan dari klien

dengan menjawab pertanyaan dari auditor. Meskipun sebagai bahan bukti

yang diperhitungkan dapat memperoleh dari klien melalui tanya jawab,

biasanya tanya jawab tidak dapat diperlakukan sebagai kemampuan

memberikan kesimpulan, karena didapat dari sumber yang tidak

independen dan mungkin memihak kepentingan klien. Dengan demikian,

apabila auditor memperoleh bahan bukti tanya jawab, biasanya perlu untuk

mendapatkan bahan bukti lain yang menguatkan melalui prosedur yang

lain.

6) Pelaksanaan Ulang

Mencakup pengecekan ulang suatu sampel perhitungan dan perpindahan

informasi yang dilakukan klien selama periode yang diaudit.

7) Prosedur Analitis

Prosedur analitis adalah menggunakan perbandingan dan hubungan untuk

menentukan apakah saldo akun tersaji secara layak. Prosedur analitis sangat

39

penting sehingga harus dilakukan selama tahap perencanaan dan

penyelesaian di setiap audit.

2.4.4 Tujuan Audit

Tujuan audit sistem informasi menurut Ron Weber (1999, p10 - 11), secara

garis besar dibagi menjadi 4, antara lain :

1) Mengamankan aset (aktiva) yang berhubungan dengan instalasi sistem

informasi yang mencakup : perangkat keras (hardware), perangkat lunak

(software), manusia (people), file data, dokumentasi sistem, dan peralatan

pendukung lainnya.

2) Menjaga dan meningkatkan integritas data yang merupakan konsep dasar

audit sistem informasi, yang berarti data tersebut memiliki atribut seperti:

kelengkapan (completeness), baik dan dipercaya (soundness), kemurnian

(purity), dan ketelitian (veracity).

3) Menjaga dan meningkatkan efektifitas sistem, sistem informasi dikatakan

efektif hanya jika sistem informasi tersebut dapat mencapai tujuannya

yaitu salah satunya untuk memenuhi kebutuhan user, audit efektivitas

sistem dilakukan setelah suatu sistem berjalan dan pada tahap

perencanaan sistem (sistem design).

4) Meningkatkan sumber daya sistem dengan menggunakan sumber daya

seminimal mungkin untuk menghasilkan output yang dibutuhkan.

40

2.4.5 Standard Audit

Standar auditing merupakan pedoman bagi auditor dalam menjalankan

tanggung jawab profesionalnya. Standar-standar ini meliputi pertimbangan

mengenai kualitas profesional mereka, seperti keahlian dan independensi,

persyaratan pelaporan dan bahan bukti. Pedoman utama adalah sepuluh (10)

standar auditing atau 10 generally auditing standar-GAAS.

Kesepuluh standar tersebut adalah :

1) Standar Umum:

a. Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki

keahlian dan pelatihan teknis cukup sebagai auditor.

b. Dalam semua hal yang berhubungan dengan penugasan, independensi

dalam sikap mental harus dipertahankan oleh auditor.

c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib

menggunakan kemahiran profesionalnya secara cermat dan seksama.

2) Standar Pekerjaan Lapangan :

a. Pekerjaan harus direncanakan sebaik-baiknya dan jika digunakan

asisten harus disupervisi dengan semestinya.

b. Pemahaman yang memadai atas struktur pengendalian internal harus

diperoleh untuk merencanakan audit dan menentukan sifat dan

lingkup pengujian yang harus dilakukan.

c. Bukti audit yang kompeten yang cukup harus diperoleh melalui

inspeksi, pengamatan, pengajuan pertanyaan dan konfirmasi sebagai

dasar yang memadai untuk menyatakan pendapat atas laporan

keuangan yang diaudit.

41

3) Standar Lapangan:

a. Laporan audit harus menyatakan apakah laporan keuangan telah

disusun sesuai dengan prinsip akuntansi yang berlaku umum.

b. Laporan audit harus menunjukkan keberadaan yang di dalamnya

prinsip akuntansi tidak secara konsisten ditetapkan dalam penyusunan

laporan keuangan periode berjalan dalam hubungannya dengan

prinsip akuntansi yang ditetapkan dalam periode sebelumnya.

c. Pengungkapan informatif dalam laporan keuangan harus dipandang

memadai, kecuali dinyatakan lain dalam laporan audit.

d. Laporan audit harus memuat suatu pernyataan pendapat mengenai

laporan keuangan secara keseluruhan atau suatu asersi bahwa

pernyataan demikian tidak dapat diberikan. Jika pendapat secara

keseluruhan tidak dapat diberikan, maka alasannya harus dinyatakan.

Dalam semua hal yang mana auditor dihubungkan dengan laporan

keuangan, laporan auditor harus memuat petunjuk yang jelas

mengenai sifat pekerjaan auditor, jika ada, dan tingkat tanggung

jawab yang dipikulnya.

2.4.6 Pengertian Audit Sistem Informasi

Pengertian audit sistem informasi menurut Weber (1999, p10) adalah

proses pengumpulan dan evaluasi terhadap bukti-bukti untuk menentukan

apakah suatu sistem komputer telah mengamankan harta organisasi,

memelihara keutuhan data, membuat pencapaian tujuan organisasi menjadi

lebih efektif dan telah menggunakan sumber daya secara efisien.

42

Menurut Sanyoto Gondodiyoto (2006, p419), audit sistem informasi

adalah proses pengumpulan dan penilain bukti untuk menentukan apakah

sistem komputerisasi perusahaan telah menggunakan aset sistem informasi

secara tepat dan mampu mendukung pengamanan aset tersebut, memelihara

kebenaran dan integritas data dalam pencapaian tujuan perusahaan secara

efektif dan efisien.

Berdasarkan kesimpulan di atas, maka dapat disimpulkan bahwa audit

sistem informasi adalah proses pengumpulan dan pengevaluasian bahan bukti

audit untuk mengetahui apakah sistem informasi yang ada dapat melindungi

aset perusahaan, menjaga integritas data dan mendukung tercapainya tujuan

perusahaan secara efektif dan efisien.

2.4.7 Prosedur Audit S istem Informasi

Menurut Ron Weber dalam bukunya “Information System Control And

Audit” (1999, p45-46) terdapat empat jenis prosedur audit,, yaitu :

1) Prosedures To Obtain An Understanding Of Controls :

Penyelidikan, pemeriksaan, observasi dapat digunakan untuk memperoleh

sebuah pengertian mengenai apakah kontrol itu ada, seberapa bagus kontrol

itu dibuat atau dirancang dan apakah kontrol itu digunakan dalam kegiatan

operasional.

2) Test Of Control :

Penyelidikan, pemeriksaan, pengamatan, dan penerapan prosedur kontrol

dapat digunakan untuk mengevaluasi apakah kontrol tersebut beroperasi

secara efektif.

43

3) Subtantive Test Of Details Of Account Balances :

Pengujian (test) ini digunakan untuk mengetahui apakah transaksi telah

dibukukan dengan benar.

4) Analytical Review Procedures :

Pengujian (test) ini fokus pada hubungan antara data dengan tujuan audit.

2.4.8 Tujuan audit Sistem Informasi

Menurut Weber (1999, p11-13), tujuan dari audit sistem informasi adalah :

1. meningkatkan perlindungan terhadap asset perusahaan,

2. meningkatkan integritas data,

3. meningkatkan efektivitas sistem dan meningkatkan efisiensi sistem.

2.4.9 Metode Audit Sistem Informasi

1. Auditing Around The Computer

Menurut Gondodiyoto (2007, p451) auditor tidak perlu menguji SI berbasis

teknologi informasi klien (file program/pengendalian atas file/data di

komputer), melainkan cukup terhadap input (dokumen) serta output

(laporan) sistem aplikasi saja.

2. Auditing Throught The Computer

Menurut Gondodiyoto (2007, p453), dalam pendekatan audit ke sistem

komputer (Audit through the computer) auditor melakukan pemeriksaan

langsung terhadap program – program dan file komputer pada audit SI

berbasis TI.

44

3. Audit With the Computer

Menurut Gondodiyoto (2007, p454), menggunakan komputer dan software

untuk mengotomatisasi prosedur pelaksanaan audit.

2.4.10 Standar ISACA (Information Systems Audit and Control Association)

Menurut Information Systems Audit and Control Association (ISACA)

(Gondodiyoto, 2006, p68-70) standar untuk audit sistem informasi adalah :

S1 Audit Charter

ISACA standard berisi prinsip dasar dan prosedur penting, yang

dikenalkan dihuruf yang dicetak tebal, di dalamnya terdapat suatu

kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksud

dari IS Audit Standard ini adalah menyediakan suatu petunjuk yang

berkenaan dengan Audit Charter selama proses Audit.

Standard – standard :

1. kegunaan tanggungjawab, wewenang dan sesuatu yang harus

dipertanggungjawabkan dari fungsi audit sistem informasi harus

dibuat dokumentasinya secara tepat didalam Audit Charter.

2. Audit Charter harus setuju dan diakui diantara setiap bagian

organisasi.

S2 Independen



45


dari IS Audit Standard ini adalah menyediakan suatu petunjuk yang

berkenaan dengan Audit Charter selama proses Audit.


1. Professional Independence

Di dalam semua keadaan yang berhubungan dengan audit, IS Auditor

harus independent terhadap sikap dan penampilan pada saat audit.

2. Organisational independence

Fungsi audit SI harus independent terhadap area atau aktivitasnya di

dalam mencapai tujuannya pada saat mengerjakan tugas audit.

S3 Profesional Ethics and Standards



kewajiban bersama – sama dengan suatu petunjuk di dalamnya. Maksudnya

dari IS audit standard adalah menyediakan suatu standard dan petunjuk

yang melekat pada IS Auditor terhadap kode etik professional ISACA dan

pelatihan secara professional didalam memimpin tugas audt.


1. IS Auditor harus melekat pada kode etik professional ISACA di dalam

memimpin tugas audit.

2. IS Auditor harus dilatih secara professional, termasuk ketaatan pada

standard professional audit, di dalam memimpin tugas audit.

46

S4 Competence




dari IS Audit standard ini adalah menyediakan suatu standard dana

petunjuk sehingga IS Auditor wajib untuk mencapai suatu kesuksesan dan

memelihara professional competence.


1. IS Auditor harus memiliki professional competence, mempunyai

kemampuan dan pengetahuan untuk memimpin tugas audit.

2. IS Auditor harus memelihara professional competence di dalam

melanjutkan pembelajaran dan pelatihan professional.

S5 Planning




dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk

di dalam perencanaan audit.


1. IS Auditor harus membangun suatu jaringan audit sistem informasi.

2. IS Auditor harus mengembangkan dan mendokumentasikan resiko yang

ada.

47

3. IS Auditor harus mengembangkan dan mendokumentasikan rencana

audit.

4. IS Auditor harus mengembangkan program audit.

S6 Performance of Audit Work





mengenai performance dari kerja audit.


1. Pengawasan – staff IS audit harus menyediakan kepastian yang jelas

mengenai tujuan audit.

2. Bukti – IS audit harus memperoleh bukti yang cukup, nyata, relevan.

3. Dokumentasi – suatu proses audit harus didokumentasikan.

S7 Reporting





mengenai laporan sehingga IS Auditor dapat memenuhi tanggungjawabnya.


1. IS Auditor harus menyediakan laporan audit.

48

2. Laporan audit harus berisi mengenai bagian, tujuan periode, waktu dan

performa kinerja audit.

3. Laporan harus ada pendapat, kesimpulan dan rekomendasi, kualifikasi

dan bagian pertanggung jawaban audit.

4. IS Auditor harus memiliki bukti yang cukup dan jelas untuk men-

support laporan audit.

5. Laporan harus ditandatangani, diberi tanggal dan didistribusikan

kebagian Audit Charter.

S8 Follow Up Activities





mengenai kelanjutan aktivitas selama melanjutkan proses audit.


Setelah laporan terhadap kesimpulan dan rekomendasi, IS Auditor harus

meminta dan mengevaluasi informasi yang relevan dengan kegiatan yang

dilakukan management pada waktu yang tepat.

S9 Irregularities and Illegal Acts




49


pada kegiatan yang tidak beres dan illegal yang IS audit harus

pertimbangkan selama proses audit.


Pada saat perencanaan dan pelaksanaan audit untuk mengurangi resiko ke

level yang bawah.

1. IS Auditor harus memelihara sikap professional selama audit.

2. IS Auditor harus mengerti terhadap lingkungan dan organisasi.

3. IS Auditor harus mendapatkan bukti audit yang cukup daan tepat.

4. IS Auditor harus mempertimbangkan terhadap hubungan yang tak

diduga – duga yang dapat menyebabkan suatu resiko.

5. IS Auditor harus mendesain dan melaksanakan prosedur.

6. IS Auditor harus memperkirakan pernyataan yang salah yang

berindikasi terjadi kegiatan yang tidak beres dan illegal.

7. IS Auditor harus menulis gambaran dari management.

8. IS Auditor apabila menemukan kegiatan yang mencurigakan/illegal

harus dilaporkan kepada management secepatnya.

9. IS Auditor apabila menemukan management atau pekerja yang

melakukan kegiatan yang mencurigakan/illegal, harus dilaporkan ke

pemerintah.

10. IS Auditor harus memberitahukan ke management dan pemerintah

mengenai design dan implementasi dari internal control.

11. IS Auditor harus mendokumentasikan seluruh komunikasi,

perencanaan, evaluasi dan kesimpulan.

50

S10 IT Governance



kewajiban, bersama – sama dengan suatu petunjuk di dalamnya. Maksud


pada area IT Governance yang IS Auditor butuhkan untuk melakukan

pertimbangan selama proses audit.


1. IS Auditor harus me-review dan menaksir apakah fungsi IS sesuai

dengan misi, visi, nilai, tujuan dan strategi organisasi.

2. IS Auditor harus me-review apakah fungsi IS telah memiliki pernyataan

yang benar mengenai hasil yang diharapkan bisnis dan menilai

kesuksesan.

3. IS Auditor harus me-review dan menaksir efektivitas dari sumber daya

IS dan performa dari proses menajemen.

4. IS Auditor harus me-review dan menaksir pemenuhan secara legal,

kualitas informasi dan penggadaian.

5. Resiko – berdasarkan suatu pendekatan harus digunakan oleh IS

Auditor untuk mengevaluasi fungsi IS.

6. IS Auditor harus me-review dan menaksir control environment dari

sebuah organisasi.

7. IS Auditor harus me-review dan menaksir resiko yang akan

memberikan efek bagi lingkungan IS.

51

S11 Use of Risk Assessment in Audit Planning





mengenai penggunaan dan penilaian resiko pada perencanaan audit.


1. IS Auditor harus menggunakan tehnik penilaian resiko yang tepat.

2. IS Auditor harus mengidentifikasi dan menaksir resiko yang relevan

terhadap area yang sedang ditinjau ketika merencanakan peninjauan

individu.

S12 Audit Materiality




dari IS Audit standard ini adalah menyediakan konsep dari audit

materialitas dan berhubungan dengan audit resiko.


1. IS Auditor harus menggunakan audit materialitas dan hubungan dengan

audit resiko ketika membandingkan sifat, waktu, dan tingkat dari

prosedur audit.

2. ketika merencanakan audit, auditor harus menggunakan kelemahan

potensial atau ketiadaan dari pengendalian dan apakah kelemahan atau

52

ketiadaan pengendalian dapat menghasilkan kecurangan yang

signifikan atau sebuah kelemahan material dalam sistem informasi.

3. IS Auditor harus menyadari efek komulatif dari kelemahan

pengendalian minor atau kelemahan dan ketiadaan dari pengendalian

untuk menerjemahkan kedalam kekurangan yang semakin signifikan

atau kelemahan material dalam IS.

4. Laporan dari IS Auditor harus memperlihatkan pengendalian yang tidak

efektif atau ketiadaan dari pengendalian dan kekurangan yang

signifikan dari pengendalian dan kemungkinan dari kelemahan yang

dihasilkan dalam kekurangan yang signifikan atau kelemahan material.

S13 Using the work of other experts




dari IS Audit standard ini adalah untuk membuat dan menyediakan

pedoman untuk IS Auditor yang menggunakan pekerjaan dari para ahli lain

dari audit.


1. IS Auditor harus tepat dalam menggunakan pekerjaan para ahli dalam

audit.

2. IS Auditor harus dapat menilai kualifikasi professional, kompetensi,

pengalaman yang relevan, sumber, kemandirian dan proses

pengendalian kualitas dari keahlian yang lain.

53

3. IS Auditor harus menilai, memeriksa ulang dan mengevaluasi pekerjaan

dari para ahli sebagai bagian dari audit dan menyimpulkan tingkat dari

penggunaan dan kepercayaan dalam pekerjaan para ahli.

4. IS Auditor harus membandingkan dan menyimpulkan apakah pekerjaan

dari para ahli sudah memadai dan lengkap untuk membantu IS Auditor

dalam menyimpulkan tujuan audit. Kesimpulan seperti itu harus

terdokumentasi dengan jelas.

5. IS Auditor harus mengajukan prosedur pengujian tambahan untuk

mendapatkan bukti tambahan yang tepat.

6. IS Auditor harus menyediakan opini audit yang tepat dan mencakup

ruang lingkup batasan dimana setiap bukti harus diuji terlebih dahulu.

S14 Audit Evidence




dari IS Audit standard ini adalah untuk menetapkan standard dan

menyediakan pedoman yang merupakan bukti audit, dan kualitas dan

kuantitas dan bukti audit harus didapat dari IS Auditor.


1. IS Auditor harus mendapatkan prosedur pengujian tambahan untuk

mendapatkan bukti tambahan yang tepat untuk menggambarkan

kesimpulan yang berdasarkan hasil audit.

2. IS Auditor harus mengevaluasi bukti audit selama proses audit.

54

S15 IT Controls





menyediakan pedoman mengenai pengendalian IT.


1. IS Auditor harus mengevaluasi dan mengawasi pengendalian IT yang

merupakan bagian dari lingkungan pengendalian dalam suatu

organisasi.

2. IS Auditor harus membantu manajemen dengan menyediakan saran

mengenai rancangan, implementasi, operasi dan pengembangan

pengendalian IT.

S16 E-commerce





menyediakan pedoman mengenai tinjauan lingkungan e-commerce.


IS Auditor harus mengevaluasi pengendalian yang dapat dipergunakan dan

menilai resiko ketika meninjau kembali lingkungan e-commerce untuk

memastikan transaksi e-commerce sudah terkendali.

55

2.4.11 Tahapan Audit Sistem Informasi

Menurut Ron Weber dalam buku “Information System Control and

Audit” (1999, p47-55) yang dikutip oleh Sanyoto Gondodiyoto dalam

bukunya audit sistem informasi (2006, p425-428), terdapat lima langkah atau

tahapan audit sistem informasi yaitu :

1) Perencanaan Audit (Planning The Audit)

Perencanaan merupakan tahapan pertama dari kegitan audit, bagi auditor

eksternal, hal ini artinya adalah auditor eksternal melakukan investigasi

terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat

diterima, menetapkan staf audit, menghasilkan perjanjian audit,

menghasilkan informasi latar belakang klien, mengerti tentang masalah

hukum klien dan melakukan analisa terhadap prosedur yang ada untuk

mengerti tentang bisnis klien dan mengindentifikasi resiko audit.

2) Pengetesan Kendali (Tests of Controls)

Auditor melakukan control test ketika mereka menilai bahwa control risk

berada pada tingkat kurang dari maksimum. Mereka mengandalkan

control sebagai dasar untuk mengurangi biaya testing. Sampai pada tahap

ini auditor tidak mengetahui apakah identifikasi control telah berjalan

dengan efektif. Oleh karena itu diperlukan evaluasi yang spesifik

terhadap materi control.

3) Pengetesan Transaksi (Tests of Transaction)

Auditor menggunakan test terhadap transaksi untuk mengevaluasi

kesalahan atau proses yang tidak biasa terjadi pada transaksi yang

mengakibatkan kesalahan pencatatan material yang laporan keuangan.

56

Test transaksi ini menelusuri jurnal dari sumber dokumen, memeriksa file

harga dan mengecek keakuratan perhitungan.

4) Pengetesan Keseimbangan atau Keseluruhan Hasil (Tests of Balances Or

Overall Results)

Yang harus diperhatikan pada pendekatan ini adalah tujuan pengamanan

harta dan integritas data. Jenis substantive test terhadap saldo yang

digunakan adalah konfirmasi piutang, perhitungan fisik persediaan fisik

persediaan dan perhitungan ulang penyusutan aktiva tetap.

5) Pengakhiran (Penyelesaian) Audit (Completion of The Audit)

Ada empat opini yang diberikan terhadap hasil audit oleh eksternal

auditor yaitu :

a. Disclaimer of opinion : auditor tidak dapat memberikan opini.

b. Adverse opinion : auditor berpendapat bahwa banyak kesalahan.

c. Qualified opinion : auditor berpendapat terjadi beberapa kesalahan

tetapi nilainya tidak material.

d. Unqualified opinion : auditor berpendapat tidak terjadi kesalahan atau

misstatement.

2.4.12 Instrument Audit S istem Informasi

Menurut Ron Webber dalam bukunya “Information System Control And

Audit” (1999, p789-810) terdapat tiga instrument audit sistem informasi

yaitu:

57

1. Wawancara (Interview)

Auditor merupakan wawancara dengan orang-orang yang berhubungan

dengan sistem yang berjalan dalam perusahaan.

2. Check List

Check list digunakan untuk mengetahui kehandalan sistem dengan

mengajukan pertanyaan kepada pihak-pihak terkait. Kemudian auditor

memeriksa jawaban-jawaban yang diberikan untuk menentukan

kehandalan sistem.

3. Control Flowchart

Control flowchar t menunjukkan pengendalian apa yang ada dalam

perusahaan dan dimana letak pengendalian tersebut.

2.4.13 Pengertian Diagram Alir (FlowChart)

Menurut Mulyadi (2001), Flowchart adalah suatu diagram yang berupa

simbol-simbol dan dapat menunjukan alur data serta operasi yang terjadi

pada suatu sistem.

Flowchart terbagi atas lima jenis, yaitu :

1. Flowchart Sistem (System Flowchart)

Sistem flowchart adalah suatu gambar yang memperlihatkan urutan

prosedur dan proses dari beberapa file dalam media tertentu. Melalui

flowchart, dapat terlihat jenis media penyimpanan yang dipakai dalam

58

pengolahan data. Selain itu juga menggambarkan file yang dipakai

sebagai input maupun output.

2. Flowchart Skematik (Schematic Flowchart)

Flowchart skematik mirip dengan flowchart sistem yang

menggambarkan suatu sistem atau prosedur. Flowchart skematik ini

bukan hanya menggunakan symbol-simbol flowchart standar, tetapi

juga menggunakan gambar-gambar komputer, peripheral, form-form

atau peralatan lain yang digunakan dalam sistem.

Flowchart skematik digunakan sebagai alat komunikasi anatara analsis

sistem dengan seseorang yang tidak familiar dengan simbol-simbol

flowchart yang konvensional. Pemakaian gambar sebagai ganti dari

seseorang untuk mempelajari simbol abstrak sebelum dapat mengerti

flowchart.

3. Flowchart Program (Program Flowchart)

Program flowchart adalah bagan yang memperlihatkan urutan dan

hubungan proses dalam suatu program. Program flowchart merupakan

langkah awal pembuatan flowchart program. Dengan adanya program

flowchart maka urutan proses di program menjadi lebih jelas.

59

4. Flowchart Proses (Process Flowchart)

Flowchart Proses merupakan teknik penggambaran rekayasa industrial

yang memecah dan menganalisis langkah-langkah selanjutnya dalam

suatu prosedur atau sistem. Flowchart Proses digunakan oleh

perekayasa industrial dalam mempelajari dan mengembangkan proses-

proses manufacturing. Dalam analisis sistem, flowchart ini digunakan

secara efektif untuk menelusuri alur suatu laporan atau form.

5. Flowchart Paperwork / Flowchart Dokumen (Document Flowchart)

Flowchart paperwork menelusuri alur dari data yang ditulis melalui

sistem. Flowchart sering disebut juga flowchart dokumen. Kegunaan

utamanya adalah untuk menelusuri alur from dan laporan sistem dari

satu bagian ke bagian lain baik bagaimana alur from laporan diproses,

dicatat dan disimpan.

Untuk menggambarkan aliran dokumen dalam sistem tertentu, digunakan

simbol-simbol dalam suatu bagan alir dokumen. (document flowchart).

Dalam bagan alir, arus dokumen digambarkan berjalan dari kiri ke kanan

dan dari atas ke bawah. Arah perjalanan dokumen ini, dapat diikuti

dengan melihat nomor dalam simbol penghubungan pada halaman yang

sama ( on-page connector ) atau nomor dalam simbol penghubung pada

halaman yang berbeda ( off-page connector).

60

Penggunaan bagan alir lebih bermanfaat daripada uraian tertulis dalam

menggambarkan suatu sistem. Manfaat tersebut adalah sebagai berikut :

1. Gambaran sistem secara menyeluruh lebih mudah diperoleh dengan

menggunakan bagan alir.

2. Perubahan sistem lebih mudah digambarkan dengan menggunakan

bagan alir.

3. Kelemahan-kelemahan dalam sistem dan identifikasi bidang-bidang

yang memerlukan perbaikan lebih mudah ditemukan dengan bagan

alir

4. Dokumentasi sistem akutansi dilakukan dengan menggunakan

bagan alir.

bab 2 landasan teori 2.1 pengertian sistem informasithesis.binus.ac.id/asli/bab2/2010-1-00891-ka bab...

Documents