bab 2 landasan teori 2.1 sistem informasi 2.1.1 pengertian...
TRANSCRIPT
9
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi
2.1.1 Pengertian Sistem Informasi
Menurut Gondodiyoto (2003, p.8) ”Sistem Informasi adalah interaksi
antara sumber daya (komponen-komponen) di dalam suatu kesatuan terpadu
untuk mengolah data menjadi informasi sesuai kebutuhan penggunanya.
Sistem informasi terdiri dari sub-sub sistem, sistem informasi akuntansi
adalah salah satu subset sistem informasi tersebut”
O’Brien (2008,p.7) mendefinisikan, “Information System can be any organized combination of people, hardware, software, communication networks, and data resource that collect, transform, disseminates information in an organization”.
Artinya adalah “Sistem Informasi adalah suatu kesatuan yang terdiri
dari manusia (brainware), perangkat keras (hardware), perangkat lunak
(software), jaringan computer, dan sumber daya data yang mengumpulkan,
mentransformasikan dan mendistribusikan informasi di dalam suatu
organisasi.”.
Hall dalam bukunya yang diterjemahkan oleh Amir Abadi Jusuf
(2001, p.7) mendefinisikan, “Sistem informasi sebagai sebuah rangkaian
prosedur formal dimana data dikelompokkan, diproses menjadi informasi,
dan didistribusikan kepada pemakai.”
10
Berdasarkan pengertian sistem informasi dari para pakar diatas,
maka penulis menyimpulkan bahwa sistem informasi adalah suatu rangkaian
dari sekelompok komponen yang terdiri dari manusia (brainware), perangkat
keras (hardware), perangkat lunak (software) yang saling berintegrasi untuk
mengolah data yang ada dan menghasilkan informasi ataupun laporan yang
bermanfaat guna mencapai tujuan organisasi dan pengguna lainnya.
2.1.2 Tujuan dan Fungsi Sistem Informasi
Fungsi sistem informasi bertanggungjawab untuk pengolahan data.
Pengolahan data merupakan aplikasi sistem informasi akuntansi yang paling
mendasar dalam setiap organsasi.
Tujuan dari pada sistem informasi ada tiga macam, yaitu:
1. Fungsi kepengurusan manajemen
2. Dasar pengambilan keputusan manajemen
3. Pendukung kegiatan operasi perusahaan.
2.1.3 Karakteristik Informasi yang Berkualitas
Menurut Mukhtar yang dikutip Gondodiyoto (2003, p.22 ), terdapat
lima karakteristik informasi yang berkualitas, yakni:
1. Reliable (dapat dipercaya)
Informasi haruslah akurat (benar), terbebas dari kesalahan dalam
mempresentasikan suatu kejadian atau kegiatan dari organisasi.
11
2.Relevan (sesuai)
Informasi yang relevan harus memberikan arti kepada pembuatan
keputusan. Informasi ini bisa mengurangi ketidakpastian dan bisa
meningkatkan nilai dari suatu kepastian.
3.Timely (tepat waktu)
Informasi yang disajikan tepat pada saat dibutuhkan dan bisa
mempengaruhi proses pengambilan keputusan.
4.Complete (lengkap)
Informasi yang disajikan termasuk di dalamnya semua data-data
yang relevan dan tidak mengabaikan kepentingan yang
diharapkan oleh pembuat keputusan.
5.Understandable (dapat dimengerti)
Informasi yang disajikan hendaknya dalam bentuk yang mudah
dipahami oleh si pembuat keputusan.
2.2 Sistem Pengendalian Intern
2.2.1 Pengertian Pengendalian Intern (SPI)
Menurut Gondodiyoto dan Hendarti (2007, p.69-70) ”Pengendalian
Intern atau internal control digunakan dalam pengertian yang lebih luas, yaitu
sebagai mekanisme untuk mendukung kebijakan perusahaan, pengamanan
12
aset perusahaan, pendukung mutu operasi dan sebagai persyaratan dicapainya
tujuan perusahaan”.
Menurut Mulyadi (2001, p.165) mendefinisikan “Sistem
Pengendalian Intern meliputi struktur organisasi, metode dan ukuran-ukuran
yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek
ketelitian dan kehandalan data akuntansi, mendorong efesiensi dan
dipatuhinya kebijakan menejemen”.
Berdasarkan definisi-definisi di atas dapat disimpulkan bahwa sistem
pengendalian intern merupakan kebijakan atau metode yang terorganisasi
dalam suatu perusahaan untuk mengamankan aset perusahaan, menguji
ketepatan dan kehandalan data akuntansi, mendorong efesiensi serta
dipatuhinya kebijakan menejemen untuk mencapai tujuan perusahaan.
2.2.2 Tujuan Sistem Pengendalian Intern
Tujuan pengendalian intern adalah untuk menjaga dan
mengendalikan harta perusahaan secara baik berdasarkan peraturan serta
hukum yang berlaku. Menurut Mulyadi (2001, p.163) tujuan sistem
pengendalian intern adalah:
1. Menjaga kekayaan organisasi
2. Mengecek ketelitian dan kehandalan data akuntansi
3. Meningkatkan efisiensi usaha
4. Mendorong dipatuhinya kebijakan manajemen.
13
2.2.3 Komponen Sistem Pengendalian Intern
Menurut Mulyadi (2002, p.183-195), Komponen Sistem
Pengendalian Intern terdiri dari :
1) Lingkungan Pengendalian
Lingkungan pengendalian menciptakan suasana pengendalian dalam
suatu organisasi dan mempengaruhi kesadaran personel organisasi
tentang pengendalian.
2) Penaksiran Resiko
Merupakan identifikasi atau analisa oleh manajemen atas resiko yang
relevan terhadap penyiapan laporan keuangan agar sesuai dengan prinsip
akuntansi yang berlaku umum.
3) Sistem Komunikasi dan Informasi dan Informasi Akuntansi
Merupakan metode yang digunakan untuk mengidentifikasi,
menggabungkan, menyusun klasifikasi, mencatat, dan melaporkan
transaksi satu entitas untuk menjamin akuntabilitas aktiva yang terkait.
4) Aktivitas Pengendalian
Merupakan kebijakan dan prosedur yang ditetapkan menajemen untuk
memenuhi tujuannya di dalam pelaporan keuangan.
5) Pemantauan
Adalah penilaian efektifitas rancangan operasi struktur pengendalian
intern secara periodik dan terus menerus oleh manajemen untuk melihat
14
apakah manajemen telah dilaksanakan dengan semestinya dan telah
diperbaiki sesuai dengan keadaan.
Pengertian Risk Assessment yang disadur dari www.nist.gov adalah: Risk assessment is Organizations use risk assessment to determine the extent of the potential threat and the risk associated with an IT system throughout its SDLC. Penilaian resiko adalah resiko organisasi untuk menentukan tingkat ancaman
yang berhubungan dengan IT selama proses SDLC.
2.2.4 Jenis- jenis Pengendalian Intern
Menurut Weber (1999, p.35) menyatakan bahwa terdapat tiga dasar
dari pengendalian, yaitu:
1) Preventive Control
Instruksi ditempatkan pada sumber dokumen untuk mencegah petugas
dari kesalahan pengisian.
2) Detective Control
Program masukan yang dapat mengidentifikasi data yang tidak benar
dimasukkan ke dalam sistem melalui terminal.
3) Corrective Control
Suatu program yang menggunakan kode spesial yang memungkinkan
untuk memperbaiki data yang rusak karena kesalahan pada arus
komunikasi.
15
Jenis pengendalian intern terdiri dari pengendalian umum dan
pengendalian aplikasi. Secara garis besar sistem pengendalian intern yang
perlu dilakukan pada sistem berbasis komputer adalah sebagai berikut :
1. Pengendalian umum
Pengendalian umum menurut Gondodiyoto (2003, p.126) adalah
“Sistem pengendalian intern komputer yang berlaku secara umum
meliputi seluruh kegiatan komputerisasi sebuah organisasi secara
keseluruhan. Artinya ketentuan-ketentuan yang berlaku dalam
pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di
perusahaan tersebut. Apabila tidak dilakukan pengendalian ini ataupun
pengendaliannya lemah maka dapat berakibat negatif terhadap aplikasi
(kegiatan komputerisasi tertentu)”.
Tujuan pengendalian umum adalah untuk membuat kerangka
pengendalian menyeluruh atas aktivitas sistem berbasis komputer, dan
untuk memberikan tingkat keyakinan yang memadai bahwa tujuan
pengendalian intern secara keseluruhan dapat tercapai.
Menurut Weber (1999, p.244-266) dapat disimpulkan bahwa
pengendalian terhadap manajemen keamanan secara garis besar
bertanggung jawab dalam menjamin aset sistem informasi tetap aman.
Yang dimaksud dengan aset sistem informasi adalah :
16
1. Aset fisik, yaitu personel, hardware, fasilitas, dokumentasi, dan
perlengkapan.
2. Aset Logika, yaitu data atau informasi dan software.
Ancaman utama terhadap keamanan aset sistem informasi
menurut Weber antara lain :
1) Ancaman Kebakaran
Beberapa pelaksanaan pengamanan untuk ancaman kebakaran:
a) Memiliki alarm kebakaran otomatis yang diletakkan pada
tempat dimana aset-aset sistem informasi berada.
b) Memiliki tabung kebakaran yang diletakkan pada lokasi yang
mudah diambil.
c) Keberadaan alat-alat pemadam kebakaran dapat dilihat dan
dipakai dengan mudah dan cepat oleh karyawan.
d) Untuk mencegah kebakaran akibat tegangan listrik, maka
kabel-kabel dan penghantar listrik dilapisi atau di tempatkan
pada bahan yang tidak mudah terbakar.
e) Memiliki tombol power utama ( termasuk AC).
f) Gedung tempat penyimpanan aset sistem informasi dibangun
dari bahan tahan api .
g) Memiliki pintu/tangga darurat yang diberi tanda dengan jelas
sehingga karyawan dengan mudah menggunakannya.
17
h) Ketika alarm kebakaran berbunyi signal langsung dikirimkan
ke stasiun pengendalian yang selalu dijaga oleh staf.
i) Prosedur pemeliharan gedung yang baik menjamin tingkat
polusi rendah disekitar aset sistem informasi yang bernilai
tinggi. Contoh: ruang komputer yang selalu dibersihkan
dengan teratur, pengawasan rutin dan pengujian terhadap
semua sistem perlindungan kebakaran dan memastikannya
dirawat dengan baik.
2) Ancaman Banjir
Beberapa pelaksanaan pengamanan untuk ancaman banjir :
a) Jika memungkinkan memiliki atap, dinding dan lantai yang
tahan air.
b) Menyediakan alarm pada titik strategis dimana material aset
sistem informasi diletakkan.
c) Semua material aset sistem informasi diletakkan di tempat
yang tinggi.
d) Menutup peralatan hardware dengan bahan yang tahan air dan
udara sewaktu tidak digunakan.
e) Memastikan saluran pembuangan saluran air yang lancar dan
kapasitasnya cukup.
f) Mempunyai tombol atau panel utama untuk semua saluran
utama air.
18
g) Untuk mencegah ancaman banjir, tempatkan aset sistem
informasi di lantai yang lebih tinggi dimana lokasi aset
ditempatkan.
h) Lokasi tempat aset sistem informasi di tempatkan sebaiknya
memiliki suhu yang kering atau tidak ada genangan air.
3) Kerusakan Struktural
Kerusakan struktural terhadap aset sistem informasi dapat terjadi
karena adanya gempa, angin, salju. Beberapa pelaksanaan
pengamanan untuk mengantisipasi kerusakan struktural yaitu:
a) Memiliki lokasi perusahaan yang strategis dan aman dari
ancaman
b) Diperlukan perancangan yang baik terhadap semua resiko
yang akan dihadapi.
4) Polusi
Beberapa pelaksanaan pengamanan untuk mengantisipasi polusi :
a) Situasi kantor yang bebas debu dan tidak diperbolehkan
membawa binatang peliharaan.
b) Melarang karyawan membawa atau meletakkan minuman di
dekat peralatan komputer.
c) Tersedia tempat sampah yang memadai dan secara teratur
dibersihkan.
19
5) Perubahan Tegangan Sumber Energi
Perubahan tegangan sumber energi dapat berupa peningkatan energi
dan penurunan energi, yang dapat mengganggu perangkat keras
operasi tetapi juga sistem yang diperlukan untuk memelihara
stabilitas suatu lingkungan operasional. Pelaksanaan pengaman
untuk mengantisipasi perubahan tegangan sumber energi yaitu
menggunakan stabilizer ataupun UPS yang memadai yang mampu
mengcover tegangan listrik yang tiba-tiba turun.
6) Penyusup
Penyusup biasanya masuk dengan tujuan untuk mencari aset sistem
informasi untuk disabotase atau untuk tujuan pemerasan.
Pelaksanaan pengamanan untuk mengantisipasi penyusup dapat
dilakukan dengan cara:
a) penempatan penjaga yang dapat segera menjangkau tempat
aset sistem informasi berada
b) penggunaan alarm
c) menggunakan card locking system, dan disk drive diletakkan
di brankas, kabinet atau rak khusus yang dikunci.
7) Virus
Pelaksanaan pengamanan untuk mengantisipasi virus :
20
a) Tindakan preventif seperti menginstal anti virus, dan
mengupdate secara rutin, menscan file yang akan digunakan.
b) Tindakan detektif, melakukan scan secara rutin.
c) Tindakan korektif, memastikan back-up data bebas virus,
penggunaan anti virus terhadap file yang terinfeksi.
8) Hacking
Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking :
a) Penggunaan kontrol logikal seperti penggunaan password
yang sulit untuk ditebak.
b) Petugas keamanan secara teratur mengamati sistem yang
digunakan.
Menurut Weber ( 1999, p288 ), secara garis besar pengendalian manajemen
operasi bertanggungjawab terhadap :
1. Pengoperasian Komputer
a) Menentukan fungsi – fungsi yang harus dilakukan operator komputer
maupun fasilitas operasi otomatis
b) Menentukan penjadwalan kerja pada pemakaian komputer ( hardware
dan software )
c) Menentukan perawatan terhadap hardware agar berjalan dengan baik
d) Pengendalian perangkat kerja berupa hardware controls dari
produsen untuk deteksi hardware malfunction seperti :
21
1) Redundant Character Check
2) Duplicate Process Check
3) Echo Check
4) Equipment Check
5) Validity Check
6) Operational Controls
7) Controls and Equipment Cross Reference
8) Software Control
9) Handling Errors
10) Program Protection
11) File Protection
12) Controls and System Complexity Cross Reference
2. Pengoperasian Jaringan
3. Persiapan Data dan Pengentrian
Fasilitas – fasilitas yang ada harus dirancang untuk memiliki kecepatan
dan keakuratan data serta telah dilakukan pelatihan terhadap pengentri data
4. Pengendalian Produksi
Fungsi yang harus dilakukan untuk pengendalian produksi adalah :
a. Penerimaan dan pengiriman Input dan Output
b. Penjadwalan kerja
c. Manajemen pelayanan
d. Peningkatan pemanfaatan komputer
22
5. File Library
6. Dokumentasi dan Program Library
7. Help Desk
8. Capacity Planning
2. Pengendalian Aplikasi
Pengendalian khusus atau pengendalian aplikasi menurut
Gondodiyoto (2003, p139) adalah “Sistem pengendalian intern komputer
yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah
ditentukan”. Sedangkan menurut Mulyadi (2002, p190) “Pengendalian
aplikasi dirancang untuk memenuhi persyaratan pengendalian khusus
setiap aplikasi”.
Weber (1999, p.39-40) membagi pengendalian aplikasi menjadi
tiga pengendalian, yaitu :
A. Pengendalian Batasan (Boundary Controls)
Menurut Weber (1999, p.370) “The boundary subsystem establishes the interface between the would-be user of a computer system and the computer system itself“.
Maksudnya sub-sistem batasan (boundary) dibangun
sebagai suatu penghubung antara pengguna sistem komputer
dengan sistem komputer itu sendiri. Adapun 3 (tiga) tujuan
pengendalian subsistem boundary adalah sebagai berikut :
23
1. Untuk menetapkan identitas dan kewenangan pengguna dari
sistem komputer (sistem harus memastikan orang tersebut
adalah orang yang berhak).
2. Untuk menetapkan identitas dan kewenangan dari sumber daya
yang digunakan (pengguna harus memastikan bahwa mereka
memberikan kewenangan dari sumber daya).
3. Membatasi tindakan-tindakan yang dilakukan oleh pengguna
yang menggunakan sumber daya komputer terhadap tindakan-
tindakan yang terotorisasi (pengguna diperbolehkan
menggunakan sumber daya pada batasan-batasan tertentu).
Berbagai kontrol yang dapat diimplementasikan dalam
pengendalian terhadap batasan, yaitu :
1. Cryptographic control
Kriptografi merupakan sistem untuk
mentransformasikan data menjadi kode (cryptograms) sehingga
tidak memiliki arti bagi orang yang tidak memiliki sistem untuk
mengubah kembali data-data tersebut. Tujuannya untuk
menjaga kerahasiaan informasi dengan mengacak data.
Cryptographic control adalah sistem pengendalian intern
yang dirancang untuk menjaga privacy, serta menjaga agar
orang/pihak yang tidak berwenang dapat melakukan kegiatan
yang berkaitan dengan merubah atau menambah data dan
24
menghapus data. Cryptographic control menyangkut sistem
pengubahan data dari bentuk aslinya menjadi kode tertentu yang
tidak bermakna bagi orang yang tidak memiliki otoritas untuk
membacanya.
Terdapat 3 teknik yang digunakan untuk memindahkan
data cleartext ke data ciphertext:
a. Transposition ciphers
Menggunakan beberapa peraturan untuk mengubah urutan
karakter dalam string data.
b. Substitution ciphers
Menahan posisi karakter dalam pesan dan
menyembunyikan identitas karakter dengan menggantikan
mereka dengan karakter lain melalui beberapa aturan.
Keyword alphabetic caesar adalah contoh substitution
chiper. Dengan menggunakan ciphers ini, key pertama
harus dipilih, yang tidak memiliki duplikat huruf, misalnya
IDEOGRAPHY. Berikan 26 huruf alphabet, ciphertext
bagi setiap huruf yang diturunkan. 10 huruf pertama
digantikan dengan keyletters. 16 huruf digantikan dengan
huruf tidak terdapat didalam key, bekerja dari awal
alphabet sampai terakhir.
25
c. Product Ciphers
Menggunakan kombinasi metode transposition dan
subsititution. Penelitian menunjukkan mereka dapat
mendesain sehingga mereka dapat bertahan terhadap
cryptanalysis. Hasil produk ciphers sekarang adalah
metode encryption yang paling banyak digunakan.
1. Access control
Tujuan dari access control antara lain :
a. Agar sumber daya sistem digunakan hanya oleh orang–
orang yang berhak
b. Menjamin agar kegiatan pengguna dilakukan sesuai
dengan ketentuan
c. Menjamin bahwa peralatan yang digunakan, sesuai dengan
semestinya.
Langkah-langkah umum untuk menunjang tujuan tersebut yaitu:
a. Mengesahkan user yang telah mengidentifikasikan dirinya
ke sistem.
b. Mengesahkan sumber daya yang diminta oleh user.
c. Membatasi akttivitas yang dilakukan oleh user terhadap
sistem.
26
Pemakai dapat menggunakan tiga kelas dari informasi
keotentikan, yaitu:
a. Informasi dapat diingat, contoh: nama, tanggal lahir,
nomor account, password, PIN.
b. Objek berwujud, contoh: badge, kartu plastik, kunci.
c. Karakterr personal, contoh: sidik jari, suara, ukuran
tangan, tanda tangan, pola retina mata.
2. Audit trail
Audit trail (jejak rekam) adalah catatan – catatan atau
data tertentu yang disimpan dalam sistem komputer dengan
tujuan apabila dikemudian hari bermasalah, maka catatan / data
itu dapat digunakan untuk pelacakkan.
Catatan – catatan atau data tertentu yang tersimpan
dalam sistem komputer tersebut tersimpan sebagai history yang
disebut Log sistem. Log sistem berguna untuk:
a. historis pencatatan kegiatan – kegiatan yang terjadi atas
sistem komputer
b. mencatat siapa saja yang pernah melakukan login pada
sistem
c. mencatat siapa saja yang pernah mengakses atau
mengganti data, dan lain sebagainya.
27
4. Existence control
Jika boundary subsystem gagal, pengguna tidak dapat
masuk ke sistem. Kegagalan tersebut dapat terjadi dalam bentuk
berbagai jenis/tingkat. Existence control dirancang dengan
tujuan untuk menjaga agar jika aktivitas user (pengguna)
terhenti karena suatu sebab kegagalan tertentu, akses tersebut
tidak diproses lebih lanjut demi untuk menjaga data integrity
maupun pengamanan aset.
B. Pengendalian Masukan (Input Controls)
Menurut Weber (1999, p.420) pengendalian masukan adalah “Components in the input subsystem are responsible for bringing both data and instrucitons into an application control“.
Pengertiannya secara garis besar adalah pengendalian yang
dilakukan ketika memasukkan data ke dalam sistem. Dokumen
sumber digunakan sebagai dasar untuk menginput data. Dokumen
sumber yang didesain dengan baik penting untuk mencapai tujuan
audit. Sedangkan menurut Bodnar dan Hopwood yang
diterjemahkan oleh Jusuf dan Tambunan (2000, p189)
menyatatakan bahwa “Pengendalian masukan dirancang untuk
mencegah atau mendeteksi kekeliruan dalam tahap masukan
pengolahan data”.
Menurut Gondodiyoto (2003, p.140) menyatakan bahwa
input merupakan salah satu tahap dalam sistem komputerisasi yang
28
paling krusial dan mengandung resiko. Resiko yang dihadapi
misalnya :
1. Data transaksi yang ditulis oleh pelaku transaksi salah (error).
2. Kesalahan pengisian dengan kesengajaan disalahkan.
3. Penulisan tidak jelas sehingga dibaca salah oleh orang lain.
C. Pengendalian Keluaran (Output Controls)
Menurut Gondodiyoto (2003,p.145) mengatakan bahwa
“Pengendalian keluaran adalah pengendalian intern untuk
mendeteksi jangan sampai informasi yang disajikan tidak akurat,
tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada
orang-orang yang tidak berhak”. Sedangkan menurut Bodnar dan
Hopwood yang diterjemahkan oleh Jusuf dan Tambunan (2000,
p194) “Pengendalian keluaran dirancang untuk memeriksa apakah
masukan dan pemrosesan berpengaruh pada keluaran secara absah
dan apakah keluaran telah didistribusikan secara memadai”.
Berdasarkan keterangan diatas, maka dapat disimpulkan
bahwa pengendalian keluaran adalah pengendalian yang dilakukan
untuk menjamin bahwa:
1. Hasil print out komputer ataupun displaynya telah dilakukan
dengan teliti dan benar
29
2. Menjamin bahwa hasilnya diberikan kepada pegawai yang
berhak.
Pengendalian ini didesain untuk memberikan keyakinan
yang memadai bahwa:
a. Hasil pengolahan atau proses komputer adalah akurat (cermat)
b. Akses terhadap keluaran hasil print out komputer hanya
dibenarkan bagi petugas tertentu yang berhak
c. Hasil komputer keluaran diberikan kepada atau disediakan
untuk orang yang tepat dan pada waktu yang tepat pula yang
telah mendapatkan otorisasi sebagaimana mestinya.
2.3 Audit Sistem Informasi
2.3.1 Definisi Auditing
Menurut Arens and Loebbecke (2003, p.1) mendefinisikan ”Auditing
adalah proses pengumpulan dan pengevaluasian bahan bukti tentang
informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan
seorang yang kompeten dan independent untuk dapat menentukan dan
melaporkan kesesuaian informasi dimaksud dengan criteria-kriteria yang
telah ditetapkan”.
Mulyadi (2002, p.9) mendefinisikan ”Auditing adalah suatu proses
sistematik untuk memperoleh dan mengevaluasi bukti secara objektif
30
mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi,
dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-
pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian
hasil-hasilnya kepada pemakai yang berkepentingan”
2.3.2 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p.10) “Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and users resources efficiently”.
Pengertiannya secara garis besar adalah merupakan proses untuk
mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan apakah
sistem komputer dapat melindungi aktiva organisasi, mampu menjaga
integritas data, dapat membantu pencapaian tujuan organisasi secara efektif,
serta menggunakan sumber daya yang dimiliki secara efisien.
2.3.3 Tujuan Audit Sistem Informasi
Menurut Weber (1999,p.11-13), tujuan Audit Sistem Informasi dapat
disimpulkan secara garis besar terbagi menjadi empat tahap, yaitu :
1. Meningkatkan kemanan aset-aset perusahaan
Asset informasi suatu perusahaan seperti perangkat keras (hardware),
perangkat lunak (software), sumber daya manusia, file data harus
dijaga oleh suatu sistem pengendalian intern yang baik agar tidak
terjadi penyalahgunaan asset perusahaan. Dengan demikian sistem
31
pengamanan asset merupakan suatu hal yang sangat penting yang
harus dipenuhi oleh perusahaan.
2. Meningkatkan integritas data
Integritas data adalah salah satu konsep dasar sistem informasi. Data
memiliki atribut-atribut tertentu seperti : kelengkapan, kebenaran dan
keakuratan. Jika integritas data tidak terpelihara, maka suatu
perusahaan tidak akan lagi memiliki hasil atau laporan yang benar
bahkan perusahaan dapat menderita kerugian.
3. Meningkatkan efektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting
dalam pengambilan keputusan. Suatu sistem informasi dapat dikatakan
efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan
user.
4. Meningkatkan efisiensi sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak
lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem
aplikasi komputer menurun maka pihak manajemen harus
mengevaluasi apakah efisiensi sistem masih memadai atau harus
menambah sumber daya, karena suatu sistem dapat dikatakan efisien
jika sistem informasi dapat memenuhi kebutuhan user dengan sumber
daya informasi yang minimal.
32
2.3.4 Tahapan Audit Sistem Informasi
Menurut Weber (1999,p.48), tahapan audit sistem informasi
digambarkan dalam bentuk flowchart pada gambar 2.1.
Mulai
ApakahPengendalian
DapatDiandalkan?
Persiapan KerjaAudit
MemahamiStruktur
Pengendalian
Menafsir ResikoPengendalian
Melakukan TestKontrol
PenafsiranKembali ResikoPengendalian
ApakahPengendalianMasih DapatDiandalkan?
TingkatkanKeandalan
Pengendalian
PengujianSubstantifTerbatas
MelakukanPengujianSubstantif
Memberikan Opinidan Laporan Audit
Stop
Tidak
Ya
Ya
Tidak
Tidak
Ya
Gambar 2.1 Tahapan Audit Sistem Informasi
33
2.3.5 Prosedur Audit Sistem Informasi
Prosedur audit adalah pedoman yang akan dilakukan oleh auditor
untuk mengumpulkan bahan bukti audit tertentu. Menurut Mulyadi (2002,
p.86) ”Prosedur audit adalah instruksi rinci untuk mengumpulkan tipe bukti
audit tertentu yang harus diperoleh pada saat tertentu dalam audit”.
Sedangkan menurut Arens dan Loebbecke yang diterjemahkan oleh Jusuf
mendefinisikan “Prosedur audit adalah petunjuk rinci untuk pengumpulan
jenis bahan bukti audit tertentu yang diperoleh pada waktu tertentu selama
audit”.
2.3.6 Metode Audit
Menurut Weber (1999,p.55-57), Metode Audit meliputi :
1. Auditing Around the Computer
Merupakan suatu pendekatan audit dengan memperlakukan
komputer sebagai black box, maksudnya metode ini tidak menguji
langkah-langkah proses secara langsung, tetapi hanya berfokus pada
masukan dan keluaran dari sistem komputer. Diasumsikan bahwa jika
masukan benar akan diwujudkan pada keluaran, sehingga pemrosesan
juga benar dan tidak melakukan pengecekan terhadap pemrosesan
komputer secara langsung.
34
Pendekatan ini mengandung kelemahan antara lain :
a. Umumnya database mencakup jumlah data yang banyak dan
sulit untuk ditelusuri secara manual.
b. Tidak menciptakan sarana bagi auditor untuk menghayati dan
mendalami lebih mantap liku-liku sistem komputer.
c. Cara ini mengabaikan pengendalian sistem dalam pengolahan
komputer itu sendiri, sehingga rawan terhadap adanya
kelemahan dan kesalahan yang potensial di dalam sistem.
d. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan
audit menjadi sia-sia.
e. Tidak dapat mencakup keseluruhan maksud dan tujuan
penyelenggaraan audit.
2. Auditing Through the Computer
Merupakan suatu pendekatan audit yang berorientasi pada
komputer dengan membuka black box, dan secara langsung berfokus
pada operasi pemrosesan dalam sistem komputer. Dengan asumsi
bahwa apabila sistem pemrosesan mempunyai pengendalian yang
memadai maka kesalahan dan penyalahgunaan tidak akan terlewat
untuk dideteksi. Sebagai akibatnya keluaran dapat diterima.
35
Keuntungan utama dari pendekatan ini adalah dapat
meningkatkan kekuatan terhadap pengujian sistem aplikasi secara
efektif, dimana ruang lingkup dan kemampuan dari pengujian yang
dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap
keandalan dari pengumpulan dan pengevaluasian bukti dapat
ditingkatkan. Selain itu, dengan memeriksa secara logika pemrosesan
dari sistem aplikasi dapat diperkirakan kemampuan sistem dalam
menangani perubahan dan kemungkinan kehilangan yang terjadi pada
masa yang akan datang.
Kelemahannya sebagai berikut :
a. Biaya yang dibutuhkan relatif tinggi disebabkan jumlah jam
kerja yang banyak untuk dapat lebih memahami struktur
pengendalian intern dari pelaksanaan sistem.
b. Butuh keahlian teknik yang lebih mendalam untuk
memahami cara kerja sistem.
36
2.3.7 Standart Audit IASII
Berikut ini adalah standart-standart audit sistim informasi yang
dikeluarkan oleh IASII (Ikatan Audit Sistem Informasi Indonesia):
1. Tanggung jawab, wewenang dan akuntabilitas
Tanggung jawab, wewenang dan akuntabilitas dari auditor system
informasi harus dinyatakan dengan jelas secara formal dan tertulis
dalam piagam atau surat tugas audit sistem informasi serta disetujui
secara bersama oleh auditor sistem informasi dan pemberi tugas.
2. Independensi dan obyektifitas
a. Independensi
Dalam berbagai hal yang berkaitan dengan audit sistem informasi,
auditor sistem informasi harus menjaga independensinya, baik secara
faktual maupun penampilan, dari organisasi atau hal yang diaudit.
b. Obyektifitas
Auditor sistem informasi harus menjaga obyektifitasnya dalam
merencanakan, melaksanakan dan melaporkan audit sistem
informasi.
3. Profesionalisme dan Kompetensi
a. Profesionalisme
37
Auditor sistem informasi harus memenuhi berbagai standart audit
yang berlaku serta menerapkan kecermatan dan keterampilan
profesionalisnya dalam merencanakan, melaksanakan dan
melaporkan audit sistem informasi.
b. Kompetensi
Auditor sistem informasi secara kolektif harus memiliki atau
memperoleh pengetahuan dan keahlian yang diperlukan untuk
melaksankan audit sistem informasi.
c. Pendidikan profesi berkelanjutan
Auditor sistem informasi harus meningkatkan pengetahuan dan
keahlian untuk melaksankan audit sistem informasi melalui
pendidikan profesi berkelanjutan.
4. Perencanaan
Auditor sistem informasi harus merencanakan audit sistem informasi
dengan baik agar dapat mencapai tujuan audit serta memenuhi standart
audit yang berlaku.
5. Pelaksanaan
a. Pengawasan
Staf audit sistem informasi harus disupervisi dengan baik untuk
memberikan keyakinan yang memadai bahwa tujuan audit sistem
38
informasi dapat tercapai dan standart audit yang berlaku dapat
dipenuhi.
b. Bukti-bukti audit
Dalam melaksanakan audit sistem informasi, auditor sistem
informasi harus memperoleh bukti-bukti audit yang cukup, dapat
diandalkan dan bermanfaat untuk mencapai tujuan audit sistem
informasi secara efektif. Temuan dan kesimmpulan audit sistem
informasi harus didukung oleh analisis dan interprestasi yang
memadai atas bukti-bukti audit tersebut.
c. Kertas kerja audit
Dalam melaksanakan audit sistem informasi, auditor sistem
informasi harus mendokumentasikan secara sistematis seluruh bukti-
bukti audit yang diperoleh secara analisis yang diberlakukannya.
6. Pelaporan
Setelah menyelesaikan pelaksanaan audit sistem informasi, auditor
sistem informasi harus memberikan suatu laporan audit sistem
informasi dalam bentuk yang memadai kepada pihak-pihak yang berhak
menerima. Laporan audit sistem informasi harus menyatakan lingkup,
tujuan, sifat penugasan, temuan, kesimpulan, rekomendasi, identitas
organisasi, penerima dan batasan distribusi laporan, serta batasan atau
39
pengecualian yang berkaitan dengan pelaksanaan audit sistem
informasi.
7. Tindak lanjut
Auditor sistem informasi harus meminta dan mengevaluasi informasi
yang dipandang perlu sehubungan dengan temuan, kesimpulan dan
rekomendasi audit yang terkait dari audit sebelumnya untuk
menentukan apakah tindak lanjut yang layak telah dilaksanakan dengan
tepat waktu.
2.4 Teori Khusus
Menurut Arief (2007, p.10-11) Hotel adalah suatu bentuk akomodasi
yang dikelola secara komersial, disediakan bagi setiap orang untuk memperoleh
pelayanan dan penginapan berikut makan dan minuman. (SK. Menteri
perhubungan No.PM.10/Pw.301/Phb.77)
Hotel adalah suatu jenis akomodasi yang mempergunakan sebagian atau
seluruh bangunan untuk menyediakan jasa pelayanan penginapan, makan dan
minum serta jasa lainnya bagi umum, yang dikelola secara komersial serta
memenuhi ketentuan persyaratan yang ditetapkan didalam keputusan
pemerintah.(SK Menparpostel No.KM.34/HK.103/MPPT-87).
Hotel bebintang memiliki persyaratan sebagai berikut:
• Fisik meliputi lokasi, kondisi dsb.
40
• Bentuk pelayanan (service).
• Klasifikasi tenaga kerja pendidikan dan kesejahteraan.
• Fasilitas olah raga dan fasilitas lainnya.
• Jumlah kamar yang tersedia.
2.4.1 Sistem Informasi Perhotelan
Sistem informasi perhotelan menyediakan laporan tentang
banyaknya tamu yang menginap, lama menginap, tingkat hunian, dan
banyaknya fasilitas yang digunakan oleh tamu tersebut. Sistem informasi
perhotelan menjadi kompleks ketika pihak hotel berusaha membuka unit-
unit profit lainnya seperti bar, restoran, toko roti, toko souvenir, wartel,
Internet Café dan acara-acara khusus.
Departemen TI hotel semakin tertantang untuk membangun SI
yang terpadu yang dapat menghasilkan informasi akurat setiap saat. Titik
kritis dari pembanguan sistem ini adalah menghubungkan antara
pemesanan temapat dan saat reservasi. Meskipun pemodelan database
sistem hotel ini tergolong cukup sederhana, tetapi tingkat kontrol yang
dibutuhkan sangat tinggi, khususnya untuk menghindari terjadinya
perbedaan pencatatan dari biaya yang ditawarkan dan yang di bayar oleh
tamu.
41
2.4.2 Fungsi Hotel
Menurut Arief (2007, p.76) fungsi Hotel adalah :
1. Sebagai tempat/sarana akomodasi untuk memenuhi kebutuhan tamu
(wisatawan dan pelancong), sebagai tempat beristirahat/tinggal
sementara waktu selama dalam perjalanan yang jauh dari tempat
asalnya.
2. Oleh karena itu dalam bahasa Inggris, hotel sering disebut sebagai
“Hotel is a home far away from home”.
3. Sebagai tempat pertemuan (rapat, seminar, komprensi, loka-karya, dan
sebagainya). Bagi para pengusaha, pimpinan pemerintahan, para
cendekiawan, dan sebagainya.
4. Sebagai tempat untuk mempromosikan berbagai produk, perusahaan,
atau bisnis apa saja (asal mampu membayarnya).
5. Sebagai tempat untuk bersantai, rekreasi, rileks, atau menikmati
kesenangan lainnya (bagi yang mampu).
6. Sebagai tempat bertemu, bergaul dan bersahabat bagi semua bangsa
yang datang.
7. Sebagai tempat untuk menambah ilmupengetahuan dan pengalaman
(khususnya untuk menambah ilmu pengetahuan dan pengalaman
(khususnya bagi pelajar/mahasiswa, dan karyawan).
8. Sebagai tempat untuk mencari nafkah/uang (khususnya bagi karyawan
dan managementnya).
42
2.4.3 Pengelompokan Hotel
Menurut Arief (2007, p.79) pengelompokan hotel menurut besar kecilnya
yaitu:
1. Small Size Hotel (Hotel Kecil) yang jumlah kamarnya kurang dari 26
kamar.
2. Small Average Size Hotel (rata-rata kecil sedang) yaitu jumlah kamar
antara 26 sampai 99 kamar tamu.
3. Medium Average Size Hotel (rata-rata sedang menengah) yaitu jumlah
kamar 100 sampai 299 kamar tamu.
4. Large Size Hotel (hotel ukuran besar) yaitu jumlah kamar 300 sampai
3000 kamar tamu.
2.4.4 Front Office
Menurut Agusanwar (2002, p.3), pengertian dari front office adalah
“Departemen yang mengambil bagian di depan atau di lobby hotel untuk
mempermudah pelayanan kepada tamu yang memerlukan bantuan. Disini,
tamu yang datang akan disambut dan dilayani untuk proses check-in dan
juga proses check-out ketika mereka keluar dari hotel.”
Bagian front office di hotel memiliki hubungan utama antara tamu
dan hotel. Biasanya bagian front office hotel memiliki perangkapan tugas
antara lain seperti petugas front desk, receptionist, guest service agent.
Orang yang bekerja di front office adalah orang yang melakukan register
dan mengecek tamu yang masuk ataupun keluar dengan mencatatnya
43
secara tertulis ataupun komputerisasi, berhubungan dengan housekeeping
dan bagian lainnya di hotel tersebut, dan umumnya memproses informasi
serta menjadi pusat penyimpanan data-data tamu.
2.4.5 Kegiatan Utama Front Office
Menurut Cissco (2003, p.1), terdapat beberapa aktivitas utama front
office yang berhubungan dengan tamu secara langsung seperti reservasi,
registrasi, check-in, dan check-out.
1. Reservasi
Definisi reservasi menurut Sihite (2000, p.52) adalah kegiatan pertama
yang dilakukan tamu untuk melakukan pemesanan sebelum datang ke
hotel. Pada saat tamu melakukan reservasi, maka bagian front office
akan menanyakan apakah tamu tersebut telah membuat reservasi
sebelumnya. Pada reservasi biasanya akan ditanyakan beberapa data
tamu seperti nomor telepon, nama tamu, alamat, waktu kedatangan,
serta sistem pembayaran yang akan dilakukan.
2. Check-in
Pada proses check-in, ada beberapa aktivitas yang dilakukan oleh
bagian front office dengan tamu seperti menyambut, registrasi,
penempatan ruangan, hingga pada membawa barang bawaan tamu ke
ruangan yang dibantu oleh bellboy. Pada saat registrasi, maka bagian
44
front office akan meminta kartu identitas tamu untuk dicatat sebagai
data, serta menanyakan sistem pembayaran yang akan dilakukan.
3. Check-out
Check-out dilakukan pada saat tamu akan meninggalkan hotel. Bagian
front office akan mengecek pemakaian ruangan dari tanggal check-in
hingga check-out dan juga mengecek pemakaian minibar atau
pelayanan kamar lainnya. Berdasarkan data-data tersebut maka akan
dibuat bill dan akan ditagihkan kepada tamu.
2.4.6 Hubungan Antara Departemen Front Office dengan Departemen
Lainnya
Gambar 2.2 Hubungan Antara Departemen Front Office dengan Departmen
lainnya
F
Housekeepin
Security
Engineering
Finance
Food & B
Human Reso rcing
Sales & M k ti
Kitchen
45
a. FO departement dengan Housekeeping
a) Masalah status kamar
Pihak Housekeeping bertugas untuk mengecek kamar apakah
tedapat barang-barang yang hilang, rusak atau tertinggal.
b) Masalah perpindahan kamar (tamu biasa dan tamu VIP)
Pihak Housekeeping juga bertugas untuk membantu tamu yang
akan pindah kamar, sehingga tamu akan lebih terbantu.
c) Masalah kedatangan dan keberangkatan tamu
Membantu tamu untuk membawa barang-barang, serta
mengantarkan tamu ke kamar, baik tamu check-in maupun check-
out.
d) Masalah Housekeeping report
Pihak Housekeeping wajib melaporkan kelengkapan barang-
barang dikamar hotel kepada pihak FO.
b. FO departemen dengan Food and Beverage departemen
a) Penanganan daily buffet sehari-hari di coffee shop (untuk tamu-
tamu rombongan yang menggunakan fasilitas meal kupon).
b) Penyediaan makanan dan minuman sesuai dengan tingkat hunian
kamar.
46
c) Penanganan meal coupon
Pihak Food and Beverage membantu para tamu utnuk
menukarkan meal coupon dengan sarapan yang merupakan bagian
dari fasilitas hotel yang diberikan secara cuma-cuma.
c. FO Departemen dengan personal & Training departemen
a) Penerimaan karyawan baru
Training departement bertugas untuk membantu dalam pelatihan
penerimaan karyawan baru.
b) Mutasi dan promosi karyawan
Bagian Personal dan Training departement memiliki otorisasi
untuk memutasi karyawan ke bagian lain, mempromosikan untuk
penaikan jabatan.
c) Program orientasi karyawan baru
Mengadakan program pengenalan dan pelatihan bagi karyawan
baru yang bergabung.
d) Tour to the hotel
Melakukan studi banding untuk pelatihan karyawan baru dan
membandingkan setiap hotel.
47
d. FO departemen dengan Engineering & Maintenance departement
a) Penanganan working memo/memo order sehubungan dengan
kerusakan yang terjadi pada alat-alat di front office department.
b) Pembuatan kunci duplikat (bila hotel masih menggunakan kunci
manual).
c) Penanggulangan bahaya kebakaran
Pihak maintanance departement harus memeriksa dan merawat
setiap alat-alat pencegah kebakaran.
d) Penanggulangan kerusakan masalah AC (penyeduk udara)
Pihak maintanance bertugas untuk memperbaiki dan merawat AC
yang terdapat disetiap kamar ataupun ruangan yang memiliki AC.
e) Masalah transportasi tamu dan karyawan
Pihak maintanance juga harus meawat kendaraan tamu ataupun
karyawan agar tetap terjaga dengan baik.
f) Informasi mengenai kerusakan peralatan electronika
Pihak Maintanance bertanggungjawab dalam perbaikan peralatan
elektronik apabila terjadi kerusakan.
48
e. FO departement dengan Acounting departement
a) Masalah penagihan kredit tamu yag belum terbayar
Bagian accounting dapat menagih pembayaran hotel kepada tau
yag belum terbayar.
b) Masalah petty cash
Bagian Accounting memiliki otorisasi untuk mengatur kas kecil
atau petty cash. Petty cash ini digunakan untuk pengeluaran hal-
hal kecil seperti foto copy, membeli alat tulis dll.
c) Masalah remittance of funds
Bagian accounting membantu front office untuk pengembalian
uang customer bila terjadi selisih ataupun kelebihan pembayaran.
d) Penggajian bulanan yang berhubungan dengan over time
Bagian accounting menghitung penggajian karyawan menurut
waktu lembur yang dilakukan.
e) Penanganan night audit
Bagian accounting juga menangani pengecekkan transaksi setiap
malamnya. Pengecekkan ini silakukan saat closing sekitar pukul
12 malam.
49
f) Penanganan room revenue
Bagian accounting juga mengangani pembayaran room yang akan
menjadi pendapatan hotel.
f. FO departement dengan security departement
a) Menjaga dan mengawasi kamar tamu.
b) Melindungi barang-barang milik tamu, karyawan dan pengunjung.
c) Memberikan perasaan aman pada tamu, karyawan dan
pengunjung, baik secara fisik ataupun rohani.