bab 2 landasan teori 2.1 sistem informasi akuntansi 2.1.1...
TRANSCRIPT
7
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi Akuntansi
2.1.1 Pengertian Sistem Informasi Akuntansi
Menurut Bodnar dan Hopwood (2001, p.1), Sistem Informasi Akuntansi
adalah kumpulan dari sumber daya, seperti manusia dan peralatan yang
diatur untuk mengubah data keuangan dan data lainnya menjadi informasi.
Menurut Jones dan Rama (2003, p.5), Sistem Informasi Akuntansi
adalah subsistem dari MIS (Management Information System) yang
menyediakan informasi akuntansi dan keuangan, sebaik informasi lainnya
yang didapat dalam proses rutin dari transaksi akuntansi.
Berdasarkan pengertian tersebut maka penulis berkesimpulan bahwa
Sistem Informasi Akuntansi adalah kombinasi dari berbagai sumber daya
yang dirancang untuk mengubah data keuangan menjadi informasi yang
dibutuhkan oleh manajemen.
2.1.2 Tujuan Sistem Informasi Akuntansi
Tujuan dan manfaat Sistem Informasi Akuntansi menurut Gondodiyoto
dan Hendarti (2006, p.109-110) adalah sebagai berikut :
1. Untuk melakukan pencatatan transaksi dengan biaya klerikal seminimal
mungkin dan menyediakan informasi (information value added
mechanism) bagi pihak intern untuk pengelolaan kegiatan usaha
(managers) serta para pihak terkait (stokeholder/stakeholder).
8
2. Untuk memperbaiki informasi yang dihasilkan oleh sistem yang sudah
ada, baik mengenai mutu, ketepatan penyajian maupun struktur
informasinya.
3. Untuk menerapkan sistem pengendalian intern, memperbaiki kinerja
dan tingkat keandalan (reliability) informasi akuntansi dan untuk
menyediakan catatan lengkap mengenai pertanggungjawaban
(akuntabilitas).
4. Menjaga/meningkatkan perlindungan kekayaan perusahaan.
2.1.3 Siklus Proses Transaksi SIA
Akuntan menemukan itu berguna untuk melihat proses bisnis
perusahaan dalam cakupan dari siklus transaksi. Menurut Jones dan Rama
(2003, p.4) ada tiga siklus transaksi utama, yaitu :
1. Siklus penerimaan (pembelian) adalah proses dari membeli dan
membayar untuk barang dan jasa.
2. Siklus konversi adalah proses dari mentransfer sumber daya yang
diperoleh dalam barang dan jasa.
3. Siklus pendapatan adalah proses dari menyediakan barang dan jasa ke
pelanggan.
2.2 Sistem Pengendalian Intern
2.2.1 Pengertian Pengendalian Intern
Menurut Alvin A. Arens, Randal J. Elder, Mark S. Beasly (2005, p.270),
Sistem Pengendalian Internal berisi dari kebijakan dan prosedur yang
9
didesain untuk mendukung manajemen dengan perlindungan yang diterima
oleh perusahaan untuk mencapai tujuannya.
Menurut Romney dan Steinbart (2003, p.195), Pengendalian Internal
adalah perencanaan dari organisasi dan metode-metode yang akurat dan
terpercaya, mengembangkan dan memperbaiki keefisienan operasional dan
mendorong ketaatan untuk menentukan kebijakan manajerial.
Menurut Weber (1999, p.35), Pengendalian Intern adalah suatu sistem
untuk mencegah, mendeteksi dan mengkoreksi kejadian yang timbul saat
transaksi dari serangkaian pemrosesan tidak terotorisasi secara sah, tidak
akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak
efisien.
Berdasarkan pengertian di atas maka pengendalian dikelompokkan
menjadi tiga bagian :
1. Preventive Control
Pengendalian ini digunakan untuk mencegah masalah sebelum masalah
tersebut muncul.
2. Detective Control
Pengendalian ini digunakan untuk menemukan masalah yang
berhubungan dengan pengendalian setelah masalah tersebut timbul.
3. Corrective Control
Pengendalian ini digunakan untuk memperbaiki masalah yang
ditemukan pada detective control. Pengendalian ini mencakup prosedur
untuk menentukan penyebab masalah yang timbul, memperbaiki
kesalahan atau kesulitan yang timbul, memodifikasi sistem proses.
10
Dengan demikian bisa mencegah kejadian yang sama di masa
mendatang.
2.2.2 Tujuan Pengendalian Intern
Tujuan pengendalian intern menurut Gondodiyoto dan Hendarti (2006,
p.144) adalah pada hakekatnya untuk melindungi harta milik perusahaan,
memeriksa kecermatan dan kehandalan data akuntansi, meningkatkan
efisiensi usaha, dan mendorong ditaatinya kebijakan manajemen yang telah
digariskan:
1. Menyajikan data yang dapat dipercaya
2. Mengamankan aktiva dan pembukuan
3. Meningkatkan efisiensi operasional
4. Mendorong pelaksanaan kebijaksanaan yang ada
Menurut COSO yang dikutip dari buku Romney (2003, p.196) tujuan
pengendalian intern adalah :
a. Efektifitas dan efisiensi operasi.
b. Laporan keuangan yang dapat dipercaya.
c. Kepatuhan terhadap hukum dan peraturan yang ada.
2.2.3 Komponen Pengendalian Intern
Pengendalian Intern menurut Weber (1999, p.49), terdiri dari lima
komponen yang saling terintegrasi, antara lain :
1. Pengendalian Lingkungan (Control Environment)
Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian,
wewenang dan tanggung jawab yang harus dilakukan, cara komite audit
11
berfungsi dan metode-metode yang digunakan untuk merencanakan dan
memonitor kinerja.
2. Resiko Penugasan (Risk Assesment)
Komponen ini untuk mengidentifikasi dan menganalisa resiko yang
dihadapi oleh perusahaan dan cara-cara untuk menghadapi resiko
tersebut.
3. Pengendalian Kegiatan (Control Activities)
Komponen yang beroperasi untuk memastikan transaksi telah
terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen
dan record, perlindungan asset dan record, pengecekan kinerja, dan
penilaian dari jumlah record yang terjadi.
4. Informasi dan Komunikasi (Information and Communication)
Komponen dimana informasi digunakan untuk mengidentifikasi,
mendapatkan, dan menukarkan data yang dibutuhkan untuk
mengendalikan dan mengatur operasi perusahaan.
5. Pengawasan (Monitoring)
Komponen yang memastikan pengendalian intern beroperasi secara
dinamis.
2.2.4 Sistem Pengendalian Intern pada Sistem Berbasis Komputer
Menurut Weber (1999, p.33), Pengendalian terdiri dari dua jenis yaitu,
Pengendalian Manajemen (Management Control Framework) dan
Pengendalian Aplikasi (Application Control Framework).
12
2.2.4.1 Pengendalian Manajemen (Management Control Framework)
Pengendalian Manajemen dilakukan untuk menyakinkan
bahwa pengembangan, pengimplementasian, pengoperasian, dan
pemeliharaan sistem informasi telah diproses sesuai dengan
perencanaan yang telah terkendali. Pengendalian ini berguna
untuk menyediakan infrastuktur yang stabil sehingga sistem
informasi yang dapat dibangun dapat dioperasikan dan dipelihara
secara berkesinambungan. Subsistem dari pengendalian
manajemen adalah sebagai berikut :
1. Pengendalian Manajemen Tingkat Puncak (Top Level
Management Control)
Menurut Weber (1999, p.39), Manajemen Puncak harus
memastikan bahwa fungsi sistem informasi telah berjalan
dengan baik, tanggung jawab mereka adalah untuk membuat
keputusan jangka panjang terhadap bagaimana caranya
pemakaian sistem informasi pada organisasinya.
2. Pengendalian Manajemen Pengembangan Sistem (System
Development Management Control)
Pengendalian Manajemen Pengembangan Sistem berfungsi
untuk mengendalikan alternatif dari model proses
pengembangan sistem informasi sehingga dapat digunakan
sebagai dasar pengumpulan dan pengevaluasian bukti.
Menurut Weber (1999, p.39), Manajemen Pengembangan
Sistem bertanggung jawab untuk perancangan,
13
pengimplementasian, dan pemeliharaan sistem aplikasi.
3. Pengendalian Manajemen Pemrograman (Programing
Management Control)
Menurut Weber (1999, p.158), Pengendalian Manajemen
Pemrograman berfungsi untuk mengendalikan tahapan utama
dari daur hidup program dan pelaksanaan dari tiap tahap.
Manajemen Pemrograman bertanggung jawab untuk
pemrograman sistem baru, pemeliharaan sistem lama, dan
menyediakan software yang mendukung sistem pada
umumnya.
4. Pengendalian Manajemen Sumber Data (Data Resource
Management Control)
Menurut Weber (1999, p.207), Pengendalian Manajemen
Sumber Data berfungsi untuk mengendalikan peranan dan
fungsi dari data administrator atau database administrator.
Manajemen Sumber Data bertanggung jawab untuk
perancangan, perencanaan, dan persoalan pengendalian dalam
hubungannya dengan pengguna data organisasi.
5. Pengendalian Manajemen Keamanan (Security Management
Control)
Bertanggung jawab untuk melakukan pengendalian
terhadap akses dan keamanan fisik dari fungsi sistem
informasi. Ada 2 tipe dari sistem informasi keamanan yaitu:
a. Asset fisik yaitu : personal, hardware, fasilitas,
14
dokumentasi, dan supplies.
b. Asset logikal yaitu : data/informasi dan software (sistem
dan aplikasi).
6. Pengendalian Manajemen Operasional (Operations
Management Control)
Pengendalian Manajemen Operasional berfungsi untuk
menyakinkan bahwa pengoperasian sehari-hari dari fungsi
sistem informasi diawasi dengan baik. Menurut Weber (1999,
p.289), Pengendalian Manajemen Operasional bertanggung
jawab terhadap pengoperasian komputer, pengoperasian
jaringan, persiapan, dan pengentrian data.
7. Pengendalian Manajemen Jaminan Kualitas (Quality
Assurance Management Control)
Menurut Weber (1999, p.332-333), Pengendalian
Manajemen Jaminan Kualitas berfungsi untuk meyakinkan
bahwa pengembangan, pelaksanaan, pengoperasian, dan
pemeliharaan dari sistem informasi sesuai dengan standar
kualitas.
Dalam ruang lingkup audit yang dilakukan, maka tekanannya
adalah pada pengendalian manajemen yang menyangkut masalah-
masalah mengenai :
1. Pengendalian Manajemen Keamanan (Security Management
Control)
Menurut Weber (1999, p.257-266), Pengendalian
15
Manajemen Keamanan secara garis besar bertanggung jawab
dalam menjamin asset Sistem Informasi tetap aman. Pada
bagian ini akan dibahas tentang ancaman terhadap sistem
informasi dan cara penanganannya antara lain sebagai berikut:
a. Kerusakan karena kebakaran (Fire Damage)
Kebakaran adalah ancaman serius yang paling sering
terhadap keamanan sistem informasi menyatakan bahwa
berdasarkan laporan dari National Fire Protection
Association diketahui bahwa rata-rata kebakaran yang
terjadi di ruangan komputer di seluruh Amerika Serikat
adalah setiap 10 menit.
Beberapa cara untuk mengatasi ancaman kebakaran adalah
sebagai berikut :
1) Alarm kebakaran yang manual maupun otomatis
diletakkan pada tempat yang strategis.
2) Pemadam kebakaran diletakkan pada tempat yang
strategis.
3) Bangunan tempat diletakkannya asset sistem informasi
dibangun dengan konstruksi spesial yang tahan panas.
4) Tempat diletakkannya pemadam kebakaran dan arah
keluar diberi tanda yang jelas sehingga memudahkan
untuk melihat tanda tersebut.
5) Prosedur kebersihan yang baik dapat memastikan
bahwa barang-barang yang mudah menyebabkan
16
kebakaran tidak berada di ruang sistem informasi.
b. Kerusakan karena air (Water Damage)
Kerusakan yang terjadi karena air dapat merupakan
kelanjutan dari ancaman kebakaran, disamping terjadinya
banjir.
Beberapa cara penanganan terhadap water damage ini
adalah :
1) Jika memungkinkan, plafon, dinding, lantai yang tahan
air (waterproof).
2) Pastikan bahwa tersedia sistem drainase yang
memadai.
3) Tempatkan alarm pada tempat yang strategis dimana
harta sistem informasi berada.
4) Pada lokasi yang sering banjir, tempatkan harta sistem
informasi pada bangunan yang tinggi.
5) Memiliki master switch untuk semua kran air.
6) Gunakan sistem dry-pipe automatic sprinkler yang
dijalankan oleh alam dan api.
7) Tutup hardware dengan kain pengaman ketika tidak
digunakan.
c. Naik turunnya voltase listrik (Energy Variations)
Naik turunnya voltase listrik juga merupakan ancaman
terhadap bidang sistem informasi, hal ini dapat dicegah
dengan menggunakan peralatan yang dapat menstabilkan
17
tegangan listrik seperti pemakaian UPS untuk setiap
komputer dan peralatan sistem informasi lainnya.
d. Kerusakan struktur (Structural Damage)
Kerusakan struktur pada harta bagian Sistem Informasi
dapat terjadi karena terjadinya gempa, angin ribut, salju,
tanah longsor dan kecelakaan, seperti ditabrak truk,
pesawat.
e. Polusi (Pollution)
Polusi dapat merusak disk drive, hard disk dan juga dapat
mengakibatkan kebakaran.
f. Gangguan dari orang yang tidak bertanggung jawab
(Unauthorized Intrusion)
Unauthorized Intrusion dapat terdiri dari 2 jenis, yaitu :
1) Secara fisik masuk ke perusahaan dan mengambil
harta bagian sistem informasi atau melakukan
pengrusakan.
2) Tidak masuk secara fisik ke perusahaan tetapi
menggunakan cara lain seperti menggunakan receiver
dan melakukan penyadapan.
g. Viruses and Worm
Virus adalah sebuah program yang memerlukan operating
sistem komputer untuk masuk ke program lain, virus dapat
terjangkit dengan mudah seperti lewat file dan email.
h. Penggunaan yang salah terhadap software, data dan jasa
18
komputer (Misuse of Sofware, Data and Service)
Perusahaan dapat menderita kerugian karena software,
data dan pelayanan yang mereka miliki disalahgunakan.
Menurut Weber (1999, p.266) ketika terjadi bencana masih
terdapat memulihkan operasioanl dan mengurangi kerugian.
Dalam situasi ini ada 2 pengendalian yang harus dilakukan
adalah:
a. Disaster Recovery Plan (perencanaan recovery bila terjadi
bencana)
1) Emergency Plan, merupakan tindakan khusus yang
akan dilakukan segera setelah terjadinya bencana.
2) Backup Plan, rencana backup berisi jangka waktu
backup dilakukan, prosedur untuk dilakukan backup,
letak perlengkapan backup, karyawan yang
bertanggung jawab untuk melakukan kegiatan backup
ini.
3) Recovery Plan, merupakan kelanjutan dari rencana
backup karena recovery adalah kegiatan yang
dilakukan agar sistem informasi dapat berjalan seperti
biasanya.
4) Test Plan, merupakan komponen terakhir yang
berfungsi untuk memastikan bahwa ketiga rencana
diatas berjalan dengan baik.
b. Insurance.
19
Terkadang asuransi dapat digunakan memperkecil
kerugian yang timbul ketika bencana terjadi.
2. Pengendalian Manajemen Operasional (Operations
Management Controls)
Menurut Weber (1999, p.292-319), secara garis besar
Pengendalian Manajemen Operasional bertanggung jawab
pada:
a. Pengoperasian komputer
Kontrol terhadap operasional komputer merupakan
aktivitas harian, terdapat 3 kontrol yaitu:
1) Kontrol operasional (Operations Controls)
Kontrol operasional ini dilakukan untuk mendukung
jalannya program komputer sebagai contoh program
harus dijalankan dan dimatikan, media penyimpanan
harus tersedia, formulir harus disediakan printer dan
informasi yang dihasilkan harus dikirimkan ke
pemakai informasi.
2) Kontrol jadwal (Scheduling Controls)
Kontrol jadwal dilakukan untuk memastikan bahwa
komputer digunakan untuk kegiatan yang seharusnya
dan menggunakan sumber daya yang efisien.
3) Kontrol pemeliharaan (Maintenance Controls)
Kegiatan pemeliharaan terhadap hardware komputer
merupakan tindakan efektif yang harus dilakukan pada
20
kerusakan hardware dapat dicegah.
b. Jaringan operasional (Network Operations)
Manajer operasional bertanggung jawab untuk
menjalankan operasional setiap hari pada area yang luas
maupun lokal area pada perusahaan itu. Untuk
melaksanakan tanggung jawabnya mereka harus memulai
dan mengakhiri kegiatan jaringan dan memonitor kinerja
jaringan. Kontrol terhadap jaringan dibagi menjadi 2
bagian yaitu :
1) Wide Area Network Controls
Alat bantu penting yang dapat digunakan oleh operator
untuk mengelola wide area network adalah network
control terminal.
2) Local Area Network Controls
Sebuah server memainkan peranan penting untuk
mendukung mekanise kontrol akses data pada lokal
area network. Dari sudut pandang operasional
operating sistem yang terletak pada file server
membuat staf operasional dapat mengelola operasional
jaringan jangka panjang menjadi lebih baik.
c. Persiapan data dan pengentrian (Data Preparation and
Entry)
Secara umum, semua sumber data untuk aplikasi sistem
dikirim ke bagian persiapan data untuk diketik dan di
21
verifikasi sebelum dimasukan ke dalam sistem komputer.
Kegiatan ini biasanya dilakukan oleh operator komputer
yang sudah biasa memasukkan data ke komputer.
d. Pengendalian produksi (Production Control)
Kontrol terhadap pekerjaan operator komputer terdiri dari
5 tugas yaitu :
1) Menerima dan mengirim input dan output
2) Menjadwal pekerjaan
3) Melakukan perjanjian jasa pelayanan
4) Menetapkan harga
5) Memperoleh tambahan pemakaian komputer
e. Perpustakaan file (File library)
Fungsi file library pada bagian operasional adalah
bertanggungjawab untuk mengelola manajemen
penyimpan data.
f. Dokumentasi dan program library (Documentation and
Program Library)
Berbagai jenis dokumentasi diperlukan untuk mendukung
fungsi sistem informasi pada suatu organisasi,
perencanaan strategik dan operasional, dokumentasi
sistem aplikasi, dokumentasi aplikasi program,
dokumentasi sistem software dan utility, dokumentasi
database, manual operasional, dan manual standar.
Manajemen dokumentasi sistem informasi sulit dilakukan
22
karena alasan dibawah ini :
1) Tanggung jawab dokumentasi sering tidak jelas.
2) Dokumentasi dapat berupa berbagai bentuk dan pada
berbagai tempat.
3) Perbedaan jenis industri dan penyebaran dokumentasi
membuat dokumentasi menjadi sulit.
g. Bagian pendukung teknis (Help Desk)
Fungsi bagian ini pada bagian operasional terdiri dari dua,
yaitu membantu pemakai akhir untuk mendapatkan
hardware dan software, serta menyediakan dukungan
teknis untuk membantu mengatasi masalah.
h. Perencanaan kapasitas dan pengawasan kinerja (Capacity
Planning and Performance Monitoring)
Dengan menggunakan perhitungan statistik monitoring
kinerja, manajer operasional harus membuat tiga
keputusan, yaitu :
1) Mereka harus mengevaluasi apakah profil kinerja
memperlihatkan adanya kegiatan oleh bagian yang
tidak berwenang terjadi.
2) Mereka harus memastikan bahwa kinerja sistem dapat
diterima oleh pemakai.
3) Hardware dan software yang diperlukan harus
tersedia.
i. Manajemen operasional dari luar organisasi (Management
23
of outsourced operations)
Saat ini banyak organisasi yang memberikan pelaksanaan
fungsi sistem informasinya kepada pihak luar organisasi
(outsource), alasan utama mereka melakukan itu adalah
agar mereka bisa lebih fokus pada bisnisnya dalam
menghadapi tantangan bisnis yang semakin kompetitif
sekarang ini.
2.2.4.2 Pengendalian Aplikasi (Application Control)
Menurut Messier, Glover, dan Prawitt (2006, p.249)
Pengendalian Aplikasi merupakan pemrosesan yang spesifik dari
aplikasi komputer dan bagian dari program komputer yang
digunakan dalam sistem akuntansi (seperti; pendapatan atau
pembelian)
Pengendalian Aplikasi terdiri dari :
1. Pengendalian Batasan (Boundary Control)
Menurut Weber (1999, p.368), Pengendalian Boundary
adalah suatu pengendalian yang memiliki tiga tujuan utama,
yaitu :
a. Untuk memastikan bahwa pemakai komputer adalah orang
yang memiliki wewenang.
b. Untuk memastikan bahwa identitas yang diberikan oleh
pemakai adalah benar.
c. Untuk membatasi tindakan yang dapat dilakukan oleh
24
pemakai untuk menggunakan komputer ketika melakukan
tindakan otorisasi.
Menurut Weber (1999, p.378) bahwa pengendalian akses
membatasi penggunaan sumber daya sistem komputer hanya
kepada user yang mendapatkan otorisasi, membatasi user
yang mendapat otorisasi dalam mendapatkan sumber daya
yang otentik.
Personal Identification Number (PIN) merupakan jenis
sederhana dari password, bisa merupakan nomor rahasia
perorangan, untuk memastikan keaslian perorangan.
Terdapat tiga metode penggenerasian PIN (Weber, 1999,
p.392), yaitu :
a. Derived PIN
Metode ini menggunakan nomor account pelanggan
sebagai nomor account tersebut diubah dengan
menggunakan cryptographic key untuk menghasilkan PIN
dan kriteria panjang PIN. Keuntungan utama dari metode
ini adalah PIN ini tidak perlu disimpan, ketika user
mengisi nomor PIN ini maka PIN yang dibuat berdasarkan
nomor account ini akan divalidasi sehingga PIN dapat
dipakai. Kelemahannya adalah harus diberikan nomor
account baru bila konsumen lupa nomor PINnya.
b. Random PIN
Metode ini ditentukan dengan cara mengacak angka sesuai
25
dengan kriteria panjang PIN. Keuntungan metode ini
adalah PIN tidak terhubung dengan nomor account,
sehingga dapat diganti tanpa merubah nomor account.
Kelemahannya adalah nomor PIN ini harus disimpan pada
database pembuat PIN, sehingga harus diamankan dari
pihak yang tidak berwenang.
c. Customers selected PIN
Metode ini memungkinkan pelanggan memilih PIN
mereka sendiri. Keuntungan metode ini adalah mereka
dapat memilih sendiri PIN yang memudahkan mereka
untuk mengingatnya, tetapi hal ini juga merupakan
kelemahan karena biasanya user sering memilih nomor
yang berhubungan dengan mereka seperti tanggal lahir,
nama pasangan, dan PIN ini juga harus disimpan dalam
database.
Ada 2 cara yang dapat digunakan untuk melakukan validasi
PIN pada saat dimasukkan, yaitu :
a. Local PIN Validation
Validasi PIN lokal dapat dilakukan ketika online maupun
offline. Pada cara online, validasi terjadi pada komputer
institusi, terminal mengirim PIN ke host komputer untuk
keperluan verifikasi.
b. Interchange PIN Validation
Pada lingkungan interchange, prinsip utama adalah PIN
26
harus divalidasi oleh institusi yang menerbitkannya dan
bukan oleh institusi yang memperolehnya.
2. Pengendalian Masukan (Input Control)
Menurut Messier, Glover, dan Prawitt (2006, p.251),
Pengendalian Input harus menyakinkan bahwa :
a. Semua transaksi dicatat dalam sistem aplikasi.
b. Transaksi yang terjadi dicatat hanya satu kali agar tidak
terjadi duplikasi transaksi.
c. Transaksi yang ditolak diidentifikasi, dikoreksi, dan
dimasukkan kembali ke dalam sistem.
Ada tiga cara dalam menangkap (capture) data pada sistem
informasi, diantarannya (a). dengan dokumen sumber, (b).
mengentri langsung data, (c). dengan kombinasi dari
keduanya.
Menurut Weber (1999, p.420), komponen pada subsistem
input bertanggung jawab dalam mengirimkan data dan
instruksi ke dalam sistem aplikasi dimana kedua tipe input
tersebut haruslah divalidasi, selain itu banyaknya kesalahan
yang terdeteksi harus dikendalikan sehingga input yang
dihasilkan akurat, lengkap, unik, dan tepat waktu.
Cara input data dapat dilakukan dengan menggunakan
metode yaitu, keyboarding, direct reading, dan direct entry.
Dengan cara memahami metode input data yang digunakan
pada aplikasi maka auditor dapat mengembangkan cara
27
kontrol terhadap kekuatan dan kelemahan dari subsistem
input.
Ada 4 jenis sistem pengkodean yang harus dimengerti oleh
auditor agar mereka dapat mencapai tujuannya dalam
menganalisis kode, yaitu :
a. Serial Codes
Sistem kode serial menggunakan angka atau huruf yang
berurutan untuk sebuah entity. Keuntungan utama dari
penggunaan serial code ini adalah kemudahan untuk
menambah kode baru dan masih berurutan. Kelemahan
sistem ini adalah karena kodenya serial dan tidak memiliki
sesuatu yang membantu untuk mengingat makan sulit
untuk dapat mengingat kode ini.
b. Block Sequence Codes
Block sequence codes menggunakan blok angka untuk
menentukan kategori partikular dari entity. Atribut utama
dari masing-masing kategori entity harus dipilih dan
nomor blok harus diberikan untuk setiap nilai dari atribut.
c. Hierarchical Codes
Hierarchical codes memerlukan satu set atribut pilihan
dari entity yang akan diberi kode dan pemlihan tersebut
berdasarkan kepentingan. Nilai kode itu adalah kombinasi
dari nilai kode setiap atribut entity.
d. Association Codes
28
Pada association codes, atribut dari entity yang akan diberi
kode dipilih dan kode yang unik diberikan kepada setiap
atribut. Kode tersebut dapat berupa angka, huruf atau
kombinasi angka dan huruf.
Cara kontrol yang mudah dan efektif untuk melakukan
kontrol terhadap entry data adalah batch control. Batching
adalah proses pembentukan group suatu transaksi yang
memiliki hubungan satu dengan yang lain. Terdapat 2 jenis
batches, yaitu :
a. Physical Batches, adalah pengelompokkan transaksi pada
unit fisiknya, sebagai contoh sumber dokumen yang
diperoleh dari pos dikumpulkan dalam satu batches.
b. Logical Batches, adalah proses pengelompokkan transaksi
dilakukan berdasarkan logika, sebagai contoh klerk yang
berbeda menggunakan terminal yang sama untuk
memasukkan transaksi pada sistem aplikasi.
Data yang dimasukkan pada aplikasi harus segera
divalidasi setelah di-input. Ada 4 jenis data input validasi
yang harus dicek ketika data dimasukkan pada terminal, yaitu:
a. Field Check
Dengan field check, validasi test yang dilakukan terhadap
field tidak tergantung pada field lain dalam input record
atau input record lainnya.
b. Record Check
29
Dengan record check, validasi test yang dilakukan pada
field tergantung pada hubungan logika field itu dengan
field yang lain pada record.
c. Batch Check
Dengan batch check, validasi test melakukan pengujian
apakah karakteristik dari batch record yang dimasukkan
sama dengan karakteristik yang telah ditetapkan pada
batch.
d. File Check
Dengan file check, validasi test melakukan pengujian
apakah karakteristik pada file yang digunakan selama
entry data adalah sama dengan karakteristik data pada file.
3. Pengendalian Proses (Processing Control)
Menurut Gondodiyoto dan Hendarti (2006, p.353),
Pengendalian Proses adalah pengendalian intern untuk
mendeteksi jangan sampai data khususnya data yang
sesungguhnya sudah valid menjadi error karena adanya
kesalahan proses.
Tujuan pengendalian ini adalah untuk mencegah agar tidak
terjadi kesalahan-kesalahan selama proses pengolahan data.
Pengendalian proses merupakan bentuk pengendalian yang
diterapkan setelah data berada pada sistem aplikasi komputer.
4. Pengendalian Keluaran (Output Control)
Pengendalian keluaran menurut Gondodiyoto dan Hendarti
30
(2006, p.363-364), merupakan pengendalian yang dilakukan
untuk menjaga output sistem agar akurat, lengkap dan
digunakan sebagaimana mestinya.
Yang termasuk pengendalian keluaran antara lain ialah :
a. Rekonsiliasi keluaran dan masukan dan pengolahan
Rekonsiliasi keluaran dilakukan dengan cara
membandingkan hasil keluaran dari sistem dengan
dokumen asal.
a. Penelahaan dan pengujian hasil-hasil pengolahan
Pengendalian ini dilakukan dengan cara melakukan
penelahaan, pemeriksaan dan pengujian terhadap hasil-
hasil pengolahan dari sistem. Proses penelahaan dan
pengujian ini biasanya dilakukan oleh atasan langsung dari
pegawai.
b. Pendistribusian keluaran
Pengendalian ini didesain untuk memastikan bahwa
keluaran didistribusikan kepada pihak yang berhak,
dilakukan secara tepat waktu dan hanya keluaran yang
diperlukan saja yang didistribusikan.
Menurut Weber (p.619-624), ada jenis inference control
yang dapat dilakukan untuk mencegah adanya kompromi,
yaitu:
a. Kontrol pembatasan (Restriction Controls)
Kontrol ini merupakan satu rangkaian tanggapan yang
31
diberikan kepada pemakai untuk memberikan proteksi
terhadap data tentang individu yang datanya ada pada
database.
b. Kontrol gangguan (Pertubation Controls)
Kontrol ini menggunakan beberapa jenis gangguan
terhadap perhitungan statistik yang dibuat berdasarkan
record yang diambil dari database.
Auditor harus memperhatikan 3 hal yang berhubungan
dengan pelaksanaan program pembuatan laporan, yaitu :
a. Hanya orang yang memiliki wewenang saja dapat
menjalankan program ini, dengan penggunaan PIN,
password, dll.
b. Wewenang yang diberikan kepada orang yang dapat
menjalankan perintah, pembuatan laporan harus sesuai
dengan kebutuhan mereka akan laporan tersebut.
c. Program pembuatan laporan yang menghasilkan laporan
dalam jumlah banyak harus memiliki fasilitas checkpoint
atau restart.
Kontrol terhadap pencetakan laporan memiliki 3 tujuan,
yaitu :
a. Untuk memastikan bahwa laporan dicetak oleh printer
yang benar.
b. Untuk mencegah pihak yang tidak berwenang melihat data
sensitif yang terkandung pada laporan tersebut.
32
c. Untuk memastikan bahwa kontrol yang tepat telah
dilakukan pada proses pencetakan laporan.
5. Pengendalian Komunikasi (Communication Control)
Menurut Weber (1999, p.474), Pengendalian Komunikasi
digunakan untuk mengendalikan pendistribusian pembukaan
komunikasi subsistem, komponen fisik, kesalahan jalur
komunikasi, aliran dan hubungan, pengendalian topologi,
pengendalian akses hubungan, pengendalian atas ancaman
subversip, pengendalian internetworking, dan pengendalian
arsitektur komunikasi.
6. Pengendalian Database (Database Control)
Menurut Weber (1999, p.564), subsistem database
berfungsi untuk mendefinisi, menciptakan, mengubah,
menghapus dan membaca data pada sistem informasi.
Subsistem database secara bertahap juga digunakan untuk
menyimpan : (a) data desain obyek, (b) image, grafik audio
dan video yang dapat mendukung aplikasi multimedia.
2.2.5 Penetapan Resiko
Menurut Peltier (2001, p.1), resiko didefinisikan sebagai seseorang atau
sesuatu yang menyebabkan ancaman.
Menurut Peltier (2001, p.79), resiko dibagi menjadi 3 tingkatan yaitu:
1. High Vulnerability
Kelemahan yang sangat besar yang berada didalam sistem atau rutinitas
33
operasi dan dimana dampak potensial pada bisnis adalah penting, untuk
itu harus ada pengendalian yang ditingkatkan.
2. Medium Vulnerability
Beberapa kelemahan yang ada pada sistem dan dimana dampak
potensial pada bisnis adalah penting, untuk itu akan ada pengendalian
yang perlu ditingkatkan.
3. Low Vulnerability
Sistem telah dibangun dengan baik dan dioperasikan dengan benar.
Tidak ada penambahan pengendalian yang diperlukan untuk
mengurangi kelemahan (vulnerability).
Dari ketiga tingkatan resiko tersebut dibagi lagi menjadi 3 dampak
resiko, yaitu :
1. Severe impact (high)
Memungkinkan untuk perusahaan keluar dari bisnis atau kerusakan
yang parah dari kemungkinan bisnis dan perkembangan perusahaannya.
2. Significant impact (medium)
Akan mengakibatkan kerusakan yang berarti dan biaya yang
dikeluarkan juga cukup besar sehingga perusahaan akan berjuang untuk
mempertahankan.
3. Minor impact (low)
Tipe dari operasional memberi pengaruh yang kuat pada satu harapan
untuk dapat mengatur sebagian dari kehidupan bisnis yang biasa.
34
2.3 Audit Sistem Informasi
2.3.1 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p.10), Audit Sistem Informasi adalah proses
pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah
sistem komputer dapat mengamankan asset, memelihara data, mencapai
tujuan organisasi secara efektif, dan menggunakan sumber daya secara
efisien.
Menurut Arens dan Loebbecke (2003, p.1) untuk melaksanakan audit,
diperlukan informasi yang dapat diverifikasi dan sejumlah standar atau
kriteria yang dapat digunakan sebagai pegangan pengevaluasian informasi
tersebut. Supaya dapat diverifikasi, informasi harus dapat diukur.
Jadi dapat disimpulkan bahwa Audit Sistem Informasi adalah suatu
proses pengevaluasian yang dilakukan sesuai dengan berbagai standar,
panduan dan tujuan untuk membantu suatu organisasi dalam meyakinkan
bahwa teknologi informasi dan sistem bisnis yang dimilikinya telah efisien,
dilindungi dan dikendalikan secara memadai.
2.3.2 Metode Audit Sistem Informasi
Ada 3 metode Audit Sistem Informasi yang dapat dilakukan oleh
auditor, sebagai berikut :
1. Audit Around the Computer
Weber (1999, p.56) berpendapat bahwa Audit Around the Computer
merupakan audit terhadap suatu penyelenggaraan sistem informasi yang
berbasis komputer, tanpa menggunakan kemampuan peralatan
35
komputer itu sendiri.
Metode ini merupakan suatu pendekatan dengan memberlakukan
komputer sebagai black box, maksudnya metode ini tidak menguji
langkah-langkah proses secara langsung, tetapi hanya berfokus pada
masukan dan keluaran dari sistem komputer.
Biasanya audit around the computer merupakan pendekatan yang
lebih sederhana untuk melakukan proses audit sistem informasi dan
dilakukan oleh auditor yang memiliki pengetahuan yang minim tentang
komputer.
Kelemahan dari metode audit around the computer adalah :
a. Database biasanya dalam jumlah data yang banyak dan sulit untuk
dilacak secara manual.
b. Auditor tidak akan memahami operasional didalam sistem
komputer.
c. Adanya pengabaian pada sistem pengolahan komputer sehingga
sangat rawan adanya kesalahan potensial di dalam sistem.
d. Kemampuaan komputer sebagai fasilitas penunjang pelaksanaan
audit menjadi tidak ada.
e. Tidak menyelesaikan maksud dan tujuan proses audit secara
keseluruhan.
Keuntungan dari metode Audit Around The Computer adalah :
a. Tidak ada resiko terhadap kemungkinan hancurnya data
sesungguhnya.
b. Auditor hanya sedikit memerlukan tambahan pendidikan.
36
c. Umumnya mudah, sederhana, dan dimengerti oleh semua orang.
d. Biaya yang terkait dalam pelaksanaannya kecil.
2. Audit Through the Computer
Menurut Weber (1999, p.57) pada umumnya para auditor sekarang
ini terlibat dalam Audit Through the Computer. Dimana Auditor
menggunakan komputer untuk menguji : (1) logika proses dan
pengendalian yang ada saat ini pada sistem, (2) produksi record oleh
sistem.
Metode ini merupakan suatu pendekatan yang berorientasi pada
komputer dengan membuka black box dan secara langsung berfokus
pada operasi pemprosesan dalam sistem komputer. Dengan asumsi
bahwa apabila sistem pemrosesan mempunyai pengendalian yang
memadai, maka kesalahan dan penyalahgunaan tidak akan terlewat
untuk dideteksi. Sebagai akibatnya keluaran tidak dapat diterima.
Tujuan dari audit through the computer ini adalah untuk meneliti
apakah aplikasi yang dioperasikan sesuai dengan kondisi yang
sesungguhnya. Audit Through the Computer dapat juga dilakukan untuk
meneliti kelengkapan dan kebenaran akurasi dan validasi database atau
penelitian software datanya.
Keuntungan utama dari pendekatan ini adalah dapat meningkatkan
kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana
ruang lingkup dan kemampuan pengujian yang dilakukan dapat
diperluas sehingga tingkat kepercayaan terhadap kehandalan dari
pengumpulan dan pengevaluasian bukti dapat ditingkatkan, selain itu
37
dengan memeriksa secara langsung logika pemrosesan dari sistem
aplikasi dan diperkirakan kemampuan sistem dapat menangani
perubahan dan kemungkinan kehilangan yang terjadi pada masa yang
akan datang.
Kelemahan dari audit ini diantaranya yaitu :
a. Biaya yang dibutuhkan relatif tinggi yang disebabkan jumlah jam
kerja yang banyak untuk dapat lebih memahami struktur
pengendalian intern dari pelaksanaan sistem aplikasi.
b. Butuh keahlian teknik yang lebih mendalam untuk memahami cara
kerja sistem.
3. Audit With the Computer
Dalam pemeriksaan dengan komputer (Audit With the Computer)
atau audit dibantu komputer (Computer Assisted) terdapat beberapa
cara yang dapat digunakan oleh auditor dalam melaksanakan prosedur
audit :
a. Memproses atau melakukan pengujian dengan sistem komputer
klien itu sendiri sebagai bagian dari pengujian pengendalian atau
subtantif.
b. Menggunakan komputer untuk melaksanakan tugas audit yang
terpisah dari catatan klien, yaitu mengambil copy data, file atau
program milik klien untuk diuji dengan komputer lain (di kantor
auditor).
c. Menggunakan komputer sebagai alat bantu dalam audit,
menyangkut :
38
1) Dalam pengujian program, file atau data yang dipergunakan
dan dimiliki oleh perusahaan (sebagai software bantu audit).
2) Menggunakan komputer untuk dukungan kegiatan audit,
misalnya untuk administrasi dan surat-menyurat, pembuatan
table atau jadwal, untuk sampling dan berbagai kegiatan office
automation lainnya.
Metode ini merupakan suatu pendekatan audit dengan menggunakan
komputer dan software untuk mengotomatisasi prosedur pelaksanaan
audit.
2.3.3 Tahapan Audit Sistem Informasi
Menurut Weber (1999, pp. 47-54) ada beberapa tahap di dalam audit
sistem informasi yaitu sebagai berikut :
1. Perencanaan Audit (Planning the Audit)
Perencanaan merupakan tahap awal dari kegiatan audit. Pada tahap ini
auditor harus menentukan tingkat preliminary material untuk audit
mengenai pengendalian internal yang digunakan dalam organisasi. Bagi
auditor eksternal hal ini artinya adalah melakukan investigasi terhadap
klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima,
menempatkan staf audit, menghasilkan perjanjian audit, menghasilkan
informasi latar belakang klien, mengerti tentang masalah hukum klien
dan melakukan analisa terhadap prosedur yang ada untuk mengerti
tentang bisnis klien dan mengidentifikasi resiko audit. Bagi auditor
internal hal ini berarti mengetahui tujuan dilakukannya audit,
39
menghasilkan latar belakang informasi, menugaskan staf yang tepat dan
mengidentifikasi resiko.
2. Pengujian Pengendalian (Test of Control)
Auditor melakukan pengujian pengendalian ketika mereka menilai
bahwa pengendalian resiko berada pada level kurang dari maksimum.
Mereka mengandalkan pengendalian sebagai dasar untuk mengurangi
biaya testing (pengujian). Sampai pada tahap ini, auditor tidak
mengetahui apakah identifikasi pengendalian telah berjalan dengan
efektif. Oleh karena itu pengujian terhadap pengendalian diperlukan
evaluasi yang spesifik terhadap materi pengendalian.
3. Pengujian Transaksi (Test of Transactions)
Auditor menggunakan pengujian terhadap transaksi untuk
mengevaluasi apakah kesalahan atau proses yang tidak biasa terjadi
pada transaksi, yang mengakibatkan kesalahan pencatatan yang
material pada laporan keuangan.
4. Pengujian saldo atau hasil keseluruhan (Tests of Balance or Overall
Results)
Auditor mencari untuk mendapatkan bukti yang cukup untuk membuat
keputusan akhir tingkat kesalahan atau salah penyajian yang telah
terjadi atau mungkin terjadi.
5. Penyelesaian Audit (Completion of the Audit)
Auditor memberikan opini apakah ada kesalahan material atau salah
penyajian yang telah atau mungkin terjadi.
40
Dalam buku Weber (1999, p.48) tahapan audit sistem informasi
digambarkan dalam bentuk flowchart sebagai berikut :
Gambar 2.1 Tahapan Audit Sistem Informasi
Sumber : Weber (1999, p 48)
41
2.3.4 Standar Audit
2.3.4.1 Standar Audit Sistem Informasi (SASI)
Standar Audit Sistem Informasi (SASI) IASII diresmikan oleh
Rapat Anggota IASII tahun 2006 pada tanggal 25 Februari 2006
pukul 11.00 WIB bertempat di Jakarta. SASI IASII berlaku bagi
seluruh Anggota IASII (sesuai AD/ART IASII) yang
melaksanakan kegiatan Audit Sistem Informasi. Standar ini mulai
berlaku efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan
sebelum tanggal tersebut.
S-1 Penugasan Audit
S-1.1 Tanggung Jawab, Wewenang dan Akuntabilitas
Tanggung jawab, wewenang, dan akuntabilitas dari
auditor sistem informasi harus dinyatakan dengan
jelas secara formal dan tertulis dalam piagam atau
surat tugas audit sistem informasi serta disetujui
secara bersama oleh auditor sistem informasi dan
pemberi tugas.
S-2 Independensi & Obyektifitas
S-2.1 Independensi
Dalam berbagai hal yang berkaitan dengan audit
sistem informasi, auditor sistem informasi harus
menjaga independensinya, baik secara faktual
42
maupun penampilan, dari organisasi atau hal yang
diaudit.
S-2.2 Obyektifitas
Auditor sistem informasi harus menjaga
obyektifitasnya dalam merencanakan, melaksanakan
dan melaporkan audit sistem informasi.
S-3 Profesionalisme & Kompetensi
S-3.1 Profesionalisme
Auditor sistem informasi harus memenuhi berbagai
standar audit yang berlaku serta menerapkan
kecermatan dan ketrampilan profesionalnya dalam
merencanakan, melaksanakan, dan melaporkan audit
sistem informasi.
S-3.2 Kompetensi
Auditor sistem informasi, secara kolektif, harus
memiliki atau memperoleh pengetahuan dan
keahlian yang diperlukan untuk melaksanakan audit
sistem informasi.
S-3.3 Pendidikan Profesi Berkelanjutan
Auditor sistem informasi harus meningkatkan
pengetahuan dan keahlian yang diperlukan untuk
melaksanakan audit sistem informasi melalui
pendidikan profesi berkelanjutan.
S-4 Perencanaan
43
S-4.1 Perencanaan Audit
Auditor sistem informasi harus merencanakan audit
sistem informasi dengan baik agar dapat mencapai
tujuan audit serta memenuhi standar audit yang
berlaku.
S-5 Pelaksanaan
S-5.1 Pengawasan
Staf audit sistem informasi harus disupervisi dengan
baik untuk memberikan keyakinan yang memadai
bahwa tujuan audit sistem informasi dapat tercapai
dan standar audit yang berlaku dapat dipenuhi.
S-5.2 Bukti-bukti Audit
Dalam melaksanakan audit sistem informasi, auditor
sistem informasi harus memperoleh bukti-bukti audit
yang cukup, dapat diandalkan dan bermanfaat untuk
mencapai tujuan audit sistem informasi secara
efektif.
S-5.3 Kertas Kerja Audit
Dalam melaksanakan audit sistem informasi, auditor
sistem informasi harus mendokumentasikan secara
sistematis seluruh bukti-bukti audit yang diperoleh
serta analisis yang dilakukannya.
S-6 Pelaporan
S-6.1 Laporan Audit
44
Setelah menyelesaikan pelaksanaan audit sistem
informasi, auditor sistem informasi harus
memberikan suatu laporan audit sistem informasi
dalam bentuk yang memadai kepada pihak-pihak
yang berhak menerima.
S-7 Tindak Lanjut
S-7.1 Pemantauan Tindak Lanjut
Auditor sistem informasi harus meminta dan
mengevaluasi informasi yang dipandang perlu
sehubungan dengan temuan, kesimpulan dan
rekomendasi audit yang terkait dari audit
sebelumnya untuk menentukan apakah tindak lanjut
yang layak telah dilaksanakan dengan tepat waktu.
2.3.4.2 Standar COBIT
Standar audit yang digunakan untuk mengaudit sistem
informasi adalah dengan menggunakan COBIT (Control
Objectives for Information and Related Technology).
Menurut Gondodiyoto dan Hendarti (2006, p237), COBIT
adalah kombinasi dari prinsip-prinsip yang telah ditanamkan dan
dikenal sebagai acuan model (seperti : COSO), dan disejajarkan
dengan standar industri (seperti : ITIL, CMM, BS7799, ISO9000).
COBIT juga dilengkapi dengan IT balanced.
45
Berdasarkan COBIT 4.0, COBIT mendefinisikan aktivitas IT
didalam model proses umum diikuti 4 domain yaitu :
1. Perencanaan dan Organisasi (Plan and Organise)
Dalam hal ini mencakup pembahasan strategi untuk
mengidentifikasikan TI sehingga dapat memberikan yang
terbaik untuk pencapaian objective bisnis. Selanjutnya
realisasi visi strategis perlu direncanakan, dikomunikasikan,
dan diatur untuk perspektif yang berbeda.
2. Perolehan dan Implementasi (Acquire and Implementation)
Yaitu untuk merealisasi strategi IT, solusi IT yang perlu
diidentifikasi, dikembangkan, atau diperlukan sebagai
implementasi dan diintegrasikan ke dalam proses bisnis.
AI2 Acquire and Maintain Application Software (p.78)
AI2.10 Application Software Maintenance
Mengembangkan strategi dan perencanaan untuk memelihara
dan meningkatkan aplikasi software.
3. Penyerahan dan Pendukung (Delivery and Support)
Hal ini lebih dipusatkan pada penyerahan aktual dari syarat
pelayanan dengan jarak dari semua operasi keamanan
tradisional dan aspek urutan untuk pelatihan.
DS13 Manage Operation (p.152)
DS13.1 Operation Procedures and Instruction
46
Mendefinisikan, mengimplementasikan dan memelihara
standar untuk operasional TI dan menjamin staf operasional
terbiasa dengan semua tugas operasionalnya.
DS13.2 Job Scheduling
Mengorganisasikan atau mengatur penjadwalan pekerjaan,
proses dan tugas ke dalam urutan yang efisien dari standar job
schedule.
DS13.5 Preventive Maintenance for Hardware
Mendefinisikan dan mengimplementasikan prosedur untuk
menjamin perawatan infrastruktur secara rutin untuk
mengurangi dampak kerusakan atau penurunan daya kerja
hardware.
4. Monitoring
Yaitu semua proses TI yang perlu dinilai secara regular agar
kualitas dan kelengkapannya berdasarkan pada syarat kontrol.
Berdasarkan COBIT 4.0, Kriteria informasi untuk mencapai
tujuan bisnis meliputi :
1. Efektifitas
Untuk memperoleh informasi yang relevan dan berhubungan
dengan proses bisnis seperti penyampaian informasi dengan
benar, konsisten, dapat dipercaya dan tepat waktu.
2. Efisiensi
Memfokuskan pada ketentuan informasi melalui penggunaan
sumber daya yang optimal.
47
3. Kerahasiaan
Memfokuskan proteksi terhadap informasi yang penting dari
orang yang tidak memiliki hak otorisasi.
4. Integritas
Berhubungan dengan keakuratan dan kelengkapan informasi
dengan kebenaran yang sesuai dengan harapan dan nilai
bisnis.
5. Ketersediaan
Berhubungan dengan informasi yang tersedia ketika
diperlukan dalam proses bisnis sekarang dan yang akan
datang.
6. Kelengkapan
Sesuai menurut hukum, peraturan dan rencana perjanjian
untuk proses bisnis.
7. Keakuratan Informasi
Informasi untuk manajemen mengoperasikan entitas dan
mengatur pelatihan keuangan dan kelengkapan laporan
pertanggungjawaban.
Menurut COBIT 4.0 (p.17-18), proses COBIT IT melindungi
pengendalian umum IT tetapi tidak pada pengendalian aplikasi
karena merupakan tanggung jawab dari pemilik proses bisnis dan
digambarkan sebelumnya dimana diintegrasikan didalam proses
bisnisnya. Beberapa rekomendasi standar COBIT yang
berhubungan dengan Pengendalian Aplikasi :
48
1. Pengendalian Batasan
AC17 Otentifikasi dan Integritas
Otentifikasi dan integritas informasi yang berasal dari
luar perusahaan, diterima dengan telepon, voicemail,
dokumen, fax atau email, semuanya diperiksa kembali
sebelum diambil tindakan yang kritikal.
AC18 Perlindungan terhadap Sensitifitas Informasi selama
Pengiriman
Perlindungan yang cukup memadai terhadap akses
yang tidak terotorisasi, modifikasi, pendistribusian
yang salah dari informasi yang sensitif yang tersedia
selama pengiriman.
2. Pengendalian Data Input
AC6 Prosedur Otorisasi Data Input
Prosedur menjamin bahwa untuk menampilkan data
input hanya dapat dilakukan oleh anggota staf yang
berwenang.
AC7 Akurasi, Kelengkapan dan Pemeriksaan yang
Terotorisasi
Transaksi data yang dimasukkan untuk diproses
mewakili berbagai pengendalian untuk memeriksa
akurasi, kelengkapan dan valid. Prosedur menjamin
juga bahwa data yang di-input adalah valid dan diubah
sebisa mungkin seperti dokumen aslinya.
49
AC8 Penanganan Kesalahan Data Input
Prosedur untuk mengoreksi dan mengumpulkan
kembali data yang salah di-input ke tempat yang benar
dan dikoreksi kembali.
3 Pengendalian Data Output.
AC12 Penanganan dan Penyimpanan Output
Penanganan dan penyimpanan output dari aplikasi IT
yang diikuti pengertian dari prosedur dan
mempertimbangkan peraturan kerahasiaan dan
keamanan.
AC13 Pendistribusian Output
Prosedur pendistribusian dari output didefinisikan,
dikomunikasikan dan dikoreksi kembali.
AC14 Keseimbangan dan Rekonsiliasi Output
Output secara rutin diseimbangkan dengan total
pengendalian yang relevan. Jejak audit memudahkan
jejak dari transaksi diproses dan rekonsiliasi dari data
yang terganggu.
AC15 Pemeriksaan Kembali Output dan Penanganan
Kesalahan
Prosedur menjamin penguna yang tersedia dan relevan
menampilkan ketepatan dari laporan output. Prosedur
juga ditempatkan untuk mengidentifikasi dan
mengatasi dari kesalahan yang terdapat pada output.
50
AC16 Ketentuan Keamanan untuk Laporan Output
Prosedur ini menjamin bahwa keamanan dari laporan
output dijaga bagi distribusi laporan yang tertunda.
2.3.4.3 Standar International ISO (The International Organization for
Standardization) dan IEC (International Electrotechnical
Commission)
1. Security Policy
Manajemen seharusnya membuat kebijakan yang jelas dan
mendemonstrasikannya, berkomitmen dan memelihara
kebijakan informasi dalam organisasi. (p.1)
2. Physical and Environmental Security
Peralatan seharusnya dilindungi secara fisik dari ancaman
keamanan dan ancaman alamiah. (p.13).
3. Equipment Security
Peralatan harus dilindungi oleh keamanan yang kuat dengan
penghalang keamanan dan pengendalian yang kuat. (p.16)
2.3.4.4 Standar Sarbanes-Oxley
1. Develop and Maintain Policies and Procedures
Perusahaan harus membuat prosedur dan diikuti dengan
otentifikasi oleh semua karyawan untuk
mendukung/menjamin validitas transaksi. (p.60)
2. Manage Data
51
Prosedur dan kebijakan untuk penanganan, distribusi dan
penyimpanan dan hasil laporan output. (p.74)
3. Manage Operation
a. Manajemen harus menjaga informasi terutama yang
sensitif, dalam bentuk fisik ataupun logik yang disimpan
maupun selama pemindahan terhadap akses yang tidak sah
maupun yang sah. (p.74)
b. Manajemen harus membuat dan mendokumentasikan
prosedur untuk operasi IT termasuk pengaturan,
penjadwalan, dan pengontrolan. (p.76)
c. Input, proses, dan output dari sistem harus diperiksa secara
independen untuk menjamin kelengkapan dan ketepatan.
(p.77)
4. Ensure System Security
a. Perusahaan harus memiliki kerangka dari standar
keamanan yang harus dibuat untuk mendukung tujuan dari
kebijakan keamanan. (p.68)
b. Perusahaan harus membuat prosedur untuk perawatan
efektifitas dari otentifikasi dan mekanisme akses (p.69)
2.3.5 Instrumen Audit
Menurut Gondodiyoto dan Hendarti (2006, p.447) terdapat berbagai
instrumen audit yang bisa diterapkan dalam pelaksanaan audit, instrumen
audit tersebut antara lain :
52
1. Observasi (Pengamatan)
Observasi adalah cara memeriksa dengan menggunakan panca indera
terutama mata, yang dilakukan secara kontinyu selama waktu tertentu
untuk membuktikan sesuatu keadaan atau masalah. Teknik observasi
akan membantu memperjelas pengertian pemeriksa mengenai kegiatan-
kegiatan yang diperiksa.
2. Wawancara
Wawancara merupakan teknik pemeriksaan berupa tanya jawab secara
lisan antara auditor dengan auditee untuk memperoleh bahan bukti
audit. Wawancara dapat dilakukan secara lisan maupun tulisan.
3. Kuesioner
Kuesioner terbagi menjadi 2 bagian antara lain kuesioner terbuka dan
kuesioner tertutup. Kuesioner terbuka adalah teknik pengumpulan fakta
dengan format jawaban tertulis yang lebih bersifat umum. Sedangkan
kuesioner tertutup adalah teknik yang bermanfaat untuk mengumpulkan
jawaban pertanyaan dari sejumlah besar responden.
4. Konfirmasi
Konfirmasi merupakan upaya untuk memperoleh informasi atau
penegasan dari sumber lain yang independen, baik secara lisan maupun
tertulis dalam rangka pembuktian pemeriksaan.
5. Inspeksi
Inspeksi merupakan cara memeriksa dengan memakai panca indera
terutama mata, untuk memperoleh bukti atas suatu keadaan atau suatu
masalah pada saat tertentu.
53
6. Prosedur Analisis
Analisis artinya memecah atau menguraikan suatu keadaan atau
masalah ke dalam beberapa bagian atau elemen dan memisahkan
bagian tersebut untuk digabungkan dengan keseluruhan atau
dibandingkan dengan yang lain.
7. Perbandingan
Perbandingan adalah usaha untuk mencari kesamaan dan perbedaan
antara dua atau lebih gejala atau keadaan.
2.4 Sistem Informasi Penjualan
2.4.1 Pengertian Sistem Informasi Penjualan
Menurut Mulyadi (2001, p.202), kegiatan penjualan barang dan jasa
dapat dibedakan menjadi 2 dua jenis, yaitu :
1. Kegiatan penjualan kredit
Dalam transaksi penjualan kredit, jika order dari pelanggan telah
dipenuhi dengan pengiriman barang atau penyerahan jasa, untuk jangka
waktu tertentu perusahaan memiliki piutang kepada pelanggannya.
Kegiatan penjualan secara kredit ini ditangani oleh perusahaan melalui
sistem penjualan kredit.
2. Kegiatan penjualan tunai
Dalam transaksi penjualan tunai, barang atau jasa baru diserahkan oleh
perusahaan kepada pembeli jika perusahaan telah menerima kas dari
pembeli. Kegiatan penjualan secara tunai ini ditangani oleh perusahaan
melalui sistem penjualan tunai.
54
Menurut Romney (2003, p359), siklus pendapatan adalah seperangkat
atau kumpulan aktivitas bisnis dan operasi proses informasi terkait yang
diasosiasikan dengan penyediaan barang dan jasa kepada pelanggan dan
pengumpulan kas dalam pembayaran terhadap transaksi penjualan
Berdasarkan penjelasan diatas maka disimpulkan bahwa Sistem
Informasi Penjualan adalah suatu sistem informasi yang mengorganisasikan
serangkaian prosedur dan metode yang dirancang untuk menghasilkan,
menganalisa, menyebarkan dan memperoleh informasi guna mendukung
pengambilan keputusan mengenai penjualan.
2.4.2 Prosedur Penjualan Kredit
Menurut Mulyadi (2001, p.210), Penjualan Kredit dilaksanakan oleh
perusahaan dengan cara mengirimkan barang sesuai dengan order yang
diterima dari pembeli dan untuk jangka waktu tertentu perusahaan
mempunyai tagihan kepada pembeli tersebut.
Menurut Mulyadi (2001, p.219), jarigan prosedur yang membentuk
sistem penjualan kredit adalah sebagai berikut :
1. Prosedur Order Penjualan
Dalam prosedur ini, fungsi penjualan menerima order dari pembeli dan
menambahkan informasi penting pada surat order dari pembeli. Fungsi
penjualan kemudian membuat surat order pengiriman dan
mengirimkannya kepada berbagai fungsi lain yang memungkinkan
fungsi tersebut memberikan kontribusi dalam melayani order dari
pembeli.
55
2. Prosedur Persetujuan Kredit
Dalam prosedur ini, fungsi penjualan meminta persetujuan kredit
kepada pembeli tertentu dari fungsi kredit.
3. Prosedur Pengiriman
Dalam prosedur ini, fungsi pengiriman mengirimkan barang kepada
pembeli sesuai dengan informasi yang tercantum dalam surat order
pengiriman yang diterima dari fungsi pengiriman.
4. Prosedur Penagihan
Dalam prosedur ini, fungsi penagihan membuat fakur penjualan dan
mengirimkannya kepada pembeli. Dalam metode tertentu faktur
penjualan dibuat oleh fungsi penjualan sebagai tembusan pada waktu
bagian ini membuat surat order pengiriman.
5. Prosedur Pencatatan Piutang
Dalam prosedur ini, fungsi akuntansi mencatat tembusan faktur
penjualan ke dalam kartu piutang atau dalam metode pencatatan
tertentu mengarsipkan dokumen tembusan menurut abjad yang
berfungsi sebagai catatan piutang.
6. Prosedur Distribusi Penjualan
Dalam prosedur ini, fungsi akuntansi mendistribusikan data penjualan
menurut informasi yang diperlukan oleh manajemen.
7. Prosedur Pencatatan Harga Pokok Penjualan
Dalam prosedur ini, fungsi akuntansi mencatat secara periodik total
harga pokok produk yang dijual dalam periode akuntansi tertentu.
Menurut pendapat Mulyadi (2001, p.211), fungsi yang terkait dalam
56
sistem penjualan kredit adalah sebagai berikut :
1. Fungsi Penjualan
Fungsi ini bertanggung jawab untuk menerima surat order dari pembeli,
mengedit order dari pelanggan untuk menambahkan informasi yang
belum ada pada surat order tersebut (seperti spesifikasi barang dan rute
pengiriman), meminta otorisasi kredit, menentukan tanggal pengiriman,
dan dari gudang mana barang akan dikirim, serta mengisi surat order
pengiriman.
2. Fungsi Kredit
Fungsi ini bertanggung jawab untuk meneliti status kredit pelanggan
dan memberikan otorisasi pemberian kredit kepada pelanggan. Sebelum
order dari pelanggan dipenuhi, harus terlebih dahulu diperoleh otorisasi
penjualan kredit dari fungsi kredit. Pengecekan status kredit perlu
dilakukan sebelum fungsi penjualan mengisi surat order penjualan.
3. Fungsi Gudang
Fungsi ini bertanggung jawab untuk menyimpan barang dan
menyiapkan barang yang dipesan oleh pelanggan, serta menyerahkan
barang ke fungsi pengiriman.
4. Fungsi Pengiriman
Fungsi ini bertanggung jawab untuk menyerahkan barang atas dasar
surat order pengiriman yang diterimanya dari fungsi penjualan. Selain
itu bertanggung jawab untuk menjamin bahwa tidak ada barang yang
keluar dari perusahaan tanpa ada otorisasi dari yang berwenang.
5. Fungsi Penagihan
57
Fungsi ini bertanggung jawab untuk membuat dan mengirimkan faktur
penjualan kepada pelanggan, serta menyediakan copy faktur bagi
kepentingan catatan transaksi penjualan oleh fungsi akuntansi.
6. Fungsi Akuntansi
Fungsi ini bertanggung jawab untuk mencatat piutang dari transaksi
penjualan kredit, membuat dan mengirimkan pernyataan piutang
kepada para debitur, serta membuat laporan penjualan. Selain itu
bertanggung jawab untuk mencatat harga pokok persediaan yang dijual
ke dalam persediaan.
2.4.3 Piutang
Menurut Mulyadi (2001, p.85), mendefinisikan piutang adalah klaim
kepada pihak lain atau uang, barang atau jasa yang dapat diterima dalam
jangka waktu satu tahun atau dalam satu siklus kegiatan perusahaan.
Catatan akuntansi yang digunakan berdasarkan Mulyadi (2001, p.260)
untuk mencatat transaksi yang menyangkut piutang adalah :
1. Jurnal penjualan
Dalam prosedur pencatatan piutang, catatan ini digunakan untuk
mencatat timbulnya piutang dari transaksi penjualan kredit.
2. Jurnal Retur Penjualan
Dalam prosedur pencatatan piutang, catatan akuntansi digunakan untuk
mencatat berkurangnya piutang dari transaksi retur penjualan.
3. Jurnal Umum
58
Dalam prosedur pencatatan piutang, catatan akuntansi ini digunakan
untuk mencatat berkurangnya piutang dari transaksi penghapusan
piutang yang tidak lagi dapat ditagih.
4. Jurnal Penerimaan Kas
Dalam prosedur pencatatan piutang, catatan akuntansi digunakan untuk
memcatat berkurangnya piutang dari transaksi penerimaan kas dari
debitur.
5. Kartu Piutang
Catatan akuntansi ini digunakan untuk mencatat mutasi dan saldo
piutang kepada setiap debitur.