BAB 2

LANDASAN TEORI

2.1 Sistem Informasi Akuntansi

2.1.1 Pengertian Sistem Informasi Akuntansi

Menurut Bodnar dan Hopwood yang diterjemahkan oleh A.A. Jusuf

(2000, p1), pengertian sistem informasi akuntansi adalah kumpulan sumber

daya, seperti manusia dan peralatan, yang diatur untuk mengubah data

menjadi informasi. Informasi ini dikomunikasikan kepada beragam

pengambil keputusan.

Sedangkan menurut Rama dan Jones (2003, p5), mendefinisikan

sistem informasi akuntansi sebagai subsistem dari sistem informasi

manajemen yang menyediakan informasi akuntansi dan keuangan, seperti

informasi yang dihasilkan dari proses rutin transaksi akuntasi.

Sehingga dapat disimpulkan bahwa Sistem Informasi Akuntansi

adalah suatu kombinasi dari berbagai sumber daya yang dirancang untuk

memproses data akuntansi dan keuangan yang ada dan mengubahnya

menjadi informasi yang dibutuhkan perusahaan untuk pengambilan

keputusan.

2.1.2 Tujuan Sistem Informasi Akuntansi

Menurut Mulyadi (2001, pp19-20), sistem informasi memiliki empat

tujuan umum dalam penyusunannya, yaitu :

1. Untuk menyediakan informasi bagi pengelolaan kegiatan usaha baru.

8

9

2. Untuk memperbaiki informasi yang dihasilkan oleh sistem yang sudah

ada, baik mengenai mutu, ketepatan penyajian maupun struktur

informasinya.

3. Untuk memperbaiki pengendalian akuntansi dan pengecekan intern, yaitu

untuk memperbaiki tingkat keandalan (realibility) informasi akuntansi

dan untuk menyediakan catatan lengkap mengenai pertanggung jawaban

dan perlindungan kekayaan perusahaan.

4. Untuk mengurangi biaya klerikal dalam penyelenggaraan catatan

akuntansi.

Menurut Hall (2001, p18), mengatakan pada dasarnya tujuan

disusunnya sistem informasi akuntasi adalah :

1. Untuk mendukung fungsi kepengurusan (stewardship) manajemen.

Kepengurusan merujuk ke tanggung jawab manajemen untuk mengatur

sumber daya perusahaan secara benar. Sistem informasi menyediakan

informasi tentang kegunaan sumber daya ke pemakai eksternal melalui

laporan keuangan tradisional dan laporan-laporan yang diminta lainnya.

Secara internal, pihak manajemen menerima informasi kepengurusan

dari berbagai laporan pertanggungjawaban.

2. Untuk mendukung pengambilan keputusan manajemen. Sistem informasi

memberikan para manajer informasi yang mereka perlukan untuk

melakukan tanggung jawab pengambilan keputusan.

3. Untuk mendukung kegiatan operasi perusahaan hari demi hari. Sistem

informasi menyediakan informasi bagi personel operasi untuk membantu

mereka melakukan tugas mereka setiap hari dengan efisien dan efektif.

10

Jadi dapat disimpulkan bahwa tujuan sistem informasi akuntansi

adalah untuk mendukung kegiatan operasi perusahaan dalam meningkatkan

efesiensi dan efektifitas kegiatan operasional perusahaan, khususnya dalam

proses arus informasi akuntansi.

2.1.3 Siklus Proses Transakasi Sistem Informasi Akuntansi

Menurut Romney (2000, p23) siklus proses transaksi sistem informasi

akuntansi yaitu :

1. Siklus Pendapatan (Revenue Cycle)

Siklus ini terdiri dari aktivitas dalam penjualan barang dan jasa dan

mengumpulkan pembayaran untuk penjualan tersebut.

2. Siklus Pengeluaran/Pembayaran (Expenditure Cycle)

Siklus ini terdiri dari aktivitas dalam pembelian dan pembayaran untuk

barang dan jasa yang digunakan dalam suatu organisasi.

3. Siklus Sumber Daya Manusia (Human Resources (Payroll) Cycle)

Siklus ini terdiri dari aktivitas perekrutan dan pembayaran gaji.

4. Siklus Produksi (Production Cycle)

Siklus ini terdiri dari aktivitas yang melibatkan pembuatan bahan mentah

ke dalam barang jadi.

5. Siklus Finansial (Financing Cycle)

Siklus ini terdiri dari aktivitas dalam penggunaan dana yang diperlukan

untuk menjalankan organisasi dan pembayaran kreditur serta

pendistribusian keuntungan kepada investor.

11

Menurut Bodnar dan Hopwood yang diterjemahkan oleh A.A.

Jusuf (2000, p6), siklus proses transaksi operasional dapat dikelompokan

sesuai dengan empat siklus aktivitas bisnis, yaitu :

1. Siklus Pendapatan (Revenue Cycle)

Kejadian-kejadian yang berkaitan dengan pendistribusian barang dan

jasa ke entitas-entitas lain dan pengumpulan pembayaran-pembayaran

yang berkaitan.

2. Siklus Pengeluaran (Expenditure Cycle)

Kejadian-kejadian yang berkaitan dengan perolehan barang dan jasa

dari entitas-entitas lain dan pelunasan kewajiban-kewajiban yang

berkaitan.

3. Siklus Produksi (Production Cycle)

Kejadian-kejadian yang berkaitan dengan pengubahan sumber daya

menjadi barang dan jasa.

4. Siklus Keuangan (Finance Cycle)

Kejadian-kejadian yang berkaitan dengan perolehan dan manajemen

dana-dana modal, termasuk kas.

Sedangkan menurut Wilkinson (2001, PP45-46), siklus

dalam Sistem Informasi Akuntansi terdiri dari :

1. Siklus Transaksi (Transaction Cycle) yaitu tahap pengelompokkan

transaksi bisnis ke dalam proses sequence.

2. Siklus Jurnal Umum dan Pelaporan Keuangan (General Ledger and

Financial Reporting Cycle) yaitu tahap penjurnalan transaksi

12

keuangan yang terjadi kemungkinan diproses hingga menghasilkan

laporan keuangan pada akhir periode.

3. Siklus Pendapatan (Revenue Cycle) yaitu pengumpulan pendapatan

suatu perusahaan baik itu yang berasal dari penerimaan penjualan

dan lain-lain.

4. Siklus Expenditure (Expenditure Cyle) yaitu terdiri dari transaksi

pembelian dan pengeluaran kas yang biasanya digunakan untuk

pembelian bahan baku atau persediaan perusahaan.

5. Siklus Manajemen Sumber Daya (Resources Management Cyle) yaitu

meliputi keseluruhan aktivitas yang berhubungan dengan sumber

daya fisik (physical resources) dari suatu perusahaan yang biayanya

berupa dana investasi, fixed assets, inventory, dan pembayaran gaji

karyawan.

2.2 Sistem Pengendalian Internal

2.2.1 Pengertian Pengendalian Internal

Menurut Mulyadi dan Puradireja (1998, pp171-172), pengendalian

intern adalah suatu proses yang dijalankan oleh dewan komisaris, manajemen

dan personel lain yang didesain untuk memberikan keyakinan memadai

tentang mencapai tiga golongan tujuan yaitu kehandalan laporan keuangan,

kepatuhan terhadap hukum dan peraturan yang berlaku, efektifitas dan

efisiensi operasi.

Menurut Weber (1999, p35), pengendalian intern adalah suatu sistem

untuk mencegah, mendeteksi dan mengkoreksi kejadian yang timbul saat

13

transaksi dari serangkaian pemrosesan tidak terotorisasi secara sah, tidak

akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien.

Berdasarkan pengertian diatas maka pengendalian dikelompokkan

menjadi tiga bagian :

1. Preventive Controls, pengendalian ini digunakan untuk mencegah

masalah sebelum masalah itu muncul.

2. Detective Controls, pengendalian ini digunakan untuk menemukan

masalah yang berhubungan dengan pengendalian segera setelah masalah

tersebut muncul.

3. Corrective Controls, pengendalian ini digunakan untuk memperbaiki

masalah yang ditemukan pada pengendalian detective. Pengendalian ini

mencakup prosedur untuk menentukan penyebab masalah yang timbul,

memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi sistem

proses. Dengan demikian bisa mencegah kejadian yang sama di masa

yang mendatang.

Jadi berdasarkan pengertian diatas maka dapat disimpulkan,

Pengendalian Internal adalah cara yang digunakan untuk mencegah

terjadinya hal-hal yang dapat merugikan kegiatan operasional perusahaan.

14

2.2.2 Komponen Pengendalian Internal

Menurut Weber (1999, p49), pengendalian internal terdiri dari lima

komponen yang saling terintegrasi, antara lain :

1. Control Environment

Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian

wewenang dan tanggung jawab yang harus dilakukan, cara komite audit

berfungsi, dan metode-metode yang digunakan untuk merencanakan dan

memonitor kinerja.

2. Risk Assessment

Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi

oleh perusahaan dan cara-cara untuk menghadapi resiko tersebut.

3. Control Activities

Komponen yang beroperasi untuk memastikan transaksi telah terotorisasi,

adanya pembagian tugas, pemeliharaan terhadap dokumen dan record,

perlindungan aset dan record, pengecekan kinerja, dan penilaian dari

jumlah record yang terjadi.

4. Information and Communication

Komponen dimana informasi digunakan untuk mengidentifikasi,

mendapatkan dan menukarkan data yang dibutuhkan untuk

mengendalikan dan mengatur operasi perusahaan.

5. Monitoring

Komponen yang memastikan pengendalian internal beroperasi secara

dinamis.

15

2.2.3 Jenis Pengendalian Internal

Weber (1999, p38) melakukan dekomposisi terhadap fungsi system

informasi dan membaginya menjadi management subsystem dan application

subsystem. Berdasarkan kedua subsistem tersebut, diambil kesimpulan bahwa

diperlukan pengendalian terhadap kedua subsistem tersebut, yaitu :

1. Pengendalian Manajemen (Management Control)

2. Pengendalian Aplikasi (Application Control)

Mulyadi dan Puradiredja (1998, p180) menulis bahwa pengendalian

terhadap pengolahan informasi dibagi menjadi dua, antara lain :

1. Pengendalian Umum (General Control)

2. Pengendalian Aplikasi (Application Control)

2.2.3.1 Pengendalian Umum (General Controls)

Menurut Weber (1999, p67), dijelaskan bahwa pengendalian

manajemen dilakukan untuk meyakinkan bahwa pengembangan,

penerapan, pengoperasian, dan pemeliharaan sistem informasi telah

diproses sesuai dengan perencanaan yang telah terkendali.

Pengendalian ini berguna untuk menyediakan infrastruktur yang stabil

sehingga sistem informasi dapat dibangun, dioperasikan dan

dipelihara secara berkesinambungan.

Menurut Weber (1999, p68), pengendalian manajemen terdiri

dari :

1. Top Management Controls

2. System Development Management Controls

16

3. Programming Management Controls

4. Data Resources Management Controls

5. Security Management Controls

6. Operation Management Controls

7. Quality Assurance Management Controls

Pada pengendalian manajemen tidak semua pengendalian

akan dibahas, yang dibahas hanya pengendalian manajemen

keamanan (security management control) dan pengendalian

manajemen operasional (operations management control).

2.2.3.1.1 Pengendalian Manajemen Keamanan

Menurut Weber (1999, p244), pengendalian

manajemen keamanan bertanggung jawab untuk menjamin

keamanan aset sistem informasi. Aset sistem informasi aman

jika kemungkinan kehilangan yang dapat timbul berada pada

level yang dapat diterima. Aset sistem informasi mencakup

aset fisik (personel, perangkat keras, fasilitas, dokumentasi

dan supplies) serta aset logika (data/informasi dan perangkat

lunak).

Menurut Weber (1999, pp256-272), terdapat

ancaman utama terhadap keamanan yang disebabkan oleh

alam dan kelalaian atau kesengajaan manusia, yaitu :

1. Ancaman Kebakaran (Fire Damage)

Beberapa pengamanan untuk ancaman kebakaran yaitu :

17

a. Alarm kebakaran manual dan otomatis diletakkan di

tempat yang strategis, khususnya di tempat aset sistem

informasi berada.

b. Alat pemadam kebakaran manual dan otomatis

diletakkan di tempat yang strategis, khususnya di

tempat aset sistem informasi berada.

c. Memiliki tombol power utama (termasuk AC).

d. Bangunan terbuat dari bahan tahan api, khususnya di

tempat aset sistem informasi berada.

e. Letak tangga dan pintu darurat diberi tanda yang jelas

sehingga pegawai dapat dengan mudah mengetahui

dan menggunakannya.

f. Terdapat prosedur pemeliharaan bangunan yang baik.

g. Sistem perlindungan kebakaran diawasi dan diuji

secara rutin.

2. Ancaman Air (Water Damage)

Beberapa pengamanan untuk ancaman air yaitu :

a. Bangunan (plafon, dinding, dan lantai) terbuat dari

bahan tahan air.

b. Memiliki sistem drainase yang baik.

c. Aset sistem informasi diletakkan di tempat yang

tinggi.

d. Menutup perangkat keras dengan bahan tahan air

apabila tidak digunakan.

18

3. Perubahan Tegangan Sumber Energi (Energy Variation)

Perubahan tegangan sumber energi dapat terjadi karena

naiknya tegangan listrik, penurunan tegangan listrik,

maupun karena kehilangan daya listrik. Pengamanan

untuk mengantisipasi perubahan tegangan sumber energi

listrik, yaitu dengan menggunakan stabilizer dan

uninteruptable power supply (UPS) dan merawatnya

secara rutin.

4. Kerusakan Struktural (Structural Damage)

Kerusakan struktural pada aset sistem informasi dapat

terjadi karena gempa, tanah longsor, banjir., maupun

angin ribut. Beberapa pengamanan untuk kerusakan

struktural yaitu :

a. Struktur bangunan tahan gempa.

b. Meletakkan aset sistem informasi di tempat yang

stabil/tidak mudah jatuh.

5. Polusi (Pollution)

Beberapa pengamanan untuk mengatasi polusi yaitu :

a. Membersihkan ruangan kantor secara teratur.

b. Melarang pegawai meletakkan makanan dan minuman

di dekat perangkat keras.

6. Penyusup (Unauthorized intrusion)

Beberapa pengamanan untuk mengantisipasi adanya

penyusup yaitu :

19

a. Terdapat pengamanan khusus pada ruangan di mana

aset sistem informasi berada.

b. Terdapat kamera keamanan/CCTV di tempat yang

strategis.

c. Alarm keamanan diletakkan di tempat yang strategis.

7. Viruses and Worms

Pelaksanaan pengamanan untuk mengantisipasi viruses

dan worms yaitu :

a. Tindakan preventif, seperti meng-install dan meng-

update antivirus secara rutin, serta melakukan scan

pada file yang akan digunakan.

b. Tindakan detektif, seperti melakukan scan untuk

mendeteksi ada tidaknya virus secara rutin.

c. Tindakan korektif, seperti mem-backup data bebas

virus, pemakaian antivirus terhadap file yang

terinfeksi.

8. Penyalahgunaan Software, Data, dan Service

Tipe penyalahgunaan software, data, dan service yaitu :

a. Perangkat lunak dan database dicuri oleh pegawai

atau kompetitor.

b. Perusahaan tidak dapat menjaga kerahasiaan data

dalam basis data.

c. Pegawai menggunakan jasa sistem untuk kepentingan

pribadi.

20

9. Hacking

Beberapa pelaksanaan pengamanan untuk

mengantisipasi hacking yaitu :

a. Penggunaan password yang sulit ditebak.

b. Petugas secara teratur mengawasi sistem yang

digunakan.

Apabila terjadi bencana, pengendalian yang dapat

dilakukan yaitu :

1. Rencana Pemulihan Bencana (Disaster Recovery Plan)

Memungkinkan fungsi sistem informasi untuk

memperbaiki operasional saat terjadi bencana.

a. Rencana Darurat (Emergency Plan)

Yaitu tindakan yang harus segera dilakukan saat

terjadi bencana. Rencana ini mengidentifikasi siapa

yang melakukan, tindakan apa yang harus dilakukan,

dan prosedur evakuasi.

b. Rencana Backup (Backup Plan)

Rencana backup berisi tipe backup, frekuensi backup,

prosedur backup, lokasi perlengkapan backup, serta

pegawai yang bertanggung jawab melakukan backup.

c. Rencana Pemulihan (Recovery Plan)

Rencana pemulihan merupakan prosedur

pengembalian sistem informasi menjadi seperti

semula.

21

d. Rencana Pengujian (Test Plan)

Merupakan komponen terakhir rencana pemulihan

bencana yang berfungsi untuk mensimulasikan ketiga

rencana di atas agar dapat berjalan dengan baik.

2. Asuransi

Perlu adanya asuransi untuk peralatan, fasilitas, media

penyimpan, gangguan bisnis, dokumen dan kertas

berharga perusahaan.

2.2.3.1.2 Pengendalian Manajemen Operasional

Menurut Weber (1999, p291), manajemen

operasional bertanggung jawab pada jalannya fasilitas

perangkat keras dan perangkat lunak sehari-hari agar sistem

aplikasi produksi dapat menyelesaikan pekerjaan dan

pegawai dapat mendesain, mengimplementasikan, serta

menjaga sistem aplikasi.

Menurut Weber (1999, pp292-316), terdapat delapan

fungsi tanggung jawab manajemen operasional, yaitu :

1. Operasional Komputer (Computer Operations)

Pengendalian pengoperasian komputer bertanggung

jawab terhadap jalannya perangkat keras dan perangkat

lunak setiap hari. Terdapat tiga pengendalian pada

operasional komputer, yaitu :

22

a. Pengendalian Operasional (Operations Control)

Pengendalian operasional bertujuan untuk

memastikan keotentikan, keakuratan, dan

kelengkapan kegiatan operasional. Banyak jenis

kegiatan yang harus dilakukan untuk mendukung

pelaksanaan program komputer, misalnya program

harus dihidupkan dan dimatikan, media penyimpan

harus tersedia, formulir dan dokumen harus tersedia

di dekat printer serta informasi/laporan harus

didistribusikan ke pengguna.

b. Pengendalian Jadwal (Scheduling Control)

Pengendalian jadwal dilakukan untuk memastikan

komputer hanya digunakan untuk kegiatan yang

seharusnya dan pemakaian sumber daya sistem telah

efisien.

c. Pengendalian Pemeliharaan (Maintenance Control)

Pemeliharaan perangkat keras komputer merupakan

tindakan preventif yang dilakukan untuk mencegah

kerusakan perangkat keras.

2. Network Operation

a. LAN : Suatu kumpulan komputer dimana terdapat

beberapa unit komputer (client) dan satu unit

komputer untuk bank data (server). Antara masing-

masing client maupun antara client dan server dapat

23

saling bertukar file maupun saling menggunakan

printer yang terhubung pada unit-unit komputer yang

terhubung pada jaringan LAN

b. WAN: kumpulan dari LAN dan atau workgroup

yang dihubungkan dengan menggunakan alat

komunikasi modem dan jaringan internet dari/ke

kantor pusat dan cabang maupun antar kantor cabang

3. Persiapan dan Entry Data (Data preparation and entry)

Seluruh sumber data untuk sistem aplikasi dikirim ke

bagian persiapan data untuk diketik dan diverifikasi

sebelum dimasukkan ke dalam sistem. Faktor-faktor

yang harus diperhatikan yaitu :

a. Pencahayaan ruangan yang cukup.

b. Ruangan yang tenang.

c. Tata ruang yang baik.

d. Desain peralatan kantor (monitor komputer, meja,

dan kursi) yang argonomis.

e. Memastikan adanya backup pada persiapan dan

pemasukkan data.

4. Pengendalian Produksi (Production Control)

Terdapat lima fungsi pada pengendalian ini, yaitu :

a. Pengendalian input dan output (Input/output control)

Bertanggung jawab menjamin peng-input-an hanya

dilakukan oleh pihak yang berwenang, menerima

24

dan memasukkan input, menjaga input, secara

berkala mengumpulkan input dan menyimpan input

sampai tidak dibutuhkan lagi.

b. Job scheduling control.

Pada operasional komputer, suatu pekerjaan dapat

dilakukan oleh satu atau lebih program. Bagian

pengendalian produksi bertanggung jawab

menetapkan jadwal operasional serta mempersiapkan

dan menguji file pengendalian pekerjaan yang

diperlukan untuk setiap pekerjaan.

File pengendalian pekerjaan berisi perintah yang

spesifik, yaitu :

1) Kapan program harus dijalankan.

2) Program apa yang harus dijalankan.

3) File data yang diperlukan.

4) Printer yang dibutuhkan.

5) Pioritas penugasan program.

6) Prosedur yang dilakukan jika program berjalan

tidak seperti biasa.

Pengendalian yang dapat dilakukan yaitu :

1) File telah disiapkan dan dokumen telah sesuai

dengan standar yang ada.

2) File pengendalian pekerjaan telah diuji terlebih

dahulu sebelum digunakan.

25

3) Memastikan tidak ada perubahan yang tidak sah.

4) Terdapat backup file pengendalian pekerjaan.

c. Management of service-level agreements

Service Level Agreement (SAL) merupakan

perjanjian antara pengguna dengan fasilitas

operasional komputer. SAL berisi waktu respon

sistem yang diinginkan pengguna, tingkat

pemeliharaan sistem, biaya jasa dan penalti jika

sistem tidak sesuai dengan perjanjian.

d. Transfer pricing/chargeout control

Apabila operasi komputer dilengkapi dengan transfer

pricing pengendalian produksi dapat ditingkatkan.

e. Acquisition of consumables

Operasional komputer membutuhkan banyak

peralatan pendukung seperti kertas printer, disket,

flash disk, dan tinta printer. Peralatan tersebut

membutuhkan biaya yang tidak sedikit, tetapi dapat

mengganggu kegiatan operasional jika tidak tersedia.

Pengendalian yang dapat dilakukan yaitu:

1) Menjamin ketersediaan stok peralatan yang

dibutuhkan.

2) Memonitor harga dan kualitas peralatan.

3) Menjamin stok disimpan dengan aman.

4) Mengawasi penggunaannya.

26

5. File Library

File library bertanggung jawab mengelola media

penyimpanan.

a. Penyimpanan media peyimpan (Storage of storage

media)

Media penyimpan sebaiknya ditempatkan di ruangan

yang terpisah, akses untuk masuk dibatasi, terdapat

petugas yang mengawasi, suhu ruangan dijaga dan

ruangan harus bebas dari debu.

b. Penggunaan media penyimpan (Use of storage

media)

Penggunaan media penyimpan harus diawasi dengan

baik. Media penyimpan hanya diberikan kepada

pegawai yang berwenang dan pada saat yang telah

ditentukan.

c. Pemeliharaan dan pembuangan media penyimpan

(Maintenance and disposal of storage media)

Media penyimpan dapat digunakan untuk jangka

waktu yang lama, tetapi secara umum

kemampuannya berkurang seiring dengan umur

media penyimpan tersebut. Karena itulah sebaiknya

media peyimpan tidak digunakan dalam jangka

waktu yang panjang karena resiko yang timbul juga

akan semakin tinggi.

27

d. Lokasi media penyimpan (Location of storage

media)

Media penyimpan dapat diletakkan di dalam maupun

di luar ruang komputer. Media penyimpan sebaiknya

diletakkan di dalam ruang komputer jika sering

digunakan. Tetapi jika hanya digunakan untuk

backup dan keperluan pemulihan, dapat diletakkan di

luar ruang komputer.

6. Documentation and Program Library

Banyak tipe dokumentasi yang digunakan untuk

mendukung fungsi sistem informasi, perencanaan

strategis dan operasional, dokumentasi sistem aplikasi,

dokumentasi sistem perangkat lunak dan perlengkapan

program, dokumentasi basis data, manual operasional,

manual pengguna serta manual standar. Petugas

bertanggung jawab untuk memastikan penyimpanan

dokumentasi aman, memastikan bahwa hanya pegawai

yang berwenang yang dapat mengakses dokumentasi,

memastikan dokumentasi selalu diperbaharui serta

memastikan adanya backup untuk setiap dokumentasi.

7. Help Desk/Technical Support

Bertanggung jawab untuk membantu pegawai

menggunakan perangkat keras dan perangkat lunak,

serta menyediakan dukungan teknis untuk membantu

28

menyelesaikan masalah. Agar dapat efektif dan efisien

diperlukan petugas yang kompeten dan terpercaya serta

terdapat sistem pengelolaan masalah.

8. Capacity Planning and Performance Monitoring

Manajemen operasional harus terus-menerus memonitor

kinerja perangkat keras dan perangkat lunak untuk

memastikan bahwa sistem telah berjalan efisien dan

memiliki waktu respon yang dapat diterima.

2.2.3.2 Pengendalian Aplikasi (Application Controls)

Menurut Weber (1999, p365), pengendalian aplikasi bertujuan

untuk memastikan bahwa setiap aset sistem aplikasi dijaga, menjaga

integritas data, serta mencapai tujuan dengan efektif dan efisien.

Menurut Weber (1999, pp365-366), pengendalian aplikasi

terdiri dari :

1. Boundary Controls

2. Input Controls

3. Communiation Controls

4. Processing Controls

5. Database Controls

6. Output Controls

Pada pengendalian aplikasi tidak semua pengendalian akan

dibahas, yang dibahas hanya pengendalian batasan (boundary

29

control), pengendalian input (input control) dan pengendalian output

(output control).

2.2.3.2.1 Pengendalian Batasan

Menurut Weber (1999, p370), subsistem batasan

menentukan hubungan antara pengguna dengan sistem

informasi. Terdapat tiga tujuan pengendalian batasan, yaitu :

a. Memastikan identitas dan otentifikasi pengguna sistem.

b. Memastikan identitas dan otentifikasi sumber daya yang

digunakan pengguna.

c. Membatasi tindakan pengguna dalam penggunaan sistem

informasi.

Menurut Weber (1999, pp371-405), terdapat enam

pengendalian pada pengendalian batasan, yaitu :

1. Pengendalian Cryptographic (Cryptographic Control)

Pengendalian cryptographic dibuat untuk melindungi

kerahasiaan data dan untuk mencegah modifikasi data

yang tidak berwenang. Hal di atas dapat dilakukan

dengan cara mengubah data (cleartext) menjadi kode

(cryptograms atau chipertext) agar tidak memiliki arti

bagi orang yang tidak dapat menguraikannya. Terdapat

tiga teknik encipherment, yaitu :

a. Transposition Chipers

30

Transposition chipers yang sederhana yaitu menukar

posisi karakter data.

b. Substitution Chiphers

Substitution chiphers tetap mempertahakan posisi

karakter yang ada tetapi menyembunyikan identitas

karakter dengan cara menukarnya dengan karakter

lain sesuai dengan aturan tertentu.

c. Product Chipers

Product chipers menggunakan kombinasi antara

metode transposisi dan substitusi.

2. Pengendalian Akses (Access Control)

Pengendalian akses membatasi penggunaan sistem

informasi hanya kepada pengguna yang berwenang,

membatasi tindakan yang dapat dilakukan pengguna,

dan memastikan bahwa pengguna hanya mendapat

sistem komputer yang asli.

a. Identifikasi dan Otentifikasi (Identification and

Authentication)

Pengguna mengidentifikasi dirinya sendiri pada

mekanisme pengendalian akses dengan cara

memberikan informasi seperti nama atau nomor

account. Informasi identifikasi ini membuat

mekanisme dapat memilih file yang otentik bagi

pengguna. Pengguna dapat menggunakan tiga tipe

31

otentifikasi, yaitu informasi yang dapat diingat

(seperti nama, ulang tahun, password), objek

berwujud (seperti kartu plastik, kunci), dan karakter

pribadi (seperti sidik jari, suara, ukuran tangan, tanda

tangan, pola retina mata).

b. Object Resources

Digunakan pengguna pada sistem informasi berbasis

komputer dapat diklasifikasikan ke dalam empat

tipe, yaitu perangkat keras (contohnya terminal,

printer, prosesor), perangkat lunak (contohnya

program sistem aplikasi), komoditi (contohnya

tempat penyimpanan), serta data (contohnya file,

gambar, suara). Setiap sumber daya harus diberi

nama agar dapat teridentifikasi.

c. Hak istimewa (Action Privileges)

Hak istimewa memberikan pengguna suatu hak yang

tergantung tingkat otoritas dan tipe sumber daya

yang diperlukan pengguna.

d. Kebijakan Pengendalian Akses (Access Control

Policies)

Terdapat dua tipe kebijakan, yaitu :

1) Discretionary Access Control. Kebijakan ini

membebaskan penggunanya menentukan

mekanisme pengendalian akses, dan pengguna

32

dapat memilih untuk membagikan file pengguna

kepada pengguna lain atau tidak.

2) Mandatory Access Control. Pada kebijakan ini

pengguna dan sumber daya diberikan kategori

keamanan yang tetap.

3. Personal Identification Numbers (PIN)

PIN merupakan teknik yang digunakan untuk

mengotentifikasi pengguna. PIN harus terjaga

kerahasiaannya. Terdapat sembilan fase pada daur hidup

PIN, yaitu :

a. Pembuatan PIN (PIN generation)

Terdapat tiga cara pembuatan PIN, yaitu :

1) Derived PIN, yaitu institusi membuat PIN

berdasarkan nomor account pengguna atau

identitas pengguna lainnya.

2) Random PIN, yaitu institusi membuat nomor

acak dengan panjang yang tetap sebagai PIN.

3) Customer-selected PIN, yaitu pengguna dapat

memilih PIN mereka sendiri.

b. Penerbitan dan Pengiriman PIN (PIN Issuance and

Delivery)

Metode penerbitan dan pengiriman PIN tergantung

pada metode pembuatan PIN. Jika institusi yang

membuat PIN (metode derived PIN dan random

33

PIN) maka digunakan PIN mailer. Tetapi terdapat

empat cara jika pengguna yang memilih PIN mereka

sendiri (customer-selected PIN), yaitu :

1) Mail solicitation, yaitu mengirim PIN melalui

surat.

2) Telephone solicitation, yaitu pengguna memilih

PIN melalui telepon setelah mendapatkan PIN

mailer.

3) PIN entry via a secure terminal, yaitu pengguna

datang ke institusi untuk mengisi PIN pada

terminal yang tersedia.

4) PIN entry at the issuer’s facility, yaitu pengguna

memilih PIN pada saat membuka account.

c. Validasi PIN (PIN Validation)

Pada saat PIN dimasukkan, biasanya pengguna

diberikan sejumlah kesempatan sebelum kartu

ditahan dan account diblokir apabila PIN yang

dimasukkan salah.

d. Transmisi PIN (PIN Transmission)

PIN dapat dipalsukan saat dikirim, sehingga PIN

harus di-enkripsi. Chiper PIN yang dibuat haruslah

unik untuk setiap transmisi PIN.

e. Pemrosesan PIN (PIN Processing)

34

Proses yang dibutuhkan yaitu me-enkripsi dan men-

deskripsi PIN dan membandingkan PIN yang

dimasukkan dengan referensi PIN.

f. Penyimpanan PIN (PIN Storage)

Jika PIN bukan fungsi cryptographic dari nomor

account maka PIN harus disimpan untuk tujuan

referensi.

g. Perubahan PIN (PIN Change)

Pengguna dapat merubah PIN mereka, dengan cara

yang sama seperti di atas.

h. Penggantian PIN (PIN Replacement)

PIN dapat diganti jika pengguna lupa atau PIN

diketahui oleh orang lain.

i. Penghentian Pemakaian PIN (PIN Termination)

Penghentian pemakaian PIN dilakukan jika

pengguna menutup account-nya, PIN diganti dengan

PIN yang baru, atau jika tidak sengaja rusak.

4. Tanda Tangan Digital (Digital Signature)

Tanda tangan digital memiliki dua tujuan yaitu :

a. Sebagai otentifikasi pengguna.

b. Menghindari penyangkalan keterlibatan pihak-pihak

yang berpartisipasi dalam pembuatan kontrak.

35

5. Kartu Plastik (Plastic Card)

Jika PIN dan tanda tangan digital digunakan untuk

keperluan otentifikasi, maka kartu digunakan untuk

keperluan identifikasi.

6. Pengendalian Jejak Audit (Audit Trail Control)

Terdapat dua tipe jejak audit, yaitu :

a. Jejak audit akuntansi, yaitu catatan seluruh kejadian

yang berhubungan dengan subsistem batasan.

b. Jejak audit operasional, yaitu catatan pemakaian

sumber daya yang berhubungan dengan kejadian

pada subsistem batasan.

Jejak audit harus dianalisa secara berkala untuk

mendeteksi kelemahan pengendalian batasan pada

sistem.

2.2.3.2.2 Pengendalian Masukan

Menurut Weber (1999, pp420-456), subsistem input

bertanggung jawab memasukkan data dan instruksi ke dalam

sistem aplikasi.

1. Metode Input Data (Data Input Methods)

Terdapat beberapa cara untuk memasukkan data ke

dalam sistem aplikasi yaitu melalui keyboard,

pembacaan langsung melalui pengenal karakter optikal,

pengenal karakter tinta magnetik, image reader, atau

36

ATM, serta memasukkan langsung melalui touch screen,

mouse, joystick, suara, video, atau suara.

2. Desain Dokumen Sumber (Source Document Design)

Beberapa metode memasukkan data ke dalam komputer

menggunakan dokumen sumber. Dokumen sumber

digunakan bila terdapat perbedaan waktu antara waktu

terjadinya data dengan waktu memasukkan data ke

dalam sistem. Desain dokumen sumber yang baik harus

memenuhi tujuan berikut ini :

a. Formulir harus dapat mengurangi kemungkinan

terjadinya kesalahan pencatatan data.

b. Formulir harus dapat meningkatkan kecepatan

mencatat data.

c. Formulir merupakan bagian dari kegiatan

pengawasan.

d. Formulir harus dapat memfasilitasi kegiatan

memasukkan data ke komputer.

e. Formulir harus dapat meningkatkan kecepatan dan

keakuratan pembacaan data.

f. Formulir harus dapat berperan sebagai referensi

pengecekan.

37

3. Desain Layar Pemasukan Data (Data-entry Screen

Design)

Jika data dimasukkan melalui monitor, maka diperlukan

desain yang berkualitas pada tampilan pemasukan data

agar dapat mengurangi kemungkinan terjadinya

kesalahan dan agar tercapai efisiensi dan efektivitas

pemasukan data pada subsistem input. Terdapat delapan

petunjuk penilaian desain layar pemasukan data, yaitu :

a. Pengelolaan tampilan (Screen organization)

Tampilan harus dirancang agar rapih, seimbang,

serta elemen data dikelompokkan dengan sesuai

dengan fungsinya. Dan jika tampilan digunakan

untuk memasukkan data ke dalam dokumen sumber,

maka tampilan harus sama dengan dokumen sumber.

b. Caption design

Desain harus mempertimbangkan struktur, ukuran,

jenis huruf, format, jarak baris, dan spasi.

c. Data-entry field design

Field pemasukan data harus berada tepat di sebelah

judul data yang harus dimasukkan.

d. Tabbing and skipping

Sebaiknya tidak menggunakan skipping otomatis ke

field baru pada desain layar, karena operator tidak

dapat mendeteksi adanya kesalahan pencatatan dan

38

pada beberapa aplikasi terdapat field yang tidak perlu

diisi karena sudah terisi secara otomatis.

e. Color

Warna dapat digunakan untuk menandakan field

yang sedang diisi, untuk memisahkan suatu area

pada tampilan, atau untuk mengindikasikan

perubahan status. Warna juga dapat mengurangi

waktu pencarian pada tampilan dan dapat

memotivasi pengguna karena lebih menarik, selain

itu penggunaan warna yang sedikit dapat

membingungkan pengguna dalam memasukkan data.

f. Response time

Response time adalah interval waktu antara

memasukan data sampai dengan sistem siap untuk

menerima data baru. Response time harus stabil dan

cepat.

g. Display rate

Display rate adalah kecepatan karakter atau gambar

ditampilkan pada layar komputer.

h. Prompting and help facilities

Prompting and help facility menyediakan saran atau

informasi tindakan yang harus diambil saat

memasukkan data.

39

4. Pengendalian Kode Data (Data Code Control)

Kode data mempunyai dua tujuan, yaitu :

a. Sebagai identitas yang unik.

b. Untuk keperluan identifikasi.

Desain kode yang tidak bagus dapat membuat proses

input mudah salah dan proses memasukkan data menjadi

tidak efisien.

5. Check Digits

Kesalahan pengetikan data dapat berdampak serius bagi

perusahaan. Pengendalian yang dapat digunakan untuk

mencegah terjadinya kesalahan jenis ini adalah dengan

melakukan check digits. Check digits digunakan untuk

memeriksa atau menguji validitas angka.

6. Pengendalian Batch (Batch Control)

Cara pengendalian yang mudah dan efektif untuk

melakukan pengendalian terhadap pemasukan data.

Batching adalah proses pengelompokkan transaksi yang

memiliki hubungan satu dengan yang lain.

Ada dua tipe dari batch, yaitu :

a. Physical batches

Adalah pengelompokkan transaksi pada unit

fisiknya. Sebagai contoh, sumber dokumen yang

diperoleh dari pos dikumpulkan dalam satu batches.

40

b. Logical batches

Adalah proses pengelompokkan transaksi dilakukan

berdasarkan logika.

7. Validasi Data Input (Validation of Data Input)

a. Tipe validasi peng-input-an data

Data yang dimasukkan pada aplikasi harus segera di

validasi. Terdapat beberapa jenis validasi data input

yang harus diperiksa ketika data dimasukkan pada

terminal, yaitu :

1) Field check

Dilakukan terhadap field tidak tergantung pada

field lain dalam input record atau dalam input

record lainnya.

2) Record check

Dilakukan pada field tergantung pada hubungan

logika field itu dengan field yang lain pada record.

3) Batch check

Dilakukan pengujian apakah karakteristik dari

batch record yang dimasukkan sama dengan

karakteristik yang telah ditetapkan pada batch.

4) File check

Dilakukan pengujian apakah karakteristik pada

file yang digunakan selama entry data adalah

sama dengan karakteristik data pada file tersebut.

41

b. Reporting Data Input Errors

Kesalahan harus dilaporkan oleh program validasi

input sehingga dapat dilakukan perbaikan secara

cepat dan tepat atas kesalahan yang terjadi.

Kesalahan dapat diberi tanda dengan sebuah bel atau

pesan error. Pesan error harus dibuat dengan hati-hati

agar jelas dan ringkas sopan dan netral.

8. Pengendalian Jejak Audit (Audit Trail Control)

Jejak audit pada pengendalian input menjaga kronologis

suatu kejadian mulai dari saat data dan instruksi diterima

dan dimasukkan kedalam sistem aplikasi sampai dengan

saat penentuan data tersebut valid dan dapat dikirim ke

subsistem lain yang ada pada sistem aplikasi. Terdapat

dua tipe jejak audit, yaitu :

a. Jejak audit akuntansi, mencatat sumber data, isi dan

waktu transaksi dimasukkan kedalam sistem aplikasi.

b. Jejak audit operasional, mencatat aktivitas pegawai

pada subsistem input.

2.2.3.2.3 Pengendalian Keluaran

Menurut Weber (1999, p615), subsistem output

menyediakan fungsi yang menentukan isi dari data yang

akan disampaikan kepada pengguna, cara data disajikan

42

kepada pengguna, cara menyiapkan data serta cara

pengiriman data tersebut kepada pengguna.

Menurut Weber (1999, pp616-646), terdapat lima

pengendalian pada subsistem output, yaitu :

1. Inference Control

Inference control digunakan untuk mencegah

kompromi stastistical database (basis data dimana

pengguna hanya dapat mengakses statistik agregat

daripada nilai individual data). Pada statistical

database, data yang sensitif dan rahasia seperti riwayat

penyakit pegawai dapat dikelola dengan baik sehingga

tidak dapat diakses oleh pihak yang tidak berwenang.

Inference control terhadap statistical database

dilakukan untuk mencegah empat jenis kompromi

yang dapat terjadi, yaitu :

a. Positive compromise. Pengguna menyatakan

bahwa seseorang memiliki sifat khusus, contohnya

John Doe seorang pecandu alkohol.

b. Negative compromise. Pengguna menyatakan

bahwa seseorang tidak memiliki sifat khusus,

contohnya John Doe bukan seorang pecandu

alkohol.

43

c. Exact compromise. Pengguna menyatakan bahwa

seorang memiliki nilai yang tepat, contohnya Mary

Doe memiliki gaji sebesar $120,000 per tahun.

d. Approximate compromise. Pengguna menyatakan

bahwa seseorang memiliki range nilai tertentu,

contohnya Mary Doe memiliki gaji antara

$100,000 sampai dengan $140,000 per tahun.

Ada dua jenis inference control yang dapat dilakukan

untuk mencegah terjadinya kompromi, yaitu :

a. Restriction Control

Restriction control membatasi rangkaian respon

yang akan diberikan kepada pengguna untuk

melindungi kerahasiaan data seseorang dalam basis

data.

b. Perturbation Control

Perturbation control menggunakan beberapa jenis

gangguan terhadap perhitungan statistik yang

dibuat berdasarkan catatan yang diambil dari basis

data.

2. Batch Output Production and Distribution Control

Batch output adalah output yang dihasilkan pada

beberapa fasilitas operasional dan didistribusikan atau

disimpan oleh pengguna output tersebut. Pengendalian

produksi dan distribusi pada output dilakukan untuk

44

memastikan laporan/output yang akurat, lengkap, dan

tepat waktu dan hanya diserahkan kepada pengguna

yang berhak. Terdapat sebelas pengendalian pada

batch output production and distribution control,

yaitu:

a. Stationary Supplies Storage Controls

Perusahaan menggunakan printer untuk mencetak

laporannya biasanya mempunyai jumlah formulir

yang banyak. Agar memudahkan pengawasan

terhadap formulir tersebut, penggunaan warna

kertas dapat dilakukan sehingga memudahkan

pencarian dan pemakaian formulir tersebut.

Pemakaian formulir kosong sangat dianjurkan

karena diperlukan banyak jenis formulir yang

harus disiapkan karena semua bentuk formulir

telah dimasukkan dalam program sehingga

perusahaan hanya perlu menyediakan formulir

berupa kertas kosong yang akan dicetak oleh

komputer dengan menggunakan printer.

Pengendalian yang dapat dilakukan yaitu :

1) Preprinted stationery hanya dibuat sesuai

dengan aturan yang ada dan hanya diberikan ke

pihak yang berhak.

45

2) Menjaga sistem persediaan preprinted

stationery.

3) Menyimpan preprinted stationery dengan aman.

4) Mengawasi akses ke preprinted stationery.

5) Memberikan nomor pada preprinted stationery.

b. Report Program Execution Controls

Ada tiga hal yang harus diperhatikan pada

pelaksanaan program pembuatan laporan, yaitu :

1) Hanya orang yang berwenang yang dapat

menjalankan program tersebut.

2) Wewenang yang diberikan harus sesuai dengan

kebutuhan.

3) Program pembuatan laporan yang menghasilkan

laporan dalam jumlah banyak harus memiliki

fasilitas mengulang kembali.

c. Queuing / Spoolling / Printer File Controls

Jika laporan tidak dicetak dengan segera pada

printer maka laporan tersebut harus antri, sistem

perangkat lunak dapat membuat suatu program

laporan untuk mengerti bahwa ketika printer

sedang digunakan oleh pihak lain maka laporan-

laporan tersebut harus mengantri dan ketika printer

tersebut dapat digunakan maka segera memberikan

perintah mencetak oleh sistem sehingga

46

pencetakan laporan dapat dilakukan. Pengendalian

ini bertujuan untuk memastikan :

1) Isi file yang dicetak tidak dapat dirubah.

2) Tidak ada salinan file yang dicetak tanpa izin.

3) File hanya dicetak satu kali.

4) File yang dicetak yang disimpan untuk backup

tidak digunakan oleh pihak yng tidak

berwenang.

d. Printing Controls

Pengendalian terhadap pencetakan laporan

memiliki tiga tujuan, yaitu :

1) Untuk memastikan bahwa laporan dicetak

dengan printer yang benar.

2) Untuk mencegah pihak yang tidak berwenang

melihat data yang sensitif yang tercetak pada

laporan.

3) Untuk memastikan bahwa pengawasan yang

tepat telah dilakukan pada proses pencetakan

laporan.

e. Report Collection Controls

Ketika output sudah dihasilkan harus diperhatikan

keamanannya untuk mencegah kehilangan atau

diambil oleh pihak yang tidak berwenang, terutama

bila output berisi data rahasia dan dapat

47

mengakibatkan kerugian bagi perusahaan bila

diketahui oleh pihak pesaing. Pengendalian yang

dapat dilakukan yaitu :

1) Disimpan dengan aman.

2) Mencatat nama pegawai yang membuat output.

3) Mencatat tanggal dan waktu laporan output

dibuat dan diberikan ke pengguna.

f. User/Client Services Review Controls

Sebelum output dikirim kepada pengguna, sebuah

pelayanan pengguna/klien (user/client service)

harus melakukan pemeriksaan untuk mengetahui

ada tidaknya kesalahan. Pemeriksaan yang dapat

dilakukan yaitu :

1) Apakah halaman laporan yang dicetak dapat

dibaca atau tidak.

2) Apakah kualitas hasil cetakan memuaskan.

3) Apakah tape cartridge atau CD-ROM sudah

diberi nama atau belum.

4) Apakah terdapat halaman yang hilang.

5) Apakah terdapat halaman laporan yang tercetak

miring.

g. Report Distribution Controls

Pelayanan pengguna/klien (user/client service)

memiliki tugas untuk mengambil output dan

48

mendistribusikannya kepada pemakai secara aman

dan benar. Terdapat beberapa cara pendistribusian

laporan, yaitu :

1) Disimpan di tempat terkunci yang dapat

diambil oleh pengguna secara berkala.

2) Langsung dikirim ke pengguna.

3) Dikirim melalui surat kepada pengguna baik

melalui surat internal maupun melalui jasa pos.

4) Diambil sendiri oleh pengguna.

5) Dikirim ke pengguna melalui jasa kurir.

6) Diserahkan melalui perusahaan jasa

pengiriman.

h. User Output Controls

Pengguna dapat dilibatkan untuk melakukan

pengawasan terhadap output yang dihasilkan.

Karena pengguna telah terbiasa dengan output

yang mereka terima, maka sangat mudah bagi

mereka untuk mengetahui adanya kesalahan.

i. Storage Controls

Ada tiga pengendalian utama yang dapat

dilakukan, yaitu :

1) Output harus disimpan di tempat yang mudah

dijangkau dan disimpan sesuai dengan

jenisnya.

49

2) Output harus disimpan dengan aman.

3) Terdapat pengawasan persediaan yang tepat.

j. Retention Controls

Tanggal retensi harus ditetapkan pada setiap

output. Karena berhubungan dengan media dan

cara penyimpanan yang dilakukan.

k. Destruction Controls

Jika output sudah tidak digunakan lagi maka output

tersebut harus dihancurkan. Proses penghancuran

output harus diawasi agar tidak terjadi output yang

seharusnya masih diperlukan dan tidak diperintah

untuk dihancurkan tetapi ternyata dihancurkan,

selain itu juga untuk menjamin penghancuran data

rahasia.

3. Batch Report Design Control

Elemen penting pada efektivitas pelaksanaan

pengawasan terhadap produksi dan distribusi laporan

adalah kualitas desain laporan. Desain laporan yang

baik akan membuat pengguna mudah membaca

laporan yang dihasilkan. Desain laporan yang baik

harus terdapat informasi sebagai berikut :

a. Nama laporan.

b. Waktu dan tanggal laporan dibuat.

c. Jumlah laporan dicetak.

50

d. Periode proses pembuatan laporan.

e. Program yang digunakan untuk membuat laporan.

f. Nama pegawai yang bisa dihubungi jika laporan

salah atau rusak.

g. Klasifikasi keamanan (rahasia/umum).

h. Tanggal retensi.

i. Metode penghancuran laporan.

j. Kepala halaman.

k. Nomor halaman.

l. Tanda akhir laporan.

4. Pengendalian Jejak Audit (Audit Trail Control)

Pengendalian jejak audit pada subsistem output

dilakukan untuk menjaga kronologi suatu kejadian

mulai dari laporan dibuat sampai laporan tersebut

disimpan. Terdapat dua tipe jejak audit, yaitu :

a. Jejak audit akuntansi, menunjukkan output apa

yang diberikan ke pengguna, siapa dan kapan

output diterima, serta tindakan apa yang dilakukan

sehubungan dengan output tersebut. Jejak audit

akuntansi juga dapat digunakan untuk menentukan

apakah telah terjadi penyalahgunaan akses dan

tindakan oleh pihak yang tidak berwenang pada

subsitem output.

51

b. Jejak audit operasional, mencatat penggunaan

sumber daya untuk menghasilkan berbagai macam

output.

2.3 Audit Sistem Informasi

2.3.1 Pengertian Audit Sistem Informasi

Menurut Weber (1999, p10) Audit Sistem Informasi adalah proses

pengumpulan dan pengevaluasian bukti-bukti atau fakta untuk menetukan

apakah sebuah sistem aplikasi sudah terkomputerisasi, sudah menetapkan

sistem pengendalian intern yang memadai dan apakah semua aktiva

dilindungi dengan baik atau tidak disalahgunakan, serta sudah terjaminnya

integritas data, kehandalan dan kefektifan dalam penyelenggaraan sistem

informasi berbasis komputer.

Menurut Gondodiyoto (2003, p151) Audit Sistem Informasi

merupakan suatu pengevaluasian untuk mengetahui bagaimana tingkat

kesesuaian antara aplikasi sistem informasi dengan prosedur yang telah

ditetapkan dan mengetahui apakah suatu sistem informasi telah didisain dan

diimplementasikan secara efektif, efisien dan ekonomis, memiliki mekanisme

pengamanan aset yang memadai serta menjamin integritas data yang

memadai.

Jadi dapat disimpulkan bahwa Audit Sistem Informasi merupakan

suatu proses mengumpulkan dan mengevaluasi bukti-bukti yang

berhubungan dengan sistem informasi untuk menentukan apakah sistem

informasi yang digunakan telah menerapkan sistem pengendalian yang

52

memadai agar tidak disalahgunakan dan dapat menyajikan informasi yang

berguna.

2.3.2 Tujuan Audit Sistem Informasi

Menurut Weber (1999, pp11-13) tujuan Audit Sistem Informasi secara

garis besar dapat disimpulkan menjadi 4 tahap, yaitu :

1. Meningkatkan objektifitas keamanan aset perusahaan

Aset informasi suatu seperti perangkat keras (hardware), perangkat lunak

(software), sumber daya manusia, file atau data harus dijaga oleh suatu

sitem pengendalian intern yang baik agar tidak terjadi penyalahgunaan

aset perusahaan. Dengan demikian sistem pengamanan aset merupakan

suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.

2. Meningkatkan objektifitas integritas data

Integritas data (data integrity) adalah suatu konsep dasar sistem

informasi. Data memiliki atribut-atribut tertentu seperti kelengkapan,

kebenaran dan keakuratan. Jika integritas data tidak dipelihara, maka

suatu perusahaan tidak akan lagi memiliki hasil suatu laporan yang benar

bahkan perusahaan dapat menderita kerugiaan.

3. Meningkatkan objektifitas efektifitas sistem

Efektifitas sistem informasi perusahaan memiliki peranan dalam proses

pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif

bila sistem informasi tersebut telah sesuai dengan kebutuhan user. Suatu

sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi

kebutuhan user.

53

4. Meningkatkan objektifitas efisiensi sistem

Efisiensi menjadi hal yang sangat penting ketika sumber komputer tidak

lagi memiliki kapasitas yang memadai, jika cara kerja dari sistem aplikasi

komputer menurun maka pihak manajemen harus mengevaluasi apakah

efisiensi sistem masih memadai atau harus menambah sumber daya,

karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat

memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

2.3.3 Jenis Audit Sistem Informasi

Menurut Weber (1999, pp106-107) jenis-jenis Audit Sistem Informasi

dapat dibagi menjadi 3, yaitu :

1. Audit Secara Bersama-sama (Concurrent Audit)

Auditor merupakan anggota dari tim pengembangan sistem, mereka

membantu tim dalam meningkatkan kualitas dari pengembangan untuk

sistem spesifik yang mereka bangun dan yang akan diimplementasikan.

2. Audit Setelah Implementasi (Postimplementation Audit)

Auditor membantu organisasi untuk belajar dari pengalaman

pengembangan dari sistem aplikasi. Mereka akan mengevaluasi apakah

sistem perlu dihentikan, dilanjutkan atau dimodifikasi.

3. Audit Umum (General Audit)

Auditor mengevaluasi pengendalian pengembangan sistem secara

keseluruhan. Mereka melakukan audit untuk menentukan apakah

mereka dapat mengurangi waktu dari pengujian substantif yang perlu

dilakukan untuk memberikan opini audit tentang pernyataan keuangan

54

(sebagai tuntutan dari manajemen) ataupun tentang keefektifan dan

keefisienan sistem.

2.3.4 Metode Audit Sistem Informasi

Menurut Weber (1999, pp56-57) metode Audit Sistem Informasi

meliputi:

1. Audit Around The Computer

Audit Around The Computer merupakan suatu pendekatan audit dengan

memberlakukan computer sebagai kotak hitam (black box), maksud

metode ini tidak menguji langkah-langkah proses secara langsung tetapi

hanya berfokus pada masukan dan keluaran dari sistem komputer.

Diasumsikan jika masukan benar akan diwujudkan pada keluaran

sehingga pemrosesan dianggap benar, dan tidak melakukan pengecekan

terhadap pemrosesan komputer secara langsung.

2. Audit Through The Computer

Audit Through The Computer merupakan suatu pendekatan audit yang

berorientasi pada komputer dengan membuka kotak hitam (black box),

dan secara langsung berfokus pada operasi pemrosesan dalam sistem

komputer. Dengan asumsi apabila sistem pemrosesan mempunyai

pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak

akan terlewat untuk terdeteksi, sebagai akibatnya keluaran tidak dapat

diterima.

55

2.3.5 Tahapan Audit Sistem Informasi

Menurut Weber (1999, pp47-55), tahapan-tahapan Audit Sistem

Informasi adalah sebagai berikut:

a. Perencanaan Audit (Planning the Audit)

Ini merupakan fase pertama dalam pemerikasaan audit bagi auditor

eksternal berarti menyelidiki dari awal atau melanjutkan yang ada

untuk menentukan apakah pemeriksaan tersebut dapat diterima,

penempatan staf audit yang sesuai, melakukan pengecekan informasi

latar belakang klien, mengerti kewajiban utama dari klien, menganalisa

memajukan bisnis klien dan mengidentifikasikan area resiko.

Sedangkan bagi auditor internal berarti mengerti objek pendukung

dalam pemeriksaan, penyediaan informasi pendukung staf yang handal

dan mengidentifikasi area resiko.

b. Pengujian Pengendalian (Tests of Controls)

Biasanya dalam fase ini diawali memusatkan pada pengendalian

manajemen, apabila hasil menunjukkan tidak sesuai dengan harapan

maka pengendalian manajemen tidak berjalan sebagaimana mestinya.

Bila auditor menemukan kelemahan serius pada pengendalian

manajemen mereka akan mengemukakan opini atau mengambil

keputusan dalam pengujian transaksi dan saldo untuk hasilnya.

c. Pengujian Transaksi (Test of Transactions)

Pengujian transaksi yang termasuk pengecekan jurnal yang masuk dari

dokumen utama, menguji nilai kekayaan dan ketepatan komputasi.

Komputer sangat berguna dalam pengujian ini dan auditor dapat

56

menggunakan piranti lunak (software) audit yang umum untuk

mengecek apakah pembayaran bunga dari bank telah di kalkulasi secara

tepat.

d. Pengujian Saldo atau Hasil Keseluruhan (Test of Balances or Overall

Result)

Dalam audit keuangan terhadap sistem akuntansi berbasis komputer,

pengujian substantif atas saldo misalnya dilakukan dengan memeriksa

apakah saldo suatu rekening telah sesuai, misalnya piutang. Teknik

pemeriksaannya dapat dilakukan dengan cara membuat dan

mengirimkan surat konfirmasi kepada debitur. Jawaban dari debitur

akan membuktikan apakah hutang menurut pengakuannya sudah sesuai

dengan saldo buku pembantu piutang dalam sistem akuntansi.

Sedangkan dalam audit operasional dapat dilakukan dengan memeriksa

konteks efisiensi dan efektifitas dalam kegiatan komputerisasi.

e. Penyelesaian Audit ( Completion of the Audit)

Di tahapan akhir audit, auditor eksternal membuat kesimpulan dan

rekomendasi untuk dikomunikasikan pada manajemen. Jenis-jenis

pendapat auditor adalah:

1) Pernyataan tidak memberikan pendapat (Disclaimer of Opinion)

Auditor tidak menyatakan pendapat atas laporan keuangan yang

diaudit.

57

2) Pendapat tidak wajar (Adverse Opinion)

Auditor memberikan pendapat tidak wajar jika laporan

keuangan yang diberikan tidak disusun berdasarkan prinsip

akuntansi secara umum.

3) Pendapat wajar dengan pengecualian (Qualified Opinion)

Auditor menyatakan bahwa laporan keuangan yang disajikan

salah tetapi tidak ada yang mempengaruhi dari laporan

keuangan.

4) Pendapat wajar tanpa pengecualian (Unqualified Opinion)

Auditor menyimpulkan tidak ada kehilangan atau penyelewengan

material atas pencatatan akuntansi.

58

Start

Persiapan KerjaAudit

MemahamiPengendalian

Internal

Menaksir ResikoPengendalian

TergantungKontrol?

Melakukan teskontrol

Menaksir ulangResiko

MasihTergantung

kontrol

Meningkatkanketergantungan

Kontrol

Menentukan TesSubstantif

Tes Substantifterbatas

Memberikan Opinidan Laporan Audit

Stop

Ya

Ya

Ya

Tidak

Tidak

Tidak

Gambar 2.1 Langkah Proses Audit

Sumber : Information System Control and Audit (Weber, 1999, p.48)

59

2.4 Sistem Informasi Pengiriman Barang

2.4.1 Pengertian Sistem Informasi Pengiriman Barang

Menurut Hall (2001, p7), sistem informasi adalah sebuah rangkaian

prosedur formal dimana data dikumpulkan, diproses menjadi informasi, dan

didistribusikan kepada para pemakai.

Menurut Kamus Umum Bahasa Indonesia (1999, p512), pengiriman

adalah kiriman; hal (perbuatan dan sebagainya) mengirimkan.

Menurut (www.wikipedia.org), pengiriman adalah proses

pengangkutan barang-barang. Kebanyakan barang-barang diantarkan lewat

jaringan transportasi. Muatan (barang-barang fisik) terutama diantarkan

melalui darat dengan memakai kereta api, melalui jalur laut dengan

menggunakan kapal laut dan melalui udara dengan menggunakan

perusahaan penerbangan.

Jadi dapat disimpulkan bahwa sistem informasi pengiriman barang

adalah sebuah rangkaian prosedur dimana data-data tentang cara dan hasil

pekerjaan dari menyampaikan barang kepada seseorang yang diolah menjadi

informasi yang bermanfaat bagi manajemen perusahaan.

2.4.2 Teori Pengiriman Barang

Di bawah ini akan dijelaskan secara singkat mengenai beberapa

pengertian penting yang berkaitan dengan pengiriman barang, yaitu :

a. Shipping/Shipment adalah kegiatan pengiriman barang yang melibatkan

shipper, penyedia jasa, consignee, dan armada pengangkutan mitra

bisnis penyedia jasa pengiriman barang.

60

b. Shipping Instrution (SI) adalah surat perintah pengiriman barang yang

diberikan oleh shipper kepada pihak penyedia jasa pengiriman barang.

c. Shipper adalah pelanggan retail atau korporat yang memanfaatkan jasa

layanan pengiriman barang.

d. Consignee adalah penerima barang dari shipper melalui penyedia jasa

layanan pengiriman barang.

e. Agent adalah pihak penyedia jasa layanan pengiriman barang yang

bertanggung jawab atas pengiriman barang setelah barang berangkat

dari bandara atau pelabuhan untuk selanjutnya dikirimkan kepada

consignee.

f. Notify Party adalah pihak yang bertanggung jawab atas penerimaan

barang.

g. Airway Bill adalah surat tanda bukti pengiriman barang dengan tanda

nomor tertentu yang telah disetujui oleh pihak penyedia jasa

pengiriman barang dan armada pengangkutan udara mitra bisnisnya.

Airway Bill dikenal juga sebagai Surat Muatan Udara.

h. Bill of Lading (B/L) adalah surat tanda bukti pengiriman barang dengan

tanda nomor tertentu yang telah disetujui oleh pihak penyedia jasa

pengiriman barang dan armada pengangkutan laut mitra bisnisnya.

i. House Bill of Lading adalah surat tanda bukti pengiriman barang yang

dibuat oleh pihak PT. TIKI JNE dan dikirim ke pihak agent dan

shipper.

j. Tracking adalah kegiatan menampilkan informasi barang shipper

melalui suatu media tertentu. Tujuannya adalah memberikan status

61

informasi pengiriman barang yang dibutuhkan oleh shipper mengenai

barang kirimannya. Kegiatan tracking ini dilakukan oleh shipper, bukan

oleh pihak penyedia jasa pengiriman barang ; pihak penyedia jasa

hanya menyediakan status informasi pengiriman yang dibutuhkan oleh

para shipper.

k. Invoice adalah surat tagihan jasa pengiriman barang yang dikeluarkan

oleh pihak penyedia jasa pengiriman barang kepada shipper.

2.5 Penetapan Potensial Penilaian Resiko

Potensial penilaian resiko menggunakan penilaian berdasarkan pada buku Emile

Woolf (1999, p167) dalam bukunya “Auditing Today”, dimana tingkat resiko dibagi

ke dalam beberapa kategori diantaranya yaitu :

a. Low

Resiko yang dinilai jarang terjadi dan tidak dapat mempengaruhi operasi

perusahaan ataupun sistem internal kontrol dalam suatu organisasi.

b. Medium

Resiko yang dinilai jarang/sering terjadi tetapi dapat memberikan dampak yang

tidak terlalu mempengaruhi operasi perusahaan dan sistem internal kontrol dalam

organisasi.

c. High

Resiko yang dinilai sering terjadi dan secara langsung dapat mempengaruhi

kegiatan operasi perusahaan dan mengancam sistem internal kontrol organisasi.