bab 2 landasan teori 2.1 sistem informasi akuntansi 2.1.1...
TRANSCRIPT
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi Akuntansi
2.1.1 Pengertian Sistem Informasi Akuntansi
Menurut Bodnar dan Hopwood yang diterjemahkan oleh A.A. Jusuf
(2000, p1), pengertian sistem informasi akuntansi adalah kumpulan sumber
daya, seperti manusia dan peralatan, yang diatur untuk mengubah data
menjadi informasi. Informasi ini dikomunikasikan kepada beragam
pengambil keputusan.
Sedangkan menurut Rama dan Jones (2003, p5), mendefinisikan
sistem informasi akuntansi sebagai subsistem dari sistem informasi
manajemen yang menyediakan informasi akuntansi dan keuangan, seperti
informasi yang dihasilkan dari proses rutin transaksi akuntasi.
Sehingga dapat disimpulkan bahwa Sistem Informasi Akuntansi
adalah suatu kombinasi dari berbagai sumber daya yang dirancang untuk
memproses data akuntansi dan keuangan yang ada dan mengubahnya
menjadi informasi yang dibutuhkan perusahaan untuk pengambilan
keputusan.
2.1.2 Tujuan Sistem Informasi Akuntansi
Menurut Mulyadi (2001, pp19-20), sistem informasi memiliki empat
tujuan umum dalam penyusunannya, yaitu :
1. Untuk menyediakan informasi bagi pengelolaan kegiatan usaha baru.
8
9
2. Untuk memperbaiki informasi yang dihasilkan oleh sistem yang sudah
ada, baik mengenai mutu, ketepatan penyajian maupun struktur
informasinya.
3. Untuk memperbaiki pengendalian akuntansi dan pengecekan intern, yaitu
untuk memperbaiki tingkat keandalan (realibility) informasi akuntansi
dan untuk menyediakan catatan lengkap mengenai pertanggung jawaban
dan perlindungan kekayaan perusahaan.
4. Untuk mengurangi biaya klerikal dalam penyelenggaraan catatan
akuntansi.
Menurut Hall (2001, p18), mengatakan pada dasarnya tujuan
disusunnya sistem informasi akuntasi adalah :
1. Untuk mendukung fungsi kepengurusan (stewardship) manajemen.
Kepengurusan merujuk ke tanggung jawab manajemen untuk mengatur
sumber daya perusahaan secara benar. Sistem informasi menyediakan
informasi tentang kegunaan sumber daya ke pemakai eksternal melalui
laporan keuangan tradisional dan laporan-laporan yang diminta lainnya.
Secara internal, pihak manajemen menerima informasi kepengurusan
dari berbagai laporan pertanggungjawaban.
2. Untuk mendukung pengambilan keputusan manajemen. Sistem informasi
memberikan para manajer informasi yang mereka perlukan untuk
melakukan tanggung jawab pengambilan keputusan.
3. Untuk mendukung kegiatan operasi perusahaan hari demi hari. Sistem
informasi menyediakan informasi bagi personel operasi untuk membantu
mereka melakukan tugas mereka setiap hari dengan efisien dan efektif.
10
Jadi dapat disimpulkan bahwa tujuan sistem informasi akuntansi
adalah untuk mendukung kegiatan operasi perusahaan dalam meningkatkan
efesiensi dan efektifitas kegiatan operasional perusahaan, khususnya dalam
proses arus informasi akuntansi.
2.1.3 Siklus Proses Transakasi Sistem Informasi Akuntansi
Menurut Romney (2000, p23) siklus proses transaksi sistem informasi
akuntansi yaitu :
1. Siklus Pendapatan (Revenue Cycle)
Siklus ini terdiri dari aktivitas dalam penjualan barang dan jasa dan
mengumpulkan pembayaran untuk penjualan tersebut.
2. Siklus Pengeluaran/Pembayaran (Expenditure Cycle)
Siklus ini terdiri dari aktivitas dalam pembelian dan pembayaran untuk
barang dan jasa yang digunakan dalam suatu organisasi.
3. Siklus Sumber Daya Manusia (Human Resources (Payroll) Cycle)
Siklus ini terdiri dari aktivitas perekrutan dan pembayaran gaji.
4. Siklus Produksi (Production Cycle)
Siklus ini terdiri dari aktivitas yang melibatkan pembuatan bahan mentah
ke dalam barang jadi.
5. Siklus Finansial (Financing Cycle)
Siklus ini terdiri dari aktivitas dalam penggunaan dana yang diperlukan
untuk menjalankan organisasi dan pembayaran kreditur serta
pendistribusian keuntungan kepada investor.
11
Menurut Bodnar dan Hopwood yang diterjemahkan oleh A.A.
Jusuf (2000, p6), siklus proses transaksi operasional dapat dikelompokan
sesuai dengan empat siklus aktivitas bisnis, yaitu :
1. Siklus Pendapatan (Revenue Cycle)
Kejadian-kejadian yang berkaitan dengan pendistribusian barang dan
jasa ke entitas-entitas lain dan pengumpulan pembayaran-pembayaran
yang berkaitan.
2. Siklus Pengeluaran (Expenditure Cycle)
Kejadian-kejadian yang berkaitan dengan perolehan barang dan jasa
dari entitas-entitas lain dan pelunasan kewajiban-kewajiban yang
berkaitan.
3. Siklus Produksi (Production Cycle)
Kejadian-kejadian yang berkaitan dengan pengubahan sumber daya
menjadi barang dan jasa.
4. Siklus Keuangan (Finance Cycle)
Kejadian-kejadian yang berkaitan dengan perolehan dan manajemen
dana-dana modal, termasuk kas.
Sedangkan menurut Wilkinson (2001, PP45-46), siklus
dalam Sistem Informasi Akuntansi terdiri dari :
1. Siklus Transaksi (Transaction Cycle) yaitu tahap pengelompokkan
transaksi bisnis ke dalam proses sequence.
2. Siklus Jurnal Umum dan Pelaporan Keuangan (General Ledger and
Financial Reporting Cycle) yaitu tahap penjurnalan transaksi
12
keuangan yang terjadi kemungkinan diproses hingga menghasilkan
laporan keuangan pada akhir periode.
3. Siklus Pendapatan (Revenue Cycle) yaitu pengumpulan pendapatan
suatu perusahaan baik itu yang berasal dari penerimaan penjualan
dan lain-lain.
4. Siklus Expenditure (Expenditure Cyle) yaitu terdiri dari transaksi
pembelian dan pengeluaran kas yang biasanya digunakan untuk
pembelian bahan baku atau persediaan perusahaan.
5. Siklus Manajemen Sumber Daya (Resources Management Cyle) yaitu
meliputi keseluruhan aktivitas yang berhubungan dengan sumber
daya fisik (physical resources) dari suatu perusahaan yang biayanya
berupa dana investasi, fixed assets, inventory, dan pembayaran gaji
karyawan.
2.2 Sistem Pengendalian Internal
2.2.1 Pengertian Pengendalian Internal
Menurut Mulyadi dan Puradireja (1998, pp171-172), pengendalian
intern adalah suatu proses yang dijalankan oleh dewan komisaris, manajemen
dan personel lain yang didesain untuk memberikan keyakinan memadai
tentang mencapai tiga golongan tujuan yaitu kehandalan laporan keuangan,
kepatuhan terhadap hukum dan peraturan yang berlaku, efektifitas dan
efisiensi operasi.
Menurut Weber (1999, p35), pengendalian intern adalah suatu sistem
untuk mencegah, mendeteksi dan mengkoreksi kejadian yang timbul saat
13
transaksi dari serangkaian pemrosesan tidak terotorisasi secara sah, tidak
akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien.
Berdasarkan pengertian diatas maka pengendalian dikelompokkan
menjadi tiga bagian :
1. Preventive Controls, pengendalian ini digunakan untuk mencegah
masalah sebelum masalah itu muncul.
2. Detective Controls, pengendalian ini digunakan untuk menemukan
masalah yang berhubungan dengan pengendalian segera setelah masalah
tersebut muncul.
3. Corrective Controls, pengendalian ini digunakan untuk memperbaiki
masalah yang ditemukan pada pengendalian detective. Pengendalian ini
mencakup prosedur untuk menentukan penyebab masalah yang timbul,
memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi sistem
proses. Dengan demikian bisa mencegah kejadian yang sama di masa
yang mendatang.
Jadi berdasarkan pengertian diatas maka dapat disimpulkan,
Pengendalian Internal adalah cara yang digunakan untuk mencegah
terjadinya hal-hal yang dapat merugikan kegiatan operasional perusahaan.
14
2.2.2 Komponen Pengendalian Internal
Menurut Weber (1999, p49), pengendalian internal terdiri dari lima
komponen yang saling terintegrasi, antara lain :
1. Control Environment
Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian
wewenang dan tanggung jawab yang harus dilakukan, cara komite audit
berfungsi, dan metode-metode yang digunakan untuk merencanakan dan
memonitor kinerja.
2. Risk Assessment
Komponen untuk mengidentifikasi dan menganalisa resiko yang dihadapi
oleh perusahaan dan cara-cara untuk menghadapi resiko tersebut.
3. Control Activities
Komponen yang beroperasi untuk memastikan transaksi telah terotorisasi,
adanya pembagian tugas, pemeliharaan terhadap dokumen dan record,
perlindungan aset dan record, pengecekan kinerja, dan penilaian dari
jumlah record yang terjadi.
4. Information and Communication
Komponen dimana informasi digunakan untuk mengidentifikasi,
mendapatkan dan menukarkan data yang dibutuhkan untuk
mengendalikan dan mengatur operasi perusahaan.
5. Monitoring
Komponen yang memastikan pengendalian internal beroperasi secara
dinamis.
15
2.2.3 Jenis Pengendalian Internal
Weber (1999, p38) melakukan dekomposisi terhadap fungsi system
informasi dan membaginya menjadi management subsystem dan application
subsystem. Berdasarkan kedua subsistem tersebut, diambil kesimpulan bahwa
diperlukan pengendalian terhadap kedua subsistem tersebut, yaitu :
1. Pengendalian Manajemen (Management Control)
2. Pengendalian Aplikasi (Application Control)
Mulyadi dan Puradiredja (1998, p180) menulis bahwa pengendalian
terhadap pengolahan informasi dibagi menjadi dua, antara lain :
1. Pengendalian Umum (General Control)
2. Pengendalian Aplikasi (Application Control)
2.2.3.1 Pengendalian Umum (General Controls)
Menurut Weber (1999, p67), dijelaskan bahwa pengendalian
manajemen dilakukan untuk meyakinkan bahwa pengembangan,
penerapan, pengoperasian, dan pemeliharaan sistem informasi telah
diproses sesuai dengan perencanaan yang telah terkendali.
Pengendalian ini berguna untuk menyediakan infrastruktur yang stabil
sehingga sistem informasi dapat dibangun, dioperasikan dan
dipelihara secara berkesinambungan.
Menurut Weber (1999, p68), pengendalian manajemen terdiri
dari :
1. Top Management Controls
2. System Development Management Controls
16
3. Programming Management Controls
4. Data Resources Management Controls
5. Security Management Controls
6. Operation Management Controls
7. Quality Assurance Management Controls
Pada pengendalian manajemen tidak semua pengendalian
akan dibahas, yang dibahas hanya pengendalian manajemen
keamanan (security management control) dan pengendalian
manajemen operasional (operations management control).
2.2.3.1.1 Pengendalian Manajemen Keamanan
Menurut Weber (1999, p244), pengendalian
manajemen keamanan bertanggung jawab untuk menjamin
keamanan aset sistem informasi. Aset sistem informasi aman
jika kemungkinan kehilangan yang dapat timbul berada pada
level yang dapat diterima. Aset sistem informasi mencakup
aset fisik (personel, perangkat keras, fasilitas, dokumentasi
dan supplies) serta aset logika (data/informasi dan perangkat
lunak).
Menurut Weber (1999, pp256-272), terdapat
ancaman utama terhadap keamanan yang disebabkan oleh
alam dan kelalaian atau kesengajaan manusia, yaitu :
1. Ancaman Kebakaran (Fire Damage)
Beberapa pengamanan untuk ancaman kebakaran yaitu :
17
a. Alarm kebakaran manual dan otomatis diletakkan di
tempat yang strategis, khususnya di tempat aset sistem
informasi berada.
b. Alat pemadam kebakaran manual dan otomatis
diletakkan di tempat yang strategis, khususnya di
tempat aset sistem informasi berada.
c. Memiliki tombol power utama (termasuk AC).
d. Bangunan terbuat dari bahan tahan api, khususnya di
tempat aset sistem informasi berada.
e. Letak tangga dan pintu darurat diberi tanda yang jelas
sehingga pegawai dapat dengan mudah mengetahui
dan menggunakannya.
f. Terdapat prosedur pemeliharaan bangunan yang baik.
g. Sistem perlindungan kebakaran diawasi dan diuji
secara rutin.
2. Ancaman Air (Water Damage)
Beberapa pengamanan untuk ancaman air yaitu :
a. Bangunan (plafon, dinding, dan lantai) terbuat dari
bahan tahan air.
b. Memiliki sistem drainase yang baik.
c. Aset sistem informasi diletakkan di tempat yang
tinggi.
d. Menutup perangkat keras dengan bahan tahan air
apabila tidak digunakan.
18
3. Perubahan Tegangan Sumber Energi (Energy Variation)
Perubahan tegangan sumber energi dapat terjadi karena
naiknya tegangan listrik, penurunan tegangan listrik,
maupun karena kehilangan daya listrik. Pengamanan
untuk mengantisipasi perubahan tegangan sumber energi
listrik, yaitu dengan menggunakan stabilizer dan
uninteruptable power supply (UPS) dan merawatnya
secara rutin.
4. Kerusakan Struktural (Structural Damage)
Kerusakan struktural pada aset sistem informasi dapat
terjadi karena gempa, tanah longsor, banjir., maupun
angin ribut. Beberapa pengamanan untuk kerusakan
struktural yaitu :
a. Struktur bangunan tahan gempa.
b. Meletakkan aset sistem informasi di tempat yang
stabil/tidak mudah jatuh.
5. Polusi (Pollution)
Beberapa pengamanan untuk mengatasi polusi yaitu :
a. Membersihkan ruangan kantor secara teratur.
b. Melarang pegawai meletakkan makanan dan minuman
di dekat perangkat keras.
6. Penyusup (Unauthorized intrusion)
Beberapa pengamanan untuk mengantisipasi adanya
penyusup yaitu :
19
a. Terdapat pengamanan khusus pada ruangan di mana
aset sistem informasi berada.
b. Terdapat kamera keamanan/CCTV di tempat yang
strategis.
c. Alarm keamanan diletakkan di tempat yang strategis.
7. Viruses and Worms
Pelaksanaan pengamanan untuk mengantisipasi viruses
dan worms yaitu :
a. Tindakan preventif, seperti meng-install dan meng-
update antivirus secara rutin, serta melakukan scan
pada file yang akan digunakan.
b. Tindakan detektif, seperti melakukan scan untuk
mendeteksi ada tidaknya virus secara rutin.
c. Tindakan korektif, seperti mem-backup data bebas
virus, pemakaian antivirus terhadap file yang
terinfeksi.
8. Penyalahgunaan Software, Data, dan Service
Tipe penyalahgunaan software, data, dan service yaitu :
a. Perangkat lunak dan database dicuri oleh pegawai
atau kompetitor.
b. Perusahaan tidak dapat menjaga kerahasiaan data
dalam basis data.
c. Pegawai menggunakan jasa sistem untuk kepentingan
pribadi.
20
9. Hacking
Beberapa pelaksanaan pengamanan untuk
mengantisipasi hacking yaitu :
a. Penggunaan password yang sulit ditebak.
b. Petugas secara teratur mengawasi sistem yang
digunakan.
Apabila terjadi bencana, pengendalian yang dapat
dilakukan yaitu :
1. Rencana Pemulihan Bencana (Disaster Recovery Plan)
Memungkinkan fungsi sistem informasi untuk
memperbaiki operasional saat terjadi bencana.
a. Rencana Darurat (Emergency Plan)
Yaitu tindakan yang harus segera dilakukan saat
terjadi bencana. Rencana ini mengidentifikasi siapa
yang melakukan, tindakan apa yang harus dilakukan,
dan prosedur evakuasi.
b. Rencana Backup (Backup Plan)
Rencana backup berisi tipe backup, frekuensi backup,
prosedur backup, lokasi perlengkapan backup, serta
pegawai yang bertanggung jawab melakukan backup.
c. Rencana Pemulihan (Recovery Plan)
Rencana pemulihan merupakan prosedur
pengembalian sistem informasi menjadi seperti
semula.
21
d. Rencana Pengujian (Test Plan)
Merupakan komponen terakhir rencana pemulihan
bencana yang berfungsi untuk mensimulasikan ketiga
rencana di atas agar dapat berjalan dengan baik.
2. Asuransi
Perlu adanya asuransi untuk peralatan, fasilitas, media
penyimpan, gangguan bisnis, dokumen dan kertas
berharga perusahaan.
2.2.3.1.2 Pengendalian Manajemen Operasional
Menurut Weber (1999, p291), manajemen
operasional bertanggung jawab pada jalannya fasilitas
perangkat keras dan perangkat lunak sehari-hari agar sistem
aplikasi produksi dapat menyelesaikan pekerjaan dan
pegawai dapat mendesain, mengimplementasikan, serta
menjaga sistem aplikasi.
Menurut Weber (1999, pp292-316), terdapat delapan
fungsi tanggung jawab manajemen operasional, yaitu :
1. Operasional Komputer (Computer Operations)
Pengendalian pengoperasian komputer bertanggung
jawab terhadap jalannya perangkat keras dan perangkat
lunak setiap hari. Terdapat tiga pengendalian pada
operasional komputer, yaitu :
22
a. Pengendalian Operasional (Operations Control)
Pengendalian operasional bertujuan untuk
memastikan keotentikan, keakuratan, dan
kelengkapan kegiatan operasional. Banyak jenis
kegiatan yang harus dilakukan untuk mendukung
pelaksanaan program komputer, misalnya program
harus dihidupkan dan dimatikan, media penyimpan
harus tersedia, formulir dan dokumen harus tersedia
di dekat printer serta informasi/laporan harus
didistribusikan ke pengguna.
b. Pengendalian Jadwal (Scheduling Control)
Pengendalian jadwal dilakukan untuk memastikan
komputer hanya digunakan untuk kegiatan yang
seharusnya dan pemakaian sumber daya sistem telah
efisien.
c. Pengendalian Pemeliharaan (Maintenance Control)
Pemeliharaan perangkat keras komputer merupakan
tindakan preventif yang dilakukan untuk mencegah
kerusakan perangkat keras.
2. Network Operation
a. LAN : Suatu kumpulan komputer dimana terdapat
beberapa unit komputer (client) dan satu unit
komputer untuk bank data (server). Antara masing-
masing client maupun antara client dan server dapat
23
saling bertukar file maupun saling menggunakan
printer yang terhubung pada unit-unit komputer yang
terhubung pada jaringan LAN
b. WAN: kumpulan dari LAN dan atau workgroup
yang dihubungkan dengan menggunakan alat
komunikasi modem dan jaringan internet dari/ke
kantor pusat dan cabang maupun antar kantor cabang
3. Persiapan dan Entry Data (Data preparation and entry)
Seluruh sumber data untuk sistem aplikasi dikirim ke
bagian persiapan data untuk diketik dan diverifikasi
sebelum dimasukkan ke dalam sistem. Faktor-faktor
yang harus diperhatikan yaitu :
a. Pencahayaan ruangan yang cukup.
b. Ruangan yang tenang.
c. Tata ruang yang baik.
d. Desain peralatan kantor (monitor komputer, meja,
dan kursi) yang argonomis.
e. Memastikan adanya backup pada persiapan dan
pemasukkan data.
4. Pengendalian Produksi (Production Control)
Terdapat lima fungsi pada pengendalian ini, yaitu :
a. Pengendalian input dan output (Input/output control)
Bertanggung jawab menjamin peng-input-an hanya
dilakukan oleh pihak yang berwenang, menerima
24
dan memasukkan input, menjaga input, secara
berkala mengumpulkan input dan menyimpan input
sampai tidak dibutuhkan lagi.
b. Job scheduling control.
Pada operasional komputer, suatu pekerjaan dapat
dilakukan oleh satu atau lebih program. Bagian
pengendalian produksi bertanggung jawab
menetapkan jadwal operasional serta mempersiapkan
dan menguji file pengendalian pekerjaan yang
diperlukan untuk setiap pekerjaan.
File pengendalian pekerjaan berisi perintah yang
spesifik, yaitu :
1) Kapan program harus dijalankan.
2) Program apa yang harus dijalankan.
3) File data yang diperlukan.
4) Printer yang dibutuhkan.
5) Pioritas penugasan program.
6) Prosedur yang dilakukan jika program berjalan
tidak seperti biasa.
Pengendalian yang dapat dilakukan yaitu :
1) File telah disiapkan dan dokumen telah sesuai
dengan standar yang ada.
2) File pengendalian pekerjaan telah diuji terlebih
dahulu sebelum digunakan.
25
3) Memastikan tidak ada perubahan yang tidak sah.
4) Terdapat backup file pengendalian pekerjaan.
c. Management of service-level agreements
Service Level Agreement (SAL) merupakan
perjanjian antara pengguna dengan fasilitas
operasional komputer. SAL berisi waktu respon
sistem yang diinginkan pengguna, tingkat
pemeliharaan sistem, biaya jasa dan penalti jika
sistem tidak sesuai dengan perjanjian.
d. Transfer pricing/chargeout control
Apabila operasi komputer dilengkapi dengan transfer
pricing pengendalian produksi dapat ditingkatkan.
e. Acquisition of consumables
Operasional komputer membutuhkan banyak
peralatan pendukung seperti kertas printer, disket,
flash disk, dan tinta printer. Peralatan tersebut
membutuhkan biaya yang tidak sedikit, tetapi dapat
mengganggu kegiatan operasional jika tidak tersedia.
Pengendalian yang dapat dilakukan yaitu:
1) Menjamin ketersediaan stok peralatan yang
dibutuhkan.
2) Memonitor harga dan kualitas peralatan.
3) Menjamin stok disimpan dengan aman.
4) Mengawasi penggunaannya.
26
5. File Library
File library bertanggung jawab mengelola media
penyimpanan.
a. Penyimpanan media peyimpan (Storage of storage
media)
Media penyimpan sebaiknya ditempatkan di ruangan
yang terpisah, akses untuk masuk dibatasi, terdapat
petugas yang mengawasi, suhu ruangan dijaga dan
ruangan harus bebas dari debu.
b. Penggunaan media penyimpan (Use of storage
media)
Penggunaan media penyimpan harus diawasi dengan
baik. Media penyimpan hanya diberikan kepada
pegawai yang berwenang dan pada saat yang telah
ditentukan.
c. Pemeliharaan dan pembuangan media penyimpan
(Maintenance and disposal of storage media)
Media penyimpan dapat digunakan untuk jangka
waktu yang lama, tetapi secara umum
kemampuannya berkurang seiring dengan umur
media penyimpan tersebut. Karena itulah sebaiknya
media peyimpan tidak digunakan dalam jangka
waktu yang panjang karena resiko yang timbul juga
akan semakin tinggi.
27
d. Lokasi media penyimpan (Location of storage
media)
Media penyimpan dapat diletakkan di dalam maupun
di luar ruang komputer. Media penyimpan sebaiknya
diletakkan di dalam ruang komputer jika sering
digunakan. Tetapi jika hanya digunakan untuk
backup dan keperluan pemulihan, dapat diletakkan di
luar ruang komputer.
6. Documentation and Program Library
Banyak tipe dokumentasi yang digunakan untuk
mendukung fungsi sistem informasi, perencanaan
strategis dan operasional, dokumentasi sistem aplikasi,
dokumentasi sistem perangkat lunak dan perlengkapan
program, dokumentasi basis data, manual operasional,
manual pengguna serta manual standar. Petugas
bertanggung jawab untuk memastikan penyimpanan
dokumentasi aman, memastikan bahwa hanya pegawai
yang berwenang yang dapat mengakses dokumentasi,
memastikan dokumentasi selalu diperbaharui serta
memastikan adanya backup untuk setiap dokumentasi.
7. Help Desk/Technical Support
Bertanggung jawab untuk membantu pegawai
menggunakan perangkat keras dan perangkat lunak,
serta menyediakan dukungan teknis untuk membantu
28
menyelesaikan masalah. Agar dapat efektif dan efisien
diperlukan petugas yang kompeten dan terpercaya serta
terdapat sistem pengelolaan masalah.
8. Capacity Planning and Performance Monitoring
Manajemen operasional harus terus-menerus memonitor
kinerja perangkat keras dan perangkat lunak untuk
memastikan bahwa sistem telah berjalan efisien dan
memiliki waktu respon yang dapat diterima.
2.2.3.2 Pengendalian Aplikasi (Application Controls)
Menurut Weber (1999, p365), pengendalian aplikasi bertujuan
untuk memastikan bahwa setiap aset sistem aplikasi dijaga, menjaga
integritas data, serta mencapai tujuan dengan efektif dan efisien.
Menurut Weber (1999, pp365-366), pengendalian aplikasi
terdiri dari :
1. Boundary Controls
2. Input Controls
3. Communiation Controls
4. Processing Controls
5. Database Controls
6. Output Controls
Pada pengendalian aplikasi tidak semua pengendalian akan
dibahas, yang dibahas hanya pengendalian batasan (boundary
29
control), pengendalian input (input control) dan pengendalian output
(output control).
2.2.3.2.1 Pengendalian Batasan
Menurut Weber (1999, p370), subsistem batasan
menentukan hubungan antara pengguna dengan sistem
informasi. Terdapat tiga tujuan pengendalian batasan, yaitu :
a. Memastikan identitas dan otentifikasi pengguna sistem.
b. Memastikan identitas dan otentifikasi sumber daya yang
digunakan pengguna.
c. Membatasi tindakan pengguna dalam penggunaan sistem
informasi.
Menurut Weber (1999, pp371-405), terdapat enam
pengendalian pada pengendalian batasan, yaitu :
1. Pengendalian Cryptographic (Cryptographic Control)
Pengendalian cryptographic dibuat untuk melindungi
kerahasiaan data dan untuk mencegah modifikasi data
yang tidak berwenang. Hal di atas dapat dilakukan
dengan cara mengubah data (cleartext) menjadi kode
(cryptograms atau chipertext) agar tidak memiliki arti
bagi orang yang tidak dapat menguraikannya. Terdapat
tiga teknik encipherment, yaitu :
a. Transposition Chipers
30
Transposition chipers yang sederhana yaitu menukar
posisi karakter data.
b. Substitution Chiphers
Substitution chiphers tetap mempertahakan posisi
karakter yang ada tetapi menyembunyikan identitas
karakter dengan cara menukarnya dengan karakter
lain sesuai dengan aturan tertentu.
c. Product Chipers
Product chipers menggunakan kombinasi antara
metode transposisi dan substitusi.
2. Pengendalian Akses (Access Control)
Pengendalian akses membatasi penggunaan sistem
informasi hanya kepada pengguna yang berwenang,
membatasi tindakan yang dapat dilakukan pengguna,
dan memastikan bahwa pengguna hanya mendapat
sistem komputer yang asli.
a. Identifikasi dan Otentifikasi (Identification and
Authentication)
Pengguna mengidentifikasi dirinya sendiri pada
mekanisme pengendalian akses dengan cara
memberikan informasi seperti nama atau nomor
account. Informasi identifikasi ini membuat
mekanisme dapat memilih file yang otentik bagi
pengguna. Pengguna dapat menggunakan tiga tipe
31
otentifikasi, yaitu informasi yang dapat diingat
(seperti nama, ulang tahun, password), objek
berwujud (seperti kartu plastik, kunci), dan karakter
pribadi (seperti sidik jari, suara, ukuran tangan, tanda
tangan, pola retina mata).
b. Object Resources
Digunakan pengguna pada sistem informasi berbasis
komputer dapat diklasifikasikan ke dalam empat
tipe, yaitu perangkat keras (contohnya terminal,
printer, prosesor), perangkat lunak (contohnya
program sistem aplikasi), komoditi (contohnya
tempat penyimpanan), serta data (contohnya file,
gambar, suara). Setiap sumber daya harus diberi
nama agar dapat teridentifikasi.
c. Hak istimewa (Action Privileges)
Hak istimewa memberikan pengguna suatu hak yang
tergantung tingkat otoritas dan tipe sumber daya
yang diperlukan pengguna.
d. Kebijakan Pengendalian Akses (Access Control
Policies)
Terdapat dua tipe kebijakan, yaitu :
1) Discretionary Access Control. Kebijakan ini
membebaskan penggunanya menentukan
mekanisme pengendalian akses, dan pengguna
32
dapat memilih untuk membagikan file pengguna
kepada pengguna lain atau tidak.
2) Mandatory Access Control. Pada kebijakan ini
pengguna dan sumber daya diberikan kategori
keamanan yang tetap.
3. Personal Identification Numbers (PIN)
PIN merupakan teknik yang digunakan untuk
mengotentifikasi pengguna. PIN harus terjaga
kerahasiaannya. Terdapat sembilan fase pada daur hidup
PIN, yaitu :
a. Pembuatan PIN (PIN generation)
Terdapat tiga cara pembuatan PIN, yaitu :
1) Derived PIN, yaitu institusi membuat PIN
berdasarkan nomor account pengguna atau
identitas pengguna lainnya.
2) Random PIN, yaitu institusi membuat nomor
acak dengan panjang yang tetap sebagai PIN.
3) Customer-selected PIN, yaitu pengguna dapat
memilih PIN mereka sendiri.
b. Penerbitan dan Pengiriman PIN (PIN Issuance and
Delivery)
Metode penerbitan dan pengiriman PIN tergantung
pada metode pembuatan PIN. Jika institusi yang
membuat PIN (metode derived PIN dan random
33
PIN) maka digunakan PIN mailer. Tetapi terdapat
empat cara jika pengguna yang memilih PIN mereka
sendiri (customer-selected PIN), yaitu :
1) Mail solicitation, yaitu mengirim PIN melalui
surat.
2) Telephone solicitation, yaitu pengguna memilih
PIN melalui telepon setelah mendapatkan PIN
mailer.
3) PIN entry via a secure terminal, yaitu pengguna
datang ke institusi untuk mengisi PIN pada
terminal yang tersedia.
4) PIN entry at the issuer’s facility, yaitu pengguna
memilih PIN pada saat membuka account.
c. Validasi PIN (PIN Validation)
Pada saat PIN dimasukkan, biasanya pengguna
diberikan sejumlah kesempatan sebelum kartu
ditahan dan account diblokir apabila PIN yang
dimasukkan salah.
d. Transmisi PIN (PIN Transmission)
PIN dapat dipalsukan saat dikirim, sehingga PIN
harus di-enkripsi. Chiper PIN yang dibuat haruslah
unik untuk setiap transmisi PIN.
e. Pemrosesan PIN (PIN Processing)
34
Proses yang dibutuhkan yaitu me-enkripsi dan men-
deskripsi PIN dan membandingkan PIN yang
dimasukkan dengan referensi PIN.
f. Penyimpanan PIN (PIN Storage)
Jika PIN bukan fungsi cryptographic dari nomor
account maka PIN harus disimpan untuk tujuan
referensi.
g. Perubahan PIN (PIN Change)
Pengguna dapat merubah PIN mereka, dengan cara
yang sama seperti di atas.
h. Penggantian PIN (PIN Replacement)
PIN dapat diganti jika pengguna lupa atau PIN
diketahui oleh orang lain.
i. Penghentian Pemakaian PIN (PIN Termination)
Penghentian pemakaian PIN dilakukan jika
pengguna menutup account-nya, PIN diganti dengan
PIN yang baru, atau jika tidak sengaja rusak.
4. Tanda Tangan Digital (Digital Signature)
Tanda tangan digital memiliki dua tujuan yaitu :
a. Sebagai otentifikasi pengguna.
b. Menghindari penyangkalan keterlibatan pihak-pihak
yang berpartisipasi dalam pembuatan kontrak.
35
5. Kartu Plastik (Plastic Card)
Jika PIN dan tanda tangan digital digunakan untuk
keperluan otentifikasi, maka kartu digunakan untuk
keperluan identifikasi.
6. Pengendalian Jejak Audit (Audit Trail Control)
Terdapat dua tipe jejak audit, yaitu :
a. Jejak audit akuntansi, yaitu catatan seluruh kejadian
yang berhubungan dengan subsistem batasan.
b. Jejak audit operasional, yaitu catatan pemakaian
sumber daya yang berhubungan dengan kejadian
pada subsistem batasan.
Jejak audit harus dianalisa secara berkala untuk
mendeteksi kelemahan pengendalian batasan pada
sistem.
2.2.3.2.2 Pengendalian Masukan
Menurut Weber (1999, pp420-456), subsistem input
bertanggung jawab memasukkan data dan instruksi ke dalam
sistem aplikasi.
1. Metode Input Data (Data Input Methods)
Terdapat beberapa cara untuk memasukkan data ke
dalam sistem aplikasi yaitu melalui keyboard,
pembacaan langsung melalui pengenal karakter optikal,
pengenal karakter tinta magnetik, image reader, atau
36
ATM, serta memasukkan langsung melalui touch screen,
mouse, joystick, suara, video, atau suara.
2. Desain Dokumen Sumber (Source Document Design)
Beberapa metode memasukkan data ke dalam komputer
menggunakan dokumen sumber. Dokumen sumber
digunakan bila terdapat perbedaan waktu antara waktu
terjadinya data dengan waktu memasukkan data ke
dalam sistem. Desain dokumen sumber yang baik harus
memenuhi tujuan berikut ini :
a. Formulir harus dapat mengurangi kemungkinan
terjadinya kesalahan pencatatan data.
b. Formulir harus dapat meningkatkan kecepatan
mencatat data.
c. Formulir merupakan bagian dari kegiatan
pengawasan.
d. Formulir harus dapat memfasilitasi kegiatan
memasukkan data ke komputer.
e. Formulir harus dapat meningkatkan kecepatan dan
keakuratan pembacaan data.
f. Formulir harus dapat berperan sebagai referensi
pengecekan.
37
3. Desain Layar Pemasukan Data (Data-entry Screen
Design)
Jika data dimasukkan melalui monitor, maka diperlukan
desain yang berkualitas pada tampilan pemasukan data
agar dapat mengurangi kemungkinan terjadinya
kesalahan dan agar tercapai efisiensi dan efektivitas
pemasukan data pada subsistem input. Terdapat delapan
petunjuk penilaian desain layar pemasukan data, yaitu :
a. Pengelolaan tampilan (Screen organization)
Tampilan harus dirancang agar rapih, seimbang,
serta elemen data dikelompokkan dengan sesuai
dengan fungsinya. Dan jika tampilan digunakan
untuk memasukkan data ke dalam dokumen sumber,
maka tampilan harus sama dengan dokumen sumber.
b. Caption design
Desain harus mempertimbangkan struktur, ukuran,
jenis huruf, format, jarak baris, dan spasi.
c. Data-entry field design
Field pemasukan data harus berada tepat di sebelah
judul data yang harus dimasukkan.
d. Tabbing and skipping
Sebaiknya tidak menggunakan skipping otomatis ke
field baru pada desain layar, karena operator tidak
dapat mendeteksi adanya kesalahan pencatatan dan
38
pada beberapa aplikasi terdapat field yang tidak perlu
diisi karena sudah terisi secara otomatis.
e. Color
Warna dapat digunakan untuk menandakan field
yang sedang diisi, untuk memisahkan suatu area
pada tampilan, atau untuk mengindikasikan
perubahan status. Warna juga dapat mengurangi
waktu pencarian pada tampilan dan dapat
memotivasi pengguna karena lebih menarik, selain
itu penggunaan warna yang sedikit dapat
membingungkan pengguna dalam memasukkan data.
f. Response time
Response time adalah interval waktu antara
memasukan data sampai dengan sistem siap untuk
menerima data baru. Response time harus stabil dan
cepat.
g. Display rate
Display rate adalah kecepatan karakter atau gambar
ditampilkan pada layar komputer.
h. Prompting and help facilities
Prompting and help facility menyediakan saran atau
informasi tindakan yang harus diambil saat
memasukkan data.
39
4. Pengendalian Kode Data (Data Code Control)
Kode data mempunyai dua tujuan, yaitu :
a. Sebagai identitas yang unik.
b. Untuk keperluan identifikasi.
Desain kode yang tidak bagus dapat membuat proses
input mudah salah dan proses memasukkan data menjadi
tidak efisien.
5. Check Digits
Kesalahan pengetikan data dapat berdampak serius bagi
perusahaan. Pengendalian yang dapat digunakan untuk
mencegah terjadinya kesalahan jenis ini adalah dengan
melakukan check digits. Check digits digunakan untuk
memeriksa atau menguji validitas angka.
6. Pengendalian Batch (Batch Control)
Cara pengendalian yang mudah dan efektif untuk
melakukan pengendalian terhadap pemasukan data.
Batching adalah proses pengelompokkan transaksi yang
memiliki hubungan satu dengan yang lain.
Ada dua tipe dari batch, yaitu :
a. Physical batches
Adalah pengelompokkan transaksi pada unit
fisiknya. Sebagai contoh, sumber dokumen yang
diperoleh dari pos dikumpulkan dalam satu batches.
40
b. Logical batches
Adalah proses pengelompokkan transaksi dilakukan
berdasarkan logika.
7. Validasi Data Input (Validation of Data Input)
a. Tipe validasi peng-input-an data
Data yang dimasukkan pada aplikasi harus segera di
validasi. Terdapat beberapa jenis validasi data input
yang harus diperiksa ketika data dimasukkan pada
terminal, yaitu :
1) Field check
Dilakukan terhadap field tidak tergantung pada
field lain dalam input record atau dalam input
record lainnya.
2) Record check
Dilakukan pada field tergantung pada hubungan
logika field itu dengan field yang lain pada record.
3) Batch check
Dilakukan pengujian apakah karakteristik dari
batch record yang dimasukkan sama dengan
karakteristik yang telah ditetapkan pada batch.
4) File check
Dilakukan pengujian apakah karakteristik pada
file yang digunakan selama entry data adalah
sama dengan karakteristik data pada file tersebut.
41
b. Reporting Data Input Errors
Kesalahan harus dilaporkan oleh program validasi
input sehingga dapat dilakukan perbaikan secara
cepat dan tepat atas kesalahan yang terjadi.
Kesalahan dapat diberi tanda dengan sebuah bel atau
pesan error. Pesan error harus dibuat dengan hati-hati
agar jelas dan ringkas sopan dan netral.
8. Pengendalian Jejak Audit (Audit Trail Control)
Jejak audit pada pengendalian input menjaga kronologis
suatu kejadian mulai dari saat data dan instruksi diterima
dan dimasukkan kedalam sistem aplikasi sampai dengan
saat penentuan data tersebut valid dan dapat dikirim ke
subsistem lain yang ada pada sistem aplikasi. Terdapat
dua tipe jejak audit, yaitu :
a. Jejak audit akuntansi, mencatat sumber data, isi dan
waktu transaksi dimasukkan kedalam sistem aplikasi.
b. Jejak audit operasional, mencatat aktivitas pegawai
pada subsistem input.
2.2.3.2.3 Pengendalian Keluaran
Menurut Weber (1999, p615), subsistem output
menyediakan fungsi yang menentukan isi dari data yang
akan disampaikan kepada pengguna, cara data disajikan
42
kepada pengguna, cara menyiapkan data serta cara
pengiriman data tersebut kepada pengguna.
Menurut Weber (1999, pp616-646), terdapat lima
pengendalian pada subsistem output, yaitu :
1. Inference Control
Inference control digunakan untuk mencegah
kompromi stastistical database (basis data dimana
pengguna hanya dapat mengakses statistik agregat
daripada nilai individual data). Pada statistical
database, data yang sensitif dan rahasia seperti riwayat
penyakit pegawai dapat dikelola dengan baik sehingga
tidak dapat diakses oleh pihak yang tidak berwenang.
Inference control terhadap statistical database
dilakukan untuk mencegah empat jenis kompromi
yang dapat terjadi, yaitu :
a. Positive compromise. Pengguna menyatakan
bahwa seseorang memiliki sifat khusus, contohnya
John Doe seorang pecandu alkohol.
b. Negative compromise. Pengguna menyatakan
bahwa seseorang tidak memiliki sifat khusus,
contohnya John Doe bukan seorang pecandu
alkohol.
43
c. Exact compromise. Pengguna menyatakan bahwa
seorang memiliki nilai yang tepat, contohnya Mary
Doe memiliki gaji sebesar $120,000 per tahun.
d. Approximate compromise. Pengguna menyatakan
bahwa seseorang memiliki range nilai tertentu,
contohnya Mary Doe memiliki gaji antara
$100,000 sampai dengan $140,000 per tahun.
Ada dua jenis inference control yang dapat dilakukan
untuk mencegah terjadinya kompromi, yaitu :
a. Restriction Control
Restriction control membatasi rangkaian respon
yang akan diberikan kepada pengguna untuk
melindungi kerahasiaan data seseorang dalam basis
data.
b. Perturbation Control
Perturbation control menggunakan beberapa jenis
gangguan terhadap perhitungan statistik yang
dibuat berdasarkan catatan yang diambil dari basis
data.
2. Batch Output Production and Distribution Control
Batch output adalah output yang dihasilkan pada
beberapa fasilitas operasional dan didistribusikan atau
disimpan oleh pengguna output tersebut. Pengendalian
produksi dan distribusi pada output dilakukan untuk
44
memastikan laporan/output yang akurat, lengkap, dan
tepat waktu dan hanya diserahkan kepada pengguna
yang berhak. Terdapat sebelas pengendalian pada
batch output production and distribution control,
yaitu:
a. Stationary Supplies Storage Controls
Perusahaan menggunakan printer untuk mencetak
laporannya biasanya mempunyai jumlah formulir
yang banyak. Agar memudahkan pengawasan
terhadap formulir tersebut, penggunaan warna
kertas dapat dilakukan sehingga memudahkan
pencarian dan pemakaian formulir tersebut.
Pemakaian formulir kosong sangat dianjurkan
karena diperlukan banyak jenis formulir yang
harus disiapkan karena semua bentuk formulir
telah dimasukkan dalam program sehingga
perusahaan hanya perlu menyediakan formulir
berupa kertas kosong yang akan dicetak oleh
komputer dengan menggunakan printer.
Pengendalian yang dapat dilakukan yaitu :
1) Preprinted stationery hanya dibuat sesuai
dengan aturan yang ada dan hanya diberikan ke
pihak yang berhak.
45
2) Menjaga sistem persediaan preprinted
stationery.
3) Menyimpan preprinted stationery dengan aman.
4) Mengawasi akses ke preprinted stationery.
5) Memberikan nomor pada preprinted stationery.
b. Report Program Execution Controls
Ada tiga hal yang harus diperhatikan pada
pelaksanaan program pembuatan laporan, yaitu :
1) Hanya orang yang berwenang yang dapat
menjalankan program tersebut.
2) Wewenang yang diberikan harus sesuai dengan
kebutuhan.
3) Program pembuatan laporan yang menghasilkan
laporan dalam jumlah banyak harus memiliki
fasilitas mengulang kembali.
c. Queuing / Spoolling / Printer File Controls
Jika laporan tidak dicetak dengan segera pada
printer maka laporan tersebut harus antri, sistem
perangkat lunak dapat membuat suatu program
laporan untuk mengerti bahwa ketika printer
sedang digunakan oleh pihak lain maka laporan-
laporan tersebut harus mengantri dan ketika printer
tersebut dapat digunakan maka segera memberikan
perintah mencetak oleh sistem sehingga
46
pencetakan laporan dapat dilakukan. Pengendalian
ini bertujuan untuk memastikan :
1) Isi file yang dicetak tidak dapat dirubah.
2) Tidak ada salinan file yang dicetak tanpa izin.
3) File hanya dicetak satu kali.
4) File yang dicetak yang disimpan untuk backup
tidak digunakan oleh pihak yng tidak
berwenang.
d. Printing Controls
Pengendalian terhadap pencetakan laporan
memiliki tiga tujuan, yaitu :
1) Untuk memastikan bahwa laporan dicetak
dengan printer yang benar.
2) Untuk mencegah pihak yang tidak berwenang
melihat data yang sensitif yang tercetak pada
laporan.
3) Untuk memastikan bahwa pengawasan yang
tepat telah dilakukan pada proses pencetakan
laporan.
e. Report Collection Controls
Ketika output sudah dihasilkan harus diperhatikan
keamanannya untuk mencegah kehilangan atau
diambil oleh pihak yang tidak berwenang, terutama
bila output berisi data rahasia dan dapat
47
mengakibatkan kerugian bagi perusahaan bila
diketahui oleh pihak pesaing. Pengendalian yang
dapat dilakukan yaitu :
1) Disimpan dengan aman.
2) Mencatat nama pegawai yang membuat output.
3) Mencatat tanggal dan waktu laporan output
dibuat dan diberikan ke pengguna.
f. User/Client Services Review Controls
Sebelum output dikirim kepada pengguna, sebuah
pelayanan pengguna/klien (user/client service)
harus melakukan pemeriksaan untuk mengetahui
ada tidaknya kesalahan. Pemeriksaan yang dapat
dilakukan yaitu :
1) Apakah halaman laporan yang dicetak dapat
dibaca atau tidak.
2) Apakah kualitas hasil cetakan memuaskan.
3) Apakah tape cartridge atau CD-ROM sudah
diberi nama atau belum.
4) Apakah terdapat halaman yang hilang.
5) Apakah terdapat halaman laporan yang tercetak
miring.
g. Report Distribution Controls
Pelayanan pengguna/klien (user/client service)
memiliki tugas untuk mengambil output dan
48
mendistribusikannya kepada pemakai secara aman
dan benar. Terdapat beberapa cara pendistribusian
laporan, yaitu :
1) Disimpan di tempat terkunci yang dapat
diambil oleh pengguna secara berkala.
2) Langsung dikirim ke pengguna.
3) Dikirim melalui surat kepada pengguna baik
melalui surat internal maupun melalui jasa pos.
4) Diambil sendiri oleh pengguna.
5) Dikirim ke pengguna melalui jasa kurir.
6) Diserahkan melalui perusahaan jasa
pengiriman.
h. User Output Controls
Pengguna dapat dilibatkan untuk melakukan
pengawasan terhadap output yang dihasilkan.
Karena pengguna telah terbiasa dengan output
yang mereka terima, maka sangat mudah bagi
mereka untuk mengetahui adanya kesalahan.
i. Storage Controls
Ada tiga pengendalian utama yang dapat
dilakukan, yaitu :
1) Output harus disimpan di tempat yang mudah
dijangkau dan disimpan sesuai dengan
jenisnya.
49
2) Output harus disimpan dengan aman.
3) Terdapat pengawasan persediaan yang tepat.
j. Retention Controls
Tanggal retensi harus ditetapkan pada setiap
output. Karena berhubungan dengan media dan
cara penyimpanan yang dilakukan.
k. Destruction Controls
Jika output sudah tidak digunakan lagi maka output
tersebut harus dihancurkan. Proses penghancuran
output harus diawasi agar tidak terjadi output yang
seharusnya masih diperlukan dan tidak diperintah
untuk dihancurkan tetapi ternyata dihancurkan,
selain itu juga untuk menjamin penghancuran data
rahasia.
3. Batch Report Design Control
Elemen penting pada efektivitas pelaksanaan
pengawasan terhadap produksi dan distribusi laporan
adalah kualitas desain laporan. Desain laporan yang
baik akan membuat pengguna mudah membaca
laporan yang dihasilkan. Desain laporan yang baik
harus terdapat informasi sebagai berikut :
a. Nama laporan.
b. Waktu dan tanggal laporan dibuat.
c. Jumlah laporan dicetak.
50
d. Periode proses pembuatan laporan.
e. Program yang digunakan untuk membuat laporan.
f. Nama pegawai yang bisa dihubungi jika laporan
salah atau rusak.
g. Klasifikasi keamanan (rahasia/umum).
h. Tanggal retensi.
i. Metode penghancuran laporan.
j. Kepala halaman.
k. Nomor halaman.
l. Tanda akhir laporan.
4. Pengendalian Jejak Audit (Audit Trail Control)
Pengendalian jejak audit pada subsistem output
dilakukan untuk menjaga kronologi suatu kejadian
mulai dari laporan dibuat sampai laporan tersebut
disimpan. Terdapat dua tipe jejak audit, yaitu :
a. Jejak audit akuntansi, menunjukkan output apa
yang diberikan ke pengguna, siapa dan kapan
output diterima, serta tindakan apa yang dilakukan
sehubungan dengan output tersebut. Jejak audit
akuntansi juga dapat digunakan untuk menentukan
apakah telah terjadi penyalahgunaan akses dan
tindakan oleh pihak yang tidak berwenang pada
subsitem output.
51
b. Jejak audit operasional, mencatat penggunaan
sumber daya untuk menghasilkan berbagai macam
output.
2.3 Audit Sistem Informasi
2.3.1 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p10) Audit Sistem Informasi adalah proses
pengumpulan dan pengevaluasian bukti-bukti atau fakta untuk menetukan
apakah sebuah sistem aplikasi sudah terkomputerisasi, sudah menetapkan
sistem pengendalian intern yang memadai dan apakah semua aktiva
dilindungi dengan baik atau tidak disalahgunakan, serta sudah terjaminnya
integritas data, kehandalan dan kefektifan dalam penyelenggaraan sistem
informasi berbasis komputer.
Menurut Gondodiyoto (2003, p151) Audit Sistem Informasi
merupakan suatu pengevaluasian untuk mengetahui bagaimana tingkat
kesesuaian antara aplikasi sistem informasi dengan prosedur yang telah
ditetapkan dan mengetahui apakah suatu sistem informasi telah didisain dan
diimplementasikan secara efektif, efisien dan ekonomis, memiliki mekanisme
pengamanan aset yang memadai serta menjamin integritas data yang
memadai.
Jadi dapat disimpulkan bahwa Audit Sistem Informasi merupakan
suatu proses mengumpulkan dan mengevaluasi bukti-bukti yang
berhubungan dengan sistem informasi untuk menentukan apakah sistem
informasi yang digunakan telah menerapkan sistem pengendalian yang
52
memadai agar tidak disalahgunakan dan dapat menyajikan informasi yang
berguna.
2.3.2 Tujuan Audit Sistem Informasi
Menurut Weber (1999, pp11-13) tujuan Audit Sistem Informasi secara
garis besar dapat disimpulkan menjadi 4 tahap, yaitu :
1. Meningkatkan objektifitas keamanan aset perusahaan
Aset informasi suatu seperti perangkat keras (hardware), perangkat lunak
(software), sumber daya manusia, file atau data harus dijaga oleh suatu
sitem pengendalian intern yang baik agar tidak terjadi penyalahgunaan
aset perusahaan. Dengan demikian sistem pengamanan aset merupakan
suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.
2. Meningkatkan objektifitas integritas data
Integritas data (data integrity) adalah suatu konsep dasar sistem
informasi. Data memiliki atribut-atribut tertentu seperti kelengkapan,
kebenaran dan keakuratan. Jika integritas data tidak dipelihara, maka
suatu perusahaan tidak akan lagi memiliki hasil suatu laporan yang benar
bahkan perusahaan dapat menderita kerugiaan.
3. Meningkatkan objektifitas efektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan dalam proses
pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif
bila sistem informasi tersebut telah sesuai dengan kebutuhan user. Suatu
sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi
kebutuhan user.
53
4. Meningkatkan objektifitas efisiensi sistem
Efisiensi menjadi hal yang sangat penting ketika sumber komputer tidak
lagi memiliki kapasitas yang memadai, jika cara kerja dari sistem aplikasi
komputer menurun maka pihak manajemen harus mengevaluasi apakah
efisiensi sistem masih memadai atau harus menambah sumber daya,
karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat
memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
2.3.3 Jenis Audit Sistem Informasi
Menurut Weber (1999, pp106-107) jenis-jenis Audit Sistem Informasi
dapat dibagi menjadi 3, yaitu :
1. Audit Secara Bersama-sama (Concurrent Audit)
Auditor merupakan anggota dari tim pengembangan sistem, mereka
membantu tim dalam meningkatkan kualitas dari pengembangan untuk
sistem spesifik yang mereka bangun dan yang akan diimplementasikan.
2. Audit Setelah Implementasi (Postimplementation Audit)
Auditor membantu organisasi untuk belajar dari pengalaman
pengembangan dari sistem aplikasi. Mereka akan mengevaluasi apakah
sistem perlu dihentikan, dilanjutkan atau dimodifikasi.
3. Audit Umum (General Audit)
Auditor mengevaluasi pengendalian pengembangan sistem secara
keseluruhan. Mereka melakukan audit untuk menentukan apakah
mereka dapat mengurangi waktu dari pengujian substantif yang perlu
dilakukan untuk memberikan opini audit tentang pernyataan keuangan
54
(sebagai tuntutan dari manajemen) ataupun tentang keefektifan dan
keefisienan sistem.
2.3.4 Metode Audit Sistem Informasi
Menurut Weber (1999, pp56-57) metode Audit Sistem Informasi
meliputi:
1. Audit Around The Computer
Audit Around The Computer merupakan suatu pendekatan audit dengan
memberlakukan computer sebagai kotak hitam (black box), maksud
metode ini tidak menguji langkah-langkah proses secara langsung tetapi
hanya berfokus pada masukan dan keluaran dari sistem komputer.
Diasumsikan jika masukan benar akan diwujudkan pada keluaran
sehingga pemrosesan dianggap benar, dan tidak melakukan pengecekan
terhadap pemrosesan komputer secara langsung.
2. Audit Through The Computer
Audit Through The Computer merupakan suatu pendekatan audit yang
berorientasi pada komputer dengan membuka kotak hitam (black box),
dan secara langsung berfokus pada operasi pemrosesan dalam sistem
komputer. Dengan asumsi apabila sistem pemrosesan mempunyai
pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak
akan terlewat untuk terdeteksi, sebagai akibatnya keluaran tidak dapat
diterima.
55
2.3.5 Tahapan Audit Sistem Informasi
Menurut Weber (1999, pp47-55), tahapan-tahapan Audit Sistem
Informasi adalah sebagai berikut:
a. Perencanaan Audit (Planning the Audit)
Ini merupakan fase pertama dalam pemerikasaan audit bagi auditor
eksternal berarti menyelidiki dari awal atau melanjutkan yang ada
untuk menentukan apakah pemeriksaan tersebut dapat diterima,
penempatan staf audit yang sesuai, melakukan pengecekan informasi
latar belakang klien, mengerti kewajiban utama dari klien, menganalisa
memajukan bisnis klien dan mengidentifikasikan area resiko.
Sedangkan bagi auditor internal berarti mengerti objek pendukung
dalam pemeriksaan, penyediaan informasi pendukung staf yang handal
dan mengidentifikasi area resiko.
b. Pengujian Pengendalian (Tests of Controls)
Biasanya dalam fase ini diawali memusatkan pada pengendalian
manajemen, apabila hasil menunjukkan tidak sesuai dengan harapan
maka pengendalian manajemen tidak berjalan sebagaimana mestinya.
Bila auditor menemukan kelemahan serius pada pengendalian
manajemen mereka akan mengemukakan opini atau mengambil
keputusan dalam pengujian transaksi dan saldo untuk hasilnya.
c. Pengujian Transaksi (Test of Transactions)
Pengujian transaksi yang termasuk pengecekan jurnal yang masuk dari
dokumen utama, menguji nilai kekayaan dan ketepatan komputasi.
Komputer sangat berguna dalam pengujian ini dan auditor dapat
56
menggunakan piranti lunak (software) audit yang umum untuk
mengecek apakah pembayaran bunga dari bank telah di kalkulasi secara
tepat.
d. Pengujian Saldo atau Hasil Keseluruhan (Test of Balances or Overall
Result)
Dalam audit keuangan terhadap sistem akuntansi berbasis komputer,
pengujian substantif atas saldo misalnya dilakukan dengan memeriksa
apakah saldo suatu rekening telah sesuai, misalnya piutang. Teknik
pemeriksaannya dapat dilakukan dengan cara membuat dan
mengirimkan surat konfirmasi kepada debitur. Jawaban dari debitur
akan membuktikan apakah hutang menurut pengakuannya sudah sesuai
dengan saldo buku pembantu piutang dalam sistem akuntansi.
Sedangkan dalam audit operasional dapat dilakukan dengan memeriksa
konteks efisiensi dan efektifitas dalam kegiatan komputerisasi.
e. Penyelesaian Audit ( Completion of the Audit)
Di tahapan akhir audit, auditor eksternal membuat kesimpulan dan
rekomendasi untuk dikomunikasikan pada manajemen. Jenis-jenis
pendapat auditor adalah:
1) Pernyataan tidak memberikan pendapat (Disclaimer of Opinion)
Auditor tidak menyatakan pendapat atas laporan keuangan yang
diaudit.
57
2) Pendapat tidak wajar (Adverse Opinion)
Auditor memberikan pendapat tidak wajar jika laporan
keuangan yang diberikan tidak disusun berdasarkan prinsip
akuntansi secara umum.
3) Pendapat wajar dengan pengecualian (Qualified Opinion)
Auditor menyatakan bahwa laporan keuangan yang disajikan
salah tetapi tidak ada yang mempengaruhi dari laporan
keuangan.
4) Pendapat wajar tanpa pengecualian (Unqualified Opinion)
Auditor menyimpulkan tidak ada kehilangan atau penyelewengan
material atas pencatatan akuntansi.
58
Start
Persiapan KerjaAudit
MemahamiPengendalian
Internal
Menaksir ResikoPengendalian
TergantungKontrol?
Melakukan teskontrol
Menaksir ulangResiko
MasihTergantung
kontrol
Meningkatkanketergantungan
Kontrol
Menentukan TesSubstantif
Tes Substantifterbatas
Memberikan Opinidan Laporan Audit
Stop
Ya
Ya
Ya
Tidak
Tidak
Tidak
Gambar 2.1 Langkah Proses Audit
Sumber : Information System Control and Audit (Weber, 1999, p.48)
59
2.4 Sistem Informasi Pengiriman Barang
2.4.1 Pengertian Sistem Informasi Pengiriman Barang
Menurut Hall (2001, p7), sistem informasi adalah sebuah rangkaian
prosedur formal dimana data dikumpulkan, diproses menjadi informasi, dan
didistribusikan kepada para pemakai.
Menurut Kamus Umum Bahasa Indonesia (1999, p512), pengiriman
adalah kiriman; hal (perbuatan dan sebagainya) mengirimkan.
Menurut (www.wikipedia.org), pengiriman adalah proses
pengangkutan barang-barang. Kebanyakan barang-barang diantarkan lewat
jaringan transportasi. Muatan (barang-barang fisik) terutama diantarkan
melalui darat dengan memakai kereta api, melalui jalur laut dengan
menggunakan kapal laut dan melalui udara dengan menggunakan
perusahaan penerbangan.
Jadi dapat disimpulkan bahwa sistem informasi pengiriman barang
adalah sebuah rangkaian prosedur dimana data-data tentang cara dan hasil
pekerjaan dari menyampaikan barang kepada seseorang yang diolah menjadi
informasi yang bermanfaat bagi manajemen perusahaan.
2.4.2 Teori Pengiriman Barang
Di bawah ini akan dijelaskan secara singkat mengenai beberapa
pengertian penting yang berkaitan dengan pengiriman barang, yaitu :
a. Shipping/Shipment adalah kegiatan pengiriman barang yang melibatkan
shipper, penyedia jasa, consignee, dan armada pengangkutan mitra
bisnis penyedia jasa pengiriman barang.
60
b. Shipping Instrution (SI) adalah surat perintah pengiriman barang yang
diberikan oleh shipper kepada pihak penyedia jasa pengiriman barang.
c. Shipper adalah pelanggan retail atau korporat yang memanfaatkan jasa
layanan pengiriman barang.
d. Consignee adalah penerima barang dari shipper melalui penyedia jasa
layanan pengiriman barang.
e. Agent adalah pihak penyedia jasa layanan pengiriman barang yang
bertanggung jawab atas pengiriman barang setelah barang berangkat
dari bandara atau pelabuhan untuk selanjutnya dikirimkan kepada
consignee.
f. Notify Party adalah pihak yang bertanggung jawab atas penerimaan
barang.
g. Airway Bill adalah surat tanda bukti pengiriman barang dengan tanda
nomor tertentu yang telah disetujui oleh pihak penyedia jasa
pengiriman barang dan armada pengangkutan udara mitra bisnisnya.
Airway Bill dikenal juga sebagai Surat Muatan Udara.
h. Bill of Lading (B/L) adalah surat tanda bukti pengiriman barang dengan
tanda nomor tertentu yang telah disetujui oleh pihak penyedia jasa
pengiriman barang dan armada pengangkutan laut mitra bisnisnya.
i. House Bill of Lading adalah surat tanda bukti pengiriman barang yang
dibuat oleh pihak PT. TIKI JNE dan dikirim ke pihak agent dan
shipper.
j. Tracking adalah kegiatan menampilkan informasi barang shipper
melalui suatu media tertentu. Tujuannya adalah memberikan status
61
informasi pengiriman barang yang dibutuhkan oleh shipper mengenai
barang kirimannya. Kegiatan tracking ini dilakukan oleh shipper, bukan
oleh pihak penyedia jasa pengiriman barang ; pihak penyedia jasa
hanya menyediakan status informasi pengiriman yang dibutuhkan oleh
para shipper.
k. Invoice adalah surat tagihan jasa pengiriman barang yang dikeluarkan
oleh pihak penyedia jasa pengiriman barang kepada shipper.
2.5 Penetapan Potensial Penilaian Resiko
Potensial penilaian resiko menggunakan penilaian berdasarkan pada buku Emile
Woolf (1999, p167) dalam bukunya “Auditing Today”, dimana tingkat resiko dibagi
ke dalam beberapa kategori diantaranya yaitu :
a. Low
Resiko yang dinilai jarang terjadi dan tidak dapat mempengaruhi operasi
perusahaan ataupun sistem internal kontrol dalam suatu organisasi.
b. Medium
Resiko yang dinilai jarang/sering terjadi tetapi dapat memberikan dampak yang
tidak terlalu mempengaruhi operasi perusahaan dan sistem internal kontrol dalam
organisasi.
c. High
Resiko yang dinilai sering terjadi dan secara langsung dapat mempengaruhi
kegiatan operasi perusahaan dan mengancam sistem internal kontrol organisasi.