9
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi
2.1.1 Pengertian Sistem Informasi
Berdasarkan pendapat dari Gelinas, Ulric, dan Dull (2010: 12), “An
information system is a man made system generally consists of an integrated set
of computer-based components and manual components establish to collect,
store, and manage data and to provide output information to users”.
Menurut O’Brien dan Marakas (2008: 7), “information system can be
any organized combination of people, hardware, software, communication
networks and data resources that collect, transform, disseminates information in
a organization”.
Berdasarkan pendapat IBISA (2010: 1), sistem informasi dapat
didefinisikan sebagai suatu sistem yang terdiri dari:
• Pengumpulan data
• Pengolahan data
• Penyimpanan data
• Penyajian informasi
Dari beberapa pengertian sistem informasi di atas, maka dapat
disimpulkan bahwa sistem informasi adalah kumpulan komponen seperti
hardware, software, network, dan sumber daya yang lain untuk menghasilkan
informasi yang berguna bagi perusahaan untuk mencapai tujuannya.
10
2.1.2 Tujuan Sistem Informasi
Hall (2007: 21) mengatakan bahwa tujuan-tujuan sistem informasi
adalah sebagai berikut:
1. Mendukung fungsi penyediaan pihak manajemen
Administrasi mengacu pada tanggung jawab pihak manajemen untuk
mengelola dengan baik sumber daya perusahaan. Sistem informasi
menyediakan informasi mengenai penggunaan sumber daya kepada para
pengguna eksternal melalui laporan keuangan tradisional serta dari
berbagai laporan lain yang diwajibkan. Secara internal, pihak manajemen
menerima informasi pelayanan dari berbagai laporan
pertanggungjawaban.
2. Mendukung pengambilan keputusan pihak manajemen
Sistem informasi memberikan informasi kepada pihak manajemen
informasi yang dibutuhkan untuk melaksanakan tanggung jawab
pengambilan keputusan tersebut.
3. Mendukung operasional harian perusahaan
Sistem informasi menyediakan informasi bagi para personel operasional
untuk membantu mereka melaksanakan pekerjaan hariannya dengan cara
yang efisien dan efektif.
Oleh karena itu, sistem informasi sangat diperlukan untuk menunjang
kemudahan dalam penyampaian informasi yang berguna untuk membantu pihak
manajemen dalam membuat suatu keputusan.
11
2.2 Pengendalian Internal
2.2.1 Pengertian Pengendalian Internal
Menurut Gramling, Rittenberg, dan Johnstone (2012: 208), “Internal
control is a process related to the achievement of the organization’s objectives.
Organizations identify the risks to achieving those objectives and implement
various controls to mitigate those risks”.
Pengendalian internal diperlukan untuk mengidentifikasi risiko agar
proses bisnis perusahaan tidak terganggu.
2.2.2 Tujuan Pengendalian Internal
Menurut Gondodiyoto (2007: 260), tujuan disusunnya system control
atau pengendalian internal komputer adalah sebagai berikut:
1. Meningkatkan pengamanan (improve safeguard) aset sistem
informasi (data/catatan akuntansi (accounting records) yang bersifat
logical assets, maupun physical assets seperti hardware,
infrastructures, dan sebagainya).
2. Meningkatkan integritas data (improve data integrity), sehingga
dengan data yang benar dan konsisten akan dapat dibuat laporan
yang benar.
3. Meningkatkan efektifitas sistem (improve system effectiveness).
4. Meningkatkan efisiensi sistem (improve system efficiency).
2.2.3 Komponen Pengendalian Internal
2.2.3.1 Pengendalian Umum (General Control)
Menurut Gondodiyoto (2007: 301), pengendalian umum
adalah sistem pengendalian intern komputer yang berlaku umum
12
meliputi seluruh kegiatan komputerisasi sebuah organisasi secara
menyeluruh. Ruang lingkup dalam pengendalian umum adalah sebagai
berikut:
1. Pengendalian Top Management
Dalam lingkup ini termasuk pengendalian manajemen sistem
operasi (information system management controls).
Pengendalian top level management adalah sistem pengendalian
internal yang ada pada suatu organisasi yang mendorong
keterlibatan, kepedulian dan tanggung jawab pucuk pimpinan
organisasi terhadap kegiatan teknologi informasi pada organisasi
tersebut.
2. Pengendalian Manajemen Pengembangan Sistem (system
development management controls termasuk manajemen
program (programming management controls)
Pengendalian pengembangan dan pemeliharan sistem diperlukan
untuk mencegah dan mendeteksi kemungkinan kesalahan pada
waktu pengembangan dan pemeliharaan sistem (system
development maintenance), serta untuk memperoleh keyakinan
memadai bahwa sistem berbasis teknologi informasi
dikembangkan dan dipelihara dengan cara yang efisien dan
melalui proses otorisasi yang semestinya.
3. Pengendalian Manajemen Sistem Informasi (Information System
Management Controls)
13
Mengendalikan alternatif model pengembangan proses sistem
informasi sehingga digunakan sebagai dasar pengumpulan dan
pengevaluasian bukti.
4. Pengendalian Manajemen Sumber Data (data resources
management controls)
Di dalam suatu sistem berbasis teknologi informasi,
pengendalian sumber data (data resources management
controls) yang baik adalah:
a. User harus dapat berbagi data (data sharing among users)
b. Data harus tersedia untuk digunakan kapan saja, di
manapun, dan dalam bentuk apapun (sudah tentu dengan
aturan akses/wewenang yang jelas)
c. Sistem manajemen data harus menjamin adanya sistem
penyimpanan yang efisien, tidak terjadi redudansi data,
adanya data security, data integrity, dan data
independence.
d. Data harus dapat dimodifikasi dengan mudah (user
friendly) oleh yang berwenang seusuai dengan kebutuhan
user.
5. Pengendalian Manajemen Operasi (operational management
controls)
Merupakan jenis pengendalian intern yang didesain untuk
menciptakan kerangka kerja organisasi, pendayagunaan sumber
daya informasi, dan pembagian tugas yang baik dalam suatu
14
organisasi yang menggunakan sistem berbasis teknologi
informasi. Sumber daya informasi meliputi hardware, software,
netware, brainware, data itu sendiri dan seluruh komponen yang
diperlukan untuk mendukung berlangsungnya operasi sistem
informasi yang baik.
6. Pengendalian Manajemen Keamanan (security management
controls)
Pengendalian ini dimaksudkan untuk menjamin agar aset sistem
informasi tetap aman. Aset sumber daya informasi mencakup
fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak
berwujud (non fisik, misalnya data/informasi, dan program
aplikasi komputer). Keamanan sistem komputer mencakup
keamanan perangkat keras, perangkat lunak, data/informasi,
sistem prosedur dan manusia.
7. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance
Management Controls)
Mengendalikan fungsi utama yang harus dilakukan Quality
Assurance Management Controls untuk meyakinkan bahwa
pengembangan, pelaksanaan, pengoperasian, dan pemeliharaan
dari sistem informasi sesuai dengan standar kualitas.
Sesuai dengan ruang lingkup evaluasi yang akan
dilakukan, maka pengendalian umum yang akan dibahas lebih
lanjut adalah:
15
1. Pengendalian Manajemen Keamanan (security management
controls)
Menurut Weber (1999: 257) pengendalian terhadap manajemen
keamanan secara garis besar bertanggung jawab dalam
menjamin aset sistem informasi tetap aman. Ancaman utama
terhadap keamanan dapat bersifat karena alam, oleh manusia
yang bersifat kelalaian maupun kesengajaan, antara lain:
a. Ancaman kebakaran
Beberapa pelaksanaan pengamanan untuk ancaman
kebakaran adalah:
• Memiliki alarm kebakaran otomatis yang diletakkan
pada tempat dimana asset-aset sistem informasi
berada.
• Memiliki tabung kebakaran yang diletakkan pada
lokasi yang mudah diambil.
b. Ancaman banjir
Beberapa pelaksanaan pengamanan untuk ancaman banjir
adalah:
• Semua material aset sistem informasi diletakkan di
tempat yang tinggi.
c. Perubahan tegangan sumber energi
Pelaksanaan pengamanan untuk mengantisipasi perubahan
tegangan sumber energi listrik, misalnya menggunakan
stabilizer ataupun uninteruptable power supply (UPS) yang
16
memadai yang mampu meng-cover tegangan listrik jika tiba-
tiba turun.
d. Kerusakan struktural
Kerusakan struktural biasanya terjadi karena bencana alam
seperti gempa, angin ribut.
e. Hacker
Pelaksanaan pengamanan terhadap hacker, yaitu:
• Penggunaan kontrol logika seperti penggunaan
password yang sulit untuk ditebak.
• Penggunaan firewall.
f. Virus dan worm
Pelaksanaan pengamanan terhadap virus dan worm, yaitu:
1. Tindakan preventive, seperti meng-install anti virus dan
meng-update secara rutin, melakukan scan file yang akan
digunakan.
2. Tindakan detective, seperti melakukan scan secara rutin.
3. Tindakan corrective, seperti memastikan back up data
bebas virus, pemakaian anti virus terhadap file yang
terinfeksi.
2. Pengendalian Manajemen Operasi (operational management
controls)
Menurut Weber (1999: 291) terdapat delapan fungsi utama yang
menjadi tanggung jawab manajemen operasional, yaitu:
a. Operasional Komputer
17
b. Pengendalian Jaringan Komputer
c. Persiapan Data dan Entri
d. Kontrol Produksi
e. Perpustakaan File
f. Dokumentasi dan Program Kepustakaan
g. Help Desk / Technical Support
h. Perencanaan Kapasitas dan Pengawasan Kinerja
2.2.3.2 Pengendalian Aplikasi (Application Control)
Menurut Gondodiyoto (2007: 372), pengendalian aplikasi
adalah sistem pengendalian intern pada sistem informasi berbasis
teknologi informasi yang berkaitan dengan pekerjaan atau aplikasi
tertentu (setiap aplikasi memiliki karakteristik dan kebutuhan
pengendalian yang berbeda). Pengendalian aplikasi diperlukan untuk
mengurangi terjadinya risiko, atau jika risiko ternyata terjadi juga,
hendaknya tingkat kerugiannya seminimal mungkin.
Pengendalian aplikasi menurut Gondodiyoto (2007: 374) terdiri dari:
1. Boundary Controls (pengendalian batasan)
2. Input Controls (Pengendalian Masukan)
3. Process Controls (Pengendalian Proses)
4. Database Controls (Pengendalian Database)
5. Communication Controls (Pengendalian Komunikasi)
6. Output Controls (Pengendalian Keluaran)
Sesuai dengan ruang lingkup evaluasi yang akan dilakukan, maka
pengendalian aplikasi yang akan dibahas lebih lanjut adalah:
18
1. Boundary Controls (pengendalian batasan)
Boundary adalah interface antara pengguna (user) dengan sistem
berbasis TI.
Tujuan utama boundary controls ialah:
a. Untuk mengenal identitas dan otentik atau tindakan
user/pemakai sistem
b. Untuk menjaga agar sumber daya informasi digunakan oleh
user tersebut dengan cara yang ditetapkan.
Beberapa pengendalian yang diimplementasikan dalam boundary
controls :
a) Chryptographic Control
Adalah sistem pengendalian internal yang didesain untuk
menjaga privacy, serta menjaga agar orang/pihak yang tidak
berwenang tidak dapat melakukan kegiatan yang berkaitan
dengan merubah atau menambah dan menghapus data.
b) Access Control
Access Control bertujuan agar sumber daya sistem digunakan
hanya oleh orang-orang yang berhak, menjamin agar kegiatan
pengguna dilakukan sesuai dengan ketentuan, dan menjamin
bahwa peralatan yang digunakan sesuai dengan semestinya.
Ada beberapa cara yang diterapkan dalam kontrol ini, antara
lain dengan password. Kelemahan password antara lain:
password dicatat, sehingga kemungkinan diketahui orang lain,
orang cenderung membuat password dengan kata kunci yang
mudah ditebak, password tidak diperbaharui, password sering
19
dianggap tidak penting dan dibuat menjadi rahasia umum
dengan membuat orang mengetik password kita.
c) Audit Trail
Adalah catatan-catatan atau data tertentu yang disimpan di
dalam sistem komputer dengan tujuan apabila di kemudian
hari ada masalah, maka catatan/data tersebut dapat digunakan
untuk melakukan pelacakan. Cakupan audit trail: identitas
user, informasi otentiknya, identitas sumber daya yang
digunakan, jenis kegiatan yang dilakukan, apakah yang
bersangkutan harus mencoba akses beberapa kali karena akses
gagal, dan kapan mulai serta berakhirnya kegiatan.
d) Existance Control
Didesain untuk menjaga agar jika aktivitas user terhenti
karena suatu sebab kegagalan tertentu, akses tersebut tidak
diproses lebih lanjut untuk menjaga integritas data maupun
pengamanan aset.
2. Input Controls (Pengendalian Masukan)
Input merupakan salah satu tahap dalam sistem komputerisasi yang
paling penting dan mengandung risiko. Input controls dirancang
dengan tujuan untuk mendapat keyakinan bahwa data transaksi
input adalah valid, lengkap, serta bebas dari kesalahan dan
penyalahgunaan.
a. Metode Input Data
- Direct Entry (personal computer)
20
- Direct Reading ( ATM, point of sale device)
b. Desain Dokumen Sumber
c. Rancangan Tampilan Data Entry
d. Kontrol Kode Data
e. Validasi Data Input
- Adanya error message.
f. Instruksi Input
3. Output Controls (Pengendalian Keluaran)
Output controls merupakan pengendalian yang dilakukan untuk
menjaga output sistem agar akurat, lengkap dan digunakan
sebagaimana mestinya. Output controls ini didesain untuk menjamin
agar output atau informasi dapat disajikan secara akurat, lengkap,
mutakhir dan didistribusikan kepada orang-orang yang berhak
secara cepat dan tepat waktu. Kemungkinan risiko yang terkait
dengan keluaran dan harus dideteksi ialah: laporan tidak akurat,
tidak lengkap, terlambat atau data tidak up-to-date, banyak item
data yang tidak relevan, bisa dibaca oleh pihak yang tidak berhak.
a. Distribution Controls
b. Storage Controls
c. Retention Controls (berapa lama laporan disimpan)
d. Destruction Controls (penghancuran laporan)
e. Report Design Controls
21
2.2.4 Aktivitas Pengendalian
Menurut Weygandt (2011: 102), terdapat enam prinsip aktivitas
pengendalian, yaitu:
1. Penetapan tanggung jawab
2. Pembagian tugas
3. Prosedur dokumentasi
4. Pengendalian fisik
5. Verifikasi internal yang dilakukan secara independen
6. Pengendalian sumber daya manusia
2.2.5 Fungsi Internal Auditor
Menurut Hunton et.al. dalam Basalamah (2011: 17), seorang auditor TI
sebaiknya mampu melakukan pekerjaan-pekerjaan sebagai berikut:
1. Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup
analisis terhadap risiko dan pengendalian atas aplikasi-aplikasi seperti e-
business, sistem perencanaan sumber daya perusahaan.
2. Memberikan asersi (assurance) atas proses-proses tertentu, seperti audit
dengan prosedur-prosedur tertentu yang disepakati bersama dengan auditee
mengenai lingkup asersi.
3. Memberikan asersi atas aktifitas pengolahan data pihak ketiga dengan tujuan
untuk memberikan asersi bagi pihak lain yang memerlukan informasi
mengenai aktifitas pengendalian data yang dilakukan oleh pihak ketiga
tersebut.
22
4. Pengujian penetrasi, yaitu upaya untuk mengakses sumber daya informasi
guna menemukan kelemahan-kelemahan yang ada dalam pengolahan data
tersebut.
5. Memberikan dukungan atas pekerjaan audit keuangan yang mencakup
evaluasi atas risiko dan pengendalian TI yang dapat mempengaruhi
kehandalan sistem pelaporan keuangan.
6. Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan-catatan
komputer dalam investigasi kecurangan.
2.3 Audit Sistem Informasi
2.3.1 Evaluasi
Menurut Umar (2008: 36), definisi evaluasi adalah suatu proses untuk
menyediakan informasi tentang sejauh mana suatu kegiatan tertentu telah
dicapai, bagaimana perbedaan pencapaian itu dengan suatu standar tertentu
untuk mengetahui apakah ada selisih diantara keduanya, serta bagaimana
manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan
yang ingin diperoleh.
Menurut Akmal (2009: 9), evaluasi adalah penilaian tentang bagaimana
program dijalankan, apakah proses dan dampaknya sudah sesuai dengan yang
diharapkan, serta mengecek faktor-faktor penghambat yang dihadapi, dan
faktor-faktor pendukung yang dimiliki, untuk mencapai tujuan.
Jadi, dapat disimpulkan evaluasi adalah proses untuk menilai sejauh
mana kesesuaian proses yang berjalan dengan yang diharapkan oleh perusahaan
agar dapat mencapai tujuan.
23
2.3.2 Pengertian Audit Sistem Informasi
Menurut Gondodiyoto (2007: 443), audit sistem informasi dimaksudkan
untuk mengevaluasi tingkat kesesuaian antara sistem informasi dengan prosedur
bisnis (business processes) perusahaan atau kebutuhan pengguna (user needs),
untuk mengevaluasi apakah suatu sistem informasi telah didesain dan
diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme
pengamanan asset, serta menjamin integritas data yang memadai.
Kemudian pengertian audit sistem informasi ditegaskan kembali oleh
Restianto dan Bawono (2011: 15), Audit Sistem Informasi dapat didefinisikan
sebagai sebuah proses pengumpulan dan pengevaluasian bukti untuk menilai
apakah sistem komputer dapat menjaga asset, menjaga integritas data, menjamin
tercapainya tujuan organisasi dengan efektif dan penggunaan sumber daya
dengan efisien.
Jadi, dapat disimpulkan audit sistem informasi merupakan proses
pengumpulan dan pengevaluasian terhadap kesesuaian sistem informasi dengan
kebutuhan perusahaan, penyediaan informasi yang relevan agar dapat mencapai
tujuan organisasi secara efektif dan memberi manfaat bagi perusahaan.
2.3.3 Jenis-Jenis Audit
Jenis-jenis audit juga dijabarkan menurut Tunggal (2012: 1-24) sebagai
berikut:
1. Financial Auditing, pemeriksaan yang berhubungan dengan pengesahan
kebenaran dan kewajaran laporan keuangan yang disusun sesuai dengan
standar-standar yang berlaku umum.
24
2. Internal Auditing,pemeriksaan yang mencakup penilaian yang independen
sebagai bagian dari sistem pengendalian intern dan dalam waktu
bersamaan memberikan nasehat untuk memperbaiki kinerja perusahaan.
Tujuannya adalah memberikan keyakinan kepada manajemen tentang
efisiensi dan efektivitas operasi serta kontribusi mereka terhadap
pencapaian tujuan organisasi.
3. Management Auditing/ Operational Auditing/ Performance Auditing
Pemeriksaan manajemen merupakan suatu penilaian dari organisasi
manajerial dan efisiensi dari suatu perusahaan, departemen, atau setiap
entitas dan sub entitas yang dapat diaudit. Penekanannya adalah pada
proses manajemen, khususnya prosedur untuk perencanaan, organisasi
dan pengendalian aktivitas yang dipilih untuk diaudit, guna menetapkan
bagaimana baiknya pengelolaan. Tujuannya adalah untuk mencapai
efisiensi yang lebih besar, efektivitas, dan ekonomisasi dalam usaha dan
organisasi yang lain.
2.3.4 Tujuan Audit Sistem Informasi
Menurut Gondodiyoto (2007: 474), “audit objectives pada audit atas IT
governance menurut CobIT ialah: effectiveness, confidentiality, data integrity,
availability, efficiency, dan realibility”.
Penjelasan setiap tujuannya adalah sebagai berikut:
1. Pengamanan Aset
Aset informasi suatu perusahaan seperti perangkat keras (hardware),
perangkat lunak (software), sumber daya manusia, file/data, dan
fasilitas lain harus dijaga dengan sistem pengendalian internal yang
25
baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan
demikian sistem pengamanan aset merupakan suatu hal yang sangat
penting harus dipenuhi oleh perusahaan.
2. Efektifitas Sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting
dalam proses pengambilan keputusan. Suatu sistem informasi dapat
dikatakan efektif bila sistem informasi tersebut sudah dirancang
dengan benar (doing the right thing), telah sesuai dengan kebutuhan
user. Informasi yang dibutuhkan oleh para manajer dapat dipenuhi
dengan baik.
3. Efisiensi Sistem
Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya
terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka
pihak manajemen harus mengevaluasi apakah efisiensi sistem masih
memadai atau harus menambah sumber daya, karena suatu sistem
dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan
user dengan sumber daya informasi yang minimal. Cara kerja sistem
benar (doing thing right).
4. Ketersediaan (availability)
Berhubungan dengan ketersediaan dukungan/layanan teknologi
informasi (TI), TI hendaknya dapat mendukung secara terus menerus
terhadap proses bisnis (kegiatan perusahaan). Makin sering terjadi
gangguan (system down) maka berarti tingkat ketersediaan sistem
rendah.
5. Kerahasiaan (confidentiality)
26
Fokusnya ialah pada proteksi terhadap informasi dan supaya
terlindungi dari akses dari pihak-pihak tidak berwenang.
6. Kehandalan (realibility)
Berhubungan dengan kesesuaian dan keakuratan bagi manajemen
dalam pengelolaan organisasi, pelaporan, dan pertanggungjawaban.
7. Menjaga Integritas Data
Integritas data (data integrity) adalah salah satu konsep dasar
dari sistem informasi data memiliki atribut-atribut seperti:
kelengkapan, kebenaran, keakuratan.
Menurut Romney dan Steinbart (2008: 329), tujuan audit sistem
informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang
melindungi sistem tersebut.
Oleh karena itu dapat disimpulkan bahwa tujuan audit adalah
mengevaluasi dan memastikan keamanan, ketersediaan, kehandalan,
kerahasiaan, dan integritas data dan sumber daya yang ada agar proses bisnis
dapat berjalan dengan efektif dan efisien.
2.3.5 Tahapan–Tahapan Audit Sistem Informasi
Tahapan Audit
Subjek Audit Tentukan/identifikasi unit/lokasi yang diaudit
Sasaran Audit Tentukan sistem secara spesifik, fungsi atau unit organisasi yang akan diperiksa
Jangkauan Audit Tentukan sistem secara spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan
27
Tabel 2.1 Tahapan Audit
(Sumber : Gondodiyoto (2007: 487) yang mengutip dari CISA Review Manual
(2003: 35))
2.3.6 Prosedur Audit
Prosedur Audit menurut Bastian (2007: 13) ada tiga jenis, yaitu:
1. Mewawancarai personel dinas/ instansi yang berkaitan dengan
unsur struktur pengendalian.
2. Melakukan inspeksi terhadap dokumen dan catatan.
3. Melakukan pengamatan atas kegiatan perusahaan.
Prosedur audit kemudian dikembangkan oleh Cannon (2011: 137), the
audit program policy informs everyone that the overall auditing program
is important. We use standards as a uniform rule of measurement and
Rencana Pre-Audit 1. Identifikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit.
2. Identifikasi sumber bukti untuk tes atau review seperti fungsi flowchart, kebijakan, standar prosedur dan kertas kerja audit sebelumnya.
Prosedur Audit dan Langkah-Langkah Pengumpulan Bukti Audit
1. Identifikasi dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian intern.
2. Identifikasi daftar individu untuk interview.
3. Identifikasi dan menghasilkan kebijakan yang berhubungan dengan bagian, standar, dan pedoman untuk interview.
4. Mengembangkan instrumen audit dan metodologi penelitian dan pemeriksaan control internal.
Prosedur untuk Evaluasi 1. Organisasikan sesuai kondisi dan situasi.
2. Identifikasi prosedur evaluasi atas tes efektivitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijakan dan prosedur yang diaudit.
Pelaporan Hasil Audit Siapkan laporan yang objektif, konstruktif (bersifat membangun) dan menampung penjelasan auditee.
28
each standar is supported by a set of procedures. The audit program is
run in the same manner as an ISO 9001 quality management program.
Every auditor needs to ensure that the following procedures are in the
toolkit:
a) Audit planning
b) Scheduling audits
c) Assuring competence of auditors and audit team leaders
d) Selecting appropriate audit teams
e) Assigning roles and responsibilities
f) Conducting audits
g) Maintaining audit program records
h) performance and effectiveness
i) Complaint tracking
j) Reporting to top management an overall achievement.
Jadi, dapat disimpulkan bahwa prosedur audit meliputi beberapa
kegiatan, yaitu: perencanaan audit, penjadwalan audit, menjamin
kompetensi auditor dan pemimpin tim audit, memilih tim audit yang
sesuai, menetapkan peran dan tanggung jawab, melakukan audit,
mempertahankan catatan program audit, pemantauan kinerja dan
efektifitas, pengaduan pelacakan, melaporkan kepada manajemen pusat
atas mengenai prestasi keseluruhan.
29
2.3.7 Metode Audit Sistem Informasi
Menurut Restianto dan Bawono (2011: 20), metode yang dapat
digunakan dalam melakukan audit sistem informasi adalah:
1. Audit around the computer
Auditor menelaah struktur pengendalian internal, menguji transaksi
dan prosedur verifikasi saldo akun dengan cara yang sama seperti
dalam sistem manual atau bukan teknologi informasi. Auditor tidak
menguji pengendalian pada sistem informasi tetapi sebatas pada
masukan dan keluaran sistem informasi. Berdasarkan penilaian pada
kualitas masukan dan keluaran sistem tersebut, auditor mengambil
kesimpulan tentang kualitas pemrosesan data dalam sistem. Oleh
karena itu, auditor harus mendapatkan dokumen sumber dan dokumen
keluaran yang cukup dalam bentuk cetakan (hardcopy) atau dalam
bentuk yang mudah dibaca oleh pemakai. Dalam pendekatan ini
sistem komputer dapat diibaratkan sebagai sebuah kotak hitam (black
box).
Keunggulan audit around the computer adalah
kesederhanaannya sehingga auditor yang memiliki pengetahuan
minimal di bidang komputer dapat terlatih dengan mudah untuk
melaksanakan audit. Sementara itu, kelemahan metode ini adalah jika
terjadi perubahan lingkungan organisasi, ada kemungkinan sistem itu
pun akan berubah sehingga auditor tidak dapat menilai dan menelaah
sistem yang baik. Oleh karena itu, auditor harus dapat menilai
kemampuan sistem informasi dalam menyesuaikan diri dengan
perubahan lingkungan.
30
2. Audit through the computer
Pendekatan ini digunakan untuk melakukan audit pada lingkungan
sistem yang kompleks (complex automated processing system).
Dalam pendekatan ini, auditor menggunakan komputer untuk menguji
logika dan pengendalian yang ada dalam sistem komputer dan
keluaran yang dihasilkan oleh sistem. Besar kecilnya peranan
komputer dalam audit tergantung pada kompleksitas dari sistem
komputer yang diaudit. Dalam pendekatan ini fokus perhatian auditor
langsung tertuju pada operasi pemrosesan data di dalam sistem
komputer.
Keunggulan pendekatan ini adalah sebagai berikut:
a. Auditor akan memperoleh bukti-bukti audit yang memadai
b. Auditor lebih efektif dalam menguji sistem komputer
c. Auditor akan memiliki keyakinan yang lebih memadai terhadap
kualitas auditnya
d. Auditor dapat menilai kemampuan sistem komputer dalam
menghadapi perubahan lingkungan
Sedangkan kelemahan dari pendekatan ini adalah dibutuhkannya
biaya yang relatif besar dan dibutuhkannya tenaga ahli yang terampil,
tidak hanya di bidang auditing, tetapi di bidang komputer,
pengembangan sistem, komunikasi data, dan bidang lain yang terkait
dengan teknologi informasi.
31
3. Audit with the computer
Pada pendekatan ini, audit dilakukan dengan menggunakan komputer
dan perangkat lunak audit untuk menjalankan prosedur audit secara
otomatis. Pendekatan ini menggunakan beberapa jenis Computer
Assisted Audit Techniques (CAAT), seperti System Control Audit
Review File (SCRAF) dan pemotretan (snapshoot). Pendekatan ini
sangat bermanfaat dalam pengujian substantif atas file-file basis data.
Menurut Sarno (2009: 33), metodologi dalam audit sistem informasi
terdiri atas:
1. Analisis kondisi eksisting
Merupakan aktivitas dalam memahami kondisi saat ini dari
perusahaan yang diaudit termasuk hukum dan regulasi yang
berpengaruh terhadap operasional proses bisnis.
2. Penentuan tingkat risiko
Dengan mengklarifikasikan proses bisnis yang tingkat risikonya
tinggi (proses bisnis utama) maupun proses bisnis pendukung. Hasil
penentuan tingkat risiko tersebut kemudian dijadikan sebagai bahan
dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan
kepada proses bisnis yang didukung oleh IT.
3. Pelaksanaan audit sistem informasi
4. Penentuan rekomendasi
Berisi laporan dari hasil audit yang dilakukan
32
2.3.8 Instrumen Audit
Menurut Gondodiyoto (2007: 596), terdapat berbagai teknik pemeriksaan
yang bisa diterapkan dalam melaksanakan audit. Teknik-teknik pemeriksaan
tersebut sering disebut dengan istilah instrument audit. Berikut ini adalah
contoh-contoh instrumen audit yang dapat digunakan pada saat pelaksanaan
audit:
1. Observasi (Observation)
Observasi adalah cara memeriksa dengan menggunakan panca indra
terutama mata, yang dilakukan secara berkelanjutan selama kurun
waktu tertentu untuk membuktikan suatu keadaan atau masalah.
2. Wawancara (Interview)
Wawancara adalah teknik pemeriksaan berupa tanya-jawab secara
lisan antara auditor dengan auditee untuk memperoleh bahan bukti
audit. Tanya-jawab dapat dilakukan secara lisan (wawancara) atau
tertulis.
3. Kuesioner (Questionaire)
Teknik ini merupakan teknik pemeriksaan yang mudah dan praktis
karena tertulis. Dengan metode ini, responden ditentukan, kemudian
dikirim surat pengantar beserta daftar pertanyaan (questionaire)
tentang hal-hal yang ditanyakan dengan pedoman pengisian dan
tanggal jawab yang ditentukan.
4. Inspeksi fisik (physical inspection)
Inspeksi merupakan cara memeriksa dengan memakai panca indra
terutama mata, untuk memperoleh bukti atas suatu keadaan atau
suatu masalah pada saat tertentu. Inspeksi merupakan usaha
33
pemeriksa untuk memperoleh bukti-bukti secara langsung di tempat
dimana keadaan atau masalah ingin dibuktikan.
5. Prosedur analisis
Analisis artinya memecah atau menguraikan suatu keadaan atau
masalah ke dalam beberapa bagian atau elemen dan memisahkan
bagian tersebut untuk digabungkan dengan keseluruhan atau
dibandingkan dengan yang lain. Dengan analisis pemeriksa dapat
melihat hubungan penting antar satu unsur dengan unsur lainnya.
6. Penelaahan dokumen
Pada teknik ini dilakukan penelaahan pada dokumen yang tersedia
pada suatu organisasi, seperti bagan arus, bagan organisasi, manual
program, manual operasi, manual referensi, notulen rapat, surat
perjanjian, dan catatan-catatan historis lainnya.
Menurut Chris, Mike, dan Kevin (2007: 110-112), Master Checklist is
“the following table summarize the steps listed herein for auditing data centers
and disaster recovery”. Checklist merupakan tabel yang memiliki option
jawaban “ya” atau “tidak” mengenai hal-hal apa saja yang akan diaudit.
2.3.9 Standar Audit Sistem Informasi
2.3.9.1 Standar ISACA (Information System Audit and Control
Association)
Menurut ISACA (Information System Audit and Control
Association) dalam Grocholski, et.al (2012) terdiri dari 16
34
Standards dan 42 Guidelines. Standar untuk audit sistem
informasi adalah:
S1 Audit Charter
1.1. Responsibility, Authority & Accountability
Definisi dari tanggung jawab, otoritas, dan akuntabilitas dari fungsi
audit sistem informasi lebih tepat bila didokumentasikan dalam
suatu surat perjanjian.
S2 Independence
2.1 Professional Independence
Dalam permasalahan yang berkaitan dengan audit, auditor sistem
informasi harus bersikap independen dalam tingkah laku dan
tindakannya.
2.2 Organizational Relationship
Fungsi audit sistem informasi harus berada independen dari area
yang diaudit untuk mencapai tujuan objektivitas dari suatu proses
audit.
S3 Professional Ethics & Standards
3.1 Code of Professional Ethics
Auditor dari sistem informasi harus menghormati dan menaati etika
professional dari Information Systems Audit and Control
Association.
3.2 Due Professional Care
Standard auditing proffessional harus diterapkan dalam segala
aspek dalam pekerjaan yang dilakukan oleh auditor sistem
informasi.
35
S4 Competence
4.1 Skills & Knowledge
Auditor sistem informasi harus mampu profesional, mempunyai
pengetahuan, dan keahlian teknis untuk melakukan tugas audit.
Continuing Professional Education
Auditor sistem informasi harus me-maintain kompetensi teknikal
melalui pendidikan lanjut professional.
S5 Planning
5.1 Audit planning
Auditor sistem informasi harus merencanakan perencanaan audit
sistem untuk menempatkan tujuan audit dan untuk melengkapi
standar professional audit.
S6 Performance of Audit Work
6.1 Supervision
Staf dari audit sistem informasi harus tepat untuk dapat menjamin
tujuan dari audit dijalankan dan standar professional auditing dapat
terpenuhi.
6.2 Evidence
Selama masa pekerjaan audit, auditor sistem informasi harus
mendapatkan bukti yang tepat, dapat dipercaya, relevan, dan
berguna untuk mencapai tujuan objektif dari suatu audit.
S7 Reporting
Report Content & Form, auditor sistem informasi harus
menyediakan report dalam bentuk yang tepat pada saat
penyelesaian tugas audit. Laporan audit berupa lingkup, tujuan,
36
periode audit, dan lingkungan dimana audit dijalankan. Laporan
audit harus mengidentifikasikan permasalahan yang terjadi dalam
jangka waktu audit. Laporan audit juga untuk memberikan
rekomendasi dari layanan atau kualifikasi yang diberikan auditor
terhadap tugas audit yang dijalankan.
S8 Follow-up Activities
Auditor sistem informasi harus meminta dan mengevaluasi
informasi yang sesuai dari penemuan yang terdahulu dan
rekomendasi yang dihasilkan pada periode audit terdahulu untuk
mendefinisikan tindakan yang tepat yang harus diimplementasikan
dalam satu periode tertentu.
S9 Irregularities and Illegal Acts
Hal-hal yang berkaitan dengan ketidakwajaran dan penyimpangan
(Irregularities and Illegal Acts).
S10 IT Governance
Hal-hal yang berkaitan dengan tata kelola teknologi informasi pada
suatu organisasi/perusahaan, agar TI dikelola secara efektif, efisien,
ekonomis, terjamin integrity, security, availability, realibility, dan
continuity. Auditor sistem informasi harus melakukan peninjauan
dan penilaian apakah fungsi sistem informasi sudah selaras dengan
visi, misi, tata nilai, dan strategi serta tujuan organisasi.
S11 Use of Risk Assessment in Audit Planning
37
Auditor sistem informasi harus menggunakan teknik penilaian
risiko yang cocok dalam pengembangan rencana kerja audit sistem
informasi.
S12 Audit Materiality
Konsep materialitas dalam hubungannya dengan risiko audit
(khususnya audit sistem informasi).
S13 Using the Work of Other Experts
Penggunaan hasil audit lain (expert lainnya) dalam pelaksanaan
audit.
S14 Audit Evidence
Auditor sistem informasi harus memiliki bukti audit yang cukup
dan layak (lengkap dan kompeten) untuk dapat menarik
kesimpulan hasil audit.
S15 IT Controls
Auditor sistem informasi harus membantu manajemen dengan
memberikan saran mengenai desain, implementasi, operasi dan
peningkatan pengendalian TI
S16 E-commerce
Auditor sistem informasi harus mengevaluasi kontrol yang berlaku
dan menilai risiko ketika meninjau lingkungan e-commerce untuk
memastikan bahwa e-commerce benar dikontrol.
2.3.9.2 Guidelines yang Berkaitan dengan Evaluasi Aplikasi
Berbasis Web
1. G6 Materiality Concepts for Auditing Information
38
Auditor sistem informasi harus menentukan peran dan
tanggung jawab serta mengklasifikasikan aset informasi terkait
kerahasiaan, ketersediaan dan terintegrasi. Hal ini bisa
diwujudkan dengan membuat aturan pengendalian terkait
manajemen hak privileges (istimewa) dan mengklasifikasi
informasi berdasarkan derajat kritis dan risiko
eksposur/pembongkaran.
Penilaian risiko harus mempertimbangkan:
• Informasi yang tersimpan
• Hardware sistem informasi
• Arsitektur dan software sistem informasi
• Infrastruktur jaringan sistem informasi
• Operasional sistem informasi
• Pengembangan dan lingkungan pengujian
2. G14 Application Systems Review
1. Keterkaitan dengan Standar
Standar S6 Performance of Audit Work yaitu “Selama proses
audit, auditor sistem informasi harus memperoleh bukti yang
cukup, handal dan relevan untuk mencapai tujuan audit.
Temuan audit dan kesimpulan harus didukung dengan analisis
yang tepat dan merupakan penafsiran dari bukti yang ada.”
2. Performance of Audit Work
2.1 Documenting the Flow of Transactions
39
Informasi yang terkumpul harus terdiri dari aspek
komputerisasi maupun aspek manual dari sistem. Fokus
lebih tertuju pada penginputan (baik secara elektronik
maupun manual), pemrosesan, penyimpanan, dan output
data. Auditor sistem informasi mungkin menemukan bahwa
alur dalam mendokumentasikan transaksi tidak praktis baik
dari segi proses maupun teknologi yang digunakan. Bila
terjadi hal demikian, auditor harus menyiapkan diagram
alur data ataupun narasi dokumentasi sistem. Auditor juga
harus mempertimbangkan pendokumentasian dengan
menggunakan interface aplikasi dengan sistem lain.
2.2 Identifying and Testing the Application System Controls
Pengendalian yang spesifik untuk mengurangi risiko
aplikasi mungkin sudah teridentifikasi dan bukti audit yang
diperoleh sudah cukup untuk memastikan bahwa
pengendalian berjalan sesuai dengan yang diinginkan. Hal
ini dapat dicapai melalui prosedur:
• Permintaan (Inquiry) dan observasi
• Review dokumentasi
• Pengujian pengendalian sistem aplikasi mungkin dapat
menggunakan Computer-assisted audit techniques
(CAATs).
3. Reporting
3.1 Weaknesses
40
3.1.1 Kelemahan yang teridentifikasi dalam review
aplikasi baik karena ketidakadaan ataupun karena
ketidaksesuaian kontrol harus dikomunikasikan kepada
pemilik perusahaan untuk mempertanggungjawabkan
manajemen sistem informasi yang mendukung aplikasi.
Kelemahan yang teridentifikasi selama review sistem
aplikasi, baik yang signifikan ataupun mendasar harus
segera diatasi dengan melakukan tindakan perbaikan
yang tepat.
3.1.2 Karena keefektivitas pengendalian aplikasi yang
terkmputerisasi sangat bergantung pada pengendalian
umum teknologi informasi, kelemahan dalam area ini
harus dilaporkan. Jika pengendalian umum teknologi
informasi tidak di review, maka fakta ini juga harus
dimasukkan ke dalam laporan. .
3.1.3 Auditor sistem informasi juga harus memasukkan
ke dalam laporan, rekomendasi yang tepat untuk
menguatkan pengendalian yang ada.
3. G31 Privasi
3.1 Keterkaitan dengan Standar
Standard S1 Audit Charter mengatakan, "Tujuan,
tanggung jawab, wewenang dan akuntabilitas dari fungsi audit
sistem informasi atau tugas audit sistem informasi harus
didokumentasikan dalam audit charter.
41
3.2 Tujuan Pedoman
Tujuan dari pedoman ini adalah untuk membantu
auditor sistem informasi menghargai privasi dan dapat
mengatasi masalah privasi dengan tepat dalam melaksanakan
fungsi audit sistem informasi.
4. G33 Pertimbangan Umum tentang Penggunaan Internet
1. Keterkaitan dengan Standar
1.1 Standar Kompetensi S4 menyatakan, “Auditor Sistem
Informasi harus professional dan kompeten,
mempunyai keahlian dan pengetahuan untuk
melakukan tugas audit
1.2 Standar Perencanaan S5 menyatakan, “Auditor Sistem
Informasi harus merencanakan cakupan audit sistem
informasi untuk mengatasi tujuan audit dan patuh pada
hukum yang berlaku dan standar audit profesional.
1.3 Standar Performa S6 Kinerja Audit menyatakan,
“Proses audit harus didokumentasikan,menggambarkan
kerja audit dan bukti audit yang mendukung temuan
auditor Sistem Informasi dan kesimpulan.
2. Kebutuhan dan Tujuan Pedoman
2.1 Pedoman berguna untuk memberikan panduan dalam
menerapkan standar audit Sistem Informasi untuk
memperoleh bukti yang diandalkan, relevan dan
berguna selama peninjauan koneksi internet. Auditor
42
Sistem Informasi harus mempertimbangkan itu dalam
menentukan bagaimana cara mencapai penerapan
standar di atas, menggunakan penilaian professional
dalam aplikasinya.
2.2 Internet lebih dan lebih menjadi bagian dari
infrastruktur dalam perusahaan dan sering digunakan
beberapa tujuan. Secara umum, penggunaan internet
dapat dibagi menjadi empat bagian. Internet
digunakan sebagai:
• Sebagai sumber untuk mengumpulkan dan berbagi
informasi
• Saluran komunikasi
• Sebagai media penyampaian informasi bagi
perusahaan,organisasi maupun individu
• Sebagai pasar elektronik untuk perdagangan
2.3 Pedoman ini mencakup penggunaan internet sebagai
saluran komunikasi yang utama dan sebagai sumber
infomasi bagi perusahaan atau organisasi. Pedoman
ini juga memiliki fungsi lain berkaitan dengan internet
sebagai media presentasi dan media perdagangan.
3. Pertimbangan mengenai internet
3.1 Layanan Internet
3.1.1 Ada beberapa layanan yang tersedia di
internet dan beberapa layanan baru yang
43
sering muncul. Layanan yang paling
populer saat ini adalah:
• WWW (World Wide Web)
• File transfer protocol (FTP)
• Berita
• Akses interaktif jarak jauh
• Internet relay chat (IRC)/Instant
messaging
4. Langkah-Langkah Keamanan
4.1 Firewalls
Firewall adalah tindakan keamanan yang paling sering
digunakan ketika membangun koneksi internet. Firewall
adalah kombinasi dari hardware yang mencegah setiap
penembusan ilegal. Firewall harus mencerminkan kebijakan
keamanan perusahaan. Hanya layanan yang berwenang saja
yang dapat melaluinya. Firewall dapat berfungsi sebagai
berikut:
• Packet filtering routers—Memeriksa paket data yang
masuk atau meninggalkan jaringan
• Application gateways—Menerapkan mekanisme
keamanan ke dalam aplikasi yang spesifik seperti
FTP/Telnet
44
• Circuit level gateways—Sebagai pasokan mekanisme
keamanan ketika koneksi TCP atau UDP dibentuk
• Proxy servers—Mencegah pesan masuk atau keluar
jaringan sehingga memungkinkan alamat IP yang
benar disembunyikan .
5. Isu Teknikal dan Langkah-Langkah Keamanan
5.1 Isu teknikal meliputi:
• Terdapat alat untuk mendeteksi kejadian yang tidak sah
harus diaktifkan dalam software
• Hubungan antara jaringan lokal dan internet harus
dilindungi melalui firewall
• Hanya layanan yang diperbolehkan oleh manajemen yang
dapat melewati firewall
• Firewall harus menghentikan semua protokol jaringan
yang tidak diijinkan
• Firewall harus menghentikan semua akses ketika terjadi
sebuah kesalahan sistem atau gangguan dalam produksi
terjadi.
5.2 Layanan terkait Pengukuran (WWW) meliputi:
• Bila menggunakan layanan internet, seseorang harus
menggunakan username dan password yang berbeda
daripada yang digunakan di jaringan lokal.
45
• Informasi yang di-download dari WWW harus diverifikasi
dan dikendalikan sebelum digunakan
• Hanya sebuah browser internet yang disetujui yang dapat
digunakan dan perubahan konfigurasi atau instalasi plug-
in tidak diperbolehkan
• Semua file yang di-download dari internet harus
dilakukan scanning terhadap virus atau kode berbahaya
lain seperti spyware.
2.3.10 Laporan Audit
Menurut Sarno (2009: 168), laporan audit SI/TI yang didokumentasikan
harus berisi:
a. Perencanaan dan persiapan audit SI/TI yang mencakup ruang
lingkup dan tujuan audit (scope/objective).
b. Kondisi sistem informasi.
c. Program audit SI/TI yang dilakukan.
d. Langkah audit SI/TI yang dilakukan dan bukti (evidence) audit
SI/TI yang dikumpulkan.
e. Temuan audit (findings) dan tingkat kedewasaan proses TI.
f. Kesimpulan dari hasil temuan.
g. Laporan-laporan lain terkait sebagai hasil dari pekerjaan audit
SI/TI.
h. Tinjauan pengawas berupa rekomendasi untuk perbaikan
berkelanjutan.
46
2.3.11 Perlunya Kontrol dan Audit
Christianti dan Bobby (2011), mengatakan bahwa kontrol dan audit
dibutuhkan untuk meminimalkan suatu risiko atau pengeluaran serta
memaksimalkan keuntungan yang diperoleh oleh perusahaan.
Menurut Gondodiyoto (2007: 479), “kontrol internal dan audit sangat
penting bagi suatu organisasi/perusahaan, karena :
1. Jika data sistem komputer hilang, atau rusak maka kerugiannya akan tidak
terkirakan (kerugian yang sangat besar)
2. Bila data pada sistem komputerisasi tidak benar, atau prosesnya salah,
sehingga laporan yang dihasilkan error, maka mungkin terjadi
pengambilan keputusan yang tidak benar (karena menggunakan data yang
salah)
3. Nilai hardware, software, infrastructure komputer dan pegawai yang
terlatih bernilai sangat tinggi. Perusahaan telah mengeluarkan investasi
yang sangat besar untuk mendapatkan aset sistem informasi (data,
hardware, software dan barainware) dan sekaligus merupakan sumber
daya kritis dari perusahaan. Beberapa perusahaan memiliki hardware dan
software yang bernilai sangat tinggi dan apabila terjadi kerusakan maka
berarti kerugian besar. Selain itu terhentinya proses juga merupakan
kerugian yang tak ternilai
4. Biaya tinggi akibat error-nya komputer
Pada saat ini banyak kegiatan perusahaan yang dilakukan secara
terotomatisasi berbasis komputer, mengolah data, mengontrol pasien,
mengontrol pesawat terbang, mengontrol misil nuklir, dan semua
dilakukan secara otomatis oleh komputer. Apabila terjadi error pada
47
komputer, atau komputer rusak sehingga organisasi tidak dapat beroperasi
dengan normal, maka dapat dibayangkan apa yang akan terjadi dan
berapa besar biaya yang disebabkannya
5. Data pada sistem komputerisasi banyak yang bersifat pribadi seperti
pajak, kredit, kesehatan dan sebagainya. Data pribadi yang seharusnya
menjadi rahasia seseorang pada jaringan TI dapat tersebar, sehingga
mengakibatkan orang-orang kehilangan hak privacy-nya.
6. Bila perkembangan komputerisasi tidak dikelola dan dikontrol dengan
baik, mungkin akan terjadi perkembangan yang makin tidak terarah.
7. Biaya penyalahgunaan komputer bisa berakibat fatal.”
2.4 Internet
2.4.1 Pengertian Internet
Levine (2010: 9-10) menjelaskan mengenai pengertian internet yaitu
jaringan komputer terbesar di dunia. Internet sendiri bukan merupakan
satu jaringan, melainkan suatu jaringan dari banyak jaringan. Jaringan
tersebut jaringan yang besar, seperti jaringan komputer di suatu
perusahaan hingga jaringan kecil yang berada di rumah antar dua
komputer atau lebih.
2.4.2 Jenis Akses Internet
Akses internet menurut Judy dan Raymond (2012: 28) terbagi menjadi 3,
yaitu:
1. Public internet
48
Jaringan luas yang dapat diakses oleh siapapun, kapanpun, dan
dimanapun.
2. Intranet
Jaringan yang berjalan hanya secara internal dalam perusahaan tetapi
menggunakan standar internet seperti HTML dan browsers. Intranet
merupakan mini-internet tetapi memiliki password proteksi untuk
internal perusahaan seperti firewall.
Fungsi intranet adalah sebagai berikut:
1. Meningkatkan komunikasi dan kolaborasi antara individu dan tim
dalam sebuah perusahaan.
2. Mempublikasikan dan berbagi informasi bisnis yang berharga
mudah, murah, efektif melalui portal informasi perusahaan dan
situs web intranet.
3. Extranet
Jaringan antara dua atau lebih yang bergabung untuk tujuan berbagi
informasi. Jika dua perusahaan atau perusahaan dan pemasok atau
pelanggan, menghubungkan intranet mereka, mereka akan memiliki
extranet.
2.4.3 Pengertian World Wide Web (WWW)
Menurut Levine (2010: 89), World Wide Web (WWW) adalah kumpulan
halaman informasi yang saling terhubung antara satu dengan yang lain di
seluruh dunia. Setiap halaman dapat berisi kombinasi dari teks, gambar, klip
suara, klip video, animasi, dan lain-lain.
49
Menurut Yuhefizar (2009: 2) Website adalah keseluruhan halaman-
halaman web yang terdapat dalam sebuah domain yang mengandung
informasi. Sebuah website biasanya dibangun atas banyak halaman web yang
saling berhubungan.
2.5 Aplikasi Berbasis Web
2.5.1 Pengertian Aplikasi
Menurut Dhanta (2009: 32), aplikasi (application) adalah software yang
dibuat oleh suatu perusahaan komputer untuk mengerjakan tugas-tugas tertentu.
Dari pengertian di atas, dapat disimpulkan bahwa aplikasi merupakan
software yang berfungsi untuk melakukan berbagai bentuk pekerjaan atau tugas-
tugas seperti pengolahan data.
Menurut O’Brien (2010: 124), software komputer terbagi menjadi 2,
yaitu:
1. Application Software
Mengarahkan kinerja penggunaan tertentu atau aplikasi komputer
untuk memenuhi kebutuhan pengolahan informasi dari pengguna.
Contohnya: word processing.
2. System Software
Mengendalikan dan mendukung operasi dari sistem komputer karena
melakukan berbagai tugas pengolahan informasi. Contohnya:
operating system, network management, database management.
2.5.2 Pengertian Aplikasi Berbasis Web
Menurut O’Brien (2010: 157), Web service merupakan komponen
software yang berbasis framework web dan standar object-oriented dan
50
teknologi untuk penggunaan web yang secara elektronik menghubungkan
aplikasi user yang berbeda dan platform yang berbeda. Web service dapat
menghubungkan fungsi bisnis untuk pertukaran data secara real time dalam
aplikasi berbasis web.
Menurut artikel yang didapat dari website Webarq (2010) menjelaskan
bahwa Aplikasi Berbasis Web adalah sebuah aplikasi yang dapat diakses melalui
internet atau intranet.
Banyak dari perusahaan-perusahaan berkembang yang menggunakan
Aplikasi Berbasis Web dalam merencanakan sumber daya mereka dan untuk
mengelola perusahaan mereka. Aplikasi berbasis Web ini menggunakan protokol
HTTP, Aplikasi di sisi server berkomunikasi dengan client melalui Web server.
Aplikasi di sisi client umumnya berupa Web browser jadi, Aplikasi berbasis
Web (client/server-side script) berjalan di atas Aplikasi berbasis Internet.
Menurut Simarmata (2010: 185), aplikasi berbasis web adalah sistem
perangkat lunak yang berdasarkan pada teknologi dan standar World Wide Web
Consortium (W3C). Mereka menyediakan sumber daya web spesifik, seperti
konten dan layanan melalui sebuah antarmuka pengguna dan browser web.
2.5.3 Tujuan Aplikasi Berbasis Web
Tujuan Aplikasi Berbasis Web, yaitu:
1. Aplikasi Berbasis Web dapat digunakan untuk membantu
operasional perusahaan seperti membuat invoice, sistem informasi
persediaan.
2. Memudahkan dalam penyimpanan data di database.
51
3. Aplikasi Berbasis Web juga dapat bekerja memonitoring sistem
dalam hal tampilan, dapat didesain dan disesuaikan untuk berbagai
jenis industri.
2.5.4 Kelebihan dan Kelemahan Aplikasi Berbasis Web
Kelebihan kompetitif dari Aplikasi Berbasis Web:
1. Aplikasi tersebut ‘ringan’ dan dapat diakses selama ada
koneksi internet atau intranet ke server.
2. Dapat diakses dengan menggunakan browser tanpa harus
menginstall aplikasi tersebut.
Kekurangan menggunakan Aplikasi Berbasis Web:
1. Antarmuka yang dapat dibuat terbatas sesuai spesifikasi
standar untuk membuat dokumen Web dan keterbatasan
kemampuan Web browser untuk menampilkannya
2. Terbatasnya kecepatan internet mungkin membuat respon
aplikasi menjadi lambat.
3. Tingkat keamanan yang lebih rentan untuk diakses oleh orang
lain atau pihak yang tidak berhak.
Oleh karena itu dapat disimpulkan, user dapat mengakses data atau
informasi perusahaan mereka melalui laptop, smartphone, atau bahkan
komputer PC dengan mudah tanpa harus menginstal terlebih dahulu aplikasi
tersebut.
52
2.6 Teori Rich Picture
Berdasarkan pendapat Tan dan Lambe (2008: 116) Rich Picture are a way to
representing knowledge domains where you want to communicate different
perpectives and concerns in the same space.
Jadi, rich picture merupakan suatu gambaran umum mengenai proses bisnis
yang ada di dalam perusahaan termasuk pelaku yang melakukan kegiatan tersebut
secara berkaitan untuk memudahkan memahami proses bisnis perusahaan tersebut.
Dalam hal ini adalah gambar keseluruhan orang, objek, dan proses bisnis yang
ada di perusahaan. Tujuan Rich Picture adalah untuk memudahkan memahami
proses bisnis perusahaan tersebut.
2.7 Teori Event Table
Menurut Rama dan Jones (2008: 4), event adalah suatu aktifitas-aktifitas yang
terjadi pada suatu waktu tertentu dalam kegiatan bisnis perusahaan.
Jadi, dapat dijelaskan bahwa event table adalah tabel yang berisi mengenai
aktifitas-aktifitas yang terjadi pada suatu waktu tertentu dalam kegiatan bisnis.
2.8 Teori Overview Activity Diagram (OAD)
Menurut Rama dan Jones (2008: 79), Overview Activity Diagram adalah
diagram yang menyajikan suatu pandangan tingkat tinggi dari proses bisnis dengan
mendokumentasikan kejadian- kejadian penting, urutan kejadian-kejadian ini, dan
aliran informasi antar kejadian.
53
2.9 Teori Detailed Activity Diagram (DAD)
Menurut Rama dan Jones (2008: 111), detailed activities diagram memberikan
suatu gambaran proses bisnis secara detail yang menjelaskan setiap event yang
terjadi pada overview diagram. Diagram ini menyediakan suatu penyajian yang lebih
detail dari aktivitas yang berhubungan dengan satu atau dua kejadian yang
ditunjukkan pada overview diagram.
2.10 Teori Use Case Diagram
Menurut Rama dan Jones (2008: 355), Use Case Diagram adalah daftar use
case yang terjadi di suatu aplikasi dan yang menunjukkan actor yang bertanggung
jawab atas setiap use case.
2.11 Teori Penjualan
2.11.1 Pengertian Penjualan
Menurut Bodnar dalam Puspitawati dan Anggadini (2011: 166),
penjualan adalah suatu usaha yang terpadu untuk mengembangkan rencana-
rencana strategis yang diarahkan pada usaha pemuasan kebutuhan dan
keinginan pembeli, guna mendapatkan penjualan yang menghasilkan laba.
Penjualan merupakan sumber hidup suatu perusahaan, karena dari penjualan
dapat diperoleh laba serta suatu usaha memikat konsumen yang diusahakan
untuk mengetahui daya tarik mereka sehingga dapat mengetahui hasil produk
yang dihasilkan.
Penjualan terdapat 2 jenis, yaitu Penjualan tunai dan penjualan kredit.
Menurut Samiaji Sarosa (2009: 39), Penjualan tunai adalah tidak ada jeda
waktu yang cukup lama antara penjualan dan pembayaran.
54
Menurut Mulyadi (2008: 210), Penjualan kredit dilaksanakan oleh
perusahaan dengan cara mengirimkan barang sesuai dengan order yang
diterima dari pembeli dan untuk jangka waktu tertentu perusahaan mempunyai
tagihan kepada pembeli tersebut.
2.11.2 Siklus Penjualan
Siklus pendapatan lebih mengacu pada proses menyediakan barang
dan jasa untuk para pelanggan. Menurut Rama dan Jones (2008: 23) , siklus
penjualan meliputi:
1. Merespon permintaan informasi pelanggan
2. Membuat perjanjian dengan para pelanggan untuk menyediakan barang dan
jasa dimasa mendatang
3. Menyediakan jasa atau mengirim barang ke pelanggan
4. Menagih pelanggan
5. Menyetorkan uang kas ke bank
6. Menyusun laporan
2.12 Penilaian Risiko
2.12.1 Pengertian Risiko
Djohanputron (2008: 32) mendefinisikan risiko sebagai ketidakpastian
yang bisa dikuantitaskan yang dapat menyebabkan kerugian atau kehilangan.
2.12.2 Matriks Penilaian Risiko dan Pengendalian
Metode penilaian risiko dan pengendalian yang didasari oleh teori
Peltier (2001 : 60-63) yang dikutip dalam buku Gondodiyoto (2007: 559)
adalah sebagai berikut:
55
1. Matriks Penilaian Risiko
Matriks penilaian risiko adalah metoda analisis dengan menghitung aspek
risiko (dampak) dan tingkat keterjadian risiko tersebut, dengan nilai L (Low)
nilai -1, M (Medium) nilai -2, dan H (High) diberi nilai -3.
Teknik perhitungan nilai risiko menggunakan rasio antara risiko (dampak)
dengan keterjadian.
a. Risiko kecil (Low) nilainya berkisar antara -1 dan -2, seperti:
• Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai risiko
adalah -1. Artinya nilai risiko dari dampak dan keterjadian adalah
kecil.
• Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai risiko
adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah
kecil.
• Jika dampak Medium (-2) dan keterjadian Low (-1), maka nilai risiko
adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah
kecil.
b. Risiko sedang (Medium) nilainya berkisar antara -3 dan -4, seperti:
• Jika dampak Low (-1) dan keterjadian High (-3), maka nilai risiko
adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah
sedang.
• Jika dampak Medium (-2) dan keterjadian Medium (-2), maka nilai
risiko adalah -4. Artinya nilai risiko dari dampak dan keterjadian
adalah sedang.
56
• Jika dampak High (-3) dan keterjadian Low (-1), maka nilai risiko
adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah
sedang.
c. Risiko tinggi (High) nilainya berkisar antara -6 dan -9, seperti:
• Jika dampak Medium (-2) dan keterjadian High (-3), maka nilai risiko
adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah
tinggi.
• Jika dampak High (-3) dan keterjadian Medium (-2), maka nilai risiko
adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah
tinggi.
• Jika dampak High (-3) dan keterjadian High (-3), maka nilai risiko
adalah -9. Artinya nilai risiko dari dampak dan keterjadian adalah
tinggi.
2. Matriks Penilaian Pengendalian
Matriks penilaian pengendalian adalah metoda analisis desain (rancangan)
dan tingkat efektifitas pengendalian internal. Besarnya tingkatan efektifitas
dan desain (rancangan) dinyatakan dengan : L (Low) diberi nilai 1, M
(Medium) nilai 2, dan H (High) diberi nilai 3.
Teknik perhitungan nilai pengendalian menggunakan fungsi perkalian
antara efektifitas dengan desain (rancangan). Kriteria penilaian dalam matriks
pengendalian terdiri dari:
a. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, seperti:
• Jika efektifitas Low (1) dan desain (rancangan) Low (1), maka nilai
risiko adalah 1. Artinya nilai pengendalian dari efektifitas dan desain
(rancangan) adalah kecil.
57
• Jika efektifitas Low (1) dan desain (rancangan) Medium (2), maka
nilai risiko adalah 2. Artinya nilai pengendalian dari efektifitas dan
desain (rancangan) adalah kecil.
• Jika efektifitas Medium (2) dan desain (rancangan) Low (1), maka
nilai risiko adalah 2. Artinya nilai pengendalian dari efektifitas dan
desain (rancangan) adalah kecil.
b. Pengendalian sedang (Medium) nilainya berkisar antara 3 dan 4, seperti:
• Jika efektifitas Low (1) dan desain (rancangan) High (3), maka nilai
risiko adalah 3. Artinya nilai pengendalian dari efektifitas dan desain
(rancangan) adalah sedang.
• Jika efektifitas Medium (2) dan desain (rancangan) Medium (2), maka
nilai risiko adalah 4. Artinya nilai pengendalian dari efektifitas dan
desain (rancangan) adalah sedang.
• Jika efektifitas High (3) dan desain (rancangan) Low (1), maka nilai
risiko adalah 3. Artinya nilai pengendalian dari efektifitas dan desain
(rancangan) adalah sedang.
c. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9, seperti:
• Jika efektifitas Medium (2) dan desain (rancangan) High (3), maka
nilai risiko adalah 6. Artinya nilai pengendalian dari efektifitas dan
desain (rancangan) adalah tinggi.
• Jika efektifitas High (3) dan desain (rancangan) Medium (2), maka
nilai risiko adalah 6. Artinya nilai pengendalian dari efektifitas dan
desain (rancangan) adalah tinggi.
58
• Jika efektifitas High (3) dan desain (rancangan) High (3), maka nilai
risiko adalah 9. Artinya nilai pengendalian dari efektifitas dan desain
(rancangan) adalah tinggi.
Penetapan tingkat efektifitas antara risiko dan pengendalian adalah sebagai
berikut:
1. Jika jumlah penilaian risiko dan pengendaliannya adalah 0, maka tingkat
pengendalian dan risiko adalah standar. Artinya setiap risiko yang terjadi dapat
ditanggulangi oleh pengendalian yang ada.
2. Jika jumlah penilaian risiko dan pengendaliannya adalah positif, maka
tingkat pengendalian dan risiko adalah baik. Tetapi jika nilai pengendalian
terlalu tinggi dibandingkan dengan risiko, maka kemungkinan akan terjadi
kelebihan pengendalian (over control) yang menyebabkan terjadinya
pemborosan dalam operasional.
3. Jika jumlah penilaian risiko dan pengendaliannya adalah negatif, maka
tingkat pengendalian dan risiko adalah buruk. Sehingga perlu dilakukan
peningkatan terhadap pengendalian karena risiko yang dihadapi besar.