library.binus.ac.idlibrary.binus.ac.id/ecolls/ethesisdoc/bab2doc/2012-1... · web viewjejak audit...
TRANSCRIPT
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi
2.1.1 Pengertian Sistem Infomasi
Rainer dan Turban (2009: 6) mengemukakan bahwa sistem
informasi adalah proses mengumpulkan, memproses, menyimpan,
menganalisa, dan menyebarkan informasi untuk tujuan tertentu.
Sedangkan menurut Gondodiyoto (2007: 98), sistem informasi dapat
didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan
jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam
suatu hubungan hierarkis tertentu, dan bertujuan untuk mengolah data
menjadi informasi. Definisi lain mengenai sistem informasi yang
dinyatakan oleh Bodnar dan HopWood dalam Nugroho dan Azhari
(2011: 2), sistem informasi didefinisikan sebagai kumpulan perangkat
keras dan lunak yang dirancang untuk mentransformasikan data ke dalam
bentuk informasi yang berguna.
Adapun O’Brien dan Marakas (2009: 4) mengemukakan bahwa
sistem informasi dapat berarti kombinasi dari orang, hardware, software,
jaringan komunikasi, sumber data serta prosedur dan aturan yang
mendapatkan, menyimpan, merubah dan menyebarluaskan informasi di
dalam organisasi. Berdasarkan beberapa pendapat tersebut, dapat
disimpulkan bahwa sistem informasi adalah sekumpulan komponen yang
berlainan fungsi yang bekerja bersama-sama mengelola data menjadi
informasi yang berkualitas untuk mencapai tujuan.
7
8
2.1.2 Komponen Sistem Informasi
Turban dan Volonino (2010: 12) mengemukakan bahwa komponen
sistem informasi terdiri dari hardware, software, data, network,
procedures, dan people. Menurut Rainer dan Cegielski (2010: 40),
komponen sistem informasi terdiri dari hardware, software, database,
network, procedure, dan people. Sedangkan menurut O’Brien dan
Marakas (2009: 29), yang termasuk sumber daya dasar dalam sistem
informasi adalah people, hardware, software, data, dan Network.
Jadi dapat disimpulkan bahwa yang termasuk dalam komponen
sistem informasi, adalah :
1. Hardware, mencakup perangkat-perangkat fisik seperti prosesor,
monitor, keyboard, dan printer yang menerima data dan informasi,
memproses serta menampilkannya.
2. Software, adalah perangkat lunak yang memungkinkan pengguna
untuk mengontrol perangkat keras sehingga dapat memproses data.
3. Database, adalah sekumpulan table yang berisi data dan saling
terkait.
4. Network, adalah sistem penghubung (wireline atau wireless) yang
memungkinkan sumber daya (data, hardware dan software) untuk
dapat digunakan dan diakses oleh banyak pengguna.
5. Procedure, adalah sekumpulan tata cara yang spesifik dan saling
berhubungan erat yang digunakan untuk mengolah data dan
menghasilkan informasi.
6. People, adalah pihak-pihak yang berhubungan dengan sistem.
9
2.1.3 Sistem Informasi Sumber Daya Manusia
2.1.3.1 Pengertian Sumber Daya Manusia
Sumber daya manusia menurut Hasibuan dalam Darudiato
(2007: 1), adalah kemampuan terpadu dari daya pikir dan daya
fisik yang dimiliki individu. Perilaku dan sifatnya ditentukan
oleh keturunan dan lingkungannya, sedangkan prestasi kerjanya
dimotivasi oleh keinginan untuk memenuhi kepuasannya.
Sedangkan menurut Snell dan Bohlander (2010: 4) istilah
human resources, human capital, intellectual assets dan talent
management memiliki arti yang sama yaitu, orang-orang yang
menjalankan kinerja organisasi (bersama dengan sumber daya
lain seperti uang, material, dan informasi).
Menurut Noe, Hollenbeck, Gerhart, dan Wright (2007:3)
human capital adalah pegawai organisasi, yang digambarkan
dalam hal pelatihan, pengalaman, penilaian, kecerdasan,
hubungan, dan pandangan serta karakteristik lain dari pegawai
yang dapat menambahkan nilai ekonomis pada organisasi.
Dengan kata lain, sumber daya manusia merupakan tenaga,
pikiran, dan keterampilan manusia yang dimanfaatkan oleh
perusahaan untuk menjalankan proses bisnisnya.
2.1.3.2 Manajemen Sumber Daya Manusia
Tanuwijaya dan Soenhadji (2009: 6), menyatakan bahwa
manajemen sumber daya manusia adalah manajemen terhadap
tenaga kerja atau pegawai, yaitu bagaimana mengatur pegawai
didalam perusahaan atau pengaturan tenaga kerja dalam suatu
10
organisasi dan lembaga, dimana pengaturan ini dalam arti
seluas-luasnya. Sedangkan menurut Yuniarsih dan Suwatno
(2008: 3), manajemen sumber daya manusia adalah serangkaian
kegiatan pengelolaan sumber daya manusia yang memusatkan
kepada praktek dan kebijakan, serta fungsi-fungsi manajemen
untuk mencapai tujuan organisasi.
Hanggraeni (2012: 4) menjelaskan bahwa manajemen
sumber daya manusia berhubungan dengan bagaimana sebuah
organisasi merancang sistem formal yang menjamin
pemanfaatan sumber daya manusia secara efektif dan efisien
guna mendukung pencapaian tujuan dan rencana strategis
organisasi. Adapun menurut Daft dan Marcic (2011: 272),
manajemen sumber daya manusia adalah rancangan dan aplikasi
dari sebuah sistem formal di dalam organisasi untuk memastikan
penggunaan kemampuan manusia yang efektif dan efisien untuk
mencapai tujuan organisasi. Dari definisi tersebut, dapat
disimpulkan bahwa manajemen sumber daya manusia adalah
sebuah proses yang dilakukan oleh setiap organisasi untuk
mengatur sumber daya manusia yang dimiliki agar dapat
berkontribusi sesuai dengan visi organisasi dalam pencapaian
tujuan strategisnya.
Hanggraeni (2012: 5) mengemukakan bahwa secara garis
besar aktivitas manajemen sumber daya manusia terbagi
menjadi empat, yaitu :
1. Preparation and Selection, terdiri dari :
11
a. Job Analysis and Design
b. Human Resource Planning
c. Recruitment
d. Selection
2. Development and Evaluation, terdiri dari :
a. Orientation, Placement, and Separation
b. Training and Development
c. Career Planning
d. Performance Appraisal
3. Compensation and Protection, terdiri dari :
a. Wages and Salaries
b. Incentives and Gainsharing
c. Benefits and Services
d. Security, Safety, and Health
4. Employee Relation. Hubungan ketenagakerjaan atau biasa
disebut dengan hubungan industrial adalah hubungan yang
melibatkan tiga pihak yang berkepentingan dalam proses
kerja yaitu pekerja itu sendiri, organisasi/perusahaan, dan
pemerintah.
2.1.3.3 Sistem Informasi Sumber Daya Manusia
Purnawanto (2010: 23) menyatakan, Human Resources
Infomation System (HRIS) merupakan salah satu contoh
perangkat lunak yang bisa dipakai untuk keperluan database ,
expert system, dan alat bantu pengambilan keputusan. Menurut
Snell dan Bohlander (2010: 9), HRIS adalah sistem
12
terkomputerisasi yang menyediakan data terkini dan akurat
untuk tujuan pengendalian dan pengambilan keputusan.
Sedangkan menurut Kavanagh dan Thite (2010: 13), HRIS
didefinisikan sebagai sistem yang digunakan untuk
memperoleh, menyimpan, memanipulasi, menganalisa,
mendapatkan kembali, dan mendistribusikan informasi yang
berkaitan dengan sumber daya manusia pada organisasi. HRIS
bukan hanya hardware komputer dan software yang berkaitan
dengan Human Resources (HR) saja. Walaupun HRIS termasuk
hardware dan software, tapi juga termasuk manusia, forms,
kebijakan, prosedur, dan data.
Adapun menurut Sadiq, Khan, Ikhlaq, dan Mujtaba (2012:
1) HRIS merupakan sebuah peluang bagi organisasi untuk
membuat departemen sumber daya manusia berpartisipasi dalam
kegiatan operasional organisasi secara administratif dan
strategis. Jadi, dapat disimpulkan bahwa HRIS adalah suatu
sistem yang mengatur dan mengolah data administrasi pegawai
sehingga hasilnya dapat digunakan untuk mengoptimalkan
kemampuan pegawai dan mencapai tujuan strategis organisasi.
2.2 Pengendalian Internal
2.2.1 Pengertian Pengendalian Internal
Menurut Gondodiyoto (2007: 69), pengendalian internal adalah
mekanisme untuk mendukung kebijakan perusahaan, pengamanan aset
perusahaan, pendukung mutu operasi dan sebagai persyaratan dicapainya
tujuan perusahaan. Pengendalian internal dibedakan dalam administrative
13
controls dan accounting controls. Pengendalian administratif meliputi
rencana organisasi dan prosedur yang terutama menyangkut efisiensi
usaha dan ketaatan terhadap kebijaksanaan atau peraturan pimpinan
perusahaan, dan pada umumnya tidak langsung berhubungan dengan
pembukuan (sistem akuntansi). Sedangkan pengendalian akuntansi
meliputi metoda dan prosedur yang menyangkut dan berhubungan
langsung dengan pengamanan harta (aset) serta dapat dipercayainya
catatan keuangan (pembukuan).
2.2.2 Pengendalian Umum
Menurut Gondodiyoto (2007: 301), pengendalian umum adalah
sistem pengendalian internal komputer yang berlaku umum meliputi
seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh.
Ruang lingkup yang termasuk pengendalian umum sesuai dengan yang
diungkapkan oleh Weber (1999: 68) antara lain:
1. Pengendalian Manajemen Puncak (Top Management Controls)
2. Pengendalian Manajemen Pengembangan Sistem (System
Development Management Controls)
3. Pengendalian Manajemen Pemrograman (Programming
Management Controls)
4. Pengendalian Manajemen Sumber Data (Data Resources
Management Controls)
5. Pengendalian Manajemen Keamanan (Security Management)
6. Pengendalian Manajemen Operasional (Operations Management
Controls)
14
7. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance
Management Controls)
Dari keseluruhan pengendalian umum tersebut, sesuai dengan ruang
lingkup penulisan skripsi, maka pengendalian yang dibahas adalah
pengendalian manajemen keamanan dan pengendalian manajemen
operasional.
2.2.1.1 Pengendalian Manajemen Keamanan
Menurut Weber (1999: 256), Pengendalian Manajemen
Keamanan meliputi perlindungan terhadap aset dan fungsi
sistem informasi, yang dapat diimplementasi. Berikut beberapa
ancaman terhadap sistem informasi beserta cara penanganannya.
1. Kerusakan dikarenakan Kebakaran (Fire Damage)
Kebakaran merupakan ancaman serius terhadap
keamanan fisik dari aset sistem informasi. Seperti yang
diungkapkan oleh Toigo yang dikutip oleh Weber (1999),
dalam laporan statistik dari National Fire Protection
Association, setiap 10 menit sekali terjadi kebakaran pada
ruang komputer di Amerika Serikat. Beberapa cara yang
dapat dilakukan untuk mencegah risiko kebakaran antara
lain:
a. Alarm kebakaran, baik manual maupun otomatis,
diletakkan di tempat yang strategis.
b. Sistem pemadam kebakaran otomatis harus berada di
tempat strategis yang dekat dengan sumber air, karbon
dioksida atau gas halon.
15
c. Bangunan yang menyimpan aset sistem informasi harus
dibangun dengan material yang bersifat tahan api.
d. Alat pemadam kebakaran dan pintu darurat ditandai
dengan jelas dan bisa diakses dengan mudah oleh
pegawai.
e. Untuk mengurangi risiko kerusakan yang lebih parah
dikarenakan korsleting listrik, kabel listrik harus
diletakkan di dalam panel yang bersifat tahan api.
2. Kerusakan akibat Air (Water Damage)
Kerusakan akibat air terhadap aset sistem informasi
merupakan kerusakan lanjutan dari tindakan penanganan
kebakaran. Sebagai contoh, sistem pemadam kebakaran
yang menyemprotkan air sehingga merusak hardware, atau
kebocoran pipa air pada sistem pemadam kebakaran.
Kerusakan juga dapat ditimbulkan dari angin topan,
tornado, hujan es dan hujan deras. Beberapa cara yang dapat
dilakukan untuk melindungi aset sistem informasi dari
kerusakan akibat air antara lain:
a. Gunakan langit-langit, dinding dan lantai yang bersifat
anti air, jika memungkinkan.
b. Pastikan sistem drainase memadai.
c. Tutupi hardware dengan kain pelindung apabila tidak
digunakan.
16
d. Untuk menghindari banjir, lokasi penyimpanan aset
sistem informasi harus berada di atas lantai dasar
bangunan.
3. Ketidakstabilan Tegangan Listrik (Energy Variations)
Ketidakstabilan Tegangan Listrik dapat berupa
kenaikan tegangan listrik (surge atau spikes), penurunan
tegangan listrik (sags atau brownouts) atau kehilangan
tegangan listrik (blackouts). Untuk melindungi hardware
dari kenaikan tegangan listrik sementara dapat
menggunakan regulator voltase (temporer) atau circuit
breakers (terus-menerus). Untuk melindungi hardware dari
kehilangan tegangan listrik dapat menggunakan sumber
listrik cadangan dan sebagai tambahan dapat menggunakan
UPS.
4. Kerusakan Struktur Bangunan (Structural Damage)
Gempa bumi, angin, lumpur, salju, longsor dan
kecelakaan adalah beberapa hal yang menyebabkan
kerusakan struktur bangunan. Pencegahan terhadap
kerusakan struktur bangunan dapat dilakukan dengan cara
menempatkan penyimpanan aset sistem informasi di lokasi
yang paling aman dari kerusakan struktural. Aset sistem
informasi, jika memungkinkan, harus berada di lantai atas
agar terhindar dari bahaya banjir dan disimpan di letakkan
di tempat yang kokoh agar tidak mudah jatuh atau terbalik
saat terjadi gempa bumi.
17
5. Polusi (Pollution)
Polutan terbesar bagi hardware adalah debu. Debu
dapat mengakibatkan masalah apabila masuk ke dalam
mesin pendingin ruangan, atau menumpuk di lantai maupun
langit-langit bangunan. Oleh karena itu, langit-langit,
dinding, lantai, lemari penyimpanan dan perlengkapan
lainya harus dibersihkan secara teratur. Selain itu, tempat
sampah juga harus dikosongkan secara teratur untuk
menghindari debu dan material yang mudah terbakar.
6. Penyusup (Unauthorized Intrusion)
Penyusup dibedakan menjadi 2 macam yaitu
penyusup yang langsung masuk ke organisasi untuk
mencuri aset sistem informasi atau melakukan sabotase
(physical intrusion) dan penyusup yang menyadap saluran
telepon atau menggunakan receiver yang menangkap sinyal
elektromagnetik.
Physical intrusion dapat dicegah dengan
pembangunan tembok atau pagar disekeliling bangunan,
jendela dan pintu harus diamankan, melakukan otorisasi
yang ketat untuk memasuki ruangan. Sedangkan
penyadapan dapat dicegah dengan mempekerjakan petugas
keamanan yang menguasai perangkat pendeteksi gangguan.
7. Viruses dan Worms
Virus adalah sebuah program yang memerlukan
sistem operasi komputer untuk masuk ke dalam program
18
lain. Worm biasanya merupakan program yang terpisah dan
memanfaatkan beberapa bug dan kelemahan keamanan di
dalam sistem operasi sehingga dapat masuk ke sistem
lainnya.
Terdapat 3 tipe pengendalian virus dan worm yaitu
preventive, detective dan corrective :
Preventive Control
a. Memeriksa software baru dengan anti virus sebelum
diinstall.
b. Memeriksa file baru dengan anti virus sebelum
digunakan.
c. Mengedukasi user mengenai bahaya virus dan tujuan
pencegahan infeksi virus.
Detective Control
Menjalankan anti virus secara berkala untuk
mendeteksi infeksi virus.
Corrective Control
a. Memastikan data backup bebas virus.
b. Memiliki dokumentasi rencana untuk pemulihan dari
infeksi virus.
c. Jalankan anti virus untuk menghilangkan infeksi virus.
8. Penyalahgunaan Software, Data dan Jasa (Misuse of
Software, Data and Service)
Organisasi bisa mengalami kerugian akibat
penyalahgunaan software, data dan jasa yang dimiliki.
19
Administrator keamanan harus mengevaluasi setiap
software untuk menentukan apakah software tersebut perlu
dilindungi dan jenis perlindungan apa yang diperlukan.
Selain itu, administrator keamanan harus menyiapkan kode
etik untuk mengendalikan perilaku pegawai dalam
organisasi berkaitan dengan sumber daya dan kegiatan
sistem informasi.
9. Peretasan (Hacking)
Hacker komputer adalah orang yang berusaha untuk
mendapatkan akses ilegal ke sistem komputer dengan
menghindari pengendalian akses sistem. Detective control
sangat penting untuk dilakukan dalam rangka mengurangi
kerugian akibat tindakan hacking. Administrator keamanan
secara berkala harus mengawasi penggunaan sistem sebagai
bukti adanya tindakan mencurigakan.
2.2.2.2 Pengendalian Manajemen Operasional
Menurut Weber (1999: 292), secara keseluruhan
Pengendalian Manajemen Operasional bertanggung jawab
terhadap hal-hal sebagai berikut :
1. Pengoperasian Komputer (Computer Operation)
Tipe pengendalian yang harus dilakukan adalah :
a. Menetapkan fungsi yang sebaiknya dilakukan
operator atau fasilitas operasi otomatis.
b. Menetapkan bagaimana penjadwalan kerja pada
pemakaian hardware atau software.
20
c. Menentukan perawatan terhadap hardware agar dapat
berfungsi dengan baik.
2. Pengoperasian jaringan (Network Operation)
Manajer Operasional bertanggung jawab terhadap
kegiatan operasional dari WAN (Wide Area Network) dan
LAN (Local Area Network) yang digunakan oleh organisasi
setiap hari. Untuk mejalankan kewajiban ini, mereka harus
mengendalikan operasi jaringan dan mengawasi performa
saluran komunikasi, perangkat jaringan dan program
jaringan dan file.
3. Persiapan dan Pengentrian Data (Preparation and Entry
Data)
Manajemen operasi harus memastikan kegiatan entri
data dari dokumen sumber sudah dirancang dengan baik.
Selain itu, manajemen operasi harus memastikan adanya
backup untuk setiap data yang diinput, persiapan data dan
perangkat entri data. Data yang dimasukkan langsung ke
sistem komputer (tanpa ada dokumen sumber) harus di
backup sebagai bagian dari sistem backup file.
4. Pengendalian Produksi (Production Control)
5 fungsi utama pengendalian produksi adalah :
a. Penerimaan dan pengiriman input dan output
b. Penjadwalan kerja
b. Manajemen service-level agreement dengan user
c. Pengawasan pengeluaran biaya
21
d. Akuisisi komputer
5. Perpustakaan File (File Library)
Fungsi file library di dalam area operasional adalah
bertanggung jawab terhadap manajemen media
penyimpanan yang bersifat machine-readable milik
organisasi. Pengelolaan media penyimpanan removable
melibatkan 4 fungsi:
a. Media penyimpanan disimpan di tempat yang
aman.
b. Media penyimpanan hanya boleh digunakan oleh orang
yang berwenang.
c. Media penyimpanan harus dipelihara agar tetap
berfungsi dengan baik.
d. Media penyimpanan harus ditetakan ditempat yang
sesuai.
6. Dokumentasi dan Perpustakaan Program (Documentation
and Program Library)
Staf dokumentasi memiliki tanggung jawab untuk
mengelola dokumentasi yang mendukung fungsi sistem
informasi, antara lain:
a. Memastikan dokumentasi disimpan dengan aman.
b. Memastikan bahwa hanya staf berwenang yang
memiliki akses terhadap dokumentasi.
c. Memastikan bahwa dokumentasi selalu up to date.
d. Memastikan ketersediaan backup tambahan untuk
22
dokumentasi.
7. Dukungan Teknis (Help Desk/Technical Support)
Help Desk/Technical Support memiliki dua tanggung
jawab utama:
a. Membantu end user untuk menggunakan hardware
dan software, seperti microcomputer, spreadsheet,
database management, dan local area networks.
b. Menyediakan technical support untuk sistem produksi
dengan dilengkapi suatu penyelesaian masalah.
8. Perencanaan Kapasitas dan Pengawasan Kinerja (Capacity
Planning and Performance Monitoring)
Tujuan utama dari fungsi sistem informasi ini adalah
untuk mencapai tujuan dari pengguna sistem informasi
dengan biaya seminimal mungkin. Dalam memantau
statistik kinerja, manajer operasional harus mengambil 3
keputusan:
a. Menentukan apakah profil kinerja mengindikasikan
adanya kegitan ilegal yang mungkin terjadi.
b. Menetukan apakah kinerja sistem sudah sesuai dengan
kebutuhan user.
c. Menentukan beberapa sumber daya hardware dan
software yang mungkin dibutuhkan.
9. Manajemen Kegiatan Alih Daya (Management of
Outsourced Operations)
Manajaemen operasional harus fokus pada 4 tipe
23
pengendalian dalam memantau kontrak outsourcing:
a. Evaluasi berkelanjutan terhadap siklus keuangan
vendor outsourcing.
b. Memastikan kepatuhan terhadap syarat dan ketentuan
di dalam kontrak outsourcing.
c. Memastikan kehandalan pengendalian dari operasional
sebuah vendor outsorcing yang sedang berlangsung.
d. Menegakan prosedur pemulihan bencana dengan
vendor outsourcing.
2.2.3 Pengendalian Aplikasi
Menurut Gondodiyoto (2007: 372), pengendalian aplikasi
(application controls) adalah sistem pengendalian internal (internal
controls) pada sistem informasi berbasis teknologi informasi yang
berkaitan dengan pekerjaan/kegitatan/aplikasi tertentu (setiap aplikasi
memiliki karakteristik dan kebutuhan pengendalian yang berbeda).
Ruang lingkup yang termasuk pengendalian aplikasi sesuai dengan yang
diungkapkan oleh Weber (1999: 365) antara lain:
1. Pengendalian Batasan (Boundary Controls)
2. Pengendalian Masukan (Input Controls)
3. Pengendalian Komunikasi (Communication Controls)
4. Pengendalian Pemrosesan (Processing Controls)
5. Pengendalian Basis Data (Database Controls)
6. Pengendalian Keluaran (Output Controls)
24
Dari keseluruhan pengendalian aplikasi tersebut, sesuai dengan ruang
lingkup penulisan skripsi, maka pengendalian yang dibahas adalah
pengendalian batasan, pengendalian masukan dan pengendalian keluaran.
2.2.3.1 Pengendalian Batasan
Weber (1999: 370) mengungkapkan bahwa susbsistem
batasan (boundary) menetukan tampilan antar muka antara calon
pengguna atapun penggunasistem komputer dengan sistem
komputer itu sendiri. Pengendalian pada subsistem batasan
memiliki 3 tujuan utama:
1. Untuk menentukan identitas dan keaslian calon pengguna
ataupun pengguna dari sistem komputer.
2. Untuk menentukan identitas dan keaslian sumber daya yang
akan digunakan pengguna.
3. Untuk membatasi tindakan yang dilakukan oleh pengguna
yang memiliki sumber daya komputer dengan menetapkan
tindakan tindakan yang sah untuk dilakukan.
Menurut Weber (1999) ada 7 jenis pengendalian batasan, yaitu:
1. Pengendalian Kriptografi (Cryptographic Control)
Pengendalian kriptografi atau cryptographic control
dirancang untuk melindungi privasi data dan untuk
mencegah modifikasi data yang tidak sah. Hal ini dilakukan
dengan cara mengacak data sehingga tampak tidak berarti
bagi orang lain yang tidak memiliki alat atau cara untuk
menyusunnya kembali. Teknik kriptografi merubah
(eknkripsi) data (cleartext) menjadi kriptogram (ciphertext).
25
Ada 3 teknik untuk merangkai kembali data yang telah
dienkripsi (enchiperments):
a. Transposistion Ciphers
Teknik ini mengguakan beberapa aturan untuk merubah
urutan karakter-karakater dari setiap string pada data.
b. Subtitution Ciphers
Teknik ini mempertahankan posisis karakter-karakter
dalam pesan dan menyembunyikan identitas dari
karakter-karakter tersebut dengan menggantinya
dengan karakter lain bedasarkan aturan tertentu.
c. Product Ciphers
Teknik ini menggunakan kombinasi dari metode
transposisi dan subtitusi.
2. Pengendalian Akses (Access Controls)
Pengendalian akses atau access control mencegah
penggunaan komputer oleh pengguna yang tidak
berwenang, membatasi aksi dari pengguna yang berwenang,
dan memastikan bawah pengguna mendapatkan sumber
daya sistem komputer yang asli (otentik). Fungsi dari
mekanisme pengawasan akses:
a. Identification dan Authentication
User mengidentifikasikan diri mereka terhadap
mekanisme pengawasan akses dengan menyediakan
informasi seperti nama atau nomor akun. Informasi
identifikasi ini memungkinkan mekanisme untuk
26
memilih dari file informasi otentifikasi mengenai data
yang diinput pengguna.
b. Object Resources
Sumber daya yang diinginkan user untuk diinput ke
sistem informasi berbasis komputer dapat
dikelompokan menjadi 4 jenis, yaitu: perangkat keras,
perangkat lunak, komoditi, dan data.
c. Action Privileges
Hak istimewa atau action privileges diberikan pada
pengguna berdasarkan wewenang pengguna dan jenis
sumber daya yang ingin digunakan.
3. Kode Sandi (Personal Indentification Numbers)
PIN atau personal indetification number merupakan
tipe password sederhana. Ini adalah nomor rahasia yang
diberikan pada seseorang yang bertujuan untuk
mengidentifikasi seseorang, memverifikasi keotentikan
seseorang. Terdapat 3 cara pembuatan PIN, yaitu:
a. Derived PIN
PIN dibuatkan oleh institusi berdasarkan nomor akun
pengguna.
b. Random PIN
Institusi membuat serangkaian nomor acak untuk
menjadi PIN.
c. Customer-Selected PIN
27
Pelanggan atau pengguna dapat memeilih sendiri PIN
mereka. Keuntungannya adalah mereka akan lebih
mudah mengingat PIN.
4. Tanda Tangan Digital (Digital Signatures)
Tujuan utama dari tanda tangan digital atau digital
signature adalah:
a. Menetapkan keotentikan orang yang terlibat atau
pengguna.
b. Mencegah munculnya penyangkalan dari salah satu
pihak yang terlibat dalam perjanjian atau kontrak.
5. Kartu (Plactic Cards)
Kartu digunakan untuk kebutuhan identifikasi selain itu
juga dapat digunakan untuk menyimpan informasi yang
dibutuhkan pada proses otentifikasi. Pengendalian pada
kartu bertujuan untuk memastikan pengguna mengamankan
kartu mereka agar tidak jatuh ke tangan orang yang tidak
berhak.
6. Pengendalian Jejak Audit (Audit Trail Controls)
Dua jenis jejak audit atau audit trail controls:
a. Jejak audit akuntansi atau accounting audit trail
bertujuan untuk menjaga pencatatan kejadian atau
event.
b. Jejak audit operasi atau operations audit trail bertujuan
untuk menjaga pencatatan penggunaaan sumber daya
yang berkaitan dengan setiap kejadian atau event.
28
7. Existance Control
Existance control tidak akan berusaha untuk
mengulangi proses jika terjadi kegagalan, pengguna
diharuskan untuk log-in lagi dan mengulangi semua proses
dari awal.
2.2.3.2 Pengendalian Masukan
Menurut Weber (1999: 420), input merupakan kegiatan
memindahakan data dan instruksi kedalam sistem aplikasi. Hal-
hal yang diinput kedalam aplikasi harus divalidasi untuk
mendeteksi kesalahan, sehingga data yang diinput merupakan
data yang akurat. Beberapa tipe pengendalian pada subsistem
input antara lain:
1. Metode Input Data (Data Input Methods)
Metode input data atau data input methods merupakan
salah satu cara auditor mengevaluasi sistem aplikasi dengan
mengikuti jejak transaksi dan materialnya yang diinput ke
sistem. Ada 3 metode input data, yaitu:
a. Keyboarding
Metode input data dengan mengetikan data pada
keyboard komputer.
b. Direct reading
Metode input data dimana perangkat dapat langsung
membaca informasi atau data secara otomatis. Contoh:
image reader dan optical character recognition.
c. Direct Entry
29
Metode dimana pemilik data dapat langsung menginput
data mereka melalui perangkat-perangkat yang ada.
Contoh: Touch screen, mouse, joystick, dan trackball.
2. Rancangan Dokumen Sumber (Source Document Design)
Dokumen sumber atau source document digunakan
juga ada jarak waktu antara pencatatan transaksi dan
kegiatan input data ke aplikasi. Dari sudut pandang
pengawasan, desain dokumen sumber yang baik dapat
membantu:
a. Mengurangi kesalahan pencatatan,
b. Meningkatkan kecepatan pencatatan data,
b. Mengendalikan arus kegiatan, dan
c. Memfasilitasi kegiatan input data ke aplikasi.
3. Rancangan Tampilan Entri Data (Data-Entry Screen
Design)
Kualitas desain untuk tampilan input data harus
dirancang dengan baik agar dapat meminimalisir kesalahan
serta meningkatkan efektifatas dan efisiensi proses input
data. Auditor harus dapat memerikasa tampilan input data
untuk mengetahui frekuensi kesalahan dan jenis kesalahan
input apa yang sering terjadi.
4. Pengendalian Kode Data (Data Code Controls)
Kodifikasi data memiliki dua tujuan utama, yaitu: 1)
mengidentifikasikan entitas secara unik, 2) memudahakan
30
proses identifikasi. Adapun tujuan dari kodifikasi data
adalah sebagai berikut:
a. Flexibility
Kode data memudahkan proses penambahan data baru.
b. Meaningfulness
Kode data mengindikasikan value ataupun atribut dari
entitas.
c. Compactness
Kode dapat menyapaikan informasi menyeluruh yang
disampaikan dengan jumlah karakter minimal.
d. Convenience
Kode dapat di tafsir dengan mudah.
e. Availabilty
Kode dapat disesuaikan dengan kebutuhan pengguna.
5. Pemeriksaan Digit (Check Digits)
Check digit adalah perulangan digit yang ditambahkan
pada suatu kode sehingga memungkinkan adanya
pemeriksaan keakuratan karakter pada kode. Check digit
dapat ditambahkan di awal ataupun di akhir kode dan juga
ditengah kode. Ketika kode diinput, maka program akan
memeriksa digit untuk menetukan apakah kode tersebut
adalah kode yang benar.
6. Pengendalian Batch (Batch Controls)
Pengendalian batch atau batch controls merupakan
salah satu metode pengendalian yang paling sederhana dan
31
efektif dalam mendapatkan data dan menginput data.
Adapun 2 tipe batch adalah:
a. Physical Batches
Sekelompok transaksi unit fisik, seperti dokumen
sumber yang didapat dari pos dikumpulkan dan
digabungkan menjadi satu. Kumpulan dokumen ini
kemudian akan diinput oleh petugas ke aplikasi yang
ada.
b. Logical Batches
Sekelompok transaksi yang dikelompokan atas dasar
logis, sebagai contoh beberapa petugas yang berbeda
dapat menggunakan terminal yang sama untuk
menginput data atau transaksi ke dalam aplikasi.
Petugas lainya akan terus mengawasi jumlah data yang
diinput lalu merekonsiliasi data tersebut setiap jangka
waktu tertentu.
7. Validasi Input Data (Validation of Data Input)
Data yang akan diinput ke dalam aplikasi harus
divalidasi setelah data tersebut didapatkan agar setiap
kesalahan yang ada dapat langsung diperbaiki. Setiap
keslaahan atau error pada data yang tidak dapat diperbaiki
harus segera dicatatkan pada file error. Beberapa cara yang
dapat dilakukan untuk melalukan validasi terhada data yang
akan diinput adalah sebagai berikut:
a. Field Checks
32
Validasi dilakukan pada suatu field tanpa
mempertimbangan field lainnya.
b. Record Checks
Validasi dilakukan pada suatu field dengan
mempertimbangkan hubungan field tersebut dengan
field lainnya.
c. Batch Checks
Validasi yang memeriksa karakteristik dari sebuat
batch records apakah sudah sesuai dengan karakteristik
batch yang seharusnya.
d. File Checks
Validasi yang memeriksa apakah karakteristik file yang
digunakan untuk data input sudah sesuai dengan
karakteristik file yang seharusnya.
8. Instruksi Input (Instruction Input)
Pengguna sering memberikan intstruksi yang
kompleks untuk diselesaikan oleh sistem. Cara yang paling
mudah bagi pengguna untuk memberikan instruksi adalah
melalui menu. Menu menyediakan serangkaian opsi yang
dapat dipilih oleh pengguna.
9. Validasi Instruksi Input (Validation of Instruction Input)
Instruksi yang diberikan pada sistem harus divalidasi.
Tedapat 3 cara untuk memvalidasi instruksi, yaitu:
a. Lexical Validation
33
Validasi dimana sistem mengevaluasi setiap kata dari
instruksi pengguna.
b. Syntatic Validation
Validasi dimana sistem membaca rangkaian kata dari
instruksi yang diberikan baru kemudian diidentifikasi
dan divalidasi.
c. Semantic Validation
Validasi dimana sistem menganalisa makna dari
instruksi yang diberikan pengguna.
10. Pengendalian Jejak Audit (Audit Trail Controls)
Jejak audit atau audit trail pada subsistem input
memastikan kronologi event mulai dari waktu, data dan
instruksi yang diinput kedalam sistem sampai pada akhirnya
semua hal tersebut dinyatakan valid.
11. Existance Controls
Existance controls harus dapat memperbaiki atau
mengembalikan data dan instruksi yang telah diinput ke
dalam sistem. Perbaikan data tidak dapat dilakukan jika
input file tidak tersedia, oleh karena itu input file harus
disimpan dengan baik serta harus dibackup secara berkala.
2.2.3.3 Pengendalian Keluaran
Menurut Weber (1999: 615), subsistem keluaran (output)
menyediakan fungsi yang dapat menetukan isi dari data yang
akan diberikan pada dan cara data disajikan pada pengguna.
Komponen utama dari sistem keluaran (output) adalah software
34
dan personil yang menentukan isi, format, dan batas waktu dari
data yang akan diberikan pada pengguna, serta berbagai macam
hardware yang digunakan untuk menetukan format output.
Terdapat 6 jenis pengendalian keluaran (output), yaitu:
1. Pengendalian Inferensi (Inference Control)
Pengendalian inference diterapkan pada database
statistikal, dimana pengguna hanyadapat mengakses data
statisik saja sedangkan data value dari data individual tidak
dapat diakses. 4 jenis kesalahan ataupun kecurangan yang
dapat terjadi adalah:
a. Possitive compromise, pengguna menyatakan bahwa
seseorang memiliki atribut tertentu.
b. Negative compromise, pengguna menentukan bahwa
seseorang tidak memiliki atribut tertentu.
c. Exact compromise, pengguna menentukan nilai dari
atribut yang dimiliki oleh seseorang.
d. Approximate compromise, pengguna menetukan nilai
dari atribut yang dimiliki oleh seseorang yang
dinyatakan dalam bentuk rentang nilai tertentu.
2. Pengendalian Produksi dan Distribusi Keluaran berdasarkan
Batch (Batch Output Production and Distribution Controls)
Batch output adalah output yang dihasilkan pada
beberapa fasilitas operasional dan didistribusikan atau
dikumpulkan oleh kustodian atau pengguna output.
Pengawasan produksi dan distribusi terhadap batch output
35
dilaksanakan untuk memastikan bahwa output yang
diterima pengguna sudah akurat, lengkap, dan tepat waktu
serta diterima oleh orang yang berhak.
3. Pengendalian Rancangan Laporan berdasarkan Batch
(Batch Report Design Controls)
Elemen penting dari pelaksanaan pengendalian
produksi dan distribusi yang efektif adalah kualitas
rancangan laporannya. Manajemen yang baik memastikan
bahwa pengguna mendapatkan fitur rancangan yang dapat
disesuaikan dengan prosedur pengendalian.
4. Pengendalian Produksi dan Distribusi Keluaran secara
Online (Online Output Production and Distribution
Controls)
Tujuan utama dari pengendalian output produksi dan
distribusi adalah untuk memastikan bahwa hanya pihak-
pihak yang berhak saja yang dapat melihat output,
melindungi integritas output yang didistribusikan pada
pihak lain. Selain itu juga untuk memastikan output online
tidak dilihat oleh orang yang tidak berhak, serta
menghindari adanya duplikasi output oleh orang yang tidak
berhak.
5. Pengendalian Jejak Audit (Audit Trail Controls)
Pengendalian jejak audit pada subsistem output
menjaga kronologi kegiatan yang terjadi mulai dari saat
36
penentuan konten output sampai ketika output siap untuk
dibuang atau dihancurkan karena tidak lagi diperlukan.
6. Existance Controls
Output bisa saja hilang atau rusak oleh berbagai
macam sebab, salah satu cara yang dapat digunakan untuk
memperbaiki atau mengembalikan output adalah dengan
spooling. Spooling adalah kegiatan menyimpan output ke
media penyimpanan yang bersifat removable untuk
kemudian disimpan.
2.3 Audit Sistem Informasi
2.3.1 Pengertian Audit
Menurut Mulyadi dalam Husni, Karmawan, dan Haris (2010: 2),
auditing adalah suatu proses sistematik untuk memperoleh dan
mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan
tentang kegiatan dan kejadian ekonomi, dengan tujuan umum
menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut
dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya
kepada para pemakai yang berkepentingan. Sedangkan menurut Elder,
Beasley, dan Arens (2010: 4), audit adalah akumulasi dan evaluasi dari
bukti mengenai informasi untuk menentukan dan melaporkan tingkat
korespondensi antara informasi dengan kriteria yang ditetapkan.
Rittenberg, Schwiger, dan Johnstone (2008: 5) mengemukakan
bahwa audit didefinisikan sebagai assurance service yang
mengumpulkan bukti secara objektif dan mengkomunikasikannya ke
pihak ketiga. Adapun menurut Gondodiyoto (2007: 39), bahwa
37
sesungguhnya audit dapat dilakukan untuk mengevaluasi apakah kegiatan
kerja/kinerja suatu organisasi sudah sesuai dengan yang direncanakan,
sudah efektif, efisien, dan ekonomis, serta apakah sudah sesuai dengan
pedoman standar produktivitas yang direncanakan. Dengan kata lain,
audit adalah suatu kegiatan pengevaluasian dan penilaian yang dilakukan
oleh auditor, mengenai kebenaran informasi yang dihasilkan organisasi.
2.3.2 Pengertian Audit Sistem informasi
Menurut Weber dalam Husni, Karmawan, dan Haris (2010: 2),
audit sistem informasi secara garis besar dapat diartikan sebagai proses
pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah
sebuah sistem komputer dapat melindungi aset perusahaan, memelihara
integritas data dan memungkinkan tujuan organisasi untuk dicapai secara
efektif dengan menggunakan sumber daya yang efisien. Adapun
Gondodiyoto (2007: 384), menyatakan bahwa audit sistem informasi
merupakan suatu evaluasi untuk mengetahui tingkat kesesuaian antara
sistem informasi dengan prosedur yang telah ditetapkan (kebutuhan
pengguna, user needs), dan untuk mengetahui apakah suatu sistem
informasi telah didesain dan diimplementasikan secara efektif, efisien,
dan ekonomis, memiliki mekanisme pengamanan aset serta menjamin
integritas data yang memadai. Sehingga dapat disimpulkan bahwa audit
sistem informasi merupakan kegiatan mengevaluasi tingkat kesesuaian
prosedur dengan kegiatan yang sedang berlangsung pada suatu organisasi
untuk melindungi aset sistem informasi.
38
2.3.3 Metode Audit Sistem Informasi
Menurut Gondodiyoto (2007: 389), metode audit sistem informasi
dibagi menjadi :
1. Audit Around the Computer
Dalam pendekatan audit di sekitar komputer, auditor dapat
mengambil kesimpulan dan merumuskan opini dengan hanya
menelaah struktur pengendalian dan melaksanakan pengujian
transaksi dan prosedur verifikasi saldo perkiraan dengan cara yang
sama seperti pada sistem akuntasi manual. Auditor tidak perlu
menguji pengendalian SI berbasis teknologi informasi klien (file
program/pengendalian atas file/data di komputer), melainkan cukup
terhadap input (dokumen) serta output (laporan) sistem aplikasi saja.
Metode audit tersebut biasanya cocok dilaksanakan pada
situasi berikut :
a. Masalah keterampilan auditor mengenai aspek teknis komputer
atau keterbatasan lain untuk dapat menguji sistem komputerisasi
secara langsung.
b. Dokumen sumber tersedia dalam bentuk kertas (bahasa non-
mesin), artinya masih kasat mata dan dilihat secara visual.
c. Dokumen-dokumen disimpan dalam file dengan cara yang
mudah ditemukan.
d. Keluaran dapat diperoleh dari daftar dengan data yang cukup
terinci dan auditor mudah menelusuri setiap transaksi dari
dokumen sumber kepada keluaran dan sebaliknya.
e. Sistem komputer yang diterapkan masih sederhana.
39
f. Sistem komputer yang diterapkan masih menggunakan software
yang umum digunakan, dan telah diakui, serta digunakan secara
masal.
Kelemahannya adalah jika kondisi (user requirement) berubah,
mungkin sistem itupun perlu didesain ulang dan perlu penyesuaian
(update) program-program, bahkan mungkin struktur data/file,
sehingga auditor perlu menilai/menelaah ulang apakah sistem masih
berjalan baik. Sedangkan keunggulan metode ini adalah :
a. Pelaksanaan audit lebih sederhana
b. Auditor yang memiliki pengetahuan minimal di bidang
komputer dapat dilatih dengan mudah untuk melaksanakan
audit.
2. Audit Through the Computer
Dalam pendekatan audit ke sistem komputer (audit through the
computer) auditor melakukan pemeriksaan langsung terhadap
program-program dan file-file komputer pada audit SI berbasis TI.
Auditor menggunakan komputer (software bantu) atau dengan cek
logika atau listing program (desk test on logic or program source
code) untuk menguji logika program dalam rangka pengujian
pengendalian yang ada pada komputer. Selain itu auditor juga dapat
meminta penjelasan dari para teknisi komputer mengenai spesifikasi
sistem dan/atau program yang diaudit. Dalam pengujian substantif,
para auditor memeriksa file atau data komputer. Apabila auditor
menggunakan alat bantu software audit, besar kecilnya peran
penggunaan komputer dalam audit tergantung pada kompleksitas
40
dari sistem komputerisasi perusahaan yang diaudit. Penggunaannya
dapat sederhana atau lebih rumit. Dalam pendekatan ini fokus
perhatian auditor langsung pada operasi pemrosesan di dalam sistem
komputer.
Pendekatan audit langsung ke sistem komputerisasi cocok
dalam kondisi:
a. Sistem aplikasi komputer memproses input yang cukup besar
dan menghasilkan output yang cukup besar pula, sehingga
memperluas audit untuk meneliti keabsahaannya.
b. Bagian penting dari struktur pengendalian intern perusahaan
terdapat di dalam komputerisasi yang digunakan. Jika
mekanisme sistem berbasis komputer dapat diyakini
keandalannya, maka keyakinan auditor terhadap struktur
pengendalian intern perusahaan dapat dianggap cukup
meyakinkan.
c. Sistem logika komputerisasi/komunikasi sangat kompleks dan
memiliki banyak fasilitas pendukung, sehingga untuk lebih
memahami sistemnya, pada akhirnya perlu diperiksa secara
lebih mendalam dengan audit through the computer.
Sebenarnya mungkin tidak dapat dikatakan sebagai suatu
kelemahan dalam pendekatan audit ini, namun jelas bahwa audit
through the computer memerlukan tenaga ahli auditor yang terampil
dalam pengetahuan teknologi informasi, dan mungkin perlu biaya
yang besar pula. Sedangkan keunggulan pendekatan ini adalah:
41
a. Auditor memperoleh kemampuan yang besar dan efektif dalam
melakukan pengujian terhadap sistem komputer.
b. Auditor akan merasa lebih yakin terhadap kebenaran hasil
kerjanya.
c. Auditor dapat menilai kemampuan sistem komputer tersebut
untuk menghadapi perubahan lingkungan.
3. Audit With the Computer
Audit with the computer adalah pendekatan audit dengan
menggunakan bantuan komputer dalam berbagai bentuk, misalnya:
pengetikan laporan, penjadwalan, penyusunan rencana kerja audit,
penyusunan kertas kerja pemeriksaan, dan lainnya.
Pada pendekatan ini audit dilakukan dengan menggunakan
komputer dan software untuk mengotomatisasi prosedur pelaksanaan
audit. Pendekatan ini dapat menggunakan beberapa computer
assisted audit techniques, misalnya systems control audit review file
(SCARF), snapshot (pemotretan cepat) dan sebagainya.
2.3.4 Tujuan Audit Sistem Informasi
Tujuan audit sistem Informasi menurut Weber dalam Husni,
Karmawan, dan Haris (2010: 2), dapat disimpulkan bahwa secara garis
besar terbagi menjadi 4 tahap, yaitu :
1. Meningkatkan objektifitas keamanan aset perusahan
2. Meningkatkan objektifitas integritas data
3. Meningkatkan objektifitas efektifitas sistem
4. Meningkatkan objektifitas efisiensi system
Sedangkan menurut Gondodiyoto (2007: 419), tujuan audit sistem
42
informasi antara lain:
1. Untuk mengidentifikasi sistem yang ada (inventory existing system),
baik yang ada pada tiap divisi/unit/departemen ataupun yang
digunakan menyeluruh.
2. Untuk dapat lebih memahami seberapa besar sistem informasi
mendukung kebutuhan strategis perusahaan, operasi perusahaan,
mendukung kegiatan operasional departemen/unit/divisi, kelompok
kerja, maupun para petugas dalam melaksanakan kegiatannya.
3. Untuk mengetahui pada bidang atau area mana, fungsi, kegiatan,
atau business processes yang didukung dengan sistem serta
teknologi informasi yang ada.
4. Untuk menganalisis tingkat pentingnya data/informasi yang
dihasilkan oleh sistem dalam rangka mendukung kebutuhan para
pemakainya.
5. Untuk mengetahui keterkaitan data, sistem pengolahan dan transfer
informasi.
6. Untuk mengidentifikasi apakah ada kesenjangan (gap) antara sistem
dan kebutuhan.
7. Untuk membuat peta (map) dari information flows yang ada.
Dengan kata lain, tujuan dari audit sistem informasi adalah untuk
menjaga kerahasiaan (confidentiality), ketersediaan (availability) dan
integritas (integrity) aset sistem informasi organisasi.
2.3.5 Risiko Audit
2.3.5.1 Pengertian Risiko
Menurut Peltier dalam Gondodiyoto (2007 : 110), risiko
43
adalah sesuatu yang dapat menciptakan atau menimbulkan
bahaya.
2.3.5.2 Jenis Risiko
Menurut Gondodiyoto (2007 : 112), dari berbagai sudut
pandang, risiko dapat dibedakan dalam beberapa jenis,
diantaranya :
1. Risiko Bisnis (Business Risk)
Risiko bisnis adalah risiko yang dapat disebabkan oleh
faktor-faktor intern maupun ekstern yang berakibat
kemungkinan tidak tercapainya tujuan organisasi (business
goal objectives).
2. Risiko Bawaan (Inherent Risk)
Risiko bawaan ialah potensi kesalahan atau penyalahgunaan
yang melekat pada suatu kegiatan jika tidak ada
pengendalian internal.
3. Risiko Pengendalian (Control Risk)
Dalam suatu organisasi yang baik seharusnya sudah ada risk
assessment, dan dirancang pengendalian internal secara
optimal terhadap setiap potensi risiko. Risiko pengendalian
ialah masih adanya risiko meskipun sudah ada
pengendalian.
4. Risiko Deteksi (Detection Risk)
Risiko deteksi adalah risiko yang terjadi karena prosedur
audit yang dilakukan mungkin tidak dapat mendeteksi
adanya error yang cukup matrealitas atau adanya
44
kemungkinan fraud.
5. Risiko Audit (Audit Risk)
Risiko audit sebenarnya adalah kombinasi dari inherent
risk, control risk, dan detection risk. Risiko audit adalah
risiko bahwa pemeriksaan auditor ternyata belum dapat
mencerminkan keadaan yang sesungguhnya.
2.3.5.3 Penetapan Penilaian Risiko dan Pengendalian
Menurut Gondodiyoto (2007 : 559), penilaian risiko dan
pengendalian internal dapat dilakukan dengan menggunakan :
1. Matriks Penilaian Risiko
Matriks penilaian risiko adalah metoda analisis
dengan menghitung aspek risiko (dampak) dan tingkat
keterjadian risiko tersebut, dengan nilai : L (Low) nilai -1,
M (Medium) nilai -2, H (High) nilai -3.
Teknik perhitungan nilai risiko menggunakan rasio
antara dampak dengan keterjadian :
a. Risiko kecil (Low) nilainya berkisar antara -1 dan -2,
seperti :
1. Jika dampak Low (-1) dan keterjadian Low (-1),
maka nilai risiko adalah -1. Artinya nilai risiko dari
dampak dan keterjadian adalah kecil.
2. Jika dampak Low (-1) dan keterjadian Medium (-
2), maka nilai risiko adalah -2. Artinya nilai risiko
dari dampak dan keterjadian adalah kecil.
3. Jika dampak Medium (-2) dan keterjadian Low (-
45
1), maka nilai risiko adalah -2. Artinya nilai risiko
dari dampak dan keterjadian adalah kecil.
b. Risiko sedang (Medium) nilainya antara -3 dan -4,
seperti :
1. Jika dampak Low (-1) dan keterjadian High (-3),
maka nilai risiko adalah -3. Artinya nilai risiko dari
dampak dan keterjadian adalah sedang.
2. Jika dampak Low (-2) dan keterjadian Medium (-
2), maka nilai risiko adalah -4. Artinya nilai risiko
dari dampak dan keterjadian adalah sedang.
3. Jika dampak High (-3) dan keterjadian Low (-1),
maka nilai risiko adalah -3. Artinya nilai risiko dari
dampak dan keterjadian adalah sedang.
c. Risiko tinggi (High) nilainya antara -6 dan -9, seperti :
1. Jika dampak Medium (-2) dan keterjadian High (-
3), maka nilai risiko adalah -6. Artinya nilai risiko
dari dampak dan keterjadian adalah tinggi.
2. Jika dampak High (-3) dan keterjadian Medium (-
2), maka nilai risiko adalah -6. Artinya nilai risiko
dari dampak dan keterjadian adalah tinggi.
3. Jika dampak High (-3) dan keterjadian High (-3),
maka nilai risiko adalah -9. Artinya nilai risiko dari
dampak dan keterjadian adalah tinggi.
2. Matriks Penilaian Pengendalian
Matrik penilaian pengendalian adalah metoda analisis
46
desain (rancangan) dan tingkat efektifitas pengendalian
internal. Besarnya tingkatan efektifitas dan desain
(rancangan) dinyatakan dengan : L (Low) nilai 1, M
(Medium) nilai 2, H (High) nilai 3.
Teknik perhitungan dalam matriks penilaian
pengendalian menggunakan fungsi perkalian anatara
efektifitas dengan desain (rancangan). Kriteria penilaian
dalam matriks pengendalian terdiri dari :
a. Pengendalian kecil (Low) nilainya berkisar antara -1
dan -2, seperti :
1. Jika efektifitas Low (1) dan desain Low (1), maka
nilai pengendalian adalah 1. Artinya nilai
pengendalian dari efektifitas dan desain adalah
kecil.
2. Jika efektifitas Low (1) dan desain Medium (2),
maka nilai pengendalian adalah 2. Artinya nilai
pengendalian dari efektifitas dan desain adalah
kecil.
3. Jika efektifitas Medium (2) dan desain Low (1),
maka nilai pengendalian adalah 2. Artinya nilai
pengendalian dari efektifitas dan desain adalah
kecil.
b. Pengendalian sedang (Medium) nilainya antara 3 dan 4,
seperti :
1. Jika efektifitas Low (-1) dan desain High (-3),
47
maka nilai pengendalian adalah -3. Artinya nilai
pengendalian dari efektifitas dan desain adalah
sedang.
2. Jika efektifitas Low (2) dan desain Medium (2),
maka nilai pengendalian adalah 4. Artinya nilai
pengendalian dari efektifitas dan desain adalah
sedang.
3. Jika efektifitas High (3) dan desain Low (1), maka
nilai pengendalian adalah 3. Artinya nilai
pengendalian dari efektifitas dan desain adalah
sedang.
c. Pengendalian tinggi (High) nilainya antara 6 dan 9,
seperti :
1. Jika efektifitas Medium (2) dan desain High (3),
maka nilai pengendalian adalah 6. Artinya nilai
pengendalian dari efektifitas dan desain adalah
tinggi.
2. Jika efektifitas High (3) dan desain Medium (2),
maka nilai pengendalian adalah 6. Artinya nilai
pengendalian dari efektifitas dan desain adalah
tinggi.
3. Jika efektifitas High (3) dan desain High (3), maka
nilai pengendalian adalah 9. Artinya nilai
pengendalian dari efektifitas dan desain adalah
tinggi.
48
Penetapan tingkat efektifitas antara risiko dan pengendalian
adalah sebagai berikut :
1. Jika jumlah penilaian risiko dan pengendalian 0, maka
tingkat pengendalian dan risiko adalah standar, artinya
setiap risiko yang terjadi dapat ditanggulangi oleh
pengendalian yang ada.
2. Jika jumlah penilaian risiko dan pengendalian positif, maka
pengendalian baik. Tetapi jika nilai pengendalian terlalu
tinggi dibanding risiko, maka kemungkinan akan terjadi
kelebihan pengendalian (over control) yang menyebabkan
terjadinya pemborosan dalam operasional.
3. Jika jumlah penilaian risiko dan pengendalian negatif, maka
pengendalian adalah buruk. Sehingga perlu dilakukan
peningkatan terhadap pengendalian karena risiko yang
dihadapi besar.