BAB 2

LANDASAN TEORI

2.1 Sistem Informasi

2.1.1 Pengertian Sistem Infomasi

Rainer dan Turban (2009: 6) mengemukakan bahwa sistem

informasi adalah proses mengumpulkan, memproses, menyimpan,

menganalisa, dan menyebarkan informasi untuk tujuan tertentu.

Sedangkan menurut Gondodiyoto (2007: 98), sistem informasi dapat

didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan

jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam

suatu hubungan hierarkis tertentu, dan bertujuan untuk mengolah data

menjadi informasi. Definisi lain mengenai sistem informasi yang

dinyatakan oleh Bodnar dan HopWood dalam Nugroho dan Azhari

(2011: 2), sistem informasi didefinisikan sebagai kumpulan perangkat

keras dan lunak yang dirancang untuk mentransformasikan data ke dalam

bentuk informasi yang berguna.

Adapun O’Brien dan Marakas (2009: 4) mengemukakan bahwa

sistem informasi dapat berarti kombinasi dari orang, hardware, software,

jaringan komunikasi, sumber data serta prosedur dan aturan yang

mendapatkan, menyimpan, merubah dan menyebarluaskan informasi di

dalam organisasi. Berdasarkan beberapa pendapat tersebut, dapat

disimpulkan bahwa sistem informasi adalah sekumpulan komponen yang

berlainan fungsi yang bekerja bersama-sama mengelola data menjadi

informasi yang berkualitas untuk mencapai tujuan.

7

8

2.1.2 Komponen Sistem Informasi

Turban dan Volonino (2010: 12) mengemukakan bahwa komponen

sistem informasi terdiri dari hardware, software, data, network,

procedures, dan people. Menurut Rainer dan Cegielski (2010: 40),

komponen sistem informasi terdiri dari hardware, software, database,

network, procedure, dan people. Sedangkan menurut O’Brien dan

Marakas (2009: 29), yang termasuk sumber daya dasar dalam sistem

informasi adalah people, hardware, software, data, dan Network.

Jadi dapat disimpulkan bahwa yang termasuk dalam komponen

sistem informasi, adalah :

1. Hardware, mencakup perangkat-perangkat fisik seperti prosesor,

monitor, keyboard, dan printer yang menerima data dan informasi,

memproses serta menampilkannya.

2. Software, adalah perangkat lunak yang memungkinkan pengguna

untuk mengontrol perangkat keras sehingga dapat memproses data.

3. Database, adalah sekumpulan table yang berisi data dan saling

terkait.

4. Network, adalah sistem penghubung (wireline atau wireless) yang

memungkinkan sumber daya (data, hardware dan software) untuk

dapat digunakan dan diakses oleh banyak pengguna.

5. Procedure, adalah sekumpulan tata cara yang spesifik dan saling

berhubungan erat yang digunakan untuk mengolah data dan

menghasilkan informasi.

6. People, adalah pihak-pihak yang berhubungan dengan sistem.

9

2.1.3 Sistem Informasi Sumber Daya Manusia

2.1.3.1 Pengertian Sumber Daya Manusia

Sumber daya manusia menurut Hasibuan dalam Darudiato

(2007: 1), adalah kemampuan terpadu dari daya pikir dan daya

fisik yang dimiliki individu. Perilaku dan sifatnya ditentukan

oleh keturunan dan lingkungannya, sedangkan prestasi kerjanya

dimotivasi oleh keinginan untuk memenuhi kepuasannya.

Sedangkan menurut Snell dan Bohlander (2010: 4) istilah

human resources, human capital, intellectual assets dan talent

management memiliki arti yang sama yaitu, orang-orang yang

menjalankan kinerja organisasi (bersama dengan sumber daya

lain seperti uang, material, dan informasi).

Menurut Noe, Hollenbeck, Gerhart, dan Wright (2007:3)

human capital adalah pegawai organisasi, yang digambarkan

dalam hal pelatihan, pengalaman, penilaian, kecerdasan,

hubungan, dan pandangan serta karakteristik lain dari pegawai

yang dapat menambahkan nilai ekonomis pada organisasi.

Dengan kata lain, sumber daya manusia merupakan tenaga,

pikiran, dan keterampilan manusia yang dimanfaatkan oleh

perusahaan untuk menjalankan proses bisnisnya.

2.1.3.2 Manajemen Sumber Daya Manusia

Tanuwijaya dan Soenhadji (2009: 6), menyatakan bahwa

manajemen sumber daya manusia adalah manajemen terhadap

tenaga kerja atau pegawai, yaitu bagaimana mengatur pegawai

didalam perusahaan atau pengaturan tenaga kerja dalam suatu

10

organisasi dan lembaga, dimana pengaturan ini dalam arti

seluas-luasnya. Sedangkan menurut Yuniarsih dan Suwatno

(2008: 3), manajemen sumber daya manusia adalah serangkaian

kegiatan pengelolaan sumber daya manusia yang memusatkan

kepada praktek dan kebijakan, serta fungsi-fungsi manajemen

untuk mencapai tujuan organisasi.

Hanggraeni (2012: 4) menjelaskan bahwa manajemen

sumber daya manusia berhubungan dengan bagaimana sebuah

organisasi merancang sistem formal yang menjamin

pemanfaatan sumber daya manusia secara efektif dan efisien

guna mendukung pencapaian tujuan dan rencana strategis

organisasi. Adapun menurut Daft dan Marcic (2011: 272),

manajemen sumber daya manusia adalah rancangan dan aplikasi

dari sebuah sistem formal di dalam organisasi untuk memastikan

penggunaan kemampuan manusia yang efektif dan efisien untuk

mencapai tujuan organisasi. Dari definisi tersebut, dapat

disimpulkan bahwa manajemen sumber daya manusia adalah

sebuah proses yang dilakukan oleh setiap organisasi untuk

mengatur sumber daya manusia yang dimiliki agar dapat

berkontribusi sesuai dengan visi organisasi dalam pencapaian

tujuan strategisnya.

Hanggraeni (2012: 5) mengemukakan bahwa secara garis

besar aktivitas manajemen sumber daya manusia terbagi

menjadi empat, yaitu :

1. Preparation and Selection, terdiri dari :

11

a. Job Analysis and Design

b. Human Resource Planning

c. Recruitment

d. Selection

2. Development and Evaluation, terdiri dari :

a. Orientation, Placement, and Separation

b. Training and Development

c. Career Planning

d. Performance Appraisal

3. Compensation and Protection, terdiri dari :

a. Wages and Salaries

b. Incentives and Gainsharing

c. Benefits and Services

d. Security, Safety, and Health

4. Employee Relation. Hubungan ketenagakerjaan atau biasa

disebut dengan hubungan industrial adalah hubungan yang

melibatkan tiga pihak yang berkepentingan dalam proses

kerja yaitu pekerja itu sendiri, organisasi/perusahaan, dan

pemerintah.

2.1.3.3 Sistem Informasi Sumber Daya Manusia

Purnawanto (2010: 23) menyatakan, Human Resources

Infomation System (HRIS) merupakan salah satu contoh

perangkat lunak yang bisa dipakai untuk keperluan database ,

expert system, dan alat bantu pengambilan keputusan. Menurut

Snell dan Bohlander (2010: 9), HRIS adalah sistem

12

terkomputerisasi yang menyediakan data terkini dan akurat

untuk tujuan pengendalian dan pengambilan keputusan.

Sedangkan menurut Kavanagh dan Thite (2010: 13), HRIS

didefinisikan sebagai sistem yang digunakan untuk

memperoleh, menyimpan, memanipulasi, menganalisa,

mendapatkan kembali, dan mendistribusikan informasi yang

berkaitan dengan sumber daya manusia pada organisasi. HRIS

bukan hanya hardware komputer dan software yang berkaitan

dengan Human Resources (HR) saja. Walaupun HRIS termasuk

hardware dan software, tapi juga termasuk manusia, forms,

kebijakan, prosedur, dan data.

Adapun menurut Sadiq, Khan, Ikhlaq, dan Mujtaba (2012:

1) HRIS merupakan sebuah peluang bagi organisasi untuk

membuat departemen sumber daya manusia berpartisipasi dalam

kegiatan operasional organisasi secara administratif dan

strategis. Jadi, dapat disimpulkan bahwa HRIS adalah suatu

sistem yang mengatur dan mengolah data administrasi pegawai

sehingga hasilnya dapat digunakan untuk mengoptimalkan

kemampuan pegawai dan mencapai tujuan strategis organisasi.

2.2 Pengendalian Internal

2.2.1 Pengertian Pengendalian Internal

Menurut Gondodiyoto (2007: 69), pengendalian internal adalah

mekanisme untuk mendukung kebijakan perusahaan, pengamanan aset

perusahaan, pendukung mutu operasi dan sebagai persyaratan dicapainya

tujuan perusahaan. Pengendalian internal dibedakan dalam administrative

13

controls dan accounting controls. Pengendalian administratif meliputi

rencana organisasi dan prosedur yang terutama menyangkut efisiensi

usaha dan ketaatan terhadap kebijaksanaan atau peraturan pimpinan

perusahaan, dan pada umumnya tidak langsung berhubungan dengan

pembukuan (sistem akuntansi). Sedangkan pengendalian akuntansi

meliputi metoda dan prosedur yang menyangkut dan berhubungan

langsung dengan pengamanan harta (aset) serta dapat dipercayainya

catatan keuangan (pembukuan).

2.2.2 Pengendalian Umum

Menurut Gondodiyoto (2007: 301), pengendalian umum adalah

sistem pengendalian internal komputer yang berlaku umum meliputi

seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh.

Ruang lingkup yang termasuk pengendalian umum sesuai dengan yang

diungkapkan oleh Weber (1999: 68) antara lain:

1. Pengendalian Manajemen Puncak (Top Management Controls)

2. Pengendalian Manajemen Pengembangan Sistem (System

Development Management Controls)

3. Pengendalian Manajemen Pemrograman (Programming

Management Controls)

4. Pengendalian Manajemen Sumber Data (Data Resources

Management Controls)

5. Pengendalian Manajemen Keamanan (Security Management)

6. Pengendalian Manajemen Operasional (Operations Management

Controls)

14

7. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance

Management Controls)

Dari keseluruhan pengendalian umum tersebut, sesuai dengan ruang

lingkup penulisan skripsi, maka pengendalian yang dibahas adalah

pengendalian manajemen keamanan dan pengendalian manajemen

operasional.

2.2.1.1 Pengendalian Manajemen Keamanan

Menurut Weber (1999: 256), Pengendalian Manajemen

Keamanan meliputi perlindungan terhadap aset dan fungsi

sistem informasi, yang dapat diimplementasi. Berikut beberapa

ancaman terhadap sistem informasi beserta cara penanganannya.

1. Kerusakan dikarenakan Kebakaran (Fire Damage)

Kebakaran merupakan ancaman serius terhadap

keamanan fisik dari aset sistem informasi. Seperti yang

diungkapkan oleh Toigo yang dikutip oleh Weber (1999),

dalam laporan statistik dari National Fire Protection

Association, setiap 10 menit sekali terjadi kebakaran pada

ruang komputer di Amerika Serikat. Beberapa cara yang

dapat dilakukan untuk mencegah risiko kebakaran antara

lain:

a. Alarm kebakaran, baik manual maupun otomatis,

diletakkan di tempat yang strategis.

b. Sistem pemadam kebakaran otomatis harus berada di

tempat strategis yang dekat dengan sumber air, karbon

dioksida atau gas halon.

15

c. Bangunan yang menyimpan aset sistem informasi harus

dibangun dengan material yang bersifat tahan api.

d. Alat pemadam kebakaran dan pintu darurat ditandai

dengan jelas dan bisa diakses dengan mudah oleh

pegawai.

e. Untuk mengurangi risiko kerusakan yang lebih parah

dikarenakan korsleting listrik, kabel listrik harus

diletakkan di dalam panel yang bersifat tahan api.

2. Kerusakan akibat Air (Water Damage)

Kerusakan akibat air terhadap aset sistem informasi

merupakan kerusakan lanjutan dari tindakan penanganan

kebakaran. Sebagai contoh, sistem pemadam kebakaran

yang menyemprotkan air sehingga merusak hardware, atau

kebocoran pipa air pada sistem pemadam kebakaran.

Kerusakan juga dapat ditimbulkan dari angin topan,

tornado, hujan es dan hujan deras. Beberapa cara yang dapat

dilakukan untuk melindungi aset sistem informasi dari

kerusakan akibat air antara lain:

a. Gunakan langit-langit, dinding dan lantai yang bersifat

anti air, jika memungkinkan.

b. Pastikan sistem drainase memadai.

c. Tutupi hardware dengan kain pelindung apabila tidak

digunakan.

16

d. Untuk menghindari banjir, lokasi penyimpanan aset

sistem informasi harus berada di atas lantai dasar

bangunan.

3. Ketidakstabilan Tegangan Listrik (Energy Variations)

Ketidakstabilan Tegangan Listrik dapat berupa

kenaikan tegangan listrik (surge atau spikes), penurunan

tegangan listrik (sags atau brownouts) atau kehilangan

tegangan listrik (blackouts). Untuk melindungi hardware

dari kenaikan tegangan listrik sementara dapat

menggunakan regulator voltase (temporer) atau circuit

breakers (terus-menerus). Untuk melindungi hardware dari

kehilangan tegangan listrik dapat menggunakan sumber

listrik cadangan dan sebagai tambahan dapat menggunakan

UPS.

4. Kerusakan Struktur Bangunan (Structural Damage)

Gempa bumi, angin, lumpur, salju, longsor dan

kecelakaan adalah beberapa hal yang menyebabkan

kerusakan struktur bangunan. Pencegahan terhadap

kerusakan struktur bangunan dapat dilakukan dengan cara

menempatkan penyimpanan aset sistem informasi di lokasi

yang paling aman dari kerusakan struktural. Aset sistem

informasi, jika memungkinkan, harus berada di lantai atas

agar terhindar dari bahaya banjir dan disimpan di letakkan

di tempat yang kokoh agar tidak mudah jatuh atau terbalik

saat terjadi gempa bumi.

17

5. Polusi (Pollution)

Polutan terbesar bagi hardware adalah debu. Debu

dapat mengakibatkan masalah apabila masuk ke dalam

mesin pendingin ruangan, atau menumpuk di lantai maupun

langit-langit bangunan. Oleh karena itu, langit-langit,

dinding, lantai, lemari penyimpanan dan perlengkapan

lainya harus dibersihkan secara teratur. Selain itu, tempat

sampah juga harus dikosongkan secara teratur untuk

menghindari debu dan material yang mudah terbakar.

6. Penyusup (Unauthorized Intrusion)

Penyusup dibedakan menjadi 2 macam yaitu

penyusup yang langsung masuk ke organisasi untuk

mencuri aset sistem informasi atau melakukan sabotase

(physical intrusion) dan penyusup yang menyadap saluran

telepon atau menggunakan receiver yang menangkap sinyal

elektromagnetik.

Physical intrusion dapat dicegah dengan

pembangunan tembok atau pagar disekeliling bangunan,

jendela dan pintu harus diamankan, melakukan otorisasi

yang ketat untuk memasuki ruangan. Sedangkan

penyadapan dapat dicegah dengan mempekerjakan petugas

keamanan yang menguasai perangkat pendeteksi gangguan.

7. Viruses dan Worms

Virus adalah sebuah program yang memerlukan

sistem operasi komputer untuk masuk ke dalam program

18

lain. Worm biasanya merupakan program yang terpisah dan

memanfaatkan beberapa bug dan kelemahan keamanan di

dalam sistem operasi sehingga dapat masuk ke sistem

lainnya.

Terdapat 3 tipe pengendalian virus dan worm yaitu

preventive, detective dan corrective :

Preventive Control

a. Memeriksa software baru dengan anti virus sebelum

diinstall.

b. Memeriksa file baru dengan anti virus sebelum

digunakan.

c. Mengedukasi user mengenai bahaya virus dan tujuan

pencegahan infeksi virus.

Detective Control

Menjalankan anti virus secara berkala untuk

mendeteksi infeksi virus.

Corrective Control

a. Memastikan data backup bebas virus.

b. Memiliki dokumentasi rencana untuk pemulihan dari

infeksi virus.

c. Jalankan anti virus untuk menghilangkan infeksi virus.

8. Penyalahgunaan Software, Data dan Jasa (Misuse of

Software, Data and Service)

Organisasi bisa mengalami kerugian akibat

penyalahgunaan software, data dan jasa yang dimiliki.

19

Administrator keamanan harus mengevaluasi setiap

software untuk menentukan apakah software tersebut perlu

dilindungi dan jenis perlindungan apa yang diperlukan.

Selain itu, administrator keamanan harus menyiapkan kode

etik untuk mengendalikan perilaku pegawai dalam

organisasi berkaitan dengan sumber daya dan kegiatan

sistem informasi.

9. Peretasan (Hacking)

Hacker komputer adalah orang yang berusaha untuk

mendapatkan akses ilegal ke sistem komputer dengan

menghindari pengendalian akses sistem. Detective control

sangat penting untuk dilakukan dalam rangka mengurangi

kerugian akibat tindakan hacking. Administrator keamanan

secara berkala harus mengawasi penggunaan sistem sebagai

bukti adanya tindakan mencurigakan.

2.2.2.2 Pengendalian Manajemen Operasional

Menurut Weber (1999: 292), secara keseluruhan

Pengendalian Manajemen Operasional bertanggung jawab

terhadap hal-hal sebagai berikut :

1. Pengoperasian Komputer (Computer Operation)

Tipe pengendalian yang harus dilakukan adalah :

a. Menetapkan fungsi yang sebaiknya dilakukan

operator atau fasilitas operasi otomatis.

b. Menetapkan bagaimana penjadwalan kerja pada

pemakaian hardware atau software.

20

c. Menentukan perawatan terhadap hardware agar dapat

berfungsi dengan baik.

2. Pengoperasian jaringan (Network Operation)

Manajer Operasional bertanggung jawab terhadap

kegiatan operasional dari WAN (Wide Area Network) dan

LAN (Local Area Network) yang digunakan oleh organisasi

setiap hari. Untuk mejalankan kewajiban ini, mereka harus

mengendalikan operasi jaringan dan mengawasi performa

saluran komunikasi, perangkat jaringan dan program

jaringan dan file.

3. Persiapan dan Pengentrian Data (Preparation and Entry

Data)

Manajemen operasi harus memastikan kegiatan entri

data dari dokumen sumber sudah dirancang dengan baik.

Selain itu, manajemen operasi harus memastikan adanya

backup untuk setiap data yang diinput, persiapan data dan

perangkat entri data. Data yang dimasukkan langsung ke

sistem komputer (tanpa ada dokumen sumber) harus di

backup sebagai bagian dari sistem backup file.

4. Pengendalian Produksi (Production Control)

5 fungsi utama pengendalian produksi adalah :

a. Penerimaan dan pengiriman input dan output

b. Penjadwalan kerja

b. Manajemen service-level agreement dengan user

c. Pengawasan pengeluaran biaya

21

d. Akuisisi komputer

5. Perpustakaan File (File Library)

Fungsi file library di dalam area operasional adalah

bertanggung jawab terhadap manajemen media

penyimpanan yang bersifat machine-readable milik

organisasi. Pengelolaan media penyimpanan removable

melibatkan 4 fungsi:

a. Media penyimpanan disimpan di tempat yang

aman.

b. Media penyimpanan hanya boleh digunakan oleh orang

yang berwenang.

c. Media penyimpanan harus dipelihara agar tetap

berfungsi dengan baik.

d. Media penyimpanan harus ditetakan ditempat yang

sesuai.

6. Dokumentasi dan Perpustakaan Program (Documentation

and Program Library)

Staf dokumentasi memiliki tanggung jawab untuk

mengelola dokumentasi yang mendukung fungsi sistem

informasi, antara lain:

a. Memastikan dokumentasi disimpan dengan aman.

b. Memastikan bahwa hanya staf berwenang yang

memiliki akses terhadap dokumentasi.

c. Memastikan bahwa dokumentasi selalu up to date.

d. Memastikan ketersediaan backup tambahan untuk

22

dokumentasi.

7. Dukungan Teknis (Help Desk/Technical Support)

Help Desk/Technical Support memiliki dua tanggung

jawab utama:

a. Membantu end user untuk menggunakan hardware

dan software, seperti microcomputer, spreadsheet,

database management, dan local area networks.

b. Menyediakan technical support untuk sistem produksi

dengan dilengkapi suatu penyelesaian masalah.

8. Perencanaan Kapasitas dan Pengawasan Kinerja (Capacity

Planning and Performance Monitoring)

Tujuan utama dari fungsi sistem informasi ini adalah

untuk mencapai tujuan dari pengguna sistem informasi

dengan biaya seminimal mungkin. Dalam memantau

statistik kinerja, manajer operasional harus mengambil 3

keputusan:

a. Menentukan apakah profil kinerja mengindikasikan

adanya kegitan ilegal yang mungkin terjadi.

b. Menetukan apakah kinerja sistem sudah sesuai dengan

kebutuhan user.

c. Menentukan beberapa sumber daya hardware dan

software yang mungkin dibutuhkan.

9. Manajemen Kegiatan Alih Daya (Management of

Outsourced Operations)

Manajaemen operasional harus fokus pada 4 tipe

23

pengendalian dalam memantau kontrak outsourcing:

a. Evaluasi berkelanjutan terhadap siklus keuangan

vendor outsourcing.

b. Memastikan kepatuhan terhadap syarat dan ketentuan

di dalam kontrak outsourcing.

c. Memastikan kehandalan pengendalian dari operasional

sebuah vendor outsorcing yang sedang berlangsung.

d. Menegakan prosedur pemulihan bencana dengan

vendor outsourcing.

2.2.3 Pengendalian Aplikasi

Menurut Gondodiyoto (2007: 372), pengendalian aplikasi

(application controls) adalah sistem pengendalian internal (internal

controls) pada sistem informasi berbasis teknologi informasi yang

berkaitan dengan pekerjaan/kegitatan/aplikasi tertentu (setiap aplikasi

memiliki karakteristik dan kebutuhan pengendalian yang berbeda).

Ruang lingkup yang termasuk pengendalian aplikasi sesuai dengan yang

diungkapkan oleh Weber (1999: 365) antara lain:

1. Pengendalian Batasan (Boundary Controls)

2. Pengendalian Masukan (Input Controls)

3. Pengendalian Komunikasi (Communication Controls)

4. Pengendalian Pemrosesan (Processing Controls)

5. Pengendalian Basis Data (Database Controls)

6. Pengendalian Keluaran (Output Controls)

24

Dari keseluruhan pengendalian aplikasi tersebut, sesuai dengan ruang

lingkup penulisan skripsi, maka pengendalian yang dibahas adalah

pengendalian batasan, pengendalian masukan dan pengendalian keluaran.

2.2.3.1 Pengendalian Batasan

Weber (1999: 370) mengungkapkan bahwa susbsistem

batasan (boundary) menetukan tampilan antar muka antara calon

pengguna atapun penggunasistem komputer dengan sistem

komputer itu sendiri. Pengendalian pada subsistem batasan

memiliki 3 tujuan utama:

1. Untuk menentukan identitas dan keaslian calon pengguna

ataupun pengguna dari sistem komputer.

2. Untuk menentukan identitas dan keaslian sumber daya yang

akan digunakan pengguna.

3. Untuk membatasi tindakan yang dilakukan oleh pengguna

yang memiliki sumber daya komputer dengan menetapkan

tindakan tindakan yang sah untuk dilakukan.

Menurut Weber (1999) ada 7 jenis pengendalian batasan, yaitu:

1. Pengendalian Kriptografi (Cryptographic Control)

Pengendalian kriptografi atau cryptographic control

dirancang untuk melindungi privasi data dan untuk

mencegah modifikasi data yang tidak sah. Hal ini dilakukan

dengan cara mengacak data sehingga tampak tidak berarti

bagi orang lain yang tidak memiliki alat atau cara untuk

menyusunnya kembali. Teknik kriptografi merubah

(eknkripsi) data (cleartext) menjadi kriptogram (ciphertext).

25

Ada 3 teknik untuk merangkai kembali data yang telah

dienkripsi (enchiperments):

a. Transposistion Ciphers

Teknik ini mengguakan beberapa aturan untuk merubah

urutan karakter-karakater dari setiap string pada data.

b. Subtitution Ciphers

Teknik ini mempertahankan posisis karakter-karakter

dalam pesan dan menyembunyikan identitas dari

karakter-karakter tersebut dengan menggantinya

dengan karakter lain bedasarkan aturan tertentu.

c. Product Ciphers

Teknik ini menggunakan kombinasi dari metode

transposisi dan subtitusi.

2. Pengendalian Akses (Access Controls)

Pengendalian akses atau access control mencegah

penggunaan komputer oleh pengguna yang tidak

berwenang, membatasi aksi dari pengguna yang berwenang,

dan memastikan bawah pengguna mendapatkan sumber

daya sistem komputer yang asli (otentik). Fungsi dari

mekanisme pengawasan akses:

a. Identification dan Authentication

User mengidentifikasikan diri mereka terhadap

mekanisme pengawasan akses dengan menyediakan

informasi seperti nama atau nomor akun. Informasi

identifikasi ini memungkinkan mekanisme untuk

26

memilih dari file informasi otentifikasi mengenai data

yang diinput pengguna.

b. Object Resources

Sumber daya yang diinginkan user untuk diinput ke

sistem informasi berbasis komputer dapat

dikelompokan menjadi 4 jenis, yaitu: perangkat keras,

perangkat lunak, komoditi, dan data.

c. Action Privileges

Hak istimewa atau action privileges diberikan pada

pengguna berdasarkan wewenang pengguna dan jenis

sumber daya yang ingin digunakan.

3. Kode Sandi (Personal Indentification Numbers)

PIN atau personal indetification number merupakan

tipe password sederhana. Ini adalah nomor rahasia yang

diberikan pada seseorang yang bertujuan untuk

mengidentifikasi seseorang, memverifikasi keotentikan

seseorang. Terdapat 3 cara pembuatan PIN, yaitu:

a. Derived PIN

PIN dibuatkan oleh institusi berdasarkan nomor akun

pengguna.

b. Random PIN

Institusi membuat serangkaian nomor acak untuk

menjadi PIN.

c. Customer-Selected PIN

27

Pelanggan atau pengguna dapat memeilih sendiri PIN

mereka. Keuntungannya adalah mereka akan lebih

mudah mengingat PIN.

4. Tanda Tangan Digital (Digital Signatures)

Tujuan utama dari tanda tangan digital atau digital

signature adalah:

a. Menetapkan keotentikan orang yang terlibat atau

pengguna.

b. Mencegah munculnya penyangkalan dari salah satu

pihak yang terlibat dalam perjanjian atau kontrak.

5. Kartu (Plactic Cards)

Kartu digunakan untuk kebutuhan identifikasi selain itu

juga dapat digunakan untuk menyimpan informasi yang

dibutuhkan pada proses otentifikasi. Pengendalian pada

kartu bertujuan untuk memastikan pengguna mengamankan

kartu mereka agar tidak jatuh ke tangan orang yang tidak

berhak.

6. Pengendalian Jejak Audit (Audit Trail Controls)

Dua jenis jejak audit atau audit trail controls:

a. Jejak audit akuntansi atau accounting audit trail

bertujuan untuk menjaga pencatatan kejadian atau

event.

b. Jejak audit operasi atau operations audit trail bertujuan

untuk menjaga pencatatan penggunaaan sumber daya

yang berkaitan dengan setiap kejadian atau event.

28

7. Existance Control

Existance control tidak akan berusaha untuk

mengulangi proses jika terjadi kegagalan, pengguna

diharuskan untuk log-in lagi dan mengulangi semua proses

dari awal.

2.2.3.2 Pengendalian Masukan

Menurut Weber (1999: 420), input merupakan kegiatan

memindahakan data dan instruksi kedalam sistem aplikasi. Hal-

hal yang diinput kedalam aplikasi harus divalidasi untuk

mendeteksi kesalahan, sehingga data yang diinput merupakan

data yang akurat. Beberapa tipe pengendalian pada subsistem

input antara lain:

1. Metode Input Data (Data Input Methods)

Metode input data atau data input methods merupakan

salah satu cara auditor mengevaluasi sistem aplikasi dengan

mengikuti jejak transaksi dan materialnya yang diinput ke

sistem. Ada 3 metode input data, yaitu:

a. Keyboarding

Metode input data dengan mengetikan data pada

keyboard komputer.

b. Direct reading

Metode input data dimana perangkat dapat langsung

membaca informasi atau data secara otomatis. Contoh:

image reader dan optical character recognition.

c. Direct Entry

29

Metode dimana pemilik data dapat langsung menginput

data mereka melalui perangkat-perangkat yang ada.

Contoh: Touch screen, mouse, joystick, dan trackball.

2. Rancangan Dokumen Sumber (Source Document Design)

Dokumen sumber atau source document digunakan

juga ada jarak waktu antara pencatatan transaksi dan

kegiatan input data ke aplikasi. Dari sudut pandang

pengawasan, desain dokumen sumber yang baik dapat

membantu:

a. Mengurangi kesalahan pencatatan,

b. Meningkatkan kecepatan pencatatan data,

b. Mengendalikan arus kegiatan, dan

c. Memfasilitasi kegiatan input data ke aplikasi.

3. Rancangan Tampilan Entri Data (Data-Entry Screen

Design)

Kualitas desain untuk tampilan input data harus

dirancang dengan baik agar dapat meminimalisir kesalahan

serta meningkatkan efektifatas dan efisiensi proses input

data. Auditor harus dapat memerikasa tampilan input data

untuk mengetahui frekuensi kesalahan dan jenis kesalahan

input apa yang sering terjadi.

4. Pengendalian Kode Data (Data Code Controls)

Kodifikasi data memiliki dua tujuan utama, yaitu: 1)

mengidentifikasikan entitas secara unik, 2) memudahakan

30

proses identifikasi. Adapun tujuan dari kodifikasi data

adalah sebagai berikut:

a. Flexibility

Kode data memudahkan proses penambahan data baru.

b. Meaningfulness

Kode data mengindikasikan value ataupun atribut dari

entitas.

c. Compactness

Kode dapat menyapaikan informasi menyeluruh yang

disampaikan dengan jumlah karakter minimal.

d. Convenience

Kode dapat di tafsir dengan mudah.

e. Availabilty

Kode dapat disesuaikan dengan kebutuhan pengguna.

5. Pemeriksaan Digit (Check Digits)

Check digit adalah perulangan digit yang ditambahkan

pada suatu kode sehingga memungkinkan adanya

pemeriksaan keakuratan karakter pada kode. Check digit

dapat ditambahkan di awal ataupun di akhir kode dan juga

ditengah kode. Ketika kode diinput, maka program akan

memeriksa digit untuk menetukan apakah kode tersebut

adalah kode yang benar.

6. Pengendalian Batch (Batch Controls)

Pengendalian batch atau batch controls merupakan

salah satu metode pengendalian yang paling sederhana dan

31

efektif dalam mendapatkan data dan menginput data.

Adapun 2 tipe batch adalah:

a. Physical Batches

Sekelompok transaksi unit fisik, seperti dokumen

sumber yang didapat dari pos dikumpulkan dan

digabungkan menjadi satu. Kumpulan dokumen ini

kemudian akan diinput oleh petugas ke aplikasi yang

ada.

b. Logical Batches

Sekelompok transaksi yang dikelompokan atas dasar

logis, sebagai contoh beberapa petugas yang berbeda

dapat menggunakan terminal yang sama untuk

menginput data atau transaksi ke dalam aplikasi.

Petugas lainya akan terus mengawasi jumlah data yang

diinput lalu merekonsiliasi data tersebut setiap jangka

waktu tertentu.

7. Validasi Input Data (Validation of Data Input)

Data yang akan diinput ke dalam aplikasi harus

divalidasi setelah data tersebut didapatkan agar setiap

kesalahan yang ada dapat langsung diperbaiki. Setiap

keslaahan atau error pada data yang tidak dapat diperbaiki

harus segera dicatatkan pada file error. Beberapa cara yang

dapat dilakukan untuk melalukan validasi terhada data yang

akan diinput adalah sebagai berikut:

a. Field Checks

32

Validasi dilakukan pada suatu field tanpa

mempertimbangan field lainnya.

b. Record Checks

Validasi dilakukan pada suatu field dengan

mempertimbangkan hubungan field tersebut dengan

field lainnya.

c. Batch Checks

Validasi yang memeriksa karakteristik dari sebuat

batch records apakah sudah sesuai dengan karakteristik

batch yang seharusnya.

d. File Checks

Validasi yang memeriksa apakah karakteristik file yang

digunakan untuk data input sudah sesuai dengan

karakteristik file yang seharusnya.

8. Instruksi Input (Instruction Input)

Pengguna sering memberikan intstruksi yang

kompleks untuk diselesaikan oleh sistem. Cara yang paling

mudah bagi pengguna untuk memberikan instruksi adalah

melalui menu. Menu menyediakan serangkaian opsi yang

dapat dipilih oleh pengguna.

9. Validasi Instruksi Input (Validation of Instruction Input)

Instruksi yang diberikan pada sistem harus divalidasi.

Tedapat 3 cara untuk memvalidasi instruksi, yaitu:

a. Lexical Validation

33

Validasi dimana sistem mengevaluasi setiap kata dari

instruksi pengguna.

b. Syntatic Validation

Validasi dimana sistem membaca rangkaian kata dari

instruksi yang diberikan baru kemudian diidentifikasi

dan divalidasi.

c. Semantic Validation

Validasi dimana sistem menganalisa makna dari

instruksi yang diberikan pengguna.

10. Pengendalian Jejak Audit (Audit Trail Controls)

Jejak audit atau audit trail pada subsistem input

memastikan kronologi event mulai dari waktu, data dan

instruksi yang diinput kedalam sistem sampai pada akhirnya

semua hal tersebut dinyatakan valid.

11. Existance Controls

Existance controls harus dapat memperbaiki atau

mengembalikan data dan instruksi yang telah diinput ke

dalam sistem. Perbaikan data tidak dapat dilakukan jika

input file tidak tersedia, oleh karena itu input file harus

disimpan dengan baik serta harus dibackup secara berkala.

2.2.3.3 Pengendalian Keluaran

Menurut Weber (1999: 615), subsistem keluaran (output)

menyediakan fungsi yang dapat menetukan isi dari data yang

akan diberikan pada dan cara data disajikan pada pengguna.

Komponen utama dari sistem keluaran (output) adalah software

34

dan personil yang menentukan isi, format, dan batas waktu dari

data yang akan diberikan pada pengguna, serta berbagai macam

hardware yang digunakan untuk menetukan format output.

Terdapat 6 jenis pengendalian keluaran (output), yaitu:

1. Pengendalian Inferensi (Inference Control)

Pengendalian inference diterapkan pada database

statistikal, dimana pengguna hanyadapat mengakses data

statisik saja sedangkan data value dari data individual tidak

dapat diakses. 4 jenis kesalahan ataupun kecurangan yang

dapat terjadi adalah:

a. Possitive compromise, pengguna menyatakan bahwa

seseorang memiliki atribut tertentu.

b. Negative compromise, pengguna menentukan bahwa

seseorang tidak memiliki atribut tertentu.

c. Exact compromise, pengguna menentukan nilai dari

atribut yang dimiliki oleh seseorang.

d. Approximate compromise, pengguna menetukan nilai

dari atribut yang dimiliki oleh seseorang yang

dinyatakan dalam bentuk rentang nilai tertentu.

2. Pengendalian Produksi dan Distribusi Keluaran berdasarkan

Batch (Batch Output Production and Distribution Controls)

Batch output adalah output yang dihasilkan pada

beberapa fasilitas operasional dan didistribusikan atau

dikumpulkan oleh kustodian atau pengguna output.

Pengawasan produksi dan distribusi terhadap batch output

35

dilaksanakan untuk memastikan bahwa output yang

diterima pengguna sudah akurat, lengkap, dan tepat waktu

serta diterima oleh orang yang berhak.

3. Pengendalian Rancangan Laporan berdasarkan Batch

(Batch Report Design Controls)

Elemen penting dari pelaksanaan pengendalian

produksi dan distribusi yang efektif adalah kualitas

rancangan laporannya. Manajemen yang baik memastikan

bahwa pengguna mendapatkan fitur rancangan yang dapat

disesuaikan dengan prosedur pengendalian.

4. Pengendalian Produksi dan Distribusi Keluaran secara

Online (Online Output Production and Distribution

Controls)

Tujuan utama dari pengendalian output produksi dan

distribusi adalah untuk memastikan bahwa hanya pihak-

pihak yang berhak saja yang dapat melihat output,

melindungi integritas output yang didistribusikan pada

pihak lain. Selain itu juga untuk memastikan output online

tidak dilihat oleh orang yang tidak berhak, serta

menghindari adanya duplikasi output oleh orang yang tidak

berhak.

5. Pengendalian Jejak Audit (Audit Trail Controls)

Pengendalian jejak audit pada subsistem output

menjaga kronologi kegiatan yang terjadi mulai dari saat

36

penentuan konten output sampai ketika output siap untuk

dibuang atau dihancurkan karena tidak lagi diperlukan.

6. Existance Controls

Output bisa saja hilang atau rusak oleh berbagai

macam sebab, salah satu cara yang dapat digunakan untuk

memperbaiki atau mengembalikan output adalah dengan

spooling. Spooling adalah kegiatan menyimpan output ke

media penyimpanan yang bersifat removable untuk

kemudian disimpan.

2.3 Audit Sistem Informasi

2.3.1 Pengertian Audit

Menurut Mulyadi dalam Husni, Karmawan, dan Haris (2010: 2),

auditing adalah suatu proses sistematik untuk memperoleh dan

mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan

tentang kegiatan dan kejadian ekonomi, dengan tujuan umum

menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut

dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya

kepada para pemakai yang berkepentingan. Sedangkan menurut Elder,

Beasley, dan Arens (2010: 4), audit adalah akumulasi dan evaluasi dari

bukti mengenai informasi untuk menentukan dan melaporkan tingkat

korespondensi antara informasi dengan kriteria yang ditetapkan.

Rittenberg, Schwiger, dan Johnstone (2008: 5) mengemukakan

bahwa audit didefinisikan sebagai assurance service yang

mengumpulkan bukti secara objektif dan mengkomunikasikannya ke

pihak ketiga. Adapun menurut Gondodiyoto (2007: 39), bahwa

37

sesungguhnya audit dapat dilakukan untuk mengevaluasi apakah kegiatan

kerja/kinerja suatu organisasi sudah sesuai dengan yang direncanakan,

sudah efektif, efisien, dan ekonomis, serta apakah sudah sesuai dengan

pedoman standar produktivitas yang direncanakan. Dengan kata lain,

audit adalah suatu kegiatan pengevaluasian dan penilaian yang dilakukan

oleh auditor, mengenai kebenaran informasi yang dihasilkan organisasi.

2.3.2 Pengertian Audit Sistem informasi

Menurut Weber dalam Husni, Karmawan, dan Haris (2010: 2),

audit sistem informasi secara garis besar dapat diartikan sebagai proses

pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah

sebuah sistem komputer dapat melindungi aset perusahaan, memelihara

integritas data dan memungkinkan tujuan organisasi untuk dicapai secara

efektif dengan menggunakan sumber daya yang efisien. Adapun

Gondodiyoto (2007: 384), menyatakan bahwa audit sistem informasi

merupakan suatu evaluasi untuk mengetahui tingkat kesesuaian antara

sistem informasi dengan prosedur yang telah ditetapkan (kebutuhan

pengguna, user needs), dan untuk mengetahui apakah suatu sistem

informasi telah didesain dan diimplementasikan secara efektif, efisien,

dan ekonomis, memiliki mekanisme pengamanan aset serta menjamin

integritas data yang memadai. Sehingga dapat disimpulkan bahwa audit

sistem informasi merupakan kegiatan mengevaluasi tingkat kesesuaian

prosedur dengan kegiatan yang sedang berlangsung pada suatu organisasi

untuk melindungi aset sistem informasi.

38

2.3.3 Metode Audit Sistem Informasi

Menurut Gondodiyoto (2007: 389), metode audit sistem informasi

dibagi menjadi :

1. Audit Around the Computer

Dalam pendekatan audit di sekitar komputer, auditor dapat

mengambil kesimpulan dan merumuskan opini dengan hanya

menelaah struktur pengendalian dan melaksanakan pengujian

transaksi dan prosedur verifikasi saldo perkiraan dengan cara yang

sama seperti pada sistem akuntasi manual. Auditor tidak perlu

menguji pengendalian SI berbasis teknologi informasi klien (file

program/pengendalian atas file/data di komputer), melainkan cukup

terhadap input (dokumen) serta output (laporan) sistem aplikasi saja.

Metode audit tersebut biasanya cocok dilaksanakan pada

situasi berikut :

a. Masalah keterampilan auditor mengenai aspek teknis komputer

atau keterbatasan lain untuk dapat menguji sistem komputerisasi

secara langsung.

b. Dokumen sumber tersedia dalam bentuk kertas (bahasa non-

mesin), artinya masih kasat mata dan dilihat secara visual.

c. Dokumen-dokumen disimpan dalam file dengan cara yang

mudah ditemukan.

d. Keluaran dapat diperoleh dari daftar dengan data yang cukup

terinci dan auditor mudah menelusuri setiap transaksi dari

dokumen sumber kepada keluaran dan sebaliknya.

e. Sistem komputer yang diterapkan masih sederhana.

39

f. Sistem komputer yang diterapkan masih menggunakan software

yang umum digunakan, dan telah diakui, serta digunakan secara

masal.

Kelemahannya adalah jika kondisi (user requirement) berubah,

mungkin sistem itupun perlu didesain ulang dan perlu penyesuaian

(update) program-program, bahkan mungkin struktur data/file,

sehingga auditor perlu menilai/menelaah ulang apakah sistem masih

berjalan baik. Sedangkan keunggulan metode ini adalah :

a. Pelaksanaan audit lebih sederhana

b. Auditor yang memiliki pengetahuan minimal di bidang

komputer dapat dilatih dengan mudah untuk melaksanakan

audit.

2. Audit Through the Computer

Dalam pendekatan audit ke sistem komputer (audit through the

computer) auditor melakukan pemeriksaan langsung terhadap

program-program dan file-file komputer pada audit SI berbasis TI.

Auditor menggunakan komputer (software bantu) atau dengan cek

logika atau listing program (desk test on logic or program source

code) untuk menguji logika program dalam rangka pengujian

pengendalian yang ada pada komputer. Selain itu auditor juga dapat

meminta penjelasan dari para teknisi komputer mengenai spesifikasi

sistem dan/atau program yang diaudit. Dalam pengujian substantif,

para auditor memeriksa file atau data komputer. Apabila auditor

menggunakan alat bantu software audit, besar kecilnya peran

penggunaan komputer dalam audit tergantung pada kompleksitas

40

dari sistem komputerisasi perusahaan yang diaudit. Penggunaannya

dapat sederhana atau lebih rumit. Dalam pendekatan ini fokus

perhatian auditor langsung pada operasi pemrosesan di dalam sistem

komputer.

Pendekatan audit langsung ke sistem komputerisasi cocok

dalam kondisi:

a. Sistem aplikasi komputer memproses input yang cukup besar

dan menghasilkan output yang cukup besar pula, sehingga

memperluas audit untuk meneliti keabsahaannya.

b. Bagian penting dari struktur pengendalian intern perusahaan

terdapat di dalam komputerisasi yang digunakan. Jika

mekanisme sistem berbasis komputer dapat diyakini

keandalannya, maka keyakinan auditor terhadap struktur

pengendalian intern perusahaan dapat dianggap cukup

meyakinkan.

c. Sistem logika komputerisasi/komunikasi sangat kompleks dan

memiliki banyak fasilitas pendukung, sehingga untuk lebih

memahami sistemnya, pada akhirnya perlu diperiksa secara

lebih mendalam dengan audit through the computer.

Sebenarnya mungkin tidak dapat dikatakan sebagai suatu

kelemahan dalam pendekatan audit ini, namun jelas bahwa audit

through the computer memerlukan tenaga ahli auditor yang terampil

dalam pengetahuan teknologi informasi, dan mungkin perlu biaya

yang besar pula. Sedangkan keunggulan pendekatan ini adalah:

41

a. Auditor memperoleh kemampuan yang besar dan efektif dalam

melakukan pengujian terhadap sistem komputer.

b. Auditor akan merasa lebih yakin terhadap kebenaran hasil

kerjanya.

c. Auditor dapat menilai kemampuan sistem komputer tersebut

untuk menghadapi perubahan lingkungan.

3. Audit With the Computer

Audit with the computer adalah pendekatan audit dengan

menggunakan bantuan komputer dalam berbagai bentuk, misalnya:

pengetikan laporan, penjadwalan, penyusunan rencana kerja audit,

penyusunan kertas kerja pemeriksaan, dan lainnya.

Pada pendekatan ini audit dilakukan dengan menggunakan

komputer dan software untuk mengotomatisasi prosedur pelaksanaan

audit. Pendekatan ini dapat menggunakan beberapa computer

assisted audit techniques, misalnya systems control audit review file

(SCARF), snapshot (pemotretan cepat) dan sebagainya.

2.3.4 Tujuan Audit Sistem Informasi

Tujuan audit sistem Informasi menurut Weber dalam Husni,

Karmawan, dan Haris (2010: 2), dapat disimpulkan bahwa secara garis

besar terbagi menjadi 4 tahap, yaitu :

1. Meningkatkan objektifitas keamanan aset perusahan

2. Meningkatkan objektifitas integritas data

3. Meningkatkan objektifitas efektifitas sistem

4. Meningkatkan objektifitas efisiensi system

Sedangkan menurut Gondodiyoto (2007: 419), tujuan audit sistem

42

informasi antara lain:

1. Untuk mengidentifikasi sistem yang ada (inventory existing system),

baik yang ada pada tiap divisi/unit/departemen ataupun yang

digunakan menyeluruh.

2. Untuk dapat lebih memahami seberapa besar sistem informasi

mendukung kebutuhan strategis perusahaan, operasi perusahaan,

mendukung kegiatan operasional departemen/unit/divisi, kelompok

kerja, maupun para petugas dalam melaksanakan kegiatannya.

3. Untuk mengetahui pada bidang atau area mana, fungsi, kegiatan,

atau business processes yang didukung dengan sistem serta

teknologi informasi yang ada.

4. Untuk menganalisis tingkat pentingnya data/informasi yang

dihasilkan oleh sistem dalam rangka mendukung kebutuhan para

pemakainya.

5. Untuk mengetahui keterkaitan data, sistem pengolahan dan transfer

informasi.

6. Untuk mengidentifikasi apakah ada kesenjangan (gap) antara sistem

dan kebutuhan.

7. Untuk membuat peta (map) dari information flows yang ada.

Dengan kata lain, tujuan dari audit sistem informasi adalah untuk

menjaga kerahasiaan (confidentiality), ketersediaan (availability) dan

integritas (integrity) aset sistem informasi organisasi.

2.3.5 Risiko Audit

2.3.5.1 Pengertian Risiko

Menurut Peltier dalam Gondodiyoto (2007 : 110), risiko

43

adalah sesuatu yang dapat menciptakan atau menimbulkan

bahaya.

2.3.5.2 Jenis Risiko

Menurut Gondodiyoto (2007 : 112), dari berbagai sudut

pandang, risiko dapat dibedakan dalam beberapa jenis,

diantaranya :

1. Risiko Bisnis (Business Risk)

Risiko bisnis adalah risiko yang dapat disebabkan oleh

faktor-faktor intern maupun ekstern yang berakibat

kemungkinan tidak tercapainya tujuan organisasi (business

goal objectives).

2. Risiko Bawaan (Inherent Risk)

Risiko bawaan ialah potensi kesalahan atau penyalahgunaan

yang melekat pada suatu kegiatan jika tidak ada

pengendalian internal.

3. Risiko Pengendalian (Control Risk)

Dalam suatu organisasi yang baik seharusnya sudah ada risk

assessment, dan dirancang pengendalian internal secara

optimal terhadap setiap potensi risiko. Risiko pengendalian

ialah masih adanya risiko meskipun sudah ada

pengendalian.

4. Risiko Deteksi (Detection Risk)

Risiko deteksi adalah risiko yang terjadi karena prosedur

audit yang dilakukan mungkin tidak dapat mendeteksi

adanya error yang cukup matrealitas atau adanya

44

kemungkinan fraud.

5. Risiko Audit (Audit Risk)

Risiko audit sebenarnya adalah kombinasi dari inherent

risk, control risk, dan detection risk. Risiko audit adalah

risiko bahwa pemeriksaan auditor ternyata belum dapat

mencerminkan keadaan yang sesungguhnya.

2.3.5.3 Penetapan Penilaian Risiko dan Pengendalian

Menurut Gondodiyoto (2007 : 559), penilaian risiko dan

pengendalian internal dapat dilakukan dengan menggunakan :

1. Matriks Penilaian Risiko

Matriks penilaian risiko adalah metoda analisis

dengan menghitung aspek risiko (dampak) dan tingkat

keterjadian risiko tersebut, dengan nilai : L (Low) nilai -1,

M (Medium) nilai -2, H (High) nilai -3.

Teknik perhitungan nilai risiko menggunakan rasio

antara dampak dengan keterjadian :

a. Risiko kecil (Low) nilainya berkisar antara -1 dan -2,

seperti :

1. Jika dampak Low (-1) dan keterjadian Low (-1),

maka nilai risiko adalah -1. Artinya nilai risiko dari

dampak dan keterjadian adalah kecil.

2. Jika dampak Low (-1) dan keterjadian Medium (-

2), maka nilai risiko adalah -2. Artinya nilai risiko

dari dampak dan keterjadian adalah kecil.

3. Jika dampak Medium (-2) dan keterjadian Low (-

45

1), maka nilai risiko adalah -2. Artinya nilai risiko

dari dampak dan keterjadian adalah kecil.

b. Risiko sedang (Medium) nilainya antara -3 dan -4,

seperti :

1. Jika dampak Low (-1) dan keterjadian High (-3),

maka nilai risiko adalah -3. Artinya nilai risiko dari

dampak dan keterjadian adalah sedang.

2. Jika dampak Low (-2) dan keterjadian Medium (-

2), maka nilai risiko adalah -4. Artinya nilai risiko

dari dampak dan keterjadian adalah sedang.

3. Jika dampak High (-3) dan keterjadian Low (-1),

maka nilai risiko adalah -3. Artinya nilai risiko dari

dampak dan keterjadian adalah sedang.

c. Risiko tinggi (High) nilainya antara -6 dan -9, seperti :

1. Jika dampak Medium (-2) dan keterjadian High (-

3), maka nilai risiko adalah -6. Artinya nilai risiko

dari dampak dan keterjadian adalah tinggi.

2. Jika dampak High (-3) dan keterjadian Medium (-

2), maka nilai risiko adalah -6. Artinya nilai risiko

dari dampak dan keterjadian adalah tinggi.

3. Jika dampak High (-3) dan keterjadian High (-3),

maka nilai risiko adalah -9. Artinya nilai risiko dari

dampak dan keterjadian adalah tinggi.

2. Matriks Penilaian Pengendalian

Matrik penilaian pengendalian adalah metoda analisis

46

desain (rancangan) dan tingkat efektifitas pengendalian

internal. Besarnya tingkatan efektifitas dan desain

(rancangan) dinyatakan dengan : L (Low) nilai 1, M

(Medium) nilai 2, H (High) nilai 3.

Teknik perhitungan dalam matriks penilaian

pengendalian menggunakan fungsi perkalian anatara

efektifitas dengan desain (rancangan). Kriteria penilaian

dalam matriks pengendalian terdiri dari :

a. Pengendalian kecil (Low) nilainya berkisar antara -1

dan -2, seperti :

1. Jika efektifitas Low (1) dan desain Low (1), maka

nilai pengendalian adalah 1. Artinya nilai

pengendalian dari efektifitas dan desain adalah

kecil.

2. Jika efektifitas Low (1) dan desain Medium (2),

maka nilai pengendalian adalah 2. Artinya nilai

pengendalian dari efektifitas dan desain adalah

kecil.

3. Jika efektifitas Medium (2) dan desain Low (1),

maka nilai pengendalian adalah 2. Artinya nilai

pengendalian dari efektifitas dan desain adalah

kecil.

b. Pengendalian sedang (Medium) nilainya antara 3 dan 4,

seperti :

1. Jika efektifitas Low (-1) dan desain High (-3),

47

maka nilai pengendalian adalah -3. Artinya nilai

pengendalian dari efektifitas dan desain adalah

sedang.

2. Jika efektifitas Low (2) dan desain Medium (2),

maka nilai pengendalian adalah 4. Artinya nilai

pengendalian dari efektifitas dan desain adalah

sedang.

3. Jika efektifitas High (3) dan desain Low (1), maka

nilai pengendalian adalah 3. Artinya nilai

pengendalian dari efektifitas dan desain adalah

sedang.

c. Pengendalian tinggi (High) nilainya antara 6 dan 9,

seperti :

1. Jika efektifitas Medium (2) dan desain High (3),

maka nilai pengendalian adalah 6. Artinya nilai

pengendalian dari efektifitas dan desain adalah

tinggi.

2. Jika efektifitas High (3) dan desain Medium (2),

maka nilai pengendalian adalah 6. Artinya nilai

pengendalian dari efektifitas dan desain adalah

tinggi.

3. Jika efektifitas High (3) dan desain High (3), maka

nilai pengendalian adalah 9. Artinya nilai

pengendalian dari efektifitas dan desain adalah

tinggi.

48

Penetapan tingkat efektifitas antara risiko dan pengendalian

adalah sebagai berikut :

1. Jika jumlah penilaian risiko dan pengendalian 0, maka

tingkat pengendalian dan risiko adalah standar, artinya

setiap risiko yang terjadi dapat ditanggulangi oleh

pengendalian yang ada.

2. Jika jumlah penilaian risiko dan pengendalian positif, maka

pengendalian baik. Tetapi jika nilai pengendalian terlalu

tinggi dibanding risiko, maka kemungkinan akan terjadi

kelebihan pengendalian (over control) yang menyebabkan

terjadinya pemborosan dalam operasional.

3. Jika jumlah penilaian risiko dan pengendalian negatif, maka

pengendalian adalah buruk. Sehingga perlu dilakukan

peningkatan terhadap pengendalian karena risiko yang

dihadapi besar.