ABSTRAKSI
Audit sistem informasi persediaan merupakan salah satu cara untuk mengevaluasi dan mengetahui sejauh
mana sistem informasi persediaan yang sedang berjalan (pengendalian manajemen dan pengendalian aplikasi)
telah mampu mengcover resiko hingga pada tingkat yang dapat diterima oleh perusahaan sekaligus memberikan
rekomendasi-rekomendasi konstruktif bagi perusahaan dalam rangka meminimalisasi resiko yang ada pada saat
ini dan yang akan terjadi dikemudian hari. Audit ini dilakukan dengan menggunakan audit around the computer.
Metode Penelitian yang digunakan adalah studi kepustakaan dengan menggali materi-materi yang bersumber
dari berbagai buku dan sumber pustaka lainnya serta melakukan penelitian lapangan yang meliputi kuesioner,
wawancara, observasi, dan testing aplikasi. Hasil yang dicapai dari proses audit berfokus pada kelemahan-
kelemahan yang ada pada sistem dimana kelemahan-kelemahan tersebut disajikan dalam bentuk matriks resiko
dan pengendalian yang terdiri dari temuan masalah, potensi resiko (Impact dan Likelihood), keandalan
pengendalian yang ada (Design dan Effectiveness).
Kata kunci: Audit, Sistem Informasi Persediaan, Pengendalian Manajemen, Pengendalian Aplikasi.
J-29
Seminar Nasional Aplikasi Teknologi Informasi 2007 (SNATI 2007) ISSN: 1907-5022
Yogyakarta, 16 Juni 2007
bisa mengetahui kehandalan dan kelayakan dari Efektifitas Sistem dan Meningkatkan Efisiensi
sistem aplikasi dan manajemen yang sedang Sistem.
diimplementasi guna meningkatkan Gondodiyoto dan Idris (2003, hh.155-158)
produktifitas kerja serta untuk meningkatkan berpendapat bahwa ada tiga metode audit sistem
keamanan, keakuratan, kelengkapan dan informasi antara lain:
integritas data. 1. Audit Around the Computer
• Bagi pembaca Untuk menerapkan metode ini, auditor pertama
Bisa mengembangkan wawasan bagi pembaca kali harus menelusuri dan menguji pengendalian
yang ingin mempelajari serta memahami lebih masukan, kemudian menghitung hasil yang
lanjut mengenai audit terhadap pengendalian diperkirakan dari proses transaksi, lalu auditor
sistem informasi persediaan. membandingkan hasil sesungguhnya dengan
hasil yang dihitung secara manual.
Sistem informasi adalah gabungan dari 2. Audit Through the Computer
orang–orang, perangkat keras, perangkat lunak, Pada metode ini, auditor tidak hanya melakukan
jaringan komunikasi, dan sumber daya data yang pengujian pada input dan output melainkan juga
mengumpulkan, memproses, menyimpan, pemeriksaan secara langsung terhadap
menganalisa data, dan menghasilkan informasi pemrosesan komputer melalui pemeriksaan
untuk tujuan yang spesifik. Informasi yang andal logika dan akurasi program meliputi koding
dan berkualitas harus memiliki karakteristik sebagai program, desain aplikasi, serta hal lain yang
berikut: relevansi, lengkap, akurat, dan tepat waktu. berkaitan dengan program aplikasinya.
Menurut Arens dan Loebbecke yang 3. Audit With the Computer
diterjemahkan oleh Jusuf (1997, h.1), “Auditing Pada metode ini audit dilakukan dengan
adalah proses pengumpulan dan pengevaluasian menggunakan komputer dan software untuk
bahan bukti audit tentang informasi yang dapat mengotomatisasi prosedur pelaksanaan audit.
diukur mengenai suatu entitas ekonomi yang Metode ini sangat bermanfaat dalam pengujian
dilakukan seorang yang kompeten dan independen substantif atas file dan record perusahaan. Salah
untuk dapat menentukan dan melaporkan kesesuaian satu software audit yang dapat digunakan adalah
informasi dengan kriteria-kriteria yang telah GAS (Generalized Audit Software) dan SAS
ditetapkan”. (Specialized Audit Software).
Menurut Mulyadi (2002, h.30), auditing dapat
digolongkan menjadi tiga golongan, yaitu Audit Tahapan audit sistem informasi adalah
Laporan Keuangan (General Financial Statement sebagai berikut:
Audit), Audit Kepatuhan (Compliance Audit), Audit 1. Planning the Audit (Perencanaan Audit).
Operasional/Manajemen (Operational/Management 2. Tests of Control (Pengujian Pengendalian).
Audit). 3. Tests of Transactions (Pengujian Transaksi).
Arens and Loebbecke (1997, p.153-161) 4. Substantive Test (Pengujian Substantif).
berpendapat bahwa, “Dalam menentukan prosedur 5. Completion of the Audit (Penyelesaian Audit).
audit mana yang akan digunakan, ada tujuh kategori
bahan bukti audit yang dapat dipilih auditor yaitu: Penulis menyimpulkan bahwa sistem
Pemeriksaan Fisik, Konfirmasi, Dokumentasi pengendalian internal adalah sistem pengendalian
(Pemeriksaan Dokumen/Voucing), Pengamatan, dalam suatu organisasi yang dirancang untuk
Tanya Jawab dengan Klien, Pelaksanaan Ulang mencegah dan mendeteksi terhadap kesalahan yang
(Reperformance) dan Prosedur Analitis. akan terjadi serta mengendalikan dan melindungi
Menurut Cangemi (2003, p.48) dalam seluruh aktivitas organisasi dari penyimpangan-
bukunya yang berjudul Managing the Audit penyimpangan lainnya yang dapat merugikan
Function, “Information systems auditing is defined perusahaan.
as any audit that encompass the review and Sistem pengendalian internal memiliki empat
evaluation of all aspects (or any portion) of tujuan utama, yaitu untuk: Mengamankan aktiva
automated information processing systems, organisasi, Memastikan akurasi dan keandalan dari
including related non-automated processes, and the catatan dan informasi akuntansi, Mempromosikan
interfaces between them ”. Intinya, Audit sistem efisiensi operasi perusahaan, Mengukur kesesuaian
informasi didefinisikan sebagai proses audit yang dengan kebijakan dan prosedur yang telah
terdiri dari review dan pengevaluasian seluruh aspek ditetapkan manajemen.
dari sistem pemrosesan informasi otomatis termasuk Sistem pengendalian internal terdiri dari 5
proses non-otomatis serta interface diantara (lima) komponen yang saling terintegrasi, yaitu:
keduanya. Lingkungan Pengendalian (Control Environment),
Menurut Weber (1999, pp.11-13), tujuan dari Penaksiran Resiko (Risk Assessment), Aktivitas
audit sistem informasi adalah: Meningkatkan Pengendalian (Control Activities), Informasi dan
Perlindungan Terhadap Aset Perusahaan, Komunikasi (Information and Communication),
Meningkatkan Integritas Data, Meningkatkan Pengawasan (Monitoring).
J-30
Seminar Nasional Aplikasi Teknologi Informasi 2007 (SNATI 2007) ISSN: 1907-5022
Yogyakarta, 16 Juni 2007
Menurut Weber (1999, p.38) ada dua jenis pengendalian yang berbeda). Pengendalian
sistem pengendalian internal, yaitu: aplikasi terdiri dari 6 (enam) pengendalian,
1. Pengendalian Manajemen (Management yaitu:
Controls) 1) Pengendalian Batasan (Boundary Controls)
Pengendalian Manajemen terdiri dari tujuh sub Tiga tujuan pengendalian subsistem
sistem, yaitu Pengendalian Top Manajemen, boundary adalah sebagai berikut:
Pengendalian Manajemen Sistem Informasi, • Untuk menetapkan identitas dan
Pengendalian Manajemen Pengembangan kewenangan user dari sistem
Sistem, Pengendalian Manajemen Sumber Data, komputer.
Pengendalian Manajemen Jaminan Kualitas, • Untuk menetapkan identitas dan
Pengendalian Manajemen Keamanan, kewenangan dari sumber daya yang
Pengendalian Manajemen Operasi. digunakan user.
Dalam ruang lingkup audit Sistem Informasi • Membatasi tindakan-tindakan yang
Persediaan PT. Eratel Media Distrindo, dilakukan oleh user yang
Pengendalian Manajemen ditekankan pada: menggunakan sumber daya komputer
a. Security Management Controls yang secara terhadap tindakan-tindakan yang tidak
garis besar bertanggung jawab dalam terotorisasi.
menjamin aset sistem informasi tetap aman. 2) Pengendalian Input (Input Controls)
Adapun ancaman utama terhadap keamanan Tiga alasan pentingnya Input Controls,
aset sistem informasi adalah kebakaran, yaitu:
banjir, kerusakan struktural, polusi, • Pada sistem informasi kontrol yang
perubahan tegangan sumber energi, besar jumlahnya adalah pada subsistem
penyusup, virus, hacking. Apabila ancaman input, sehingga auditor harus
keamanan tidak terhindarkan lagi maka memberikan perhatian yang lebih
diperlukan pengendalian akhir (control of kepada keandalan input kontrol yang
last resort) guna meminimalisasi kerugian ada.
dan memastikan operasi perusahaan tetap • Kegiatan subsistem input melibatkan
berjalan meliputi: jumlah kegiatan yang besar dan rutin
1) Rencana Pemulihan Bencana dan merupakan kegiatan yang monoton
− Rencana Darurat (Emergency sehingga dapat menyebabkan
Plan). terjadinya kesalahan.
− Rencana Backup (Backup Plan). • Subsistem input seringkali merupakan
− Rencana Pemulihan (Recovery target dari fraud, banyak kegiatan yang
Plan). tidak seharusnya dilakukan seperti
− Rencana Pengujian (Test Plan). penambahan, dan penghapusan.
2) Asuransi 3) Pengendalian Output (Output Controls)
b. Operations Management Controls yang Gondodiyoto dan Henny (2006, h.363)
secara garis besar bertanggung jawab pada berpendapat bahwa “Pengendalian output
fungsi-fungsi sebagai berikut: merupakan pengendalian yang dilakukan
Pengoperasian Komputer (Computer untuk menjaga output sistem agar akurat,
Operations), Pengoperasian Jaringan lengkap, dan digunakan sebagaimana
(Network Operations), Persiapan dan mestinya.” Berdasarkan sifatnya, metode
Pengentrian Data (Preparation and Data pengendalian output controls terdiri dari
Entry), Pengendalian Produksi (Production tiga jenis : Preventive Objective, Detection
Controls), Perpustakaan (File Library), Objective, Corrective Objective.
Dokumentasi dan Perpustakaan Program 4) Pengendalian Proses (Process Controls)
(Documentation and Program Library), 5) Pengendalian Komunikasi (Communication
Help Desk/Technical Support, Perencanaan Controls)
Kapasitas dan Pengawasan Kinerja 6) Pengendalian Basis Data (Database
(Capacity Planning and Performance Controls)
Monitoring), dan Management of
Outsourced Operations. 3. ANALISIS SISTEM YANG BERJALAN
2. Pengendalian Aplikasi (Application Controls) Prosedur barang masuk diawali oleh
Menurut Gondodiyoto dan Henny (2006, perusahaan dengan membuat nomor anggota dan pin
h.328), Pengendalian Aplikasi (Application anggota, setelah nomor anggota dan pin anggota
Controls) adalah Sistem pengendalian intern selesai dibuat, bagian gudang mengirimkan nomor
pada sistem informasi berbasis teknologi anggota dan pin tersebut ke percetakan (yang sudah
informasi yang berkaitan dengan menjalin kerja sama dengan Perusahaan) dan
pekerjaan/kegiatan/aplikasi tertentu (setiap membuat Surat Permintaan Pencetakan Barang
aplikasi memiliki karakteristik dan kebutuhan melalui email kepada percetakan untuk mencetak
J-31
Seminar Nasional Aplikasi Teknologi Informasi 2007 (SNATI 2007) ISSN: 1907-5022
Yogyakarta, 16 Juni 2007
Member Kit. Setelah Member Kit selesai, percetakan juga digunakan sebagai dasar pembuatan Surat
mengirimkan Member Kit tersebut dengan disertai Jalan dan proses pengupdatean data stock pada
Faktur serta Surat Jalan (SJ) masing-masing 3 kartu stock manual.
rangkap. Faktur dan Surat Jalan asli diserahkan ke 5. Surat Jalan
Bagian Gudang, faktur rangkap 2, 3 dan Surat Jalan Dokumen yang dibuat oleh Bagian Gudang
rangkap 2, 3 untuk bagian percetakan. Setelah berdasarkan FO yang dikeluarkan oleh Bagian
menerima dan melakukan pengecekan barang, Penjualan sebagai tanda keluarnya barang
Bagian Gudang menandatangani Faktur serta Surat gudang sekaligus sebagai dokumen sumber
Jalan tersebut. Berdasarkan Faktur dan Surat Jalan pengupdatean data barang keluar pada kartu
tersebut, Bagian Gudang membuat Bukti stock manual.
Penerimaan Barang (BPB) sebanyak 3 rangkap.
BPB rangkap 1 untuk Percetakan, rangkap 2 diarsip Laporan yang dihasilkan dari sistem
oleh Bagian Gudang, BPB rangkap 3 diserahkan informasi persedian Perusahaan ini adalah:
kepada Bagian Akuntansi. Setelah dokumen BPB 1. Laporan Barang Masuk
diotorisasi, Bagian Gudang mengisi Kartu Stock Laporan ini merupakan laporan yang berisi
Manual untuk barang masuk serta membuat seluruh item barang yang masuk ke dalam
Laporan Barang Masuk untuk diserahkan ke gudang.
Direktur. 2 Laporan Persediaan
Proses pengeluaran barang gudang dimulai Laporan ini berisi barang yang masuk dan
ketika Bagian Penjualan menyerahkan Form Order barang yang keluar yang dibuat setiap bulan
(FO) yang berisi pesanan customer yang ingin untuk diserahkan kepada Direktur.
membeli member kit ke bagian Gudang. Selanjutnya
Bagian Gudang akan melakukan validasi order yaitu Spesifikasi Hardware: Processor: Intel Pentium 4
mengecek stock barang yang tersedia. Jika barang (3.06 Ghz), Motherboard: Asus, Memory: 256 Mb,
tersedia, Bagian Gudang menyiapkan barang serta Hardisk: 40 Gb, Keyboard dan Mouse, Monitor:
mengkonfirmasikan ke Bagian Penjualan. 14”, Printer (2 buah), Fax (1 buah).
Kemudian Bagian Penjualan membuat Faktur dan Spesifikasi Software: Software aplikasi yang
mengkonfirmasikan nomor Faktur ke Bagian digunakan adalah Erasoft Sales Invoicing 7.0 SQL
Gudang untuk dibuatkan Surat Jalan (SJ) sebanyak Edition, Operating System Microsoft windows Xp
3 rangkap. SJ rangkap 1, 3 diserahkan ke Bagian Professional, Software Anti Virus yang digunakan
Penjualan dan SJ rangkap 2 diarsip oleh Bagian adalah Norton Anti Virus 2006.
Gudang. Kemudian Bagian Gudang menyerahkan
barang beserta Surat Jalan tersebut ke Bagian 4. AUDIT SISTEM INFORMASI
Penjualan. Selanjutnya Bagian Gudang mengisi PERSEDIAAN PERUSAHAAN
Kartu Stock Manual barang keluar. Laporan Proses audit ini terdiri dari beberapa tahap,
Persediaan diserahkan kepada Direktur Utama yaitu: perencanaan dan program audit, instrumen
setiap akhir bulan. pengumpulan bukti audit yang digunakan untuk
Dokumen-dokumen yang digunakan pada setiap pengendalian, matriks penilaian resiko dan
sistem informasi persediaan Perusahaan i ni adalah: rekomendasi pengendalian berdasarkan standar yang
1. Surat Permintaan Pencetakan Barang ditetapkan serta menyajikan laporan audit.
Dokumen berupa surat yang berisi jenis dan Auditor membatasi ruang lingkup auditnya
jumlah barang yang dipesan oleh perusahaan sebagai berikut:
untuk dicetak oleh bagian Percetakan. Dokumen 1. Audit yang dilakukan terhadap sistem informasi
surat ini dikirim melalui email ke bagian persediaan (member kit) yang dimulai dari
Percetakan. proses barang masuk, proses pengeluaran
2. Bukti Penerimaan Barang (BPB) barang serta proses pengupdatean data jumlah
Suatu dokumen yang dikeluarkan oleh Bagian stock pada sistem informasi persediaan.
Gudang sebagai bukti bahwa barang yang dibeli 2. Pengendalian yang merupakan pembahasan
perusahaan telah diterima oleh Gudang penulis yang meliputi:
sebagaimana yang tercantum pada BPB • Pengendalian Manajemen (Management
(mencakup kondisi, kuantitas, dan jenisnya). Control): Pengendalian Manajemen
Dokumen BPB ini juga merupakan dokumen Keamanan (Security Management
sumber yang dijadikan dasar penginputan data Controls) dan Pengendalian Manajemen
barang masuk pada sistem informasi persediaan. Operasi (Operations Management
3. Kartu Stock Manual Controls).
Dokumen yang digunakan oleh Bagian Gudang • Pengendalian aplikasi (Aplication control):
untuk mencatat setiap perubahan data stock Pengendalian Boundary, Input, dan Output.
(barang keluar dan barang masuk) yang terjadi 3. Metode audit yang digunakan dalam melakukan
secara manual. audit adalah dengan pendekatan Audit Arround
4. Form Order (FO) the Computer.
Merupakan dokumen yang dikeluarkan oleh 4. Menyajikan laporan.
Bagian Penjualan sebagai permintaan barang
keluar kepada Bagian Gudang. Dokumen ini
J-32
Seminar Nasional Aplikasi Teknologi Informasi 2007 (SNATI 2007) ISSN: 1907-5022
Yogyakarta, 16 Juni 2007
Tujuan audit sistem informasi persediaan • Tidak terdapat bagian yang bertugas
adalah sebagai berikut: sebagai Help Desk di perusahaan.
• Mengetahui pengendalian yang diterapkan oleh • Tidak dilakukan pemeriksaan secara
perusahaan dalam sistem informasi periodik terhadap peralatan pendukung
persediaannya. (server, lampu, kabel, dan sebagainya)
• Mengidentifikasi kelemahan–kelemahan dari • Proses maintenance terhadap hardware dan
pengendalian yang diterapkan oleh perusahaan software tidak dilakukan secara
dalam sistem persediaannya. berkala/rutin, hanya dilakukan ketika
• Melakukan audit terhadap pengendalian sistem terjadi troubleshooting.
informasi persediaan yang sedang berjalan. • Perusahaan tidak memiliki standard/kriteria
• Melakukan penilaian terhadap resiko khusus dalam merekrut karyawan baru.
berdasarkan kelemahan-kelemahan yang • Jaringan yang digunakan perusahaan tidak
ditemukan pada pengendalian sistem informasi diperiksa secara periodik selama tidak
persediaannya. terjadi masalah pada jaringan tersebut.
• Membuat rekomendasi perbaikan berdasarkan • Jumlah Staff IT hanya terdiri dari 2 orang
kelemahan–kelemahan dan resiko yang yaitu: Sistem Analyst dan Programmer
ditemukan dari proses audit tersebut. perusahaan mengalami kesulitan jika sistem
mengalami masalah.
Instrumen pengumpulan bukti audit yang
digunakan: studi pustaka, wawancara, kuesioner, Temuan Pada Pengendalian Aplikasi (Application
observasi, testing aplikasi. Controls)
Temuan-temuan negatif audit terhadap a. Temuan Pada Boundary Controls
Pengendalian Manajemen (Management Controls) • Tidak dilakukan perubahan password
dan Pengendalian Aplikasi (Application Controls) secara berkala.
adalah: • Sistem tidak memiliki batasan waktu dan
Temuan Pada Pengendalian Manajemen tidak secara otomatis melakukan log-off
(Management Controls) sendiri ketika user tidak menggunakan
a. Temuan pada Security Management Controls sistem meskipun masih berada di dalam
• Tidak pernah dilakukan backup data secara sistem maupun bila user lupa melakukan
rutin. log- off.
• Tidak pernah dilakukan scan virus secara • Sistem tidak memiliki fasilitas menu help
rutin pada saat membuka atau mengcopy ketika user lupa akan passwordnya.
file. b. Temuan Pada Input Controls
• Setiap komputer tidak dilengkapi dengan • Tidak terdapat pemisahan tugas antara
UPS (Uninteruptable Power Supply) yang pihak yang melakukan input data dengan
mampu menstabilkan dan mengatasi yang mengeluarkan output laporannya
gangguan sumber energi listrik. • Tidak terdapat peringatan otomatis pada
• Perusahaan tidak memiliki genset sebagai sistem jika data belum di backup maka
tindakan antisipatif jika listrik padam. prosesnya tidak bisa dilanjutkan.
• Perusahaan tidak dilengkapi dengan • Tampilan menu input tidak mempermudah
peralatan kebakaran (tabung pemadam proses penginputan sehingga proses
kebakaran) maupun alarm kebakaran penginputan data menjadi lambat.
otomatis di setiap ruangan. • Tidak terdapat petugas yang melakukan
• Pemisahan tugas bagi karyawan untuk pengawasan terhadap keakuratan input data
setiap bagian belum berjalan dengan baik. dengan data pada dokumen sumber.
• Tidak ada larangan untuk membawa media • Prosedur penghancuran dokumen sumber
penyimpanan seperti disket keluar kantor. dilakukan diatas 5 tahun.
• Backup data hanya ditempatkan di ruangan • Sistem tidak memiliki menu input yang
IT (tidak diletakkan ditempat lain). user friendly sehingga sulit dimengerti oleh
• Tamu yang datang ke perusahaan tidak user dan proses penginputannya lambat.
diwajibkan untuk melapor ke security. c. Temuan Pada Output Controls
• Karyawan diperbolehkan membawa • Tidak terdapat otorisasi dari pihak yang
makanan dan minuman ke ruangan tempat berwenang dalam pencetakan laporan.
mereka bekerja di mana terdapat beberapa • Tidak terdapat pengklasifikasian laporan
komputer. (rahasia, umum, dsb).
b. Temuan Pada Operations Management Controls • Printer digunakan secara bersama untuk
• Mesin absensi yang digunakan untuk melaksanakan kegiatan perusahaan.
mencatat kehadiran dan waktu kerja tidak • Tidak terdapat pembatasan halaman pada
pernah diperiksa secara periodik. laporan yang dihasilkan.
• Perusahaan tidak menyediakan karyawan • Pada Laporan Barang Masuk hanya
untuk mengelola penyimpanan data terdapat kolom kode barang dan tidak
(libarian). terdapat kolom no BPB.
J-33
Seminar Nasional Aplikasi Teknologi Informasi 2007 (SNATI 2007) ISSN: 1907-5022
Yogyakarta, 16 Juni 2007
J-34