Bab 1

Sistem informasi akuntansi tinjauan menyeluruh

Sistem adalah serangkaian dua atau lebih komponen yang saling berkait dan berinteraksi
untuk mencapai tujuan. Sebagian besar sistem terdiri dari subsistem yang lebih kecil yang
mendukung sistem yang lebih besar. Contoh, sekolah tinggi bisnis adalah sistem yang terdiri dari
berbagai departemen yang masing-masing merupakan subsistem.
Informasi adalah (information) adalah data yang telah dikelola dan diproses untuk
memberikan arti dan memperbaiki proses pengambilan keputusan.
Akuntansi adalah sistem informasi yang mengukur aktivitas bisnis, memperoses data
menjadi laporan, dana mengkomunikasikan hasilnya kepada para pengambil keputusan.
Maka sistem informasi akuntansi adalah struktur yang menyatu dalam suatu entitas, yang
menggunakan sumber daya fisik dan komponen lain, untuk merubah data transaksi keuangan
akuntansi menjadi informasi akuntansi dengan tujuan untuk memenuhi kebutuhan akan informasi
dari pata pengguna atau pemakainnya.

Kebutuhan informasi dan proses bisnis

BAB 2
TINJAUAN PEMROSESAN TRANSAKSI DAN SISTEM ENTERPRISE RESOURCE
PLANNING

A.

PEMROSESAN TRANSAKSI; SIKLUS PENGOLAHAN DATA

Salah satu fungsi SIA adalah memproses transaksi perusahaan secara efektif dan efisien.

Sedangkan siklus pengolahan data (data processing cycle) adalah operasi yang dilakukan pada
data untuk menghasilkan informasi yang penting dan relevan yang disebut secara kolektif
Empat tahapan siklus pengolahan data
1. Input data
Proses mengambil data transaksi dan memasukannya kedalam sistem proses pengambilan
data bisanya dipicu oleh aktivitas bisnis. Secara historis sebagian besar bisnis
menggunakan:
a. Dokumen sumber
Dokumen sumber yang digunakan untuk memperoleh data transaksi pada sumbernya
b. Dokumen turnaround
Dokumen data perusahaan yang dikirim ke pihak eksternal dan kemudian
dikembalikan kesistem sebagai input
c. Otomatisasi data sumber

Pengumpulan data transaksi dalam bentuk yang dapat dibaca mesin pada waktu dan
tempat asalnya
2. Penyimpanan data
Proses penyimpanan dan pengaturan data akuntan oleh SIA sehingga pengaksesan data
akuntansi seperti faktur dapat dicari dengan efisien
a. Buku besar
Buku yang berisikan informasi akuntansi kumulatif yang disimpan dalam 2 bagian
buku yaitu :
Buku besar umum : ringkasan level data untuk akun-akun aktiva, kewajiban,

ekuitas, pendapatan, dan beban. Contoh : saldo akhir piutang

Buku besar pembantu : berisi data yang mendetail untuk beberapa akun besar
dengan banyak sub akun terpisah. Contoh : mencatat akun piutang sesuai

pelanggan
b. Teknik pengkodean
Penetapan sistematis secara logis menggunakan angka atau huruf untuk
mengklasiffikasikan item-item tersebut.
Kode urut : item yang diberikan nomor secara berurutan contoh : nomor faktur
Kode blok : blok angka yang dicadangkan untuk katagori data tertentu
sehingga dapat membantu untuk mengatur data. Contohnya adala bagan akun
Kode produk
1000000-1999999
2000000-2999999
3000000-3999999
4000000-4999999

Jenis produk
Kompor lelektrik
Kulkas
Mesin cuci
Pengering

Kode grup : dua atau lebih sub grup digit yang digunakan untuk kode item
Posisi digit
1-2

Arti
Lini produk, ukuran, dan

3
4-5
6-7

corak
Warna
Tahun pembuatan
Fitur opsional

Kode mnemonik : huruf dan angka yang diselingi untuk mengidentifikasi item
Contoh : YA001R adalah mobil yaris no 1 warna merah

c. Bagan akun adalah semua angka yang ditetapkan untuk neraca dan laporan laba-rugi

d. Jurnal
Jurnal umum adalah jurnal yang digunakan untuk mencatat transaksi yang

tidak sering atau rutin terjadi contoh: pembayaran pinjaman

Jurnal khusus adalah jurnal yang digunakan untuk mencatat sejumlah besar

treansaksi yang berulang contoh : penjualan kredit dan penerimaan kas

e. Jejak audit
Jalur transaksi yang dapat ditelusuri melalui sistem pengolahan data dari titik asal ke
output final atau dari output final ke titik asal
3. Konsep penyimpanan berbasis komputer
Entitas (entity) adalah sesuatu mengenai disimpan informasinya, seperti karyawan,
persediaan. Setiap entitas memiliki atribut atau karakteristik khusus yang disimpan
seperti tingkat pembayaran dan alamat. Setiap jenis entitas memiliki set atribut yang
sama
4. Pengolahan data
Adapun empat aktivitas pengolahan data sebagai berikut :
1. Membuat : berupa menambahkan data karyawan yang baru dipekerjakan ke database
penggajian
2. Membaca : mengambil atau melihat data yang sudah ada
3. Memperbaharui : memperbaharui data yang sebelumnya
4. Menghapus : berupa aktivitas membersihkan file induk vendor untuk semua vendor
dalam perusahaan
5. Output informasi
Adapun jenis-jenis output informasi sebagai berikut :
1. Dokumen : catatan ataupun data perusahaan misalnya cek, faktur dll
2. Laporan : laporan dapat digunakan karyawan untuk mengendalikan aktivitas
operasional perusahaan dan digunakan manager untuk membuat keputusan

B.

SISTEM ENTERPRISE RESOURCE PLANNING (ERP)

Sistem ERP adalah sistem yang mengintegrasikan semua aspek aktivitas organisasi
seperti akuntansi, pemasaran, DM, manufaktur kedalam satu sistem yang sama. Sistem
ini bersifat modular yang mencakup sebagai berikut :
Keuangan (sistem buku besar dan pelaporan)
Sumber daya manusia dan penggajian
Memesan kekas (siklus pendapatan)

Membeli untuk membayar (siklus pengeluaran)

Manufaktur (siklus produksi)
Manajemen proyek
Manajamen hubungan pelanggan
Alat sistem

Keutungan menggunakan sistem ERP data terpusat adalah :

1.
2.
3.
4.
5.
6.
7.

Menampilkan data tanggal dan keuangan yang terintegrasi diseluruh perusahaan

Input data diambil atau dikunci sekali dan dimasukkan kedalam sistem yang berbeda
Manajemen mendapat visibilitas yang lebih besar ke dalam setiap area perusahaan
Organisasi mendapatkan pengendalian yang lebih baik
Prosedur dan laporan yang telah distandarisasi antar unit bisnis
Pelayanan pelanggan meningkat
Pabrik manufaktur menerima pesanan baru secara real-time

Kerugian menggunakan sistem ERP adalah :

1.
2.
3.
4.

Membutuhkan biaya yang besar dalam menerapkan sistem ini

Membutuhkan waktu untuk mengimplementasikan sistem ERP secara penuh
Membutuhkan adaptasi berupa perubahan proses bisnis
Kompleksitas karena setiap aktivitas dan sistem bisnis yang berbeda masing-masing
memiliki proses, aturan, otorisasi yang berbeda pula

BAB III
SISTEM TEKNIK DOKUMENTASI
A.

PENDAHULUAN
Dokumentasi (documentation) menjelaskan cara sistem bekerja, termasuk siapa, apa,
kapan, dimana, mengapa dan bagaimana entri data, pengolahan data, output informasi,
dan sistem penggajian. Adapun alat-ala dokumentasi sebagai berikut :
1. Diagram arus data (DAD)
Merupakan deskripsi grafis sumber data, arus data, proses informasi, penyimpanan
dan tujuan data
2. Bagan alir
Yang merupakan deskripsi grafis sistem. Adapaun jenis-jenis bagan alir :
a. Bagan alir dokumen : yang menunjukkan arus dokumen dan informasi antar
departemen
b. Bagan alir sistem : yang menunjukkan hubungan antar input, pemrosesan dan
output informasi
c. Bagan alir program :yang menunjukkan urutan operasi logis komputer yang
menjalankan program
3. Diagram proses bisnis yanng merupakan deskripsi grafis dari proses bisnis yang
digunakan oleh perusahaan

B.

Diagram arus data

Menjelaskan arus data dalam organisasi secara grafik. Adapun simbol-simbol yang sering
digunakan :
Simbol

Nama
Sumber dan tujuan

Penjelasan
Orang dan organisasi yang

data

mengirim data ke dan menerima

Arus data

data dari sistem

Arus data kedalam atau keluar

Proses transformasi

proses
Proses mentransformasikan atau
perubahan data

Penyimpanan

Penyimpanan data

Pengendalian intern

Pengendalian intern

SUB PEMBAGIAN DAD

Diagram konteks adalah level dan bagian DAD yang tertinggi. Adapun lima aktivitas
pengolahan data sebagai berikut :
o Memperbaharui file induk karyawan
o Menangani kompensasi manajemen
o Membuat laporan manajemen
o Membayar pajak
o Memasukkan entri ke buku besar

Aktivitas
1. Memperbaharui

Input data
file Formulir karyawan baru

induk karyawan
2. Membayar karyawan

Output data
File penggajian

yang

Kartu waktu

diperbaharui
Cek karyawan

File penggajian

Register penggajian

Tabel tarif pajak

File

penggajian

3. Mempersiapkan laporan File karyawan penggajian

diperbaharui
Laporan penggajian

manajemen
4. Pajak pembayaran

Laporan

5. Memperbaharui
besar

File karyawan

pajak,

telah

yang

pembayaran

pajak, voucher pengeluaran kas

buku Voucher pengeluaran kas, kas Buku besar yang diperbaharui
pajak penghasilan, voucher
pengeluaran kas penggajian

Pedoman untuk menggambar DAD :

Memahami sistem : dengan cara mengobservasi dan mewawancarai si pengolahan
data
Mengabaikan aspek tertentu dari sistem : dapat mengabaikan jalur kesalahan yang
tidak penting
Menentukan batasan sistem : menentukan apa yang termasuk dan tidak termasuk
kedalam elemen data relevan

 Mengembangkan diagram konteks : diagram yang menggambarkan batasan

sistem
Mengidentifikasikan proses transformasi : untuk mengubah dari satu arah yang
lain kearah lainnya
Mengelompokkan proses transformasi : yang secara logis terkait seperti waktu
dan tempat yang sama
Mengidentifikasikan semua file atau penyimpannan data : memasukkan kedalam
penyimpanan permanen atau sementara
Memberi nama semua elemen DAD : kecuali untuk arus data kedalam atau keluar
penyimpanan data
Membagi DAD : membagi kedalam proses level berurutan dari rendah ke tinggi
Berikan nomor yang berurutan pada setiap proses : memberikan nomor yang
berurutan pada setiap proses yang membantu pembacaan anatar level DAD
Menyempurnakan DAD : pengaturan untuk menyempurnakan DAD
Mempersiapkan salinan akhir : penyimpanan kembali setiap halaman
C.

BAGAN ALIR
Teknik analitis bergambar yang digunakan untuk menjelaskan beberapa aspek dari sistem
informasi secara jelas, ringkas dan logis. Adapun simbol bagan alir sebagai berikut :
1. Simbol input atau ouput : menunjukkan input /output dari sistem
2. Simbol pemrosesan : menunjukkan pengolahan data baik secara elektronik
3. Simbol penyimpanan : menunjukkan tempat data disimpan
4. Simbol arus dan lain-lain : menunjukkan arus data dari mulai hingga akhir
Pedoman untuk mempersiapkan bagan alir :

Simbol
Simbol input atau output

Nama

Penjelasan

Dokumen

Dokumen, laporan elektronik

Berbagai salinan

Diilustrasikan dengan melebihi

dokumen kertas

simbol dokumen yang dan

mencetak nomor dokumen
pada muka dokumen disudut

Output elektronik

kanan atas
Informasi ditampilkan oleh alat

output elektronik seperti

terminal seperti terminal,
Entri data elektronik

monitor dan layar

Alat entri elektronik seperti
komputer, terminal,tablet dan

Alat input atau output

telepon
Entri data elektronik dan

elektronik

simbol output digunakan

bersama untuk menunjukkan
alat yang digunakan untuk
keduanya

Simbol pemrosesan
Fungsi pemrosesan yang
Pemrosesan komputer
N

dilakukan oleh komputer

biasanya menghasilkan
perubahan dalam data atau

Operasi manual

informasi
Operasi pemrosesan yang
dilakukan secara manual

Simbol komponen
Database

Data yang disimpan secara

elektronik dalam database
data yang disimpan untuk

Data magnetik

media penyimpanan backup

yang populer
File dokumen kertas, huruf

File dokumen kertas

mengidentifikasikan file urutan

pemesanan
N : numberik, A: alfabet, D:
tanggal
Berisi dokumen berupa jurnal

Jurnal/ buku besar

Simbol arus dan lain-lain

atau buku besar

Arus dokumen atau

Mengarahkan arus pemrosesan

pemrosesan

atau dokumen arus normal

kebawah dan kekanan
Transmisi data dari satu lokasi

Hubungan komunikasi

geografis ke lokasi lainnya via

garis komunikasi
Menghubungkan arus

Konektor dalam
halaman
Konektor luar halaman
Terminal

pemrosesan pada halaman

yang sama
Entri data dari keluar atau ke
halaman ini
Awal dan akhir proses

Keputusan

Langkah pembuatan keputusan

Anotasi atau catatan

Penambahan komentar

tembusan

deskriptif atau catatan

penjelasan sebagai klarifikasi

Jenis jenis bagan alir

a. Bagan alir dokumen (flowchart) : untuk mengilustrasikan arus dokumen dan data
antar area pertanggungjawaban dalam organisasi
b. Bagan alir pengendalian intern (internal control flowchart) : untuk menjelaskan,
menganalisis, dan mengevaluasi dan pengendalian intern
c. Bagan alir sistem : menghubungkan antar input pemrosesan, penyimpanan dan
output sistem
D.

DIAGRAM POSES BISNIS

Yaitu cara visual untuk menjelaskan langkah-langkah atau aktivitas yang dilakukan dalam
proses bisnis

Simbol

Nama

Penjelasan
Menghubungkan arus pemrosesan

Konektor dalam

pada halaman yang sama

halaman
Menghubungkan arus pemrosesan
Konektor dalam

pada halaman yang sama

halaman
Aktivitas dalam proses

Aktivitas dalam proses diwakili

Keputusan

oleh persegi yang sisinya tumpul

Keputusan yang dibuat selama

Aktivitas dalam proses

proses bisnis
Arus data dan informasi

Informasi anotasi

Informasi yang membantu

menjelaskan proses bisnis yang
dimasukkan kedalam DPB

BAB 4
DATABASE RELASIONAL

A.

PENDAHULUAN
FILE VERSUS DATABASE
File adalah gabungan dari beberapa catatan yang berhubungan sedangkan database adalah
gabungan dari file yang saling berhubungan dan dikoordinasikan secara terpusat. Adapun
jenis-jenis pendekatan sistem :
a. Sistem file : hanya mengelola data berbasis file sehinggga sulit karena terbagi-bagi
b. Sistem database (DBMS : Database Manajemen System)
yaitu program yang mengelola dan mengendalikan data sertaa hubungan data dari
program-program aplikasi yang menggunakan data yang disimpan dalam database
yang bertanggung jawab adalah administrator database

Fitur 4-1
Elemen Elemen Dasar Hierarki Data
MENGGUNAKAN GUDANG DATA UNTUK BUSINESS INTELLIGENCE
Gudang data adalah database yang sangat besar berisi data mendetail dan ringkasan
selama beberapa tahun yang digunakan untuk analisis bukan pemrosesan transaksi.
Sedangkan business intelegence adalah proses menganalisis data dalam jumlah yang
besar untuk pembuatan keputusan strategis. Adapun teknik utama yang digunakan dalam
business intelegence :
a. Pemrosesan analitikal onlie
Pemrosesan business intelegence yang menggunakan beberapa query untuk
menyelidiki hipotesis hubungan diantara data
b. Penggalian data (data minning)
Pemrosesan business intelegence menggunakan analisis statistik yang canggih untuk
menemukan hubungan yang tidak dihipotesiskan dalam data

Figur 4-2
Sistem beorientasi file versus sitem database
KEUNGGULAN SISTEM DATABASE
Database memberikan organisasi keuntungan-keuntungan sebagi berikut :
a. Integrasi data
Menggambarkan file induk kedalm kelompok-kelompok besar atas yang diakses
oleh banyak program aplikasi
b. Pembagian data
Data yang diintegrasi mudah dibagi dengan pengguna yang sah sehingga mudah
dicari untuk meneliti masalah atau memperoleh informasi mendetail tentang
laporan
c. Meminimalkan kelebihan dan inkonsistensi data
Dikarenakan semua data disimpan sekali sehingga dapat meminimalkan kelebihan
dan inkonsistensi data
d. Independensi data
Mengubah data tetapi tidaj berubah secara keseluruhan
e. Analisis lintas fungsional
Hubungan atas biaya penjualan dan promosi dapat didefinisikan dan digunakan
dalam laporan manajemen
B.

SISTEM DATABASE
Tampilan Logis dan Fisik Data
Sistem database memisahkan tampilan logis dan fisik data. Tampilan logis adalah
bagaimana pemakai atau programer secara konseptual mengatur dan memahami data.
Tampilan fisik merujuk pada bagaimana dan dimana data secara fisik diatur dan disimpan
dalam disk, tape, CD-ROM, atau media lainnya.

Memisahkan tampilan logis dan fisik memungkinkan pengembangan aplikasi baru

karena programer dapat berkonsentrasi untuk memasukkan kode ke dalam logika aplikasi
dan tidak perlu mermusatkan perhatian pada bagaimana dan dimana berbagai data disimpan
atau diakses.
Memisahkan tampilan fisik dan logis data juga berarti para pemakai dapat mengubah
konsep hubungan antara berbagai bagian data tanpa mengubah cara data tersebut secara fisik
disimpan. Dengan cara yang sama seorang administrator database dapat mengubah
penyimpanan fisik data untuk meningkatkan kinerja sistem, tanpa menimbulkan pengaruh
atas para pemakainya atau program aplikasinya.
Skema
Skema menggambarkan struktur logis database. Terdapat tiga skema yaitu konseptual,
eksternal, dan internal. Skema tingkat konseptual adalah tampilan seluruh database pada
tingkat organisasi. Skema ini mendaftar elemen-elemen data dan hubungan antara mereka.
Skema tingkat eksternal terdiri dari satu set tampilan individual bagi pemakai dari berbagai
bagian database, yang setiap bagiannya merupakan subskema. Skema tingkat internal
menyediakan tampilan tingkat rendah dari database. Skema ini mendeskripsikan bagaimana
data sebenarnya disimpan dan diakses, termasuk informasi mengenai petunjuk (pointer),
indeks, panjang catatan dan seterusnya.

Kamus Data
Salah satu komponen kunci dari DBMS adalah kamus data, yang mencakup informasi
mengenai struktur database. Setiap elemen data yang disimpan dalam database, seperti
nomor pelanggan, memiliki catatan di kamus data yang mendeskripsikan elemen tersebut.
DBMS biasanya memelihara kamus data. Bahkan, kamus data ini sering kali
merupakan salah satu aplikasi pertama dari sistem database yang baru diimplementasikan.
Masukan untuk kamus data mencakup elemen data yang baru atau yang sudah dihapus, serta
perubahan nama, deskripsi, atau penggunaan elemen data yang ada. Keluaran mencakup
berbagai laporan yang berguna bagi programer, perancang database dan pemakai sistem
informasi. Laporan sampel mencakup (1) daftar dari semua program dimana suatu data

digunakan, (2) daftar dari semua sinonim untuk elemen data dalam file tertentu, (3) daftar
dari semua elemen data yang digunakan oleh pemakai tertentu, dan (4) daftar dari seluruh
laporan output dimana elemen data digunakan.
Bahasa DBMS
Ada beberapa bahasa DBMS, antara lain:
Bahasa definisi data (DDL) digunakan untuk membangun kamus data,
mengawali atau menciptakan database, mendeskripsikan pandangan logis untuk setiap
pemakai atau programer, dan memberikan batasan untuk keamanan field atau catatan
pada database.
Bahasa manipulasi data (DML) digunakan untuk perawatan data, yang
mencakup operasi seperti pembaruan, penyisipan dan penghapusan suatu bagian dari
database, memudahkan program penulisan untuk melaksanakan tugas-tugas tersebut
dengan hanya menanyakan suatu nama dari bagian data, bukan meminta lokasi
penyimpanan fisiknya.
Bahasa permintaan data (DQL) dipergunakan untuk menyelidiki database.
DQL hanya dipergunakan untuk mengambil data, menyortir data, menyusun data dan
menyajikan suatu bagian dari database sebagai respon atas permintaan data.
C.

DATABASE RELASIONAL
DBMS dikarakteristikan melalui jenis model logis data yang mendasarinya. Model Data

adalah perwakilan abstrak dari isi suatu database. Kebanyakan DBMS yang baru disebut sebagai
database relasional. Model relasional data mewakili semua yang disimpan di database.
Jenis-Jenis Atribut
Tabel-tabel dalam database relasional memiliki tiga jenis atribut kunci utama adalah
atribut, atau kombinasi dari beberapa atribut yang secara unik mengidentifikasi baris tertentu
dalam sebuah tabel. Kunci luar adalah atribut yang muncul dalam suatu tabel, yang juga
merupakan kunci utama dalam tabel lainnya. Kunci-kunci luar digunakan untuk
menghubungkan tabel-tabel. Atribut lainnya yang bukan berupa atribut kunci di dalam setiap
tabel, menyimpan informasi penting mengenai entitasnya.

 Persyaratan Dasar Untuk Model Data Relasional

Model data rasional menekankan beberapa persyaratan untuk struktur tabel-tabelnya.
Persyaratan yang mewakili database dengan struktur yang baik yaitu:
1.
2.

Setiap kolom dalam sebuah baris harus berlainan nilainya.

Kunci utama tidak boleh bernilai nol. Kunci utama adalah atribut atau kombinasi dari
beberapa atribut yang secara unik mengidentifikasi baris dalam suatu tabel. Agar syarat
ini terwujud, kunci utama dari suatu baris dalam sebuah hubungan tidak boleh bernilai
nol. Karena nantinya tidak akan ada jalan untuk secara unik mengidentifikasi baris

3.

tersebut dan menarik data yang disimpan dalamnya.

Kunci luar, jika tidak bernilai nol, harus memiliki nilai yang sesuai dengan nilai kunci

4.

utama di hubungan yang lain.

Seluruh atribut yang bukan merupakan kunci dalam sebuah tabel harus
mendeskripsikan objek yang diidentifikasi oleh kunci utama.
Keempat syarat ini akan menghasilkan database yang terstruktur dengan baik yang

memungkinkan konsistensi data, dan meminimalkan serta mengendalikan pengulangan data.

Bagian berikutnya menggambarkan manfaat-manfaat tersebut, dengan memperlihatkan
contoh berbagai jenis masalah yang dapat muncul apabila keempat syarat tersebut dilanggar.
Dua Pendekatan dalam Desain Database
Terdapat dua cara dasar untuk mendesain database relasional yang terstruktur dengan
baik. Salah satunya dinamakan normalisasi, yang dimulai dengan asumsi bahwa semua data
pada awalnya disimpan dalam satu tabel besar. Pendekatan ini kemudian diikuti dengan
serangkaian peraturan untuk memisah-misahkan tabel awal tadi menjadi serangkaian tabel
yang dinormalisasi. Tujuannya adalah menghasilkan serangkaian tabel awal yang dapat
dikatagorikan sebagai bentuk normal ketiga (third normal form-3NF), karena tabel-tabel
seperti ini bebas dari masalah anomaly pembaruan, penyisipan, serta penghapusan, seperti
yang telah dijelaskan pada bagian sebelumnya.
Cara alternatif untuk mendesain database relasional yang terstruktur dengan baik
adalah dengan menggunakan pembuatan model data semantik. Dalam pendekatan ini,

desainer database menggunakan pengetahuan mereka mengenai bagaimana proses bisnis

biasanya berlangsung dan mengenai bagaimana proses bisnis biasanya berlangsung dan
mengenai kebutuhan informasi yang berhubungan dengan proses transaksi, untuk membuat
gambar grafis mengenai hal-hal yang seharusnya dimasukkan dalam database yang
didesainnya. Gambar yang dihasilkan kemudian dapat langsung digunakan untuk membuat
serangkaian tabel relasional yang termasuk dalam katagori 3NF.
Pembuatan model data semantik memiliki dua kelebihan utama daripada membangun
database hanya dengan mengikuti peraturan-peraturan proses normalisasi. Pertama, cara ini
memfasilitasi desain yang efisien atas database proses transaksi, karena cara ini
mempergunakan pengetahuan desainer sistem mengenai proses transaksi dan kegiatan bisnis.
Kedua, cara ini memfasilitasi komunikasi dengan para calon pemakai sistem tersebut, karena
model grafis yang dihasilkan secara eksplisit mewakili informasi mengenai proses bisnis dan
kebijakan organisasi. Komunikasi semacam ini sangat penting untuk memastikan bahwa
sistem yang dihasilkan sesuai dengan kebutuhan para pemakai yang sebenarnya.
D.

SISTEM DATABASE DAN MASA DEPAN AKUNTANSI

Sistem database dapat sangat mempengaruhi sifat dasar akuntansi. Contohnya sistem

database dapat mengarah pada ditinggalkannya model akuntansi pembukuan berpasangan (doble
entry). Alasan dasar sistem pembukuan berpasangan adalah pengulangan pencatatan jumlah
suatu transaksi sebanyak dua kali, yang berfungsi sebagai alat pemeriksa proses data yang
akurat. Setiap transaksi menghasilkan masukan debit dan kredit yang sama besar, kemudian
persamaan debit dan kredit yang sama besar, kemudian persamaan debit dan kredit diperiksa lagi
dan lagi dengan berbagai cara, dalam suatu proses akuntansi. Akan tetapi, pengulangan data
berlawanan dengan konsep database. Apabila jumlah yang berhubungan dengan sebuah transaksi
dimasukkan ke dalam sistem database dengan benar, maka jumlah tersebut hanya perlu disimpan
sekali saja, bukan dua kali. Proses data terkomputerisasi sudah cukup akurat tanpa harus
mempergunakan sistem pemeriksaan dan pemeriksaan ulang, yang merupakan ciri khas dari
model akuntansi pembukuan berpasangan.
Sistem database juga memiliki potensi untuk mengubah sifat pelaporan eksternal secara
signifikan. Pengaruh sistem database yang paling signifikan mungkin dalam hal cara informasi
akuntansi akan dipergunakan dalam pengambilan keputusan. Kesulitan merumuskan permintaan

khusus dalam sistem akuntansi berdasarkan pendekatan file atau sistem DBMS yang tidak
rasional, membuat akuntan bertindak seolah-olah sebagai penjaga gerbang informasi. Informasi
keuangan tersedia hanya dalam format yang belum tetap dan dalam waktu tertentu saja. Akan
tetapi, database rasional menyediakan bahasa permintaan yang luas dan mudah dipergunakan.
Jadi para manajer tidak perlu lagi terhalang dengan berbagai detail prosedur mengenai cara
mendapatkan informasi. Sebagai gantinya, mereka dapat berkonsentrasi hanya untuk
menspesifikasikan informasi apa yang mereka inginkan. Hasilnya, laporan keuangan dapat
dengan mudah dipersiapkan untuk mencakup periode waktu manapun yang ingin dipelajari oleh
para manajer, bukan hanya dalam periode yang secara tradisional dipergunakan oleh para
akuntan.
DBMS relasional juga dapat mengakomodasi berbagai pandangan atas suatu fenomena
yang sama. Sebagai contoh, tabel-tabel yang menyimpan informasi mengenai aset dapat berisi
kolom-kolom yang bukan hanya berdasarkan biaya historis, tetapi juga biaya pergantian dan nilai
pasar. Jadi para manajer tidak lagi dipaksa melihat data dalam cara yang telah ditetapkan oleh
para akuntan.
Terakhir, DBMS relasional menyediakan kemampuan untuk mengintegrasikan data
keuangan dan operasional. Sebagai contoh data mengenai kepuasan pelanggan yang
dikumpulkan melalui survey atau wawancara, dapat disimpan di dalam tabel yang sama yang
juga dipergunakan untuk menyimpan informasi mengenai saldo saat ini dan batas kredit. Jadi,
manajer akan memiliki akses ke serangkaian data yang lebih luas untuk membuat keputusan
taktis dan strategis.
Melalui cara-cara ini, DBMS relasional memiliki potensi untuk meningkatkan
penggunaan dan nilai informasi akuntansi dalam membuat keputusan yang taktis dan strategis
untuk menjalankan perusahaan. Akan tetapi, para akuntan harus memiliki pengetahuan lebih
banyak mengenai sistem database agar mereka dapat berpartisipasi dalam mendesain sistem
informasi akuntansi di masa mendatang.

BAB 5
PENIPUAN KOMPUTER

A.

PENDAHULUAN
Ancaman untuk sistem informasi akuntansi

Ancaman
Contoh
Bencana alam
Kebakaran, banjir, gempa bumi
Kesalahan pernagkat lunak dan kegagalan Kegagalan perangkat keras dan perangkat
fungsi perakitan

lunak
Kesalahan perangkat lunak
Pemadaman listrik dan fluktuasi

Tindakan yang tidak diharapkan

Bentuk sistem operasi

Kecelakaan yang disebabkan oleh kelalaian
manusia,

Tindakan

yang

komputer)

B.

disengaja

kegagalan

untuk

mengikuti

prosedur yang ditetapkan

(kejahatan Sabotase, korupsi, penipuan

komputer,

penyalahgunaan aset

PENDAHULUAN UNTUK PENIPUAN

Penipuan adalah sesuatu atau segala sesuatu yang digunakan oleh seseorang untuk
memperoleh keuntungan secara tidak adil terhadap orang lain. Tindakan curang meliputi
kebohongan, penyembunyian kebenaran, muslihat dan kelicikan, dan tindakan tersebut sering
mencakup pelanggaran kepercayaan. Pelaku penipuan sering disebut sebagai penjahat berkerah
putih (white collar criminals), untuk membedakannya dari penjahat yang melakukan kejahatan
dengan kekerasan.
1.
2.
3.

Ada tiga karakteristik yang sering dihubungkan dengan kebanyakan penipuan,yaitu :

Pencurian sesuatu yang berharga, seperti uang tunai, persediaan, peralatan, atau data.
Konversi asset yang dicuri ke dalam uang tunai.
Penyembunyian kejahatan untuk menghindari pendeteksian.
Cara yang umum dan efektif untuk menyembunyikan pencurian adalah untuk

membebankan item yang dicuri ke suatu akun biaya. Cara lain untuk menyembunyikan
penurunan asset adalah denganc ara gali lubang tutup lubang (lapping). Dalam skema gali lubang
tutup lubang, pelaku mencuri uang yang diterima dari pelanggan A untuk membayar piutangnya.

Di dalam skema perputaran (kiting), pelaku menutupi pencuriannya dengan cara menciptakan
uang melalui transfer uang antar bank.
Penipuan internal dapat dibedakan menjadi dua kategori:
1. penggelapan aset : Penggelapan aset atau penipuan pegawai, dilakukan oleh seseorang
atau kelompok orang untuk keuntungan keuangan pribadi. Penipuan yang ditemukan oleh
Jason Scott suatu penggelapan aset.
penipuan pelaporan keuangan : Komisi Nasional atas Penipuan Pelaporan Keuangan
(Treadway Commision) mendefinisikan penipuan pelaporan keuangan sebagai tindakan
yang sembrono atau disengaja, baik melalui tindakan

atau penghilangan yang

menghasilkan laporan keuangan yang menyesatkan secara material. Treadway

Commision merekomendasikan empat tindakan untuk mengurangi kemungkinan
penipuan pelaporan keuangan :
a. Bentuklah lingkungan organisasi yang memberikan kontribusi terhadap integritas
proses pelaporan keuangan .
b. Identifikasi dan pahami factor-faktor yang mendorong ke arah penipuan pelaporan
keuangan.
c. Nilai risiko dari penipuan pelaporan keuangan di dalam perusahaan.
d. Desain dan implementasikan pengendalian internal untuk menyediakan keyakinan
yang memadai sehingga penipuan pelaporan keuangan dapat dicegah
.
SEBAB-SEBAB TERJADINYA PENIPUAN
1. Tekanan
Tekanan adalah motivasi untuk melakukan penipuan. Tekanan dapat berupa tekanan
keuangan, seperti gaya hidup yang berada di luar kemampuan atau memiliki banyak utang
atau biasanya banyak tagihan ketergantungan narkoba, dll.. Sering kali pelaku merasa
tekanan-tekanan semacam ini tidak dapat dibagi dengan orang lain. Tekanan dapet juga
berkaitan dengan pekerjaan. Beberapa pegawai mencuri data, sehingga mereka dapat
membawanya ke pekerjaan baru mereka atau perusahaan tempat mereka bekerja. Motivasi
lain yang mengarah pada tindakan curang adalah tekanan keluarga atau tekanan kerja,
ketidakstabilan emosi, dan tunjangan menumbangkan system pengendalian serta masuk ke
dalam system. Pada umumnya yang mendorong terjadinya fraud adalah kebutuhan atau
masalah finansial. Tapi banyak juga yang hanya terdorong oleh keserakahan.

Apakah tekanan-tekanan keuangan itu ?

Gaya hidup melebihi kemampuan
Tingginya hutang pribadi
Pendapatan tidak cukup
Rendahnya tingkat kredit
Besarnya kerugian keuangan
Besarnya hutang judi

Apakah tekanan-tekanan yang berhubungan dengan pekerjaan itu ?

Gaji yang rendah
Tidak adanya pengakuan atas kinerja
Ketidakpuasan atas pekerjaan
Rasa takut akan kehilangan pekerjaan
Rencana bonus yang terlalu agresif

Apakah tekanan-tekanan lain-lain itu?

Tantangan
Tekanan keluarga/rekan kerja
Ketidakstabilan emosi
Kebutuhan akan kekuasaan
Harga diri atau ambisi yang berlebihan

2.

Peluang
Peluang adalah kondisi atau situasi yang memungkinkan seseorang untuk

melakukan dan menutupi suatu tindakan yang tidak jujur. Peluang sering kali berasal dari
kurangnya pengendalian internal. Situasi lain yang mempermudah seseorang untuk
melakukan penipuan adalah kepercayaan berlebih atas pegawai utama, personil supervisi
yang tidak kompeten, tidak memperhatikan perincian, jumlah pegawai tidak memadai,
kurangnya pelatihan, dan kebijakan perusahaan yang tidak jelas.
Opportunity adalah peluang yang memungkinkan fraud terjadi. Biasanya
disebabkan karena internal control suatu organisasi yang lemah, kurangnya pengawasan,
dan/atau penyalahgunaan wewenang. Di antara 3 elemen fraud triangle, opportunity
merupakan elemen yang paling memungkinkan untuk diminimalisir melalui penerapan
proses, prosedur, dan control dan upaya deteksi dini terhadap fraud.
3.

Rasionalisasi
Kebanyakan pelaku penipuan mempunyai alasan atau rasionalisasi yang membuat

mereka merasa perilaku yang illegal tersebut sebagai sesuatu yang wajar. Para pelaku
membuat rasionalisasi bahwa mereka sebenarnya tidak benar-benar berlaku tidak jujur
atau bahwa alasan mereka melakukan penipuan lebih penting daripada kejujuran dan
integritas. Mungkin, rasionalisasi yang paling umum adalah pelaku hanya meminjam
asset yang dicuri karena mereke bermaksud untuk mengembalikannya pada perusahaan.
Beberpaa pelaku membuat rasionalisasi bahwa mereka tidak menyakiti seseorang secara
langsung. Pihak yang terpengaruh hanyalah system computer yang tidak bermuka dan
bernama atau perusahaan besar yang bukanlah manusia yang tidak akan merasa
kehilangan uang tersebut. Berikut ini adalah rasionalisasi yang sering digunakan :

Anda akan memahami apabila anda mengetahui betapa saya membutuhkannya.

Apa yang saya lakukan tidak seserius itu.

Hal ini dilakukan demi kebaikan. (Ini adalah sindrom Robin Hood, mencuri dari yang

kaya dan memberikannya kepada yang miskin

Saya mendapat kepercayaan yang sangat tinggi. Saya berada di atas peraturan.
Setiap orang melakukannya, jadi tidak mungkin hal tersebut salah.
Tidak akan ada yang mengetahui.
Perusahaan berutang kepada saya, dan saya mengambil tidak lebih dari yang
seharusnya menjadi milik saya.

C.

PENIPUAN KOMPUTER
Departemen Kehakiman Amerika Serikat mendefinisikan penipuan komputer sebagai

tindak illegal apapun yang membutuhkan pengetahuan teknologi computer untuk melakukan
tindakan awal penipuan, penyelidikan, atau pelaksanaannya. Secara khusus,penipuan
computer mencakup hal-hal berikut ini :
a. Pencurian, penggunaan, akses, modifikasi,penyalinan, dan perusakan software atau
data secara tidak sah.
b. Pencurian uang dengan mengubah catatan computer atau pencurian waktu computer.
c. Pencurian atau perusakan hardware computer.
d. Penggunaan atau konspirasi untuk menggunakan sumber daya computer dalam
e.

melakukan tindak pidana.

Keinginan untuk secara illegal mendapatkan informasi atau property berwujud
melalui penggunaan computer.

KLASIFIKASI PENIPUAN COMPUTER

Salah satu cara untuk menggolongkan penipuan komputer adalah dengan
menggunakan model pemrosesan data, yaitu:
1.

Penipuan Input
Pengubahan input komputer merupakan cara yang paling umum dan sederhana
untuk melakukan pengrusakan maupun penipuan. pelaku hanya perlu memahami
bagaimana sistem beroperasi sehingga mereka dapat menutupi perbuatan mereka.

2.

Penipuan Processor

Pencurian waktu maupun jasa komputer masuk klasifikasi ini. Misalnya,

karyawan yang menyia-nyiakan waktu untuk menggunakan fasilitas internet untuk
keperlua pribadi mereka, sehingga waktu kerja produktif mereka terpakai untuk hal
tersebut.
3.

Penipuan instruksi komputer

Tindakan yang dapat dilakukan adalah melalui pengrusakan software untuk
memproses data perusahaan. Pengrusakan tersebut dapat berupa pemodifikasian
software, mengopi software secara ilegal, penggunaan maupun pengembangan tanpa
adanya otoritas. Pelaku memang harus mempunyai pengetahuan khusus tentng
pemrogaman komputer, namun dengan berkembangnya teknologi informasi cara-cara
pengrusakan tersebut dapat diketahui/ dicari dengan mudah melalui jaringan internet.

4.

Penipuan data
Hal ini dapat diawali dengan mengubah atau merusak file-file ata perusahaan.
Dapat juga berupa menyalin, menggunakan, maupun mencari file dari data
perusahaan tanpa otorisasi. Kasus ini lebih lebih mudah dilakukan pada file
perusahaan yang disimpan di web site.

5.

Penipuan output
Output sebuah sistem biasanya ditampilkan pada layar atau dicetak di kertas.
Output tersebut dapat menjadi subjek mata-mata salinan file yang tidak sah. Ada
sebuah penelitian bahwa banyak monitor komputer memancarkan sinyal mirip dengan
televise, sehingga dapat diambil dari berbagai terminal hinga sejauh 2 mil.

PENIPUAN DAN TEKNIK PENYALAHGUNAAN KOMPUTER

Cracking (menjebol)
Denial of service attack (serangan penolakan pelayanan)
Eavesdropping (menguping)
E-mail forgery and threats (pemalsuan e-mail)
Internet misinformation and terrorism (informasi yang salah di internet dan

terorisme internet)
Virus
Password cracking (penjebolan password)
Software piracy (pembajakan software)
Scavenging (pencarian)

 Worm (cacing)\
Kuda Troya (Trojan Horse)
Sekumpulan perintah computer yang tidak sah yang masuk ke dalam program
computer yang sah dan berfungsi dengan baik.
Pembulatan ke bawah
Teknik yangs erring digunakan padainstitusi keuangan yang membayar
bunga.
Teknik salami
Sejumlah kecil uang yang dicuri.
Pintu jebakan
Cara masuk ke system tanpa melewati pengendalian system yang normal.
Serangan cepat
Penggunaan tidak secara tidak sah dari program system khusus untuk
memotong pengendalian system regular dan melakukan tindakan yang illegal
Pembajakan software
Menyalin software tanpa izin dari pembuatnya.
Mengacak data
Mengubah data sebelum, selama, atau setelah dimasukkan ke system.
Kebocoran data
Mengacu pada penyalinan tidak sah atas data perusahaan.
Menyusup
Menyadap masuk ke saluran telekomunikasi dan mengunci diri ke pemakai
yang sah sebelum pemakai tersebut memasuki suatu system.

MENCEGAH DAN MENDETEKSI PENIPUAN COMPUTER

Membuat standar tertentu dapat mengurangi potensi terjadinya penipuan komputer
dan kerugian yang dihasilkan.

1.

Membuat penipuan komputer lebih jarang terjadi

Memperkerjakan dan memberhentikan karyawan dengan semestinya.

Mengelola dan menelusuri keamanan software

Adanya perjanjian kerahasiaan kerja

Tersosialisanya standar keamanan

Mengatur para pegawai yang merasa tidak puas.

2.

Meningkatkan kesulitan untuk melakukan penipuan komputer

Mengembangkan sistem pengendalian internal

Adanya pemisahan/ pembatasan tugas karyawan dan diberlakukannya pengambilan

cuti wajib maupun rotasi pekerjaan

Mengendalikan data yang sensitive dan adanya pengamanan sistem maupun saluran
informasi

3.

Memperbaiki metode deteksi

Melakukan audit secara berkala

Adanya konsultan atau pengawas khusus

Mengamankan saluran telepon dan sistem dari virus.

Mengendalikan data yang sensitif.

Mengendalikan komputer laptop.

Mengawasi informasi hacker.

4.

Mengurangi kerugian akibat penipuan komputer

Menggunakan jaminan asuransi

Adanya penyimpanan cadangan file-file perusahaan

Bab 6
TEKNIK PENYALAHGUNAAN DAN KECURANGAN (FRAUD) KOMPUTER

A. Penyalahgunaan dan Serangan Komputer

Hacking adalah akses-akses yang tidak mendapat otorisasi, modifikasi, atau
menggunakan perangkat elektronik atau elemen dari sistem komputer. Kebanyakan hacker
membobol sistem dengan cara mengetahui kelemahan dari sistem operasi atau program
aplikasi atau pengendalian akses yang lemah.
Botnet, singkatan dari robot network, adalah jaringan yang kuat dan berbahaya yang
membajak komputer. Pembajakan adalah mengontrol komputer untuk melaksanakan aktivitas
terlarang tanpa sepengetahuan pengguna.

Spamming adalah e-mailing atau teks pesan yang tidak diminta oleh banyak orang
pada waktu yang sama, sering berusaha untuk menjual sesuatu. Spammers menggunakan
software khusus untuk menebak alamat sebuah perusahaan dan mengirim pesan e-mail
kosong.
Blog (singkatan dari Web log) adalah Web site yang berisi jurnal dan komentar online.
Hackers menciptakan splogs (kombinasi dari spam dan blog) dengan link dimana Web site
yang mereka miliki menjadi naik pada Google Page Rank, yang seringkali Web page
(halaman web) tersebut dijadikan referensi bagi Web page yang lain. Plog diciptakan untuk
memalsukan tayangan iklan yang mempengaruhi pengujung untuk melakukan pembayaran,
menjual link, atau untuk mendapatkan situs baru di index.
Spoofing membuat suatu komunikasi elektronik kelihatan seperti seseorang
mengirimnya untuk memperoleh kepercayaan dari penerimanya, Spoofing bisa dalam
berbagai bentuk, termasuk yang dibawah ini:
1. Email spoofing membuat email terlihat seperti asllinya meskipun dikirim dari sumber
yang berbeda
2. IP address spoofing menciptakan paket Internet Protocol (IP) dengan alamat IP palsu
untuk menyembunyikan identitas pengirim atau untuk menyerupai sistem komputer
3.

lain.
Address Resolution Protocol (ARP) sppofing mengirimkan pesan ARP palsu pada
sebuah Enthernet LAN. ARP merupakan jaringan protokol untuk menentukan alamat
Zero-day attack (atau zero hour attack) merupakan suatu serangan antara waktu suatu

software lemah baru ditemukan dan saat pengembang software mengumunkan solusi yang
dapat mengatasi masalah tersebut.
Vulnerability windows bisa berakhir selama berjam-jam bahkan selamanya jika user
tidak menemukan solusi untuk sistemnya.
Cybercrook mengambil keuntungan dari lingakrang update keamanan Microsoft dengan
cara menjadwalkan serangan baru sesaat sebelum atau sesudah Patch Tuesday hari selasa
minggu kedua setiap bulan, pada saat pembuat software mengumumkan perbaikannya. Istilah
zero-day Wednesday menjelaskan strategi ini.
Cross site scripting (XSS) merupakan suatu kelemahan dalam halaman Web dinamis
yang membolehkan penyerang untuk melakukan bypass terhadap mekanisme keamana
browser dan memerintahkan browser korban untuk membuat kode dari Web site yang
diinginkan.

Buffer overflow attack terjadi ketika kapasitas data yang dimasukkan ke dalam program
lebih besar daripada kapasitas memori (Input buffer) yang tersisa. Overflow input biasanya
menimpa instruksi komputer berikutnya, yang menyebabkan sistem crash/rusak.
Pada SQL injection (insertion) attack, kode berbahaya dalam bentuk SQL query
dimasukkan pada input sehingga dapat dikirimkan dan dijalankan oleh sebuah program
aplikasi. Ide tersebut untuk meyakinkan aplikasi untuk menjalankan kode SQL sehingga tidak
dimaksudkan untuk mengeksekusi dengan memanfaatkan kerentanan database.
Man-in-the-middle attack (MITM) menempatkan hacker antara klien dan host dan
menyadap lalu lintas jaringan antara mereka. Suatu MITM attack sering disebut serangan sesi
pembajakan. Serangan MITM digunakan untuk menyerang sistem enkripsi kunci publik di
mana informasi sensitif dan berharga lalu lalang
Masquareding atau impersonation adalah berpura-pura menjadi pengguna yang
berwenang untuk mengakses sistem. Hal ini mungkin terjadi ketika pelaku penipuan
mengetahui nomor ID dan password pengguna atau menggunakan komputer pengguna
setelah dia login masuk (sementara pengguna berada dalam pertemuan atau makan siang).
Piggybacking memiliki beberapa arti:
a. Pemakaian secara diam diam jaringan Wi Fi tetangga; hal ini dapat dicegah dengan
mengaktifkan fitur keamanan pada di jaringan wireless
b. Merekam saluran telekomunikasi dan elektronik yang ada pada pengguna yang sah
sebelum pengguna masuk kedalam sistem yang aman, pengguna yang sah tidak tahu
bahwa dia telah membawa masuk pelaku penipuan kedalam sistem tersebut
c. orang yang tidak berhak mengikuti orang yang berwenang melalui pintu yang aman,
melewati kontrol keamanan fisik keypad, ID, atau scanner identifikasi biometrik
Password cracking adalah menembus pertahanan suatu sistem, mencuri file yang berisi
password yang valid, decrypting mereka, dan menggunakan mereka untuk masuk kedalam
program, file, dan data.
War dialling adalah pemrograman komputer untuk menghubungi ribuan saluran telepon
mencari jaringan modem dial up. Hacker menyusup ke PC yang tersambung dengan modem
dan mengakses jaringan yang terhubung.
Phreaking menyerang sistem telepon untuk mendapatkan akses saluran telepon gratis
untuk mengirimkan virus dan untuk mengakses, mencuri, dan menghancurkan data.
Data Diddling adalah mengubah data sebelum, selama atau setelah data tersebut
dimasukkan ke dalam sistem untuk menghapus, mengubah, atau menambah, atau melakukan
update data sistem kunci yang salah.

Data leakage (kebocoran data) adalah penyalinan data perusahaan yang tidak sah.
Karyawan Jaminan Sosial mencuri 11.000 nomor Jaminan Sosial dan informasi identitas
lainnya dan menjualnya kepada pelaku penipuan identitas.
Salami teknik (teknik salami) digunakan untuk menggelapkan uang "irisan daging
asap" dari akun yang berbeda. Seorang pegawai yang tidak puas memprogram komputer
perusahaan tersebut untuk meningkatkan semua biaya produksi dengan sepersekian persen
dan menempatkan kelebihan dalam rekening vendor bodoh dibawah kendalinya.
Espionase (spionase) ekonomi adalah pencurian informasi, rahasia dagang, dan
kekayaan intelektual.
Pemerasan cyber adalah mengancam untuk merusak/membahayakan suatu perusahaan
atau orang jika sejumlah tertentu uang tidak dibayarkan.
Cyber bullying menggunakan internet, telepon seluler, atau teknologi komunikasi
lainnya untuk mendukung perilaku yang disengaja, berulang, dan bermusuhan yang
menyiksa, mengancam, melecehkan, menghina, memalukan, atau merugikan orang lain.
Internet terorisme adalah aksi mengganggu perdagangan elektronik dan merugikan
komputer dan komunikasi.
Internet misinformation menggunakan internet untuk menyebarkan informasi palsu atau
menyesatkan.
Internet auction fraud menggunakan situs lelang internet untuk menipu orang lain.
Internet pump-and-dump fraud menggunakan Internet untuk memompa harga saham
dan kemudian menjualnya.
Pembajakan piranti lunak adalah penyalinan yang tidak sah dari distribusi software
yang sah. Pembajakan perangkat lunak biasanya memakai satu dari tiga bentuk. : (1) menjual
komputer dengan software pre-loaded ilegal (2) menginstal satu salinan-lisensi pada
beberapa mesin, dan (3) Memuat perangkat lunak pada server jaringan dan memungkinkan
akses tidak terbatas untuk itu dengan melanggar perjanjian lisensi perangkat lunak.
B. Rekayasa Sosial
Rekayasa Sosial mengacu pada teknik atau trik psikologis yang digunakan untuk
membuat orang untuk mematuhi keinginan pelaku penipuan dalam rangka untuk
mendapatkan akses fisik atau logis untuk bangunan, komputer, server, atau jaringan biasanya untuk mendapatkan informasi yang dibutuhkan untuk akses sistem dengan tujuan
untuk mendapatkan data rahasia.

Pretexting menggunakan skenario asal (dalih) untuk meningkatkan kemungkinan

korban membocorkan informasi atau melakukan sesuatu.
Posing (menyamar) adalah menciptakan bisnis yang tampaknya sah (biasanya menjual
produk baru dan menarik), mengumpulkan informasi pribadi pada saat melakukan penjualan,
dan tidak pernah mengirimkan produk tersebut.
Phishing adalah mengirim sebuah pesan elektronik seakan akan pesan tersebut
berasal dari perusahaan yang sah, biasanya lembaga keuangan, dan meminta informasi atau
verifikasi informasi dan sering memperingatkan dengan beberapa akibat mengerikan jika
permintaan tersebut tidak dipenuhi.
Carding mengacu pada kegiatan yang dilakukan pada kartu kredit curian, termasuk
melakukan pembelian online kecil untuk memastikan apakah kartu tersebut masih berlaku
dan membeli dan menjual nomor kartu kredit curian.
Pharming adalah mengarahkan lalu lintas situs Web ke situs Web palsu. Jika Anda bisa
mengubah nomor perusahaan XYZ dalam buku telepon menjadi nomor telepon Anda, orang
yang menghubungi nomor Perusahaan XYZ akan menghubungi Anda sebagai gantinya. "
Malware juga dapat digunakan untuk mengubah file host komputer (internal DNS) atau
alamat IP layanan internet penyedia. Karena PC kebanyakan tidak terkontrol dengan baik,
mereka adalah target yang lebih baik untuk pharming daripada server internet. Setelah filefile ini beracun, semua permintaan berikutnya untuk mengunjungi situs web diarahkan ke
situs palsu.
Evil twin adalah jaringan wireless dengan nama yang sama (disebut Service Set
Identifier, atau SSID) sebagai titik akses wireless yang sah. Hacker menghasilkan sinyal
wireless yang lebih kuat daripada sinyal yang sah atau mengganggu atau menonaktifkan jalur
akses yang sah dengan cara melepas sekitarnya, mengarahkan denial-of-service terhadap
jaringan tersebut, atau menciptakan gangguan frekuensi radio di sekitarnya.
Typosquatting, atau pembajakan URL adalah menyiapkan situs web dengan nama sama
sehingga pada saat pengguna membuat kesalahan pengetikan ketika memasukkan nama situs
Tabnapping, mengubah diam - diam sebuah tab browser yang sudah terbuka.
Tabnapping dimulai ketika korban yang tertipu untuk membuka link email atau mengunjungi
situs web yang terinfeksi.
Scavenging atau dumspter diving adalah mendapatkan akses ke informasi rahasia
dengan mencari dokumen dan catatan. Beberapa pencuri identitasmecrai tempat sampah,
tempat sampah umum, dan tempat sampah kota untuk menemukan informasi.

Pada shoulder surfing, seperti namanya, pelaku penipuan melihat melalui bahu
seseorang di tempat umum untuk mendapatkan informasi seperti nomor PIN ATM atau ID
dan password pengguna.
Pada Lebanese lopping, pelaku penipuan menyisipkan lengan baju ke dalam ATM
untuk mencegah ATM menolak kartu tersebut. Ketika jelas bahwa kartu tersebut yang
terperangkap, pelaku kejahatan akan mendekati korban dan berpura-pura untuk membantu,
menipu orang agar memasukkan PIN lagi, Setelah korban menyerah, pencuri menghilangkan
kartu dan PIN untuk menarik uang di ATM sebanyak - banyaknya. Lebanese looping sangat
umum dinegara dengan jumlah mesin ATM yang banyak
Skimming adalah gesekan double kartu kredit di terminal sah atau diam-diam
menggesekkan kartu kredit di kecil, reader tersembunyi, mengkontrol car reader yang
mencatat data kartu kredit untuk digunakan nantinya.
Chipping adalah penyamaran sebagai seorang insinyur dan menanam chip kecil yang
mencatat data transaksi di pembaca kartu kredit yang sah. Chip ini kemudian dihapus untuk
mengakses data yang tercatat di atasnya.
Eavesdropping adalah mendengarkan komunikasi pribadi atau memanfaatkan transmisi
data.
C. Malware
Malware merupakan perangkat lunak yang dapat digunakan untuk melakukan
kejahatan. Software Spyware diam-diam memonitor dan mengumpulkan informasi pribadi
tentang pengguna dan mengirimkannya ke orang lain. Informasi ini dikumpulkan dengan log
keystrokes, pemantauan situs web yang dikunjungi dan pemindaian dokumen pada hard drive
komputer. Spyware juga dapat membajak browser, menggantikan halaman home komputer
dengan halaman pencipta spyware yang ingin Anda kunjungi. Infeksi spyware, yang biasanya
tidak disadari oleh penggunanya, berasal dari berikut ini:
a. Downloads seperti program file sharing, sistem utilitas, permainan, wallpaper,
screensaver, musik, dan video
b. Situs web yang secara diam-diam men-download spyware. Ini disebut drive by
downloading
c. Seorang hacker menggunakan lubang keamanan pada web dan perangkat lunak
lainnya
d. Malware yang menyamar sebagai software antispyware keamanan
e. Sebuah worm atau virus

f. Jaringan

wireless

publik.

Pada

Kinko

di

Manhattan,

seorang

karyawan

mengumpulkan data yang diperlukan untuk membuka rekening bank dan mengajukan
permohonan kartu kredit atas nama orang-orang yang menggunakan jaringan wireless
Kinko ini
Spyware merupakan hal yang sangat bermasalah bagi perusahaan dengan karyawan
yang berkomunikasi atau jarang mengakses jaringan. Spyware pada komputer ini merekam
interaksi jaringan pengguna, menyalin data perusahaan, dan memperkenalkan spyware ke
seluruh organisasi.
Adware adalah spyware yang muncul pada iklan banner di monitor, mengumpulkan
informasi tentang pengguna Web surfing dan kebiasaan belanja, dan meneruskannya kepada
pencipta adware.

Bab 7
PENGANDALIAN DAN SISTEM INFORMASI AKUNTANSI
A.

PENDAHULUAN

Satu ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik,
seperti kebakaran, panas yang berlebihan, banji, gempa bumi, badai, angin, dan perang.
Bencana yang tidak diprediksi dapat secara keseluruhan menghancurkan system informasi
yang menyebabkan kejatuhan sebuah system informasi

Mengapa Ancaman-ancaman SIA Meningkat?

Beberapa alasan atas peningkatan masalah keamanan adalah sebagai berikut :
a. Peningkatan jumlah system klien/server (client/server system) memiliki atri bahwa
informasi tersedia bagi para pekerja yang tidak baik. Computer dan server tersedia
dimana-mana, terdapat PC di sebagian besar desktop, dan computer laptop tersedia di
tempat umum. Chervon Texaco, contohnya, memiliki lebih dari 35.000 PC.
b. Tekanan atas produktivitas dan biaya membuat pihak manajemen melepas ukuran-ukuran
pengendalian yang memakan waktu.
Mengapa Pengendalian dan Keamanan Komputer Penting
Sebagai seorang akuntan, anda harus memahami bagaimana cara melindungi system-sistem
dari ancaman-ancaman yang mereka hadapi. Potensi adanya kejadian atau kegiatan yang
tidak diharapkan yang tidak dapat membahayakan baik SIA maupun organisasi, disebut
sebagai ancaman (threat). Potensi kerugian dalam bentuk uang yang terjadi apabila sebuah
ancaman yang benar-benar terjadi, disebut sebagai pajanan (exposure) ancaman, sedangkan
kemungkinan terjadinya ancaman disebut sebagai risiko yang berhubungan dengan ancaman.

B.

IKHTISAR KONSEP PENGENDALIAN

Pengendalian Internal (internal control) adalah rencana organisasi dan metode bisnis

yang dipergunakan untuk menjaga asset, memberikan informasi yang akurat dan andal,
mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian
dengan kebijakan yang telah ditetapkan.
Struktur Pengendalian Internal (internal control structure) terdiri dari kebijakan
dan procedure yang dibuat untuk memberikan tingkat jaminan yang wajar atas pencapaian
tujuan tertentu organisasi. Pengendalian internal melaksanakan tiga fungsi penting yaitu :
a. Pengendalian untuk pencegahan (preventive control) mencegah timbulnya suatu
masalah sebelum mereka muncul.
b. Pengendalian untuk pemeriksaan (detective control) dibutuhkan untuk mengungkap
masalah begitu masalah muncul.
c. Pengendalian korektif (corrective control) memecahkan masalah yang ditemukan
oleh pengendalian untuk pemeriksaan.

Pengendalian sering kali dipisahkan dalam 2 kategori :

Pengendalian umum (general control) : memastikan lingkungan pengendalian sebuah

organisasi stabil dan dikelola dengan baik

Pengendalian aplikasi (application control) : mengubah, mendeteksi, dan mengoreksi

kesalahan transaksi serta penipuan didalam program aplikasi
Robert simon, seorang profesor bisnis harvard, telah menganut 4 kaitan pengendalian
untuk membantu manajemen menyelesaikan konflik diantara kreatifitas dan pengendalian:
a.

Sebuah sistem batas : membantu pegawai bertindak secara etis dengan membangun

b.

batas-batas dalam perilaku kepegawaian

Sebuah sistem kepercayaan : menjelaskan cara sebuah perusahaan menciptakan nilai,

c.

membantu pegawai memahami visi manajemen

Sebuah sistem pengendalian diagnostic : mengukur, mengawasi dan membandingkan

d.

perkembangan perusahaan akrual berdasarkan anggaran dan tujuan kinerja

Sebuah sistem pengendalian interaktif : membantu manajer untuk memfokuskan
perhatian bawahan pada isu-isu strategis utama dan lebih terlibat didalam keputusan
mereka
Ikhtisar dari konsep pengendalian adalah sebagai berikut:

1.

Meningkatnya Korupsi Asing Dan Sarbanes-Oxley Acts

Pada 1977, foreign corrupt practices act (FCPA) dikeluarkan untuk mencegah

perusahaan menyuap pejabat asing agar mendapatkan bisnis. Padsa akhir 1990 dan awal 2000
terdapat penipuan akuntansi di enron, WorldCom, Xerox dll, ini adalah kebangkrutan terbesar
sepanjang sejarah amerika. SOX merupakan undang-undang beriorientasi bisnis yang paling
penting dalam 80 tahun terakhir. Undang-undang ini mengubah cara dewan direksi dan
manajemen beroprasi serta memiliki dampak yang kuat tehadap CPA yang mengaudit mereka
. berikut beberapa aspek terpenting SOX :
a.
Public company accounting oversight board (PCAOB)
b.
Aturan-aturan baru bagi oara auditor
c.
Peran baru bagi komite audit
d.
Aturan baru bagi para manajemen
e.
Ketentuan baru pengendalian internal.
Setelah SOX dikeluarkan, SEC memerintahkan bahwa manajemen harus

Mendasarkan evaluasinya pada kerangka pengendalian yang berlaku

Mengungkap semua kelemahan pengendalian internal material
Menyimpulkkan bahwa sebuah perusahaan tidak memiliki pengendalian internal

pelaporan keuangan yang efektif jika terdapat kelemahan material

C.

KERANGKA PENGENDALIAN
Ada tiga kerangka yang digunakan untuk mengembangkan sistem pengendalian

internal.
1.

Kerangka Cobit
Controlo Objektivies for Information and Related Technology ( COBIT) adalah sebuah

kerangka keamanan dan pengendalian yang memungkinkan :

(1) manajemen untuk membuat tolo ukur prakti-praktik keamanan dan pengendalian
lingkungan TI
(2) para pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang
memadai

dan

(3)

para

auditor

memperkuata

opini

pengendalian

internal

dan

mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.

COBIT 5 merupakan sebuaha kerangka komprehensif yang membantu perusahaan
mencapai tujuan tata kelola dan manajemen. Adapun COBIT 5 ini didasarkan pada lima
prinsip utama tata kelola dan manajemen, yaitu :
a.
Memenuhi keperluan pemangku kepentingan
b.
Mencakup perusahaan dari ujung ke ujung
c.
Mengajukan sebuah kerangka terintegrasi dan tunggal
d.
Memungkinkan pendekatan holistic
e.
Memisahkan tata kelola dari manajemen
Tujuan tata kelola adalah menciptakan nilai dengan mengoptimalkan penggunaan
sumber daya organisasi untuk menghasilkan manfaat yang diinginkan dengan cara yang
secara efektif mengatasi resiko. Dalam hal ini yang bertanggung jawab adalah dewan direksi
yang (1) mengevaluasi keperluan pemangku kepentingan untuk menindikasikan tujuan, (2)
memberikan arahan bagi manajemen dengan memprioritaskan tujuan, dan (3) mengawasi
kinerja manajemen.
Manajemen bertanggung jawab atas perencanaan, pembangunan, pelaksanaan dan
pengawasan. Aktivitas serta proses yang digunakan oleh organisasi untuk mengejara tujuan
atau tujuan yang ditetapkan dewan direksi.
2.

Kerangka Pengendalian Internal COSO

Committee of Sponsoring Organization (COSO) merupakan sebuah kelompok sektor

swasta yang terdiri atas Asosiasi Akuntansi Amerika, AICPA, Ikatan Auditor internal, Ikatan
Akuntan Manajemen, dan Ikatan Eksekutif Keuangan. IC merupakan sebuah kerangka COSO

yang menjelaskan pengendalian internal dan memberikan panduan untuk mengevaluasi dan
meningkatkan system pengendalian internal..
3.

Kerangka Manajemen Risiko Perusahaan COSO

Kerangka ERM (Enterprise Risk Management)- adalah proses yang digunakan oleh

dewan direksi dan manjemen untuk mengatur strategi, mengidentifikasi kejadian yang
mungkin memengaruhi entitas, menilai dan mengelola risiko, serta memnyediakan jaminan
mamadai bahwa perusahaan mencapai tujuan dan sasarannya. Prinsip-prinsip dasar di balik
ERM adalah sebagai berikut :
a. Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.
b. Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima
sat menciptakan nilai.
c. Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu
secara negatif memngaruhi kemampuan perusahaan untuk menghasilkan atau
mempertahankan nilai.
d. Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa sesuatu
secara positif memengaruhi kemampuan perusahaan untuk menghasilkan atau
mempertahankan nilai.
e. Kerangka ERM dapat

memngelola

ketidakastian

serta

menciptakan

dan

mempertahankan nilai.
4.

Kerangka Manajemen Risiko Perusahaan Versus Kerangka Pengendalian Internal

Kerangka IC untuk mengevaluasi pengendalian internal, seperti yang ditentukan oleh

SOX. Kerangka ERM yang lebih komprehensif menggunaka pendekatan berbasis risiko
daripada berbasis pengendalian. ERM menembahkan tiga (3) elemen tambahan ke kerangka
IC COSO
a. penetapan tujuan
b. pengidentifikasian kejadian yang mungkin memengaruhi perusahaan
c. pengembangan sebuah respons untuk risiko yang dinilai. Hasilnya, pengendalian
bersifat fleksibel dan relevan karena mereka ditautkan dengan tujuan organisasi
terkini.
D.

LINGKUNGAN INTERNAL
Lingkungan internal (internal inviroment), atau budaya perusahaan, memengaruhi,

cara organisasi menetapkan strategi dan tujuannya, membuat struktur aktivitas bisnis dan
mengidentifikasi, dan menilai, serta merespons risiko. Sebuah lingkungan internal mencakup
hal-hal sebagai berikut :

a.

Filosofi manajemen, gaya pengoperasian, dan selera risiko

Semakin bertanggung jawab filosofi dan gaya pengoperasian manajemen, serta makin

jelas mereka berkomunikasi, maka semakin besar kemungkinan para pegawai akan bertindak
dengan tanggung jawab.
b.

Komitmen terhadap intgritas, nilai etis, dan kompetensi

Perusahhan mendukung integritas dengan
Mengajarkan dan mensyaratkannya secara aktif sebagai contoh menekankan
bahwa laporan yang jujur lebih penting daripada laporan yang disukai.
Menghindari pengharapan atau intensif yang tidak realistis, sehingga
memotivasi tindakan dusta atau illegal, seperti praktik penjualan yang
terlampau agresif, taktik negosiasi yang tidak wajar atau tidak etis, dan
pemberian bonus yang berlebihan berdasarkan hasil keuangan yang dilaporkan
Memberikan penghargaan atas kejujuran serta memberikan label verbal pada
perilaku jujur dan tidak jujur secara konsisten.
Mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit

perilaku-perilaku jujur dan tidak jujur.

Mewajibkan pegawai untuk melaporkan pegawai tindakan tidak jujur atau

illegal dan mendisiplinkan pegawai yang diketahui tidak melaporkannya.

Membuat sebuah komitmen untuk kompetensi.
c.

Pengawasan pengendalian internal oleh dewan direksi

Dewan direksi yang terlibat mewakili pemangku kepentingandan memberikan

tinjauan independen manajemen yang bertindak seperti sebuah pengecekan dan

penyeimbangan atas tindakan tersebut.
d.

Struktur organisasi
Aspek-aspek penting dari struktur organisasi menyertakan hal-hal sebagai berikut.

Sentralisasi atau deesntralisasi wewenang.

Hubungan pengarahan atau matriks pelaporan
Organisasi berdasarkan industry, lini produk, lokasi atau jaringan pemasaran.
Bagaimana alokasi tanggung jawab memengaruhi ketentuan informasi.
Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi
system inform
Ukuran dan jenis aktivitas perusahaan.

e.

Metode penetapan wewenang dan tanggung jawab

Wewenang dan tanggung jawab ditetapkan dan dikomunikasikan menggunakan

deskripsi pekerjaan formal, pelatihan pegawai, jadwal pengoperasian, anggaran, kode etik
serta kebijakan dan prosedur tertulis.
f.

Standar SDM yang menarik, mengembangkan, dan mempertahankan individu yang

kompeten
Kebijakan SDM dan praktik-praktik yang mengatur kondisi kerja, insentif pekerjaan,

dan kemajuan karier dapat menjadi kekuatan dalam mendorong kejujuran, efisiensi dan,
layanan yang loyal.
g.

Pengaruh eksternal
Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek,

financial accounting standars board (FASB), PCAOB, dan SEC. mereka juga menyertakan
persyaratan yang dipaksakan oleh badan-badan regulasi, seperti bank, utilitas, dan perusahaan
asuransi.
E.

PENETAPAN TUJUAN

1.

Tujuan Strategis (strategic objective)

Tujuan strategis merupakan sasaran tingkat tinggi yang disejajarkan dengan misi

perusahaan, mendukungnya serta menciptakan nilai pemegang saham.

2.
Tujuan Operasi (operation objective)
Tujuan operasi yaitu, berhubungan dengan efektifitas dan efesiensi operasi
Perusahaan, menentukan cara pengelokasian sumber daya.
3.
Tujuan Pelaporan (reporting objective)
Tujuan pelaporan membantu memastikan ketelitian, kelengkapan, dan keterandalan
laporan perusahaan, meningkatkan pembuatab keputusan, dan mengawasi aktivitas serta
kinerja perusahaan.
4.
Tujuan Kepatuhan (compliance objective)
Tujuan kepatuhan membantu perusahaan mematuhi seluruh hokum dan peraturan
yang berlaku.

F.

IDENTIFIKASI KEJADIAN
Committee of Sponsoring Organizasion (COSO) mengidentifikasi kejadian (event)

sebagai sebuah insiden atau peristiwa yang berasal dari sumber-sumber internalatau eksternal

yang memengaruhi implementasi strategi atau pencapaian tujuan, yang mungkin memiliki
dampak positif atau dampak negative atau bahkan keduanya.
Perusahaan menggunakan beberapa teknik untuk mengidentifikasi kejadian termasuk
penggunaan sebuah daftar komprehensif dari kejadian potensial, pelaksanaan sebuah analisis
internal, pengawasan kejadian-kejadian yang menjadi penyebab dan titik-titik pemicu,
pengadaan seminar dan wawancara, penggunaan data mining, dan penganalisisan prosesproses bisnis.
G.

PENILAIAN RISIKO DAN RESPONS RISIKO

Dalam hal penilaian resiko, seharusnya menyertakan sebuah penilaian atas semua

ancaman, termasuk bencana alam dan politisi. Dampak risiko dapat dinilai dengan
menggunakan salah satu dari keempat cara dibawah ini:
a.
b.
c.
d.

Mengurangi
Menerima
Membagikan
Menghindari
Langkah pertama adalah identifikasi kejadian.

1.

Memperkirakan kemungkinan dampak

Kemungkinan dan dampak harus

dipertimbangkan

bersamaan.

Hal

yang

kemungkinannya terjadi besar kadang menimbulkan dampak yang tidak terlalu besar dan
tidak mengancam eksistensi perusahan seperti penipuan..
2.
Mengidentifikasi pengendalian
Manajemen harus mengidentifikasi pengendalian yang melindungi pengendalian dari
setiap kejadian. Pengendalian preventif biasanya superior dibandingkan pengendalian
detektif.
3.
Memperkirakan biaya dan manfaat
Tidak ada pengendalian internal yang memberikan perlindungan sangat mudah
terhadap seluruh kejadian, karena memiliki banyak sekali pengendalian membutuhkan biaya
yang besar dan secara negative mempengaruhi efesiensi operasional
4.
Menentukan efektivitas biaya/manfaat
Manajemen harus menentukan apakah sebuah pengendalian merupakan biaya
menguntungkan. Dalam mengevaluasi pengendalian internal, manajemen harus lebih
mempertimbangkan factor-faktor yang lain dari pada factor-faktor yang ada didalam
perhitungan biaya/manfaat yang diperkirakan.
5.
Mengimplementasikan pengendalian atau menerima, membagi, atau menghindari
resiko

Pengendalian biaya efektif harus diimplementasikan untuk mengurangi risiko. Risiko

yang tidak dikurangi harus diterima, dibagi atau dihindari. Risiko dapat diterima jika ia
berada dalam jangkauan toleransi risiko perusahaan.
H.

AKTIVITAS PENGENDALIAN
Aktivitas pengendalian adalah kebijakan , prosedur dan aturan yang memberikan

jaminan memadai bahwa tujuan pengendalian telah dicapai dan respon risiko di lakukan.
Manajemen harus memastikan bahwa:
a.

Pengendalian dipilih dan dikembangkan untung membantu dan mengurangi risiko

b.
c.

hingga level yang dapat di terima.

Pengendalian umum yang sesuai di pilih dan di kembangkan melalui teknologi.
Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan
prosedur perusahaan yang telah di tentukan.
Prosedur pengendalian dilakukan dalam kategori berikut:

1.

Otoritas Transaksi Dan Aktivitas Yang Tepat

manajemen menetapkan kebijakan kepada pegawai untuk diikuti dan kemudian

memperdayakan mereka. Pemberdayaan ini di sebut otoritas, yang merupakan prosedur

pengendalian

penting,

otoritas

sering

didokumentasikan

dengan

tandatangan,

penginisialisasian dan memasukan sebuah kode otoritasi pada sebuah dokumen atau catatan.
2.
Pemisah Tugas
Pengendalian internal yang baik mensyarakan tidak ada satu pawaipun diberi
tanggungjawab yang terlalu banyak atas transaksi atau bisnis. Pemisahan tugas dibahas dalam
dua sesi yang berbeda:
a.
Pemusahan tugas akuntansi (otoritas, pencatatan, dan penyimpanan)
b.
Pemisahan tugas system

3.

Administrator system
Manajemen jaringan
Manajemen keamanan
Manajemen perubahan,
Pengembangan proyek dan pengendalian akuisisi
Memiliki metodologi merupakan hal penting untuk mengatur pengambangan, akuisisi,

implementasi

dan

memelihara

system

informasi.

Metodologi

harus

mengandung

pengendalian yang tepat untuk persetujuan manajemen. Pengandalian pengambangan system

yang openting meliputi hal hal berikut:
a.
Sebuah komite pengarahan,
b.
Sebuah rencana induk strategis,

c.
d.
e.
f.
4.

Sebuah rencana pengembangan proyek,

Sebuah jadwal pengelolaan data,
Pengukuran kinerja system,
Sebuah tujuan paska implementasi

Mengubah pengendalian manajemen

Organisasi memodifikasi system yang berjalan untuk merefleksikan praktik praktik

bisnis baru dan untuk memanfaatkan penggunaan TI.

5.
Mendesain dan menggunakan dokumen dan catatan
Desain dan penggunaan dokumen elektronik dan kertas yang sesuai dapat membantu
memastikan pencatatan yang akurat serta lengkap dari seluruh data transaksi yang relefan.
6.
Pengamatan aset, catatan, dan data
Sebuah perusahaan harus melindungi kas dan aset fisik beserta informasinya, para
pegawai merupakan resiko keamanan yang paling besar di bandingkan orang luar, mereka
mampu menyembunyikan tindakan illegal dengan lebih baik, karena mereka mengetahui
system dengan baik. Para pegawai juga menyebabkan ancaman yang tidak di sengaja. Hal hal
tersebut dapat menyebabkan jaringan rusak sehingga tidak berfungsinya perangkat keras dan
lunak, serta rusaknya data.
7.
Pengecekan kinerja dan independensi
Pengecekan kinerja yang independen, dilakukan oleh seseorang, tapi bukan orang
yamg melakukan oprasi lainnya, membantu memastikan bahwa transaksi di proses dengan
tepat. Pengecekan kinerja yang independen ini meliputi:
Tujuan

tingkat

atas,

manajemen

harus

mengawasi

hasil

perusahaan

dan

membandingkan kinerja perusahaan secara priodik.

Tinjauan analisis, sebuah pemeriksaan hubungan antara aset aset data yang berbeda.
Rekonsiliasi catatan catatan yang di kelola secara independen.
Akuntansi double entri
Tinjauan independen, setelah sebuah transaksi di proses, orang ke dua meninjau
pekerjaan orang pertama, mengecek otoritas yang semestinya, menuinjai dokumen
pendukung, dan mengecek ketetapan harga, kualitas, serta ekstensi.

I.

INFORMASI DAN KOMUNIKASI

Tujuan utama dari system informasi akuntansi (SIA) adalah untuk mengumpulkan,

mencatat, memproses, menyimpan meringkas dan mengkomunikasikan informasi sebuah

organisasi. Kerangka IC yang diperbarui memerinci bahwa tiga prinsip berikut berlaku
didalam proses informasi dan komunikasi:
Mendapatkan atau menghasilkan informasi yang relevan dan berualitas tinggi untuk
mendukung pengendalian internal.

 Mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab

yang diperlukan untuk mendukung komponen-komponen lain dari pengendalian
internal.
Mengkomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-pihk
eksternal.
J.

PENGAWASAN
Metode-metode pengawasan kinerja adalah sebagai berikut:

1.

Menjalankan Evaluasi Pengendalian Internal

Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal atau

evaluasi penilaian diri.

2.
Implementasi Pengawasan Yang Efektif
Pengawasan yang efektif melibatkan melatih dan mendampingi pegawai, mengawasi
kinerja mereka, mengoreksi kesalahan, dan mengawasi pegawai yang memiliki akses
terhadap asset.
3.
Menggunakan Sistem Akuntansi Pertanggungjawaban
System akuntansi pertanggungjawaban meliputi anggaran, kuota, jadwal, biaya
standar, dan standar kualitas; perbandingan laporan kinerja aktual dan yang direncanakan;
dan prosedur untuk menyelidiki serta mengoreksi varians yang signifikan.
4.
Mengawasi Aktivitas Sistem
Paket perangkat lunak analisis dan manajemen risiko meninjau ukuran-ukuran
keamanan komputer dan jaringan, mendeteksi akses illegal, menguji kelemahan dan
kerentanan, melaporkan kelemahan yang ditemukan, dan menyarankan perbaikan.perngkat
lunak juga mengawasi dan melawan virus, spyware, adware, spam, phishing, dan e-mail yang
tidak pantas.
5.

Melacak Perangkat Lunak Dan Perangkat Bergerak Yang Dibeli

Perusahaan harus melakukan audit perangkat lunak secara periodik. Harus ada lisensi

yang cukup untuk seluruh pengguna dan pengguna harus diinformasikan mengenai
konsekuensi penggunaan perangkat lunak yang tidak berlisensi.
6.
Menjalankan Audit Berkala
Para auditor harus menguji pengendalian sistem secara reguler dan menelusuri file
penggunaan sistem untuk mencari aktivitas mencurigakan secara periodik.
7.
Mempekerjakan Petugas Keamanan Komputer dan Chief Cimpliance Officer (CSO).
Seorang CSO bertugas atas keamanan system, independen dari fungsi system
informasi, dan melapor kepada chief operating officer (COO) atau CEO.
8.
Menyewa Spesialis Forensik

Para spesialis forensik komputer menemukan, mengekstrasi, mengamankan, dan

mendokumentasikan bukti komputer seperti keabsahan, akurasi, dan integrasi bahwa tidak
akan menyerah pada tantangan-tantangan hukum.
9.
Memasang Perangkat Lunak Deteksi Penipuan
Para penipu mengikuti pola-pola yang berbeda dan meninggalkan petunjuk yang
dapat dilacak dengan perangkat lunak deteksi penipuan.
10. Mengimplementasikan Hotline Penipuan
Sebuah hotline penipuan merupakan cara yang efektif untuk mematuhi hukum dan
menyelesaikan konflik.

BAB 8
PENGENDALIAN UNTUK KEAMANAN IFORMASI
A.

PENDAHULUAN
Trust Service Framework yang dikembangkan oleh AICPA dan CICA membagi

pengendalian terkait IT ke dalam 5 prinsip yang berkontribusi dalam keandalan suatu sistem
yaitu:

1. Security akses (baik fisik maupun logical) terhadap sistem dan data dikendalikan
dan dibatasi hanya kepada pengguna yang sah
2. Confidentiality informasi organisasi yang sensitif dilindungi dari pengungkapan
yang tidak berhak
3. Privacy informasi personal terkait pelanggan, karyawan, suplier atau partner bisnis
hanya digunakan dalam hal kepatuhan terhadap kebijakan internal dan persayaratan
aturan eksternal dan dilindungi dari pengungkapan yang tidak sah
4. Processing integrity data diproses secara akurat, lengkap dan hanya dengan otorisasi
yang sah
5. Availability sistem dan informasinya tersedia bagi kebutuhan operasional dan
kewajiban kontraktual

B.

DUA KONSEP DASAR MENGENAI KEAMANAN INFORMASI

Kemanan adalah isu manajemen, bukan hanya isu teknologi.
Ada 4 tahap siklus hidup dari keamanan yaitu:
1. Menilai ancaman-ancaman keamanan informasi yang dijumpai oleh perusahaan dan
menentukan respon yang tepat.
2. Mengembangkan kebijakan keamanan informasi dan mengkomunikasikan ke seluruh
karyawan
3. Memperoleh dan menerapkan solusi-solusi atau instrumen-instrumen teknologi
khusus.
4. Memantau kinerja secara reguler untuk mengevaluasi efektivitas program kemanan
informasi organisasi.

Keamanan Informasi dengan Pertahanan Bertingkat dan Model Berbasis Waktu

Konsep dari Pertahanan Bertingkat (defense-in-depth) adalah menempatkan
pengendalian berlapis untuk menghindari kegagalan pada area tertentu. Misalnya organisasi
tidak hanya menggunakan firewalls tapi juga metode otorisasi berganda (password, tokens
dan biometrik) untuk membatasi akses terhadap sistem informasi.
Tujuan dari Kemanan Model Berbasis Waktu (time-based model of security)
adalah untuk menempatkan suatu kombinasi dari pengendalian pencegahan, deteksi, dan
koreksi yang akan melindungi aset informasi cukup lama sehingga memungkinkan organisasi
untuk mengenali bahwa sebuah serangan sedang terjadi dan mengambil langkah untuk
menghalanginya sebelim terjadi kerugian atau kerusakan. Tujuan pengendalian ini dapat
dirumuskan sebagai berikut:
P= waktu yang dibutuhkan penyerang untuk menembus pengendalian pencegahan
suatu organisasi
D= waktu yang dibutuhkan untuk mendeteksi serangan yang sedang berlangsung
C= waktu yang dibutuhkan untuk merespon serangan dan melakukan tindakan koreksi
Apabila P>D+C maka prosedur keamanan suatu organisasi tersebut efektif.
C.

MEMAHAMI SERANGAN YANG DITARGETKAN

Beberapa tahapan dasar kriminal untuk menyerang sistem informasi organisasi
1. Melakukan pengintaian
2. Mengusahakan teknik sosial/psikologi yaitu dengan melakukan penipuan terhadap
korban
3. Mengamati dan memetakan target menggunakan alat-alat elektronik
4. Penelitian, setelah memahami sistem dan sofware si target, selanjutnya penyerang
akan meneliti lebih lanjut mengenai kelemahan dan kerentanan sistem
5. Melakukan penyerangan dengan mengambil keuntungan dari kelemahan sistem yang
ada
6. Melindungi jejaknya dan mencari cara belakang untuk menembus sistem supaya kalau
cara yang pertama ketahuan.

D.

PENGENDALIAN PREVENTIF
Manusia: Menciptakan budaya sadar akan keamanan
Untuk menciptakan budaya sadar akan keamanan, manajemen seharusnya tidak hanya

mengkomunikasikan kebijakan-kebijakan tetapi harus memberikan contoh kepada para

karyawan.
Manusia: Pelatihan
Karyawan harus memahami bagaimana mematuhi kebijakan keamanan perusahaan.
Oleh karena itu pelatihan adalah pengendalian pencegahan yang baik bahkan begitu
pentingnya.
Proses: Pengendalian Akses Pengguna
COBIT 5 mempraktekkan DSS05.04 yang terdiri dari dua tipe pengendalian akses
pengguna yang saling berhubungan namun berbeda yaitu:
1. Pengendalian pembuktian keaslian yaitu suatu proses memverifikasi identitas dari
seseorang atau perangkat yang mengakses suatu sistem. Ada 3 tipe surat/cara untuk
memverifikasi seseoarang yaitu:
a. Sesuatu yang diketahui yaitu password atau PIN
b. Sesuatu yang dimiliki yaitu id card atau smart card
c. Suatu karakteristik fisik atau perilaku (disebut juga biometric identifier)
seperti fingerprint atau typing patterns.
2. Pengendalian kewenangan (otorisasi) yaitu proses membatasi akses bagi pengguna
yang berhak pada bagian tertentu saja dari sebuah sistem dan membatasi tindakan apa
yang diizinkan untuk bisa dilakukan
Solusi IT: Pengendalian menggunakan Antimalware
Malware (seperti virus, worms, trojan, software keystroke logging) adalah ancaman
utama. Malware dapat merusak dan menghancurkan informasi atau menyediakan akses ilegal.
Oleh karena itu COBIT 5 secara khusus merekomendasikan:
1.
2.
3.
4.
5.

Pendidikan kesadaran akan software yang mengganggu

Pemasangan alat perlindungan anti malware pada semua perangkat
Manajemen yang terpusat untuk patches dan updatenya bagi software antimalware
Reviu secara reguler terhadap ancaman malware baru
Memfilter lalu lintas data untuk membentengi dari sumber-sumber yang berpotensi

membawa malware
6. Pelatihan karyawan supaya tidak menginstall software gratisan atau ilegal.
Solusi IT: Pengendalian terhadap Akses Jaringan

Kebanyakan organisasi menyediakan akses jarak jauh untuk mengakses sistem

informasi bagi karyawan, pelanggan, dan suplier. Biasanya akses ini menggunakan fasilitas
internet, tetapi beberapa organisasi masih mengelola jaringan pribadi mereka atau
menyediakan akses dial-up melaluui modem.

Lingkaran pertahanan: Routers, Firewalls, and Intrusion Prevention Systems

Menggunakan pertahanan bertingkat untuk membatasi akses jaringan.

Penggunaan beberapa perangkat perimeter berlapis akan lebih efisien dan efektif dari
pada menggantungkan pada satu perangkat.
Mengamankan koneksi dial-up
Beberapa perusahaan masih mengizinkan karyawan untuk mengakses dari jauh
jaringan organisasi melalui modem. Sangat penting untuk memverifikasi identitas dari
pengguna yang memperoleh akses dial up. Mengamankan akses wireless
Beberapa perusahaan juga menyediakan akses nirkabel untuk sistem informasinya.
Akses nirkabel menyediakan peluang terhadap serangan dan memperluas lingkup pertahanan
yang harus dilindungi. Berikut ini prosedur yang perlu diikuti untuk memperoleh akses
wireless yang memiliki keamanan secara memadai yaitu:

1. Menghidupkan fitur-fitur keamanan yang tersedia

2. Memastikan keaslian semua peragkat yang digunakan untuk mengakses jaringan
wireless sebelum memberi mereka IP address
3. Mengatur semua perangkat wireless yang sah untuk mengoperasikan hanya dalam
mode infrastruktur, dimana memaksa perangkat untuk tersambung hanya pada
wireless access point.
4. Menggunakan nama-nama yang tidak informatif bagi alamat access point, biasa kita
sebut SSID (service set identifier). Contohnya adalah A1 atau X1 bukan Gaji,
Keungan atau R&D.
5. Mengurangi kekuatan broadcast dari access point, meletakkannya didalam gedung
dan menggunakan directional antena untuk membatasi pengguna yang ilegal.
6. Mengenkripsi semua lalu lintas jaringan nirkabel.
Solusi IT: Pengendalian mengenai Penguatan Perangkat dan Software
COBIT 5 menjelaskan aktivitas yang terlibat dalam mengelola keamanan endpoint.
(Endpoint adalah istilah untuk sekumpulan workstations, servers, printer dan perangkat lain
yang terhubung pada jaringan organisasi). Terdapat 3 area yang perlu mendapat perhatian
khusus yaitu:
1. Konfigurasi endpoint
Endpoints dapat dibuat lebih aman dengan cara memodifikasi konfigurasinya. Setiap
program yang berjalan mempunyai potensi untuk menerima serangan disebut dengan
vulnerabilities. Oleh karena itu program atau fitur yang tidak berguna dapat
dinonaktifkan terutama yang rentan terhadap serangan.
2. Manajemen akun pengguna
COBIT 5 menekankan pada kebutuhan akan mengelola semua user acoount secara
hati-hati, khususnya akun-akun yang mempunyai hak tak terbatas (administrative
account) dalam komputer.
3. Desain software
COBIT 5 memfokuskan kebutuhan akan mendesain keamanan secara hati-hati
terhadap seluruh aplikasi dan seksi APO10 melakukan best practices untuk mengelola
risiko terkait software yang dibeli.
Solusi IT: Enkripsi
Enkripsi menyediakan lapisan/tingkatan akhir yang menyediakan pertahanan untuk
mencegah akses ilegal terhadap informasi penting dan sensitif.
Keamanan Fisik: Pengendalian terkait Akses
COBIT 5 menggambarkan best practices dalam hal pengendalian terkait akses fisik.
Pengendalian akses fisik dimulai dengan entry point dari bangunan itu sendiri.

Pengendalian dan Manajemen dalam Perubahan

Change controls and change management adalah proses formal yang digunakan untuk
memastikan bahwa modifikasi terhadap hardware, software atau proses tidak akan
mengurangi keandalan sebuah sistem.
Karakteristik dari proses change control dan change management yang baik adalah:
1. Mendokumentasikan seluruh permintaan perubahan
2. Mendokumentasikan seluruh permintaan perubahan yang disetujui oleh manajemen
yang berwenang
3. Menguji seluruh perubahan dalam sistem yang terpisah
4. Pengendalian terhadap konversi perubahan yang telah dilakukan untuk memastikan
keakuratan dan dan kelengkapan data yang ditransfer dari sistem lama ke sistem baru
5. Memutakhirkan seluruh proses dokumentasi untuk merefleksikan perubahan baru
yang diterapkan.
6. Proses khusus seperti reviu, persetujuan dan dokumentasi dari perubahan darurat
harus segara dilaksanakan
7. Pengembangan dan pendokumentasian rencana backout untuk memfasilitasi
mengembalikan ke konfigurasi semula jika perubahan baru tidak sesuai harapan
8. Memantau dan mereviu hak-hak user selama proses perubahan untuk memastikan
E.

pemisahan tanggung jawab dikelola dengan baik.

PENGENDALIAN DETEKSI
Pengendalian preventif

tidak akan pernah dapat 100% efektif dalam menangkal

seluruh serangan. Oleh karena itu COBIT 5 menjelaskan aktivitas yang suatu organisasi juga
perlukan untuk memungkinkan deteksi terhadap masalah dan gangguan. Empat tipe dari
pengendalian deteksi adalah sebagai berikut:
1. Log analysis
Yaitu proses menguji logs untuk mengidentifikasi bukti-bukti dari kemungkinan
serangan
2. Intrusion detection systems (IDS)
Yaitu sistem yang membuat logs dari semua lalu lintas jaringan yang diizinkan untuk
melalui firewall kemudian menganalisa logs tersebut terhadap jejak atau gangguan
yang berhasil.
3. Penetration testing
Yaitu percobaan untuk menembus sistem informasi organisasi.
4. Monitoring berelanjutan
Yaitu memantau secara berkelanjutan terkait kepatuhan karyawan terhadap kebijakan
keamanan informasi organisasi dan kinerja proses bisnis secara keseluruhan.
F.

PENGENDALIAN KOREKSI

COBIT 5 menjelaskan, organisasi juga memerlukan prosedur untuk mengusahakan

tindakan koreksi secara tepat waktu. Pengendalian korektif yang penting utamanya adalah
sebagai berikut:
1. Mengembangkan sebuah tim yang menangani insiden komputer atau computer
incident response team (CIRT)
CIRT adalah tim yang bertanggung jawab menyelesaikan masalah keamanan utama
komputer. CIRT memimpin organisasi dalam hal penanganan masalah keamanan
dengan empat tahap yaitu:
a. Pengakuan bahwa masalah sedang terjadi
b. Meminimalisir masalah
c. Recovery
d. Tindak lanjut. Ketika dalam proses recovery, CIRT memberikan analisis
bagaimana insiden terjadi
2. Mempekerjakan kepala keamanan informasi atau chief information security (CISO).
Hal ini penting bagi perusahaan untuk memberikan tanggung jawab terhadap
keamanan informasi kepada sesorang pada tingkat manajemen yang sesuai.
3. Mengembangkan dan menerapkan sistem manajemen pemutakhiran komputer.
Patch management adalah proses yang secara reguler memutakhirkan software. Hal
ini dilakukan untuk mengatasi exploit. Exploit adalah program yang didesain untuk
mengambil keuntungan dari kelemahan sistem.

G.

DAMPAK KEAMANAN DARI VIRTUALIZATION DAN CLOUD

Virtualization adalah menjalankan berbagai sistem secara bersamaan pada satu

komputer. Hal ini akan menerkan biaya hardware karena semakin sedikit server yang perlu
untuk dibeli. Cloud computing adalah memanfaatkan bandwith yang besar dari jaringan
telekomunikasi global yang memungkinkan karyawan menggunakan browser untuk
mengakses dari jarak jauh sebagai software untuk mengakses, perangkat untuk penyimpanan
data, hardware dan lingkungan keseluruhan aplikasi. Cloud computing dapat menghemat
biaya secara signifikann.
Virtualization dan cloud computing dapat meningkatkan risiko ancaman bagi
keamanan informasi. Dengan demikian virtualization dan cloud computing sebenarnya
mempunyai dampak positif dan negatif terhadap keamanan informasi dari keseluruhan level,
tergantung bagaimana organisasi atau cloud provider menerapkan pengendalian pencegaha,
deteksi dan koreksi secara bertingkat.

BAB 9
PENGENDALIAN KERAHASIAAN DAN PRIVASI
A.

Menjaga Kerahasiaan (confidentiality)

Manajemen mengidentifikasi informasi yang sensiif dan perlu untuk dilindungi dari
pengungkapan tidak sah.
Langkah Melindungi Kerahasiaan

1. Identifikasi dan klasifikasi

Mengidentifikasi dimana diantara informasi diletakan dan siapa yang mengakses
tersebut.
2. Penggunaan enkripsi
Enkripsi adalah suatu cara yang sangat penting dan alat yang efektif untuk
memproteksi kerahasiaan.
3. Akses Kontrol
Akses kontrol menyediakan suatu tambahan lapisan untuk memproteksi spesifik file
atau dokumen
4. Training
Karyawan harus tahu apa informasi mereka dapat share dengan orang luar dan apa
informasi yang dibutuhkan untukdiproteksi. Mereka juga harus di ajarkan bagaimana
memproteksi data rahasia.
B.

Privasi

Perbedaan dasar antara privasi dan kerahasiaan adalah privasi lebih terfokus pada
perlindungan data pribadi pelanggan daripada perlindungan pada data perusahaan.
Fokus Perhatian
a. SPAM
SPAM adalah e-mail yang berisi advertising atau offensive konten. Spam tidak hanya
mengurangi keefisiensian dari e-mail, juga bisa menimbulkan virus, worm, spyware
program, juga malware. Jadi organisasi mengatasinya, antara lain:
identitas pengirim harus secara tuntas di perlihatkan di header of message
subjek harus diidentifikasi
body message harus menyediakan dengan link yang bekerja
body of message harus mencakup postal addressyang valid
organisasi tidak tidak mengirim pesan acak
b. Identity thef, adalah penggunaan personal informasi seseorang untuk keuntungan
tertentu yang tidak bertanggung jawab
c. Privacy regulation and generally accepted privacy principles
Dibawah ini dijabarkan 10 praktek perlindungan privasi pelanggan
1. Managemen
Perusahaan membuat aturan dan prosedur untuk melindung data pelanggan.
2. Pengumuman
Sebelum pengumpulan data pribadi, perusahaan mengumumkan aturan dan prosedur,
pengumuman selambat-lambanya saat pengumpulan data.
3. Choice and Consent
Perusahaan harus menjelaskan pilihan yang ada

4. Collection
Perusahaan hanya mengumpulkan data yang sesuai kebutuhan kedua belah pihak.
5. Use and Retention
Perusahaan hanya menggunakan data pribadi sesuai aturan dan kebutuhan yang telah
disepakati
6. Acces
Perusahaan mengijinkan pelanggan mengakses data mereka untuk kepentingan
bersama
7. Disclosure to third parties
Perusahaan hanya akan memberikan data pribadi pelanggan kepada pihak ketiga
apabila dibutuhkan dan hal tersebut sesuai dengan kesepakatan
8. Security
Perusahaan mengambil langkah yang beralasan untuk melindungi data pribadi
pelanggan
9. Quality
Perusahaan mempertahankan kebenaran pada data pribadi pelanggan
10. Monitoring and Enforcement
Perusahaan melindungi data pribadi dengan memperkerjakan karyawan untuk
bertanggung jawab mengawasi data.
C.

Regulasi
Regulasi adalah mengendalikan perilaku manusia atau masyarakat dengan aturan

atau pembatasan. Regulasi dapat dilakukan dengan berbagai bentuk, misalnya: pembatasan
hukum diumumkan oleh otoritas pemerintah, regulasi pengaturan diri oleh suatu industri
seperti melalui asosiasi perdagangan, Regulasi sosial (misalnya norma), co-regulasi dan
pasar.
D.

Enskripsi
Enkripsi adalah tindakan kontrol secara preventif yang dapat digunakan melindungi

antara kerahasiaan dan privasi.

Faktor Enkripsi (panjang kunci, enkripsi alogaritma, kunci kriptografik)
Tipe Enkripsi (sistem enkripsi simetris, sistem enkripsi asimetris)
E.

Hashing
Hashing adalah proses yang mengambil plaintext panjang dan mengubahnya menjad

ikode pendek yang dipanggil hash.

F.

signatures
Digital signature adalah campuran dokumen atau file yang dienkripsi menggunakan

pembuat dokumen private key. Digital signatures menyediakan bukti tentang 2 keluaran

yakni kopi dokumen atau file tidak dapat diubah siapa yang membuat versi original dari
digital dokumen atau file.
G.

Sertifikat Digital
Sertifikat digital memiliki sepasang kunci elektonik yang bisa digunakan untuk

mengenkripsi dan menandai informasi digital. Sertifikat Digital memungkinkan untuk

memverifikasi klaim seseorang yang memiliki hak untuk menggunakan kunci yang diberikan
elektronik.

H.

Virtual Privat Network

Sebuah koneksi private melalui jaringan publik atau internet, jika menggunakan VPN

kita seolah-olah membuat jaringan di dalam jaringan atau biasa disebut tunnel.
Cara Kerja VPN
1. Dibutuhkan server yang berfungsi menghubungkan antar PC, bisa berupa komputer
dengan aplikasi VPN server atau router.
2. Komputer dengan aplikasi VPN Client mengontak Server VPN, VPN Server
kemudian memverifikasi username dan password dan apabila berhasil maka VPN
Server memberikan IP Address baru pada komputer client dan selanjutnya sebuah
koneksi / tunnel akan terbentuk.
3. Selanjutnya komputer client bisa digunakan untuk mengakses berbagai resource
(komputer atau LAN) yang berada di VPN Server.

BAB 10
PENGENDALIAN INTEGRITAS PEMROSESAN DAN KETERSEDIAAN
10.1

INTEGRITAS PEMROSESAN
Prinsip Proses Integritas menyatakan bahwa sistem yang andal adalah salah satunya

menghasilkan informasi yang akurat, komplit, tepat waktu, dan valid.

Tabel 10-1 Penerapan Pengendalian yang Dibahas dalam COBIT untuk memastikan Proses
Integritas
Tahapan Proses dan Katagori COBIT
Input:

Ancaman/Resiko
Datanya :

Pengendalian
Bentuk desain, pembatalan dan

Persiapan dan otoriasasi sumber data Tidak valid

Mengumpulkan dan memasukkan
Tidak diotorisasi
Tidak lengkap
sumber data
Tidak Akurat
Mengecek ketepatan (akurasi),
kelengkapan dan kebenaran
Proses:
Proses Integritas dan Validitas

Kesalahan
output

dan

penyimpanan

dokumen,

otorisasi dan pemisahan tugas

pengendalian, visual scanning,
pengendalian data masukan.

(eror)

pada

Pencocokan data, label berkas

data

yang

(file), jumlah kumpulan (batch),

tersimpan.

menguji penjumlahan mendatar

(cross footing), zero balance
(saldo nol), menulis mekanisme
perlindungan,

Output:
output review, rekonsiliasi dan
kesalahan penanganan

Menggunakan laporan yang

pengendalian

database proses integritas.

Meninjau kembali dan

tidak akurat atau tidak

merekonsiliasi, enkripsi dan

komplit

pengendalian akses, memeriksa

 Kebenaran dan Integritas Transaksi

Pengungkapan

tidak

sah

dari informasi sensitif

Kerugian, perubahan atau
pengungkapan

kesamaan (parity), teknik pesan

pengakuan.

informasi

dalam perjalanan

10.1.1 Pengendalian Input (Input Control)

Frase sampah masuk, sampah keluar menyoroti pentingnya pengendalian input. Jika
data yang masuk ke dalam sistem tidak akurat, tidak komplit, atau tidak valid, output yang
dihasilkan juga demikian.
BENTUK DESAIN. Dokumen-dokumen sumber dan bentuk lainnya didesain untuk
meminimalisasi peluang bagi kesalahan dan kelalaian. Dua bentuk pengendalian desain yang
sangat penting yaitu urutan pra-penomoran dokumen-dokumen sumber dan menggunakan
dokumen turnaround.
1. Setiap dokumen sumber seharusnya diberikan nomor secara berurutan
2. Dokumen Turnaround adalah record (catatan) data perusahaan yang dikirim ke pihak
eksternal dan kemudian dikembalikan oleh pihak eksternal ke sistem sebagai masukan
(input).
PEMBATALAN DAN PENYIMPANAN DOKUMEN SUMBER. Dokumen sumber yang
sudah dimasukkan ke dalam sistem harus dapat dibatalkan sehingga dokumen tersebut tidak
dapat secara tidak sengaja atau menipu (fraud) masuk kembali ke dalam sistem.
PENGENDALIAN DATA ENTRY. Dokumen-dokumen sumber harus di scan untuk
menjamin kewajaran dan kebenaran sebelum dimasukkan ke dalam sistem. Bagaimanapun,
pengendalian manual ini harus dilengkapi dengan pengendalian data entry otomatis, seperti
hal berikut:

Field Check (cek filed) menentukan apakah karakter dalam field dari jenis yang tepat..
Sign check (cek sign) menentukan apakah data dalam field memiliki tanda sesuai

aritmatika.
Limit check (cek batasan) menguji jumlah angka terhadap nilai tetap.
Range check (cek ring) menguji apakah jumlah angka jatuh diantara batas bawah dan atas

dari yang ditetapkan.

Size check (cek ukuran) memastikan bahwa data input akan cocok ke dalam filed tugas.

Completeness check (cek kelengkapan) pada setiap input yang direkam menentukan

apakah semua item data yang dibutuhkan sudah dimasukkan.

Validity check (cek validitas) membandingkan kode ID atau nomor rekening (akun) pada
transaksi data dengan data yang sama dalam file master untuk memverifikasi bahwa akun

ada.
Reasonableness check (cek kewajaran) menentukan kebenaran dari hubungan logis antara

dua item.
Nomor ID resmi (seperti nomor pekerja) dapat berisi suatu cek digit yang dihitung dari

digit lainnya.
Pengujian data entry terdahulu (preceding) digunakan dua metode yaitu batch processing
dan online real-time processing.

PENGENDALIAN TAMBAHAN ENTRI DATA PEMROSESAN BATCH

Batch processing bekerja lebih efisien jika transaksi disortir (diurutkan) sehingga akun-

akun yang terpengaruh berada pada urutan yang sama seperti rekaman dalam master file.
Error log menunjukkan review terhadap kesalahan data input (tanggal, sebab, masalah)

yang tepat waktu dan pengajuan transaksi yang tidak dapat diproses.
Batch total meringkas nilai penting untuk rekaman batch input. Berikut ini adalah tiga
batch total yang umumnya digunakan:
1. Total jumlah keuangan adalah field yang berisikan nilai-nilai moneter
2. Total jumlah Hash adalah field angka non keuangan
3. Record count adalah jumlah rekaman dalam batch.

PENGENDALIAN TAMBAHAN ENTRY DATA ONLINE

Prompting, memastikan bahwa semua data yang diperlukan dimasukkan (dengan kata lain,

prompting adalah cek kelengkapan online).

Verifikasi closed-loop memeriksa akurasi data input dengan menggunakannya untuk

mengambil dan menampilkan nama akun.

Log transaksi meliputi rician rekaman seluruh transaksi, termasuk mengidentifikasi
transaksi unik, tanggal dan waktu entry, dan siapa yang memasukkan transaksi.

10.1.2 Pengendalian Proses (Processing Control)

Pengendalian proses yang penting sebagai berikut:

Pencocokan data. Pada kasus tertentu, dua atau lebih item data harus dicocokkan terlebih
dahulu sebelum terjadinya suatu tindakan

Label file. File label membutuhkan pemeriksaan untuk memastikan bahwa file-file yang

benar di perbaharui (update).

Perhitungan ulang total batch. Batch total harus dihitung kembali sebagai setiap transaksi
yang diproses, dan total untuk batch kemudian harus dibandingkan dengan niali dalam

trailer record.
Pengujian saldo cross-footing dan saldo nol
Mekanisme write-protection. Pengendalian ini telah lama digunakan untuk melindungi

master file dari kerusakan yang tidak disengaja.

Pengendalian pembaharuan secara bersamaan (Concurrent update control). Pengendalian
update bersamaan mencegah kesalahan tersebut dengan mengunci satu pengguna sampai
sistem telah selesai memproses transaksi yang dimasukkan oleh pengguna yang lain.

10.1.3 Pengendalian Output (Output Control)

Pemeriksaan output sistem memberikan tambahan pengendalian atas proses integritas.
Berikut merupakan Pengendalian output yang penting :

Pemeriksaan pengguna terhadap output. Pengguna harus secara hati-hati memeriksa output
sistem untuk memverifikasi bahwa output tersebut layak, lengkap, dan bahwa mereka

adalah penerima yang dimaksud.

Prosedur rekonsiliasi. Secara periodik, seluruh transaksi dan update sistem lainnya harus

direkonsiliasi (dicocokan) dengan laporan pengendalian.

Rekonsiliasi data eksternal. Total database secara periodik harus direkonsiliasi (dicocokan)
dengan data yang dikelola di luar sistem.
1. Pengendalian transmisi data. Organisasi juga butuh untuk menerapkan desain
pengendalian agar memperkecil resiko kesalahan transmisi (pengiriman) data. Ada dua
pengendalian lain yang umumnya digunakan dalam transmisi data yaitu :
a. Checksums. Perangkat penerima melakukan perhitungan yang sama dan mengirim
hasilnya ke perangkat pengirim.
b. Parity bits. Komputer merepresentasikan karakter sebagai kumpulan digit
berpasangan yang disebut bit. Setiap bit memiliki dua kemungkinan nilai: 0 atau 1.

10.2

Ketersediaan (Availability)
Tujuan utama adalah untuk meminimalkan resiko tidak bekerjanya sistem. Tabel 10-2

merangkum cara mengontrol tujuan dengan dua cara.

Tabel 10-2

Tujuan dan Kontrol Kunci

Objective
1. meminimalisir risiko kegagalan sistem

2. Memulihkan dan membuat asumsi atas

kegiatan normal

Key Controls
tindakan pencegahan dengan melakukan

perawatan
toleransi kesalahan
pusat data, dan desain
pelatihan
software antivirus
Prosedur membackup
Disaster recovery plan (DRP)
Business continuity plan (BCP)

Meminimalkan Risiko Kegagalan Sistem

COBIT bagian DS 12 membahas pentingnya menemukan dan merancang pusat data
untuk meminimalkan risiko yang terkait dengan bencana alam dan kesalahan manusia. Fitur
desain secara umum adalah sebagai berikut:

memperluas lantai penyimpanan, sebagai bentuk perlindungan kalau terjadi banjir.

Mendeteksi kebakaran dengan pendeteksi kebakaran untuk mengurangi kemungkinan

kerusakan akibat kebakaran.

Sistem pendingin udara yang memadai untuk mengurangi kemungkinan overheating

peralatan komputer.
Kabel dengan rancangan khusus yang tidak dapat dengan mudah dicabut, mengurangi

risiko mencabut sistem karena kerusakan yang disengaja.

Perlindungan untuk arus yang tidak stabil.
Uninterruptible Power Supply (UPS) sistem menyediakan perlindungan dalam hal

terjadi pemadaman listrik berkepanjangan

Kontrol akses fisik mengurangi risiko pencurian atau kesalahan.

Pemulihan dan Permulaan Awal Operasional Normal

Prosedur back up suatu organisasi dan pemulihan bencana serta perencanaan bisnis
secara berkelanjutan mencerminkan jawaban manajemen terhadap dua pertanyaan
fundamental:
1. Seberapa banyak data yang sedang akan diciptakan kembali dari sumber dokumen (jika
tersedia) atau berpotensi hilang (jika tidak ada sumber dokumen yang tersedia)?
2. Seberapa lama organisasi dapat berfungsi tanpa informasi sistemnya?
Gambar 10-3 menunjukkan hubungan antara dua pertanyaan tersebut.ketika masalah
terjadi, data tentang semua kejadian yang telah terjadi sejak back up terakhir dihilangkan
kecuali data tersebut dapat dienter kembali kedalam sistem.

Bagi beberapa organisasi,jawaban atas kedua pertanyaan tersebut mendekati nol.

Contohnya Penerbangan dan institusi finansial tidak dapat beroperasi tanpa sistem informasi
mereka,mereka juga dapat kehilangan informasi tentang transaksi. pada organisasi seperti itu,
tujuannya tidak pada pemulihan cepat atas masalah,tapi resiliency. Solusinya adalah dengan
memperkerjakan real-time mirroring. Real-time mirroring termasuk maintaining dua salinan
dari dua database pada dua pust data yg terpisah pada semua waktu dan mengaupdate setiap
salinan dalam real-time seperti setiap transaksi yang terjadi.jika suatu saat terjadi sesuatu
pada satu pusat data,organisasi dapat secara cepat mengganti semua kegiatan sehari2 dengan
yang lainnya.
Walaubagaimanapun, Bagi organisasi lainnya penerimaan RPO dan RTO mungkin
dapat diukur dalam ukuran jam atau bahkan berhari-hari.penerimaan tujuan-tujuan tersebut
memerlukan prosedur back up data ditambah pemulihan bencana dan kelancaran perencanaan
bisnis.

Prosedur Backup Data

Prosedur data backup dirancang untuk sesuai dengan situasi dimana informasi tidak
selalu dapat diakses karena file-file yang relevan atau database telah menjadi corrupted
sebagai hasil dari kegagalan hardware,masalah software,atau human eror, tapi sistem
informasi itu sendiri masih berfungsi. Beberapa perbedaan prosedur backup tersedia. A full
backup atau backup penuh adalah salinan nyata dari keseluruhan database. Full backup
adalah time-consuming,jadi kebanyakan organisasi hanya melakukan full backup perminggu
dan mensupplai mereka dengan backup partial harian. Gambar 10-4 membandingkan dua tipe
dari backup partial harian.
1. Incremental backup termasuk hanya salinan data item yang telah berubah sejak backup
partial terakhir. Hal tersebut menghasilkan seperangkat incremental backup file,yang
setiap file terdiri dari setiap file terdiri dari hasil transaksi satu hari. Restoration atau

Perbaikan termasuk loading pertama dan full backup terakhri dan kemudian diinstal tiap
kelanjutan incremental backup dari rangkaian yang cocok.
2. Differential backup. Semua Salinan differential backup atau backup berbeda berubah
dibuat sejak full backup atau backup penuh terakhir. Jadi setiap file differential backup
yang baru terdiri dari pengaruh kumulatif dari semua aktivitas sejak full backup terakhir.
Dengan demikian, kecuali dari hari pertama mengikuti full backup, diffrential backup
harian memiliki waktu yang lebih lama daripada incremental backup. Akan tetapi,
restolution atau Perbaikan lebih simpel, karena full backup terakhir membutuhkan untuk
disuplemen dengan hanya differential backup terbaru,daripada seperangkat file
incremental backup harian.

Tidak masalah prosedure backup mana yang digunakan, salinan berlipat ganda
seharusnya diciptakan. Satu salinan dapat disimpan pada on-site, untuk penggunaan suatu
kejadian dari masalah minor yang relativ terjadi, seperti kerusakan hard drive. Pada kejadian
dari masalah yang lebih serius lagi, seperti kebakaran atau banjir, setiap salinan backup
disimpan on-site akan lebih mudah hancur atau tidak dapat diakses. Oleh karena itu, salinan
backup kedua perlu untuk disimpan off-site. File-file backup tersebut dapat dipindahkan pada
site penyimpanan yang jauh baik secara fisik ataupun elektronik. pada kasus yang lain,
kontrol keamanan yang sama perlu untuk diaplikasikan untuk backup file yang digunakan
untuk melindungi salinan asli dari informasi. Hal itu berarti salinan backup dari data sensitif
harus dienkripsikan diantara tempat penyimpanan dan selama transmisi elektronik. Akses ke
backup file juga perlu dikontrol dan dimonitori secara hati-hati.
Penting juga untuk melatih sistem penyimpanan secara periode dari backupnya. hal
tersebut berverifikasi bahwa prosedur backup bekerja dengan benar dan

bahwa media

backup (tape atau disk) dapat dibaca dengan sukses oleh hardware yang digunakan.
Backup dipakai hanya selama periode waktu yang relativ singkat. Sebagai
contoh,banyak organisasi bertahan hanya beberapa bulan dari backup. Bagaimanapun,

beberapa informasi harus disimpan lebih lama. sebuah arsip adalah salinan dari database,
master file, atau software yang dipakai secara tidak langsung sebagai catatan historis, yang
biasanya legal dan memerlukan pengaturan. Sebagai backup, salinan arsip yang berlipat
ganda seharusnya dibuat dan disimpan pada lokasi yang berbeda. Tidak seperti halnya
backup, arsip jarang dienkripsikan karena mereka memiliki rentetan waktu yang lama yang
meningkatkan resiko kehilangan kunci decryption. Akibatnya, kontrol akses secara fisik dan
logis adalah alat pokok untuk melindungi arsip file.
Media apa yang seharusnya digunakan untuk backup dan arsip-arsip, tape atau disk?
Disk backup lebih cepat dan disk mudah hilang. Tape lebih murah, lebih mudah untuk
dibawa, dan lebih berdurasi lama. Dengan demikan, banyak organisasi menggunakan kedua
media tersebut. Pertama data diback up ke disk, untuk cepat, kemudian ditransfer ke tape.
Perhatian spesial perlu dibayar untuk backup dan pengarsipan e-mail, karena telah
menjadi repositori penting dari tingkah laku organisasi dan informasi. Alih-alih, e-mail sering
terdiri dari solusi-solusi untuk masalah yang spesifik. E-mail juga biasanya terdiri dari
informasi yang relevan terhadap lowsnit. seharusnya menarik untuk sebuah organisasi untuk
menyadari suatu polis dari penghapusan semua e-mail secara periode, untuk mencegah
gugatan pengacara dari penemuan suatu "smoking gun" dan untuk mencegah biaya penemuan
e-mail yang diminta oleh partai lainnya. Kebanyakan para ahli, menyarankan melawan
seperti politisi-politisi, karena ada beberapa hampir menjadi salinan-salinan dari e-mail yang
disimpan di arsip-arsip luar organisasi. Oleh karena itu, sebuah kewenangan menghapus
secara regular seluruh e-mail yang berarti bahwa organisasi tidak akan dapat untk
mengatakan bagian dalam cerita; pengadilan (dan hakim) hanya akan membaca e-mail yang
diciptakan oleh polis lainnya untuk dipeselisihkan. Pernah juga ada kasus dimana pengadilan
telah mendenda organisasi jutaan dolar karena gagal memberikan e-mail yang diminta. Oleh
karena itu, organisasi perlu untuk mengbackup dan mengarsip e-mail penting ketika purging
secara periode sejumlah volume rutin, sisa-sisa e-mail.
Pemulihan Bencana Alam dan Perencanaan Kelanjutan Bisnis (Disaster Recovery and
Business Continuity Planning)
Backup dirancang untuk masalah mitigasi ketika satu atau lebih file atau database
menjadi di karena hardware, software, atau human error. Pemulihan Bencana Alam dan
Perecanaan Kelanjutan Bisnis dirancang untuk mitigasi masalah yang lebih serius.
Perencanaan pemulihan bencana atau Disaster Recovery Plan (DRP) outline prosedur
untuk menyimpan kembali fungsi organisasi IT pada suatu kejadian yang pusat datanya

terusak oleh bencana alam atau akibat dari terorisme. Organisasi memiliki tiga pilihan dasar
untuk menggantikan IT infrastruktur mereka yang tidak hanya termasuk komputer,tapi juga
jaringan komponen seperti routers dan switches, software, data, akses internet, printer, dan
supplies. Pilihan pertama adalah untuk mengontrak untuk kegunaan dari cold site. Yaitu
sebuah gedung kosong diprewired untuk keperluan akses telepon dan internet, ditambah
sebuah kontrak dengan satu atau lebih vendor untuk menyediakan semua perlengkapan yang
perlu dalam periode waktu yg spesifik. Cold site masih meninggalkan organisasi tanpa
penggunaan dari sistem informasi selama periode waktu,jadi sesuai jika hanya ketika
organisasi RTO pada satu hari atau lebih. Pilihan waktu kedua adalah untuk mengontrak
untuk penggunaan dari hot site, yaitu sebuah fasilitas yang tidak hanya prewired untuk akses
telepon dan internet tapi juga tetdiri dari semua perlengkapan kantor dan komputer organisasi
yang perlu untuk menampilkan aktivitas esensi bisnis. Hot site secara tipikal berhasil dalam
RTO hitungan jam.
Masalah antara cold dan hot site adalah

penyedia site secara tipikal menjual

berlebihan kapasitasnya, dibawah asumsi bahwa dalam sekali waktu hanya sedikit klien yang
akan perlu untuk menggunakan fasilitas. Asumsi tersebut biasany dibenarkan. Pada kejadian
bencana pada umumnya, seperti badai katrina, mempengaruhi semua organisasi dalam area
geografik, bagaimanapun juga beberapa organisasi dapat menemukan bahwa mereka tidak
dapat meraih akses ke cold dan hot site mereka. Akibatnya, pilihan ketiga pergantian
infrastruktur bagi organisasi dengan jangka pendek RTO adalah untuk membangun pusat data
kedua sebagai back up dan menggunakannya untuk implementasikan real-time mirroring.
Business continuity plan (BCP) atau kelanjutan perencanaan bisnis menspesifikasikan
bagaimana cara untuk meringkas tidak hanya operasional IT tapi semua proses bisnis,
termasuk pemindahan ke kantor baru dan menyewa tempat sementara, jikambencana besar
tidak hanya menghancurkan pusat data organisasi tapi juga pusat kepala bagian. Perencanaan
seperti itu sangat penting karena lebih dari setengah organisasi tanpa DRP dan BCP tidak
pernah buka kembali setelah ditekan untuk tutup lebih dari beberapa hari karena bencana.
Maka, memiliki DRP dan BCP dapat berarti perbedaan antara bertahan atas major catastrophe
seperti badai katrina atau 9/11 dan bangkrut.
Memiliki DRP dan BCP bagaimanapun juga tidaklah cukup. Kedua perencanaan
harus didokumentasikan dengan baik. Dokumentasi tersebut seharusnta tidak hanya termasuk
instruksi untuk notifikasi kesesuaian staf dan langkah-langkah untuk mengambil ringkasan
operasional, tapi juga dokumentasu vendor dari semua hardware dan software. penting
khususnya untuk mendokumentasikan modifikasi numerous yang dibuat untuk konfigurasi

default, sehingga pergantian sistem memiliki fungsi yang sama sebagai aslinya. Kegagalan
melakukan hal tersebut dapat menciptakan biaya substansial dan menunda implementasi
proses pemulihan. Instruksi operasional secara rinci juga dibutuhkan, khususnya jika
pergantian sementara telah disewa. Akhirnya, salinan dari seluruh dokumen perlu untuk
disimpan anatara on-site dan off-site sehingga dapat tersedia ketika dibutuhkan.
Pengetesan secara periode dan revisi kemungkinan adalah komponen yang paling
penting dan efektif terhapa pemulihan bencana dan kelancaran perencanaan bisnis.
Kebanyakan perencanaan gagal meinisialkan tes mereka karena tidak mungkin untuk
memenuhi segala antisipasi yang bisa saja salah. Waktu untuk menemukan masalah seperti
itu tidak selama emergenci aktual, tapi lebih pada pengaturan yang mana kelemahan dapat
dengan hati-hati dan melalui analisa dan perubahan yang sesuai pada prosedur yang dibuat.
Oleh karena itu pemulihan bencana dan kelancaran perencanaan bisni perlu untuk dites pada
akhir dasar annual untuk meyakinkan bahwa mereka dengan akurat mencerminkan perubahan
terbaru pada perlengkapan dan prosedur. sangat penting khususnya untuk mengetes prosedur
termasuk dalam mentransfer operasi aktual pada cold dan hot site. Akhirnya, dokumentasi
DRP dan BCP Perlu untuk diperbaharui untuk merefleksikan setiap perubahan dalam
prosedur yang dibuat dalam merespon untuk identifikasi masalah selama pengujian rencanarencana tersebut.
Pengaruh Virtualisasi dan Cloud Computing (Effects of Virtualization and Cloud
Computing)
Mesin virtual hanya koleksi dari file software. Oleh karena itu, jika server fisik
ditempatkan bahwa mesin gagal, file-file dapat diinstal pada host mesin dalam hitungan
menit. Maka, virtualisasi secara signifikan mengurangi waktu yang diperlukan untuk
memulihkan (RTO) dari masalah hardware. Catat bahwa virtualisasi tidak mengeliminasi
keperluan selama backup; organisasi masih perlu untuk menciptakan periode "snapshots" dari
dekstop dan jaringan mesin virtual dan kemudian menyimpan snapshots pada network drive
sehingga mesin dapat diciptakan kembali. Virtualisasi dapat juga digunakan untuk
mendukung real-time mirroring yang mana dua salinan dari setiap mesin virtual dijalankan
berurutan di dua fisik host yang terpisah. Setiap transaksi diproses disetiap mesin virtual. Jika
satu gagal, yang lainnya diambil tanpa jeda pada jaringan.
Cloud computing memiliki pengaruh positif dan negatif dalam ketersediannya. Cloud
computing secara tipikal memanfaatkan bank dari jaringan yang redunda pada lokasi yang
berlipatganda, dengan demikan dapat mengurangi resiko bahwa bencana tunggal dapat

membawa pada sistem downtime dan kehilangan seluruh data. Walaubagaimanapun, jika
penyedia publik cloud bangkrut, akan sulit, jika tidak mungkin, untuk menyelamatkan setiap
data disimpan pada cloud. Oleh karena itu, sebuah polis membuat backup regular dan
menyimpan backup tersebut dimanapun tempat lain daripada dengan penyedia cloud secara
kritik. Sebagai tambahan, akuntan perlu untuk menilai kelangsungan keuangan orang banyak
dalam jangka panjang dari penyedia cloud sebelum organisasi menjalankan untuk sumber
luar disetiap data atau aplikasinya untuk sebuah cloud public.
Control perubahan
Alamat COBIT bagian AI 6, AI 7 , dan Ds 9 merupakan aspek yang berbeda dari topik
penting perubahan kontrol. Organisasi memodifikasi sistem informasi untuk mencerminkan
praktek-praktek bisnis baru dan mengambil keuntungan dari kemajuan teknologi informasi.
Perubahan kontrol adalah proses formal yang digunakan untuk memastikan bahwa modifikasi
hardware, software, atau proses tidak mengurangi keandalan sistem. Bahkan, perubahan
kontrol yang baik sering menyebabkan kinerja operasional secara keseluruhan menjadi lebih
baik: pengujian dilakukan secara hati-hati sebelum pelaksanaan untuk mengurangi
kemungkinan membuat perubahan yang menyebabkan sistem downtime, dokumentasi yang
menyeluruh akan cepat memfasilitasi "pemecahan masalah" dan resolusi dari setiap masalah
yang memang terjadi. Perusahaan dengan proses kontrol yang baik juga kurang
memungkinan untuk menderita kerugian keuangan atau reputasi dari insiden keamanan.
Prosedur perubahan yang efektif memerlukan control teratur untuk pemantauan
perubahan yang tidak sah dan sanksi bagi siapa saja yang sengaja memperkenalkan
perubahan tersebut. Prinsip-prinsip lain dari proses kontrol yang dirancang dengan perubahan
yang baik meliputi:

Semua permintaan perubahan harus didokumentasikan dan mengikuti format standar

yang jelas dengan mengidentifikasi sifat perubahan, alasan permintaan, tanggal

permintaan, dan hasil dari permintaan.

Semua perubahan harus disetujui oleh tingkat manajemen yang tepat. Persetujuan harus
didokumentasikan secara jelas untuk memberikan jejak audit. Manajer harus
berkonsultasi dengan CISO atau manajer IT tentang efek atau perubahan yang diajukan
terhadap keandalan sistem.

Untuk menilai dampak dari perubahan yang diusulkan pada kelima prinsip keandalan
sistem, perubahan harus benar-benar diuji sebelum pelaksanaan di lingkungan,
Nonproduksi harus terpisah, sistem harus benar-benar digunakan untuk proses bisnis
sehari-hari. (teknologi virtualisasi dapat digunakan untuk mengurangi biaya dalam
membuat pengujian terpisah dan pengembangan sistem). Data database dari file lama
dimasukkan ke dalam struktur data baru, kontrol percakapan diperlukan untuk
memastikan bahwa media penyimpanan data baru bebas dari kesalahan. Sistem lama dan
baru harus dijalankan secara paralel setidaknya sekali dan hasilnya dibandingkan untuk
mengidentifikasi perbedaan. Auditor Internal harus meninjau proses konversi data untuk

akurasi.
Semua dokumentasi (Program petunjuk, deskripsi sistem, backup dan rencana pemulihan

bencana, dll) harus diperbarui untuk mencerminkan perubahan berwenang untuk sistem.
Perubahan "darurat"
atau penyimpangan dari kebijakan standar operasi harus
didokumentasikan dan dikenakan tinjauan formal serta proses persetujuan sesaat setelah
implementasi sebagai praktis. Semua perubahan darurat perlu dicatat untuk menyediakan

jejak audit.
rencana "backout" memerlukan pengembangan untuk kembali kepada kasus konfigurasi
sebelumnya dalam kasus. Perubahan tersebut memerlukan persetujuan untuk terganggu

atau ditinggalkan.
Pengguna hak dan keistimewaan harus dipantau dengan teliti pada proses perubahan
untuk memastikan bahwa pemisahan tugas yang tepat bisa dipertahankan

Mungkin kontrol perubahan yang paling penting adalah pemantauan yang memadai dan
mereview atas tindakan manajemen untuk memastikan bahwa perubahan yang diusulkan dan
yang dilaksanakan berjalan konsisten dengan rencana multiyear strategis organisasi. Tujuan
dari pengawasan ini adalah untuk memastikan bahwa sistem informasi organisasi terus efektif
untuk mendukung strategi. Banyak organisasi IT menciptakan komite kemudi untuk
melakukan pemantauan fungsi penting ini.

Ringkasan dan kesimpulan kasus

Laporan Jason dirancang untuk menilai efektivitas kontrol Northwest industri dan
memastikan integritas pengolahannya. Untuk meminimalkan entri data, dan kesempatan
dalam membuat kesalahan, Northwest industri mengirimkan dokumen turnaround kepada
pelanggan, yang kembali dengan pembayaran mereka. Semua entri data dilakukan secara

online, dengan penggunaan luas dari rutinitas dan memasukkan validasi untuk memastikan
keakuratan dari komponen kunci laporan keuangan secara teratur lintas-divalidasi dengan
sumber independen. Misalnya, persediaan dihitung secara triwulanan, dan hasil penghitungan
fisik didamaikan dengan jumlah yang disimpan didalam sistem.
Jason prihatin tentang efektivitas pengendalian yang dirancang untuk memastikan
ketersediaan sistem, namun. Dia mencatat bahwa meskipun Northwest industri telah
mengembangkan pemulihan bencana dan rencana kelangsungan bisnis, rencana tersebut
belum ditinjau atau diperbarui selama tiga tahun. Perhatian yang lebih besar adalah fakta
bahwa banyak bagian dari rencana, termasuk pengaturan untuk situs dingin yang terletak di
California, belum pernah diuji. Keprihatinan Jason yang terbesar adalah bagaimanapun itu
berkaitan dengan prosedur cadangan. Semua file mingguan pada hari Sabtu dimasukkan ke
DVD, backup incremental tidak dienkripsi, dan satu salinan tersebut disimpan di tempat
ruang server utama.
Jason juga mendokumentasikan bukti kelemahan tersebut terkait dengan perubahan kendali.
Salah satu titik perhatian adalah temuan bahwa perubahan "darurat" yang dibuat selama
setahun terakhir tidak didokumentasikan. Fakta Lainnya adalah fakta bahwa untuk
menghemat uang, Northwest industri memberikan programmer akses ke sistem pemrosesan
transaksi untuk membuat perubahan, daripada menggunakan pengujian terpisah dan
pengembangan sistem.
Jason menyimpulkan laporannya dengan laporan rekomendasi khusus untuk mengatasi
kelemahan yang telah ditemukan. Dia merekomendasikan bahwa Northwest industri segera
menguji cadangan prosedur restorasi dan mengenkripsi file cadangan. Jason juga dianjurkan
menguji rencana DRP dan CBP. Rekomendasi lain adalah untuk membeli sebuah server yang
akan menggunakan perangkat lunak virtualisasi untuk membuat sebuah sistem pengujian dan
pengembangan serta membatasi akses programmer hanya pada sistem virtual. Akhirnya, ia
disarankan harus menetapkan seseorang CIO untuk memperbarui dokumentasi untuk
merekam efek "perubahan darurat" yang dibuat selama tahun lalu dan menerapkan prosedur
untuk memastikan bahwa semua perubahan masa depan dapat didokumentasikan. Jason
merasa yakin sekali bahwa mereka dapat melaksanakan rekomendasi, manajemen sangat
yakin bahwa sistem informasi Northwest industri telah memenuhi kriteria AICPA trust,
kerangka layanan dan prinsip-prinsip keandalan sistem.

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

Di dunia saat ini, makin banyak perusahaan yang bergantung pada teknologi
informasi (TI) untuk memproses informasi bisnisnya secara elektronis. Organisasi
menggunakan

TI

untuk

menjalankan

bisnisnya,

produksinya,

dan

melaksanakan

pelayanannya. Perusahaan tidak dapat lagi membangun penghalang di sekeliling sistem

informasinya serta mengunci semua orang di luar. Sebaliknya, mereka harus berbagi
informasi dan menggunakan TI untuk menghubungkan sistem informasinya dengan pihakpihak yang sering berinteraksi dengan mereka, yaitu: pelanggan, vendor, pegawai, mitra
bisnis, pemegang saham, dan lembaga pemerintah. Peningkatan hubungan ini membuat
sistem informasi lebih rentan terhadap masalah.
Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi
organisasi, harus menjadi prioritas pihak manajemen puncak. Oleh karena sistem informasi
berkembang, begitu pula dengan sistem pengendalian internal. Ketika bisnis bergeser dari
sistem manual ke sistem komputer utama, pengendalian baru harus dikembangkan untuk
menurunkan atau mengendalikan risiko yang dibawa oleh sistem informasi berdasarkan
komputer yang baru ini. Oleh karena adanya pergeseran ke lingkungan e-commerce
berdasarkan Internet, pengendalian baru perlu dikembangkan untuk mengendalikan
munculnya risiko-risiko baru.
Untungnya, perkembangan dalam sistem informasi dan dalam TI juga memberikan
kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.
Apa yang Terdapat dalam Sistem Andal?
Ada 4 prinsip secara umum untuk menetapkan apakah suatu sistem andal atau tidak, yaitu:
1.

Ketersediaan (availability). Sistem tersebut tersedia untuk dioperasikan dan digunakan

dengan mencantumkannya pada pernyataan atau perjanjian tingkat pelayanan.

2.

Keamanan (security). Sistem dilindungi dari akses fisik maupun logis yang tidak memiliki
otorisasi. Hal ini akan membantu mencegah: a) penggunaan yang tidak sesuai,
pemutarbalikan, penghancuran atau pengungkapan informasi dan software, serta, b)
pencurian sumber daya sistem.

3.

Dapat dipelihara (maintainability). Sistem dapat diubah apabila diperlukan tanpa

mempengaruhi ketersediaan, keamanan, dan integritas sistem. Hanya perubahan dokumen
yang memiliki otorisasi dan teruji sajalah yang termasuk dalam sistem dan data terkait. Bagi
seluruh perubahan yang telah direncanakan dan dilaksanakan, harus tersedia sumber daya
yang mengelola, menjadwalkan, mendokumentasikan, dan mengkomunikasikan perubahan ke
pihak manajemen dan para pemakai yang memiliki otorisasi.

4.

Integritas (integrity). Pemrosesan sistem bersifat lengkap, akurat, tepat waktu dan
diotorisasi. Sebuah sistem dikatakan memiliki integritas apabila dapat melaksanakan fungsi
yang diperuntukkan bagi sistem tersebut secara keseluruhan dan bebas dari manipulasi
sistem, baik yang tidak diotorisasi maupun yang tidak disengaja.
Bagi setiap prinsip keandalan di atas, tiga kriteria berikut ini dikembangkan untuk
mengevaluasi pencapaian prinsip-prinsip tersebut, yaitu:

1.

Entitas memiliki tujuan kinerja (performance objective), kebijakan, dan standar yang telah
ditetapkan, didokumentasikan, dan dikomunikasikan, dan telah memenuhi tiap prinsip
keandalan. Tujuan Kinerja didefinisikan sebagai tujuan umum yang ingin dicapai entitas.
Kebijakan adalah peraturan-peraturan yang memberikan arah formal untuk mencapai tujuan,
dan mendorong kinerja. Standar merupakan prosedur yang dibutuhkan dalam implementasi,
agar sesuai dengan kebijakan.

2.

Entitas menggunakan prosedur, sumber daya manusia, software, data dan infrastruktur
untuk mencapai setiap prinsip keandalan, dengan berdasarkan pada kebijakan dan standar
yang telah ditetapkan.

3.

Entitas mengawasi sistem dan mengambil tindakan untuk mencapai kesesuaian dengan
tujuan, kebijakan, dan standar, untuk setiap prinsip keandalan.
Pengendalian yang Berhubungan dengan Beberapa Prinsip Keandalan
Pengendalian berikut ini sesuai untuk beberapa prinsip keandalan, yaitu: perencanaan
strategis dan penganggaran, mengembangkan rencana keandalan sistem, dan melaksanakan
dokumentasi.
Tabel Ringkasan Pengendalian Umum Utama Keandalan
Kategori Pengendalian
Ancaman/Risiko
Pengendalian
Perencanaan strategis dan Sistem Informasi mendukung Rencana strategis berlapis
penganggaran

strategi

bisnis,

penggunaan

kurangnya yang

sumber

secara

periodik

daya, dievaluasi, tim penelitian dan

kebutuhan informasi tidak pengembangan untuk menilai

dipenuhi atau tidak dapat dampak teknologi baru atas
ditanggung

jalannya

bisnis,

anggaran

untuk mendukung rencana

Mengembangkan
keandalan sistem

rencana Ketidakmampuan
memastikan
sistem

strategis.
untuk Memberikan tanggung jawab
keandalan perencanaan

ke

pihak

manajemen puncak; secara

terus-menerus meninjau dan

memperbarui

rencana;

mengidentifikasi,
mendokumentasikan,

dan

menguji kebutuhan, tujuan,

kebijakan,

dan

keandalan

standar
pemakai;

mengidentifikasi

dan

meninjau seluruh persyaratan

hukum yang baru maupun
yang telah diubah; mencatat
permintaan

pemakai

atas

perubahan;
mendokumentasikan,
menganalisis,

dan

melaporkan masalah dalam

hal

keandalan

sistem;

menetapkan tanggung jawab

kepemilikan,

penyimpanan,

akses, dan pemeliharaan atas

sumber

daya

mengembangkan
kesadaran

atas

informasi;
program
keamanan

serta mengkomunikasikannya
pada

seluruh

pegawai;

meminta pegawai baru untuk

menandatangani
keamanan;

perjanjian

melaksanakan

penilaian risiko atas seluruh

perubahan dalam lingkungan
Dokumentasi

Desain,

operasi,

sistem.
tinjauan, Dokumentasi

dapat

audit, dan perubahan sistem diklasifikasikan menjadi 3

yang tidak efektif

kategori dasar, yaitu: (1)

Dokumentasi administratif
(standar dan prosedur untuk
memproses,

menganalisis,

mendesain,

memprogram,

menangani

file

dan

menyimpan

data),

(2)

dokumentasi sistem (input

aplikasi, tahap pemrosesan,
output,

kesalahan

penanganan),

(3)

dokumentasi

operasional

(konfigurasi

perlengkapan,

program, file, susunan dan

pelaksanaan
tindakan korektif).

Referensi => Accounting Informastion Systems : ~ Marshall B. Romney

prosedur,

Audit Komputer Berbasis Sistem Informasi (RESUME)

Pendahuluan
Bab ini berfokus pada audit Sistem Informasi Akuntansi (SIA). Audit adalah proses
sistematis untuk memperoleh dan mengevaluasi bukti mengenai pernyataan tentang tindakan
dan peristiwa ekonomi dalam rangka untuk menentukan seberapa baik mereka sesuai dengan
kriteria yang telah ditetapkan. Hasil audit tersebut kemudian dikomunikasikan kepada
pengguna yang tertarik. Audit membutuhkan perencanaan yang matang dan koleksi, review,
dan dokumentasi dari bukti audit. Dalam mengembangkan rekomendasi, auditor

menggunakan kriteria yang telah ditetapkan, seperti prinsip-prinsip pengendalian dijelaskan

dalam bab-bab sebelumnya, sebagai dasar untuk evaluasi.
Audit internal merupakan jaminan yang memiliki, independen, obyektif dan aktivitas
konsultasi yang dirancang untuk menambah nilai dan meningkatkan efektivitas organisasi
dan efisiensi, termasuk membantu dalam desain dan implementasi SIA. Audit internal
membantu organisasi mencapai tujuannya dengan membawa pendekatan yang sistematis dan
disiplin untuk mengevaluasi dan meningkatkan efektivitas proses manajemen risiko,
pengendalian, dan tata kelola.
Ada beberapa jenis audit internal:
1. Audit keuangan memeriksa keandalan dan integritas transaksi keuangan, catatan akuntansi
dan laporan keuangan.
2. Sistem informasi, atau pengendalian internal, audit ulasan kontrol dari SIA untuk menilai
kepatuhan dengan kebijakan dan prosedur pengendalian internal dan efektivitas dalam
menjaga aset. Audit biasanya mengevaluasi sistem input dan output, kontrol pengolahan,
rencana cadangan dan pemulihan, sistem keamanan, dan fasilitas komputer.
3. Audit operasional berkaitan dengan penggunaan ekonomis dan efisien sumber daya dan
pencapaian tujuan yang telah ditetapkan dan tujuan.
4. Sebuah audit kepatuhan, menentukan apakah entitas mematuhi hukum yang berlaku,
peraturan, kebijakan, dan prosedur. Audit ini sering mengakibatkan rekomendasi untuk
meningkatkan proses dan kontrol yang digunakan untuk memastikan kepatuhan terhadap
peraturan.
5. Audit investigasi meneliti insiden penipuan mungkin, penyalahgunaan aset, limbah dan
penyalahgunaan, atau kegiatan pemerintah yang tidak tepat.
Sebaliknya, auditor eksternal bertanggung jawab kepada pemegang saham perusahaan
dan sebagian besar berkaitan dengan mengumpulkan bukti yang diperlukan untuk
menyatakan pendapat atas laporan keuangan. Mereka hanya secara tidak langsung berkaitan
dengan efektivitas SIA perusahaan. Namun, auditor eksternal yang diperlukan untuk
mengevaluasi bagaimana strategi audit dipengaruhi oleh penggunaan organisasi Teknologi
Informasi (TI). Auditor eksternal mungkin memerlukan keterampilan khusus untuk (1)
menentukan bagaimana audit akan terpengaruh oleh TI, (2) menilai dan mengevaluasi TI
kontrol, dan (3) merancang dan melakukan kedua tes TI kontrol dan tes substantif.

Sifat Audit
Sekilas Proses Audit
PERENCANAAN AUDIT.

Perencanaan audit menentukan mengapa, bagaimana, kapan,

dan oleh siapa audit akan dilakukan. Langkah pertama adalah untuk menetapkan ruang
lingkup audit dan tujuan. Sebagai contoh, audit dari perusahaan publik menentukan apakah
laporan keuangan disajikan secara wajar. Sebaliknya, audit internal dapat memeriksa
departemen tertentu atau aplikasi komputer. Ini mungkin fokus pada pengendalian internal,
informasi keuangan, kinerja operasional, atau beberapa kombinasi dari ketiganya.
Audit direncanakan sehingga jumlah terbesar dari pekerjaan audit berfokus pada
bidang dengan faktor risiko tertinggi. Ada tiga jenis risiko audit:
1.

Risiko Inheren adalah kerentanan terhadap risiko materi tanpa adanya kontrol. Sebagai
contoh, sebuah sistem yang menggunakan pengolahan online, jaringan, database,
telekomunikasi, dan bentuk lain dari teknologi canggih memiliki risiko yang lebih melekat

2.

daripada sistem batch processing.

Pengendalian risiko adalah risiko bahwa salah saji material akan melewati struktur
pengendalian intern dan ke dalam laporan keuangan. Sebuah perusahaan dengan kontrol
internal yang lemah memiliki risiko kontrol lebih tinggi dari satu dengan kontrol yang kuat.
Pengendalian risiko dapat ditentukan dengan meninjau lingkungan pengendalian, pengujian
pengendalian internal, dan mempertimbangkan kelemahan kontrol diidentifikasi dalam audit

3.

sebelumnya dan mengevaluasi bagaimana mereka telah diperbaiki.

Risiko deteksi adalah risiko bahwa auditor dan prosedur audit mereka akan gagal untuk
mendeteksi kesalahan material atau salah saji.

KOLEKSI BUKTI AUDIT Upaya audit Kebanyakan dihabiskan mengumpulkan buktibukti. Karena tes audit yang banyak tidak dapat dilakukan pada semua item di bawah review,
mereka sering dilakukan secara sampel. Berikut ini adalah cara yang paling umum untuk
mengumpulkan bukti audit:

Pengamatan

terhadap kegiatan yang diaudit (misalnya, menonton bagaimana data

mengontrol personel menangani pengolahan data pekerjaan seperti yang diterima)

Ulasan dokumentasi untuk memahami bagaimana proses tertentu atau sistem

pengendalian intern yang seharusnya berfungsi

Diskusi dengan karyawan tentang pekerjaan mereka dan tentang bagaimana mereka

melaksanakan prosedur tertentu

Kuesioner yang mengumpulkan data

Pemeriksaan fisik dari kuantitas dan/atau kondisi aset berwujud seperti peralatan dan

persediaan
Konfirmasi keakuratan informasi seperti saldo rekening nasabah melalui komunikasi

dengan pihak ketiga yang independen

Menyelenggarakan kembali perhitungan untuk memverifikasi informasi kuantitatif

(misalnya menghitung ulang beban penyusutan tahunan)
Penjaminan untuk keabsahan transaksi dengan memeriksa dokumen-dokumen pendukung,
seperti pesanan pembelian, menerima laporan, dan faktur vendor mendukung sebuah
rekening transaksi hutang
Tinjauan analitis hubungan antara informasi dan tren untuk mendeteksi barang-barang yang
harus diselidiki lebih lanjut. Sebagai contoh, auditor untuk toko rantai menemukan bahwa
rasio satu toko piutang terhadap penjualan terlalu tinggi. Sebuah penyelidikan
mengungkapkan bahwa manajer mengalihkan dana yang dikumpulkan untuk penggunaan
pribadinya.
Audit khas memiliki campuran prosedur audit. Sebagai contoh, audit pengendalian internal
memanfaatkan lebih dari observasi, review dokumentasi, wawancara karyawan, dan
penyelenggaraan kembali dari prosedur pengendalian. Sebuah audit keuangan berfokus pada
fisik, konfirmasi pemeriksaan, vouching, review analitis, dan penyelenggaraan kembali
perhitungan saldo rekening.
EVALUASI BUKTI AUDIT
memutuskan

apakah

Auditor mengevaluasi bukti yang dikumpulkan dan

mendukung

kesimpulan

yang

menguntungkan

atau

tidak

menguntungkan. Jika tidak meyakinkan, auditor melakukan prosedur tambahan yang cukup
untuk mencapai kesimpulan definitif.
Karena kesalahan ada di kebanyakan sistem, auditor berfokus pada mendeteksi dan
melaporkan orang-orang bahwa interpretasi secara signifikan dampak manajemen terhadap
temuan audit. Menentukan materialitas, apa yang bisa dan tidak penting dalam audit, adalah
masalah pertimbangan profesional. Materialitas yang lebih penting untuk audit eksternal, di
mana penekanannya adalah kewajaran laporan keuangan, daripada audit internal, di mana
fokusnya adalah pada kepatuhan terhadap kebijakan manajemen.
Auditor mencari keyakinan memadai bahwa tidak ada kesalahan material ada dalam
informasi atau proses diaudit. Karena itu mahal untuk mencari jaminan lengkap, auditor

memiliki beberapa risiko bahwa kesimpulan audit yang tidak benar. Ketika inherent risk atau
kontrol yang tinggi, auditor harus memperoleh keyakinan yang lebih besar untuk
mengimbangi ketidakpastian yang lebih besar dan risiko.
Dalam semua tahap audit, temuan dan kesimpulan yang didokumentasikan dalam kertas kerja
audit. Dokumentasi sangat penting pada tahap evaluasi, ketika kesimpulan harus dicapai dan
didukung.
KOMUNIKASI HASIL AUDIT Auditor menyampaikan laporan tertulis menyimpulkan
temuan-temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan
pihak lain yang sesuai. Setelah itu, auditor sering melakukan studi lanjutan untuk memastikan
apakah rekomendasi telah dilaksanakan.

Pendekatan Risiko-Berbasis Audit

Kontrol berikut Pendekatan evaluasi internal, yang disebut pendekatan audit berbasis
risiko, menyediakan kerangka kerja untuk melakukan audit sistem informasi:
1. Tentukan ancaman (penipuan dan kesalahan) yang dihadapi perusahaan. Ini adalah daftar dari
2.

penyalahgunaan disengaja atau tidak disengaja dan kerusakan yang sistem terkena.
Mengidentifikasi prosedur kontrol yang mencegah, mendeteksi, atau mengoreksi ancaman.
Ini semua adalah kontrol yang manajemen telah dimasukkan ke dalam tempat dan bahwa

3.

auditor harus meninjau dan menguji, untuk meminimalkan ancaman.

Evaluasi prosedur pengendalian. Kontrol dievaluasi dua cara:
a.

Sebuah tinjauan sistem menentukan apakah prosedur pengendalian sebenarnya di

tempat.
b.

Pengujian pengendalian dilakukan untuk menentukan apakah kontrol yang ada bekerja

sebagaimana dimaksud.
4.

Mengevaluasi kelemahan kontrol untuk mengetahui efeknya pada waktu, sifat, atau luasnya
prosedur audit. Jika auditor menentukan risiko pengendalian yang terlalu tinggi karena
sistem kontrol memadai, auditor mungkin harus mengumpulkan lebih banyak bukti, bukti
yang lebih baik, atau bukti lebih tepat waktu. Kontrol kelemahan dalam satu bidang mungkin
dapat diterima jika ada kontrol kompensasi di daerah lain.

Pendekatan berbasis risiko menyediakan auditor dengan pemahaman yang lebih jelas
dari penipuan dan kesalahan yang dapat terjadi dan risiko terkait dan eksposur. Hal ini juga
membantu mereka merencanakan bagaimana untuk menguji dan mengevaluasi pengendalian
internal, serta bagaimana merencanakan prosedur audit berikutnya. Hasilnya adalah dasar
yang kuat untuk mengembangkan rekomendasi kepada manajemen tentang bagaimana sistem
kontrol AIS harus ditingkatkan.

Sistem Informasi Audit

Tujuan dari audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian
internal yang melindungi sistem. Ketika melakukan audit sistem informasi, auditor harus
memastikan bahwa enam berikut tujuan terpenuhi:
1.

Ketentuan keamanan melindungi peralatan komputer, program, komunikasi, dan data dari

akses yang tidak sah, modifikasi, atau perusakan.

2.
Program pengembangan dan akuisisi dilakukan sesuai dengan otorisasi manajemen umum
3.
4.

dan khusus.
Program modifikasi memiliki otorisasi manajemen dan persetujuan.
Pengolahan transaksi, lalat, laporan, dan catatan komputer lainnya adalah akurat dan

5.

lengkap.
Sumber data yang tidak akurat atau tidak benar berwenang diidentifikasi dan ditangani

sesuai dengan kebijakan manajerial yang ditentukan.

6. Komputer file data yang akurat, lengkap, dan rahasia.

Tujuan 1: Keamanan Keseluruhan

Tabel 11-1 Menggunakan pendekatan berbasis risiko untuk menyajikan kerangka kerja untuk
audit keamanan komputer secara keseluruhan. Hal ini menunjukkan bahwa ancaman
keamanan sistem secara keseluruhan termasuk kerusakan akibat kecelakaan atau disengaja
untuk aset sistem, akses yang tidak sah, pengungkapan, atau modifikasi data dan program,
pencurian, dan gangguan kegiatan bisnis penting.
GAMBAR 11-2

Sistem informasi komponen dan tujuan audit terkait

TABEL 11-1 Kerangka Kerja Untuk Audit Keamanan Komputer Secara Keseluruhan
Jenis Kesalahan dan Penipuan

Pencurian atau 01 disengaja. disengaja kerusakan hardware

Rugi, pencurian, atau akses tidak sah ke program, data, dan sumber daya sistem lainnya
Rugi, pencurian, atau pengungkapan yang tidak sah dari data rahasia
Modifikasi yang tidak resmi atau penggunaan program dan ritus Data
Gangguan kegiatan bisnis penting

Prosedur Kontrol

Informasi keamanan/perlindungan rencana

Membatasi akses fisik ke peralatan komputer
Membatasi akses logis untuk sistem kontrol menggunakan otentikasi dan otorisasi
Penyimpanan data dan transmisi kontrol
Perlindungan virus prosedur
File backup dan prosedur recovery
Toleransi kegagalan sistem desain
Bencana rencana pemulihan
Pencegah pemeliharaan
Firewall
Korban kecelakaan dan asuransi gangguan usaha

Audit Prosedur: Sistem Ulasan

Periksa situs komputer

Tinjau keamanan informasi/perlindungan dan rencana pemulihan bencana
Personil informasi Wawancara sistem berteriak prosedur keamanan
Meninjau kebijakan akses fisik dan logis dan prosedur
Ulasan menggusarkan kebijakan pemulihan cadangan kering dan prosedur
Ulasan penyimpanan data dan transmisi kebijakan dan prosedur
Ulasan prosedur yang digunakan untuk meminimalkan downtime sistem
Kontrak vendor pemeliharaan Ulasan
Periksa log sistem akses
Memeriksa santai dan kebijakan gangguan bisnis asuransi

Audit Prosedur: Tes Kontrol

Amati dan menguji komputer-situs prosedur akses

Amati penyusunan dan off-situs penyimpanan cadangan riles
Uji tugas dan prosedur modifikasi untuk ID pengguna dan password
Menyelidiki bagaimana upaya akses yang tidak sah ditangani dengan
Verifikasi efektivitas sejauh kering enkripsi data
Pastikan penggunaan efektif kontrol transmisi data
Verifikasi efektifitas penggunaan firewall dan prosedur perlindungan virus
Pastikan penggunaan pemeliharaan preventif dan Uninterruptible Power Supply
Pastikan jumlah dan pembatasan asuransi
Periksa hasil simulasi rencana pemulihan bencana uji

Kompensasi Kontrol

Suara personel kebijakan, termasuk pemisahan tugas yang tidak kompatibel

Kontrol pengguna Efektif
Kontrol prosedur untuk meminimalkan ancaman-ancaman termasuk mengembangkan
keamanan informasi/perlindungan rencana, membatasi akses fisik dan logis, enkripsi data,
melindungi terhadap virus, firewall pelaksanaan, melembagakan kontrol transmisi data, dan
mencegah dan memulihkan dari kegagalan sistem atau bencana.
Sistem review prosedur termasuk situs komputer memeriksa, personil wawancara, meninjau
kebijakan dan prosedur: dan log akses memeriksa, kebijakan asuransi, dan rencana pemulihan
bencana.

Tujuan 2: Program Pengembangan dan Akuisisi

Peran auditor dalam pengembangan sistem harus dibatasi tinjauan independen dari kegiatan
pengembangan sistem. Untuk menjaga objektivitas, auditor tidak harus membantu
mengembangkan sistem.
Dua hal yang bisa salah dalam pengembangan program: (1) kesalahan pemrograman sengaja
karena spesifikasi sistem kesalahpahaman atau pemrograman ceroboh dan (2) instruksi yang
tidak sah sengaja dimasukkan ke dalam program.

Masalah-masalah ini dapat dikontrol dengan mewajibkan otorisasi manajemen dan pengguna
dan persetujuan, pengujian menyeluruh, dan dokumentasi yang tepat.
Selama peninjauan sistem, auditor harus mendiskusikan prosedur pembangunan dengan
personil sistem manajemen, pengguna sistem, dan informasi. Mereka juga harus meninjau
kebijakan, prosedur, standar, dan dokumentasi yang tercantum dalam Tabel 11-2.

Tab
el 11-2 Kerangka Audit Pengembangan Program
Jenis Kesalahan dan Penipuan

Sengaja kesalahan pemrograman atau kode program yang tidak sah

Kontrol Prosedur

Ulasan dari perjanjian lisensi perangkat lunak

Manajemen otorisasi untuk pengembangan program dan perangkat lunak akuisisi
Manajemen dan persetujuan pengguna spesifikasi pemrograman
Teliti pengujian program baru, termasuk tes penerimaan pengguna
Lengkap sistem dokumentasi, termasuk persetujuan
Audit Prosedur: Sistem Ulasan

Independen review dari proses pengembangan sistem

Ulasan kebijakan akuisisi pengembangan sistem dan prosedur
Ulasan otorisasi sistem dan kebijakan persetujuan dan prosedur
Ulasan dari standar evaluasi program
Ulasan standar dokumentasi program dan sistem
Ulasan spesifikasi tes, data uji, dan hasil tes
Ulasan kebijakan persetujuan uji dan prosedur
Ulasan akuisisi kebijakan perjanjian lisensi hak cipta dan prosedur
Diskusi dengan manajemen, pengguna, dan personel sistem informasi mengenai prosedur
pembangunan
Audit Prosedur: Tes Kontrol

Wawancara pengguna tentang akuisisi mereka pengembangan sistem/dan keterlibatan

pelaksanaan

Ulasan menit dari pertemuan tim pengembangan untuk bukti keterlibatan

Verifikasi manajemen dan pengguna sign-off persetujuan pada titik tonggak

perkembangan

Ulasan dot spesifikasi, data uji, dan sistem hasil tes

Perjanjian lisensi perangkat lunak Ulasan
Kompensasi Kontrol

Kontrol pengolahan kuat

Independen pengolahan data tes oleh auditor
Untuk menguji kontrol pengembangan sistem, auditor harus mewawancarai manajer dan
pengguna sistem, memeriksa persetujuan pembangunan, dan menit tinjauan tim
pengembangan pertemuan. Auditor harus meninjau semua dokumentasi yang berkaitan
dengan proses pengujian untuk memastikan semua perubahan program diuji. Auditor harus
memeriksa spesifikasi tes dan data pengujian dan mengevaluasi hasil tes. Auditor harus
memastikan bagaimana masalah tak terduga tes hasil diselesaikan.
Kontrol proses yang kuat dapat mengimbangi kontrol pembangunan yang tidak memadai jika
auditor memperoleh bukti persuasif sesuai dengan pengolahan kontrol, menggunakan teknik
seperti pengolahan data uji independen. Jika bukti ini tidak diperoleh, auditor mungkin harus
menyimpulkan bahwa kelemahan pengendalian internal yang ada materi dan bahwa risiko
ancaman yang signifikan dalam program aplikasi yang sangat tinggi.

Tujuan 3: Modifikasi Program

Tabel 11-3 menyajikan suatu kerangka kerja untuk perubahan audit program aplikasi dan
perangkat lunak sistem. Ancaman yang sama yang terjadi selama pengembangan program
terjadi selama modifikasi program. Sebagai contoh, seorang programmer ditugaskan untuk
memodifikasi sistem penggajian perusahaannya memasukkan perintah untuk menghapus
semua file perusahaan jika ia dihentikan. Ketika ia dipecat, sistem jatuh dan menghapus file
kunci.

Tab
el 11-3 Kerangka Audit Modifikasi Program
Jenis Kesalahan dan Penipuan

Sengaja kesalahan pemrograman atau kode program yang tidak sah

Kontrol Prosedur

komponen program Daftar untuk dimodifikasi

Manajemen otorisasi dan persetujuan modifikasi program
Pengguna persetujuan perubahan spesifikasi program yang
Menyeluruh Uji perubahan program, termasuk tes penerimaan pengguna
Program Lengkap perubahan dokumentasi, termasuk persetujuan
Pengembangan terpisah, pengujian, dan produksi versi program
Perubahan dilaksanakan oleh personel independen dari pengguna dan programmer
Kontrol akses logis
Audit Prosedur: Sistem Ulasan

Ulasan kebijakan modifikasi program, standar, dan prosedur

Standar dokumentasi Ulasan untuk program modifikasi
Ulasan dokumentasi akhir dari modifikasi program
Ulasan program modifikasi pengujian dan prosedur tes persetujuan
Tinjau spesifikasi tes, data uji, dan hasil tes
Ulasan kebijakan persetujuan uji dan prosedur
Standar pemrograman evaluasi Ulasan
Diskusikan kebijakan modifikasi dan prosedur dengan manajemen, pengguna, dan
personel sistem
Ulasan kebijakan pengendalian akses logis dan prosedur
Audit Prosedur: Tes Kontrol

Verifikasi pengguna dan persetujuan manajemen signoff untuk perubahan program

Pastikan bahwa program komponen yang akan diubah diidentifikasi dan terdaftar
Pastikan bahwa program prosedur dot perubahan dan dokumentasi sesuai dengan standar
Pastikan bahwa kontrol akses logis yang berlaku untuk perubahan program
Amati pelaksanaan program perubahan
Pastikan bahwa perkembangan terpisah, pengujian, dan produksi versi dipertahankan
Pastikan bahwa perubahan tidak dilaksanakan oleh personel pengguna atau pemrograman
Test untuk perubahan program yang tidak sah atau salah menggunakan program kode
sumber perbandingan, pengolahan, dan simulasi paralel
Kompensasi Kontrol

Tes Audit Independen untuk perubahan program yang tidak sah atau salah
Kontrol pengolahan kuat
Ketika perubahan program diajukan untuk disetujui, daftar semua pembaruan yang
diperlukan harus disusun dan disetujui oleh manajemen pengguna dan program. Semua
perubahan program harus diuji dan didokumentasikan. Selama proses perubahan, program

pembangunan harus dipisahkan dari versi produksi. Setelah program yang dimodifikasi
disetujui, versi produksi menggantikan versi perkembangan.
Selama peninjauan sistem, auditor harus mendiskusikan proses perubahan dengan
personil manajemen dan pengguna. Kebijakan, prosedur, dan standar untuk menyetujui,
memodifikasi, pengujian, dan mendokumentasikan perubahan harus diperiksa. Semua bahan
dokumentasi akhir untuk perubahan program, termasuk prosedur tes dan hasil, harus ditinjau
ulang. Prosedur yang digunakan untuk membatasi akses logis untuk program pembangunan
harus ditinjau.
Auditor harus menguji program secara mengejutkan untuk menjaga terhadap seorang
karyawan memasukkan perubahan program yang tidak sah setelah audit selesai dan
menghapus mereka sebelum audit berikutnya. Ada tiga cara tes auditor untuk perubahan
program yang tidak sah:
1.

Setelah menguji program baru, auditor menyimpan salinan kode sumbernya. Auditor
menggunakan program kode sumber perbandingan untuk membandingkan versi saat ini dari
program dengan kode sumber. Jika tidak ada perubahan yang berwenang, dua versi harus
identik, perbedaan harus diselidiki. Jika perbedaan adalah perubahan resmi, auditor
memeriksa spesifikasi program perubahan untuk memastikan bahwa perubahan telah

2.

disetujui dan benar dimasukkan.

Dalam teknik pengolahan, auditor memproses ulang data menggunakan kode sumber dan

bandingkan hasilnya dengan output perusahaan. Perbedaan dalam output diselidiki.

3.
Dalam simulasi paralel, auditor menulis program daripada menggunakan kode sumber,
membandingkan output, dan menyelidiki perbedaan. Simulasi paralel dapat digunakan untuk
menguji program selama proses implementasi. Misalnya, Jason menggunakan teknik ini
untuk menguji sebagian dari sistem departemen baru SPP penjualan penggajian.
Untuk setiap perubahan program utama, auditor mengamati pengujian dan otorisasi
pelaksanaan review, dan dokumen, dan melakukan tes independen. Jika langkah ini akan
dilewati dan perubahan Program kontrol kemudian terbukti tidak memadai, tidak mungkin
untuk mengandalkan hasil program.

Tujuan 4: Komputer Pengolahan

Tabel 11-4 menyediakan kerangka kerja untuk audit pengolahan transaksi, file, dan catatan
komputer terkait untuk memperbarui file dan database dan menghasilkan laporan.
Selama pemrosesan komputer, sistem mungkin gagal untuk mendeteksi masukan yang salah,
kesalahan input benar, masukan proses yang salah, atau tidak benar mendistribusikan atau
mengungkapkan output. Tabel 11-4 menunjukkan prosedur pengendalian untuk mendeteksi
dan mencegah ancaman dan review sistem dan tes kontrol yang digunakan untuk memahami
kontrol, evaluasi kecukupan mereka, dan uji. Apakah mereka berfungsi dengan baik.
Auditor secara berkala mengevaluasi kembali kontrol pengolahan untuk memastikan
keandalan lanjutan mereka. Jika mereka tidak memuaskan, pengguna dan sumber data
kontrol mungkin cukup kuat untuk mengimbangi. Jika tidak, kelemahan materi ada, dan
langkah-langkah harus diambil untuk menghilangkan kekurangan kontrol.
Teknik khusus Beberapa digunakan untuk menguji kontrol pengolahan, yang masing-masing
memiliki kelebihan dan kekurangan. Teknik Tidak efektif untuk semua situasi, semua lebih
tepat dalam beberapa situasi dan kurang begitu pada orang lain. Auditor tidak harus
mengungkapkan teknik yang mereka gunakan, karena hal itu dapat mengurangi efektivitas
mereka. Masing-masing prosedur sekarang dijelaskan.
Tabel 11-4 Kerangka Audit Kontrol Pengolahan Komputer
Jenis Kesalahan dan Penipuan

Kegagalan untuk mendeteksi benar, input data tidak lengkap, atau tidak sah
Kegagalan untuk benar kesalahan kopi ditandai oleh prosedur editing data yang
Pengenalan kesalahan ke file atau database selama memperbarui
Tidak Layak distribusi atau pengungkapan output komputer
Disengaja atau tidak disengaja ketidakakuratan pelaporan
Kontrol Prosedur

Data editing rutinitas

Proper penggunaan label file internal dan eksternal
Rekonsiliasi total bets
Kesalahan prosedur koreksi Efektif
Dokumentasi operasi dimengerti dan manual menjalankan
Kompeten pengawasan operasi komputer
Efektif penanganan data input dan output oleh personil data kontrol
Persiapan daftar perubahan file dan ringkasan untuk pengguna departemen tinjauan
Pemeliharaan kondisi lingkungan yang tepat dalam fasilitas komputer

Audit Prosedur: Sistem Ulasan

Ulasan dokumentasi administrasi untuk memproses standar kontrol

Review sistem dokumentasi untuk mengedit data dan kontrol pengolahan lainnya
Ulasan operasi dokumentasi untuk kelengkapan dan kejelasan
Ulasan salinan daftar kesalahan, laporan sekumpulan total, dan daftar file perubahan
Amati operasi komputer dan fungsi data kontrol
Diskusikan kontrol pengolahan dan output dengan operator dan pengawas sistem
informasi
Audit Prosedur: Tes Kontrol

Mengevaluasi kecukupan standar pengendalian proses dan prosedur

Mengevaluasi kecukupan dan kelengkapan data kontrol editing
Verifikasi kepatuhan terhadap prosedur pengendalian pengolahan dengan mengamati
operasi komputer dan data kontrol
Pastikan bahwa aplikasi keluaran sistem terdistribusi dengan
Rekonsiliasi sampel total batch: menindaklanjuti perbedaan
Jejak sampel data rutinitas kesalahan edit untuk memastikan penanganan yang tepat
Verifikasi proses akurasi transaksi sensitif
Verifikasi akurasi pemrosesan komputer yang dihasilkan transaksi
Cari kode yang salah atau tidak sah melalui analisis logika program
Periksa keakuratan dan kelengkapan kontrol pengolahan menggunakan data uji
Memantau sistem pengolahan online menggunakan teknik audit bersamaan
Ulang memilih laporan untuk menguji keakuratan dan kelengkapan
Kompensasi Kontrol

Kontrol pengguna yang kuat dan kontrol yang efektif dari sumber data
Pengolahan Data Uji. Salah satu cara untuk agar program adalah untuk memproses set
hipotesis transaksi yang valid dan tidak valid. Program ini harus memproses semua transaksi
yang valid benar dan menolak semua yang tidak valid. Semua jalur logika harus diperiksa
oleh satu atau lebih transaksi uji. Data yang tidak valid termasuk catatan dengan hilang,
bidang data yang mengandung sejumlah besar tidak masuk akal, nomor rekening tidak valid
atau kode pengolahan, data nonnumeric di bidang numerik, dan catatan keluar dari urutan.
Sumberdaya berikut ini whets membantu mempersiapkan data uji:

Sebuah daftar transaksi yang sebenarnya

Transaksi Tes perusahaan yang digunakan untuk menguji program
Sebuah data uji generator, yang mempersiapkan data uji berdasarkan spesifikasi program

Dalam sistem batch processing, program perusahaan dan salinan file yang relevan digunakan
untuk memproses data uji. Hasil dibandingkan dengan output yang benar yang telah
ditentukan, perbedaan mengindikasikan kesalahan pengolahan atau kekurangan kontrol untuk
diselidiki.
Dalam sistem online, auditor memasukkan data uji dan kemudian mengamati dan log respon
sistem. Jika sistem menerima transaksi pengujian yang salah, auditor membalikkan efek dari
transaksi, menyelidiki masalah, dan merekomendasikan bahwa kekurangan diperbaiki.
Pengolahan transaksi uji memiliki dua kelemahan. Pertama, auditor harus menghabiskan
waktu yang cukup memahami sistem dan mempersiapkan transaksi uji. Kedua, auditor harus
memastikan bahwa data uji tidak mempengaruhi file perusahaan dan database. Auditor dapat
membalikkan efek dari transaksi uji atau memproses transaksi dalam jangka terpisah
menggunakan salinan dari file atau database. Namun, menjalankan terpisah menghilangkan
beberapa keaslian diperoleh dari pengolahan data tes dengan transaksi biasa. Karena prosedur
pembalikan dapat mengungkapkan keberadaan dan sifat dari tes auditor untuk personil kunci,
bisa kurang efektif daripada tes tersembunyi.
Concurrent Audit Teknik. Karena transaksi dapat diproses dalam sistem online tanpa
meninggalkan jejak audit, bukti yang dikumpulkan setelah data diolah tidak cukup untuk
tujuan audit. Selain itu, karena banyak sistem online proses transaksi terus menerus, sulit
untuk menghentikan sistem untuk melakukan tes audit. Dengan demikian, auditor
menggunakan teknik audit bersamaan untuk terus memonitor sistem dan mengumpulkan
bukti audit sementara data hidup diproses selama jam operasi rutin. Teknik audit bersamaan
menggunakan modul audit yang tertanam, yang merupakan segmen kode program yang
melakukan fungsi audit, hasil laporan pengujian, dan menyimpan bukti yang dikumpulkan
untuk diperiksa auditor. Teknik audit bersamaan yang memakan waktu dan sulit untuk
digunakan, tetapi kurang sehingga jika dimasukkan ketika program dikembangkan.
Auditor biasanya menggunakan lima teknik audit bersamaan.
1.

Sebuah Fasilitas Uji Terintegrasi (FUT) menyisipkan catatan fiktif yang mewakili sebuah
divisi fiktif, departemen, pelanggan, atau pemasok di file induk perusahaan. Pengolahan
transaksi tes untuk memperbarui mereka tidak akan mempengaruhi catatan sebenarnya.
Karena catatan fiktif dan yang sebenarnya diproses bersama-sama, karyawan perusahaan
tidak menyadari pengujian. Sistem ini membedakan catatan FUT dari catatan yang

sebenarnya, mengumpulkan informasi mengenai transaksi uji, dan melaporkan hasilnya.

Auditor membandingkan data yang diolah dengan hasil yang diharapkan untuk memverifikasi
bahwa sistem dan kontrol yang beroperasi dengan benar. Dalam sistem batch processing,
FUT menghilangkan memperhatikan membalikkan transaksi uji. FUT efektif menguji sistem
pengolahan online, karena transaksi uji dapat disampaikan sering, diproses dengan transaksi
yang sebenarnya, dan ditelusuri melalui setiap tahap pengolahan tanpa mengganggu operasi
pengolahan rutin. Auditor harus berhati-hati untuk tidak menggabungkan catatan dummy dan
2.

sebenarnya selama proses pelaporan.

Dalam teknik snapshot, transaksi dipilih ditandai dengan kode khusus. Modul Audit
mencatat transaksi ini dan mereka menguasai catatan file sebelum dan sesudah pengolahan
dan Menyimpan data dalam file khusus. Auditor mengkaji data untuk memverifikasi bahwa

3.

semua langkah proses yang benar dieksekusi.

Sistem kontrol audit pengkajian file (SCARF) menggunakan tertanam modul audit untuk
terus memantau aktivitas transaksi, mengumpulkan data tentang transaksi dengan signifikansi
audit khusus, dan Menyimpannya dalam file SCARF atau log audit. Transaksi tercatat
termasuk yang melebihi batas dolar tertentu, yang melibatkan rekening yang tidak aktif,
menyimpang dari kebijakan perusahaan, atau mengandung write-downs dari nilai aset. Secara
berkala, auditor memeriksa log audit untuk mengidentifikasi dan menyelidiki transaksi

4.

dipertanyakan.
Kait Audit adalah pemeriksaan rutin yang memberitahukan auditor transaksi dipertanyakan,
sering terjadi. Penggunaan State Farm terhadap kait audit, termasuk bagaimana perusahaan

5.

mendeteksi kecurangan besar, dijelaskan dalam Focus 11-1.

Continuous and Intermittent Simulation (CIS) menanamkan modul audit DataBase
Management System (DBMS) yang meneliti semua transaksi yang update database
menggunakan kriteria yang sama dengan SCARF. Jika transaksi memiliki signifikansi audit
khusus, modul CIS mandiri memproses data (dalam cara yang mirip dengan simulasi paralel),
mencatat hasil, dan membandingkannya dengan yang diperoleh oleh DBMS. Ketika
perbedaan yang ada, mereka disimpan dalam log audit untuk penyelidikan selanjutnya. Jika
perbedaan serius, CIS dapat mencegah DBMS dari melaksanakan pembaruan.
Analisis Program Logic. Jika auditor menduga bahwa program berisi kode yang tidak sah
atau kesalahan yang serius, analisis rinci dari logika program mungkin diperlukan. Ini adalah
kapur memakan dan membutuhkan kemahiran dalam bahasa pemrograman yang sesuai,
sehingga harus digunakan sebagai upaya terakhir. Auditor menganalisis pengembangan,

operasi, dan dokumentasi program serta printout dari source code. Mereka juga menggunakan
paket perangkat lunak berikut:

Program flowcharting Otomatis menafsirkan kode sumber dan menghasilkan sebuah

diagram alur program.

Program keputusan Otomatis meja menafsirkan kode sumber dan menghasilkan tabel

keputusan.
Pemindaian rutinitas mencari program untuk semua kejadian dari item tertentu.
Program Pemetaan mengidentifikasi kode program yang tidak dijalankan. Perangkat
lunak ini bisa menemukan kode program yang programmer bermoral dimasukkan untuk

menghapus semua file komputer ketika ia dihentikan.

Program tracing berurutan mencetak semua program langkah dieksekusi ketika program
berjalan, bercampur dengan output teratur sehingga urutan peristiwa eksekusi program dapat
diamati. Program tracing membantu mendeteksi instruksi program yang tidak sah, jalur
logika yang salah, dan kode program yang tidak dijalankan.
Fokus: Menggunakan Hooks Audit di Perusahaan Asuransi Jiwa State Farm
Pertanian Negara. Perusahaan Asuransi Jiwa sistem komputer memiliki komputer host di
Bloomington, Illinois, dan komputer kecil di kantor regional. Sistem proses lebih dari 30 juta
transaksi per tahun selama lebih dari 4 juta kebijakan individu senilai lebih dari $ 7 miliar.
Ini, online update real-time sistem file dan database sebagai transaksi terjadi. Kertas audit
telah hampir lenyap, dan dokumen pendukung perubahan pada catatan polis telah dieliminasi
atau diadakan hanya dalam waktu singkat sebelum disposisi.
Karena siapapun yang memiliki akses dan pengetahuan kerja sistem dapat melakukan
penipuan, staf audit internal diminta untuk mengidentifikasi semua cara penipuan adalah
mungkin. Mereka menyerbu otak-cara untuk menipu sistem dan mewawancarai pengguna
sistem, yang memberikan wawasan yang sangat berharga.
Tujuan 5: Sumber Data
Sebuah masukan kontrol matriks digunakan untuk mendokumentasikan penelaahan kontrol
sumber data. Matriks pada Gambar 11-3 menunjukkan prosedur pengendalian yang
diterapkan untuk masing-masing bidang record input.
Fungsi kontrol data harus independen dari fungsi lainnya, mempertahankan tog data
kontrol, menangani error, dan menjamin efisiensi keseluruhan operasi. Hal ini biasanya tidak

layak secara ekonomis untuk usaha kecil untuk memiliki data fungsi kontrol independen.
Untuk kompensasi, pengguna kontrol departemen harus ia kuat sehubungan dengan persiapan
data, total kontrol batch, mengedit program, pembatasan akses fisik dan logis, dan kesalahanpenanganan prosedur. Prosedur ini harus menjadi fokus kajian sistem auditor dan tes kontrol
ketika tidak ada data fungsi kontrol independen.
Jika sumber data kontrol tidak memadai, pengguna departemen dan kontrol
pengolahan data dapat kompensasi. Jika tidak, auditor harus merekomendasikan bahwa
sumber data kekurangan kontrol dikoreksi.
Tabel 11-5 menunjukkan pengendalian internal yang mencegah, mendeteksi, dan
memperbaiki sumber data yang tidak akurat atau tidak sah. Hal ini juga menunjukkan system
review dan tes pengendalian auditor menggunakan prosedur. Dalam sistem online, sumber
data fungsi masuk dan pengolahan satu operasi. Oleh karena itu, sumber data kontrol yang
terintegrasi dengan pengolahan kontrol pada Tabel 11-4.

Gambar 11-3
Kontrol masukan Matrix
Tujuan 6: Data File
Tujuan keenam menyangkut akurasi, integritas, dan keamanan data yang tersimpan pada
mesin-dibaca file. Tabel 11-6 merangkum kesalahan, kontrol, dan prosedur audit untuk tujuan
ini. Jika kontrol file yang serius kekurangan, terutama berkenaan dengan akses fisik atau
logis atau prosedur backup dan pemulihan, auditor harus merekomendasikan mereka
diperbaiki.
Tabel 11-5 Kerangka Audit Kontrol Sumber Data
Jenis Kesalahan dan Penipuan

Sumber data tidak akurat atau tidak sah

Kontrol Prosedur

Efektif penanganan masukan sumber data oleh personil data kontrol

Pengguna otorisasi di 'masukan sumber data
Persiapan dan rekonsiliasi total kontrol batch
Membukukan penerimaan, gerakan, dan disposisi dari masukan sumber data
Periksa Verifikasi digit
Kunci Verifikasi
Penggunaan dokumen turnaround (perbaikan)
Data editing rutinitas
Pengguna departemen review daftar perubahan file dan ringkasan
Efektif prosedur untuk memperbaiki dan mengirimkan kembali data yang salah
Audit Prosedur: Sistem Ulasan

Ulasan dokumentasi tentang tanggung jawab fungsi kontrol Data

Dokumentasi Ulasan administrasi untuk sumber data kontrol standar
Meninjau metode otorisasi dan memeriksa tanda tangan otorisasi
Tinjau dokumentasi untuk mengidentifikasi langkah-langkah pengolahan dan sumber

konten data dan kontrol

Data Dokumen sumber kontrol menggunakan matriks kontrol masukan

Diskusikan sumber data kontrol dengan personil kontrol data, pengguna sistem, dan
manajer
Tabel 11-5 Lanjutan
Audit Prosedur: Tes Kontrol

Amati dan mengevaluasi operasi data departemen pengendalian dan prosedur

pengendalian
Verifikasi perawatan yang tepat dan penggunaan log data kontrol
Mengevaluasi bagaimana kesalahan item log ditangani dengan
Periksa sumber data untuk otorisasi yang tepat
Rekonsiliasi total batch dan ikuti pada perbedaan
Jejak disposisi kesalahan ditandai oleh data sunting rutinitas
Kompensasi Kontrol

Kuat pengguna dan kontrol pengolahan data

Tabel 11-6 Kerangka Audit Kontrol Data File
Jenis Kesalahan dan Penipuan

Penghancuran data yang disimpan karena kesalahan, perangkat keras atau perangkat

lunak malfungsi, dan tindakan sengaja sabotase atau vandalisme

Modifikasi yang tidak berwenang atau pengungkapan data yang tersimpan

Kontrol Prosedur

Penyimpanan data di perpustakaan file aman dan pembatasan akses fisik ke file data
Kontrol akses logis dan matriks kontrol akses
Proper penggunaan label file dan menulis-mekanisme perlindungan
Kontrol pembaruan concurrent (yang terjadi bersama-sama)
Enkripsi data untuk data rahasia
Virus software perlindungan
Off-situs cadangan dari semua file data
Checkpoint dan rollback prosedur untuk memfasilitasi pemulihan sistem
Audit Prosedur: Sistem Ulasan

Ulasan dokumentasi untuk operasi file library

Ulasan kebijakan akses logis dan prosedur
Ulasan standar untuk perlindungan virus, off-situs penyimpanan data, dan prosedur

pemulihan sistem
Ulasan kontrol untuk update Concurrent, enkripsi data, konversi file, dan rekonsiliasi

dari total master file dengan total kontrol independen

Periksa rencana pemulihan bencana

Diskusikan prosedur file kontrol dengan manajer dan operator

Audit Prosedur: Tes Kontrol

Amati dan mengevaluasi operasi file library

Ulasan catatan tugas sandi dan modifikasi
Amati dan mengevaluasi file-prosedur penanganan oleh personil operasi
Amati persiapan dan off-situs penyimpanan file backup
Pastikan penggunaan yang efektif dari prosedur perlindungan virus
Pastikan penggunaan kontrol pembaruan bersamaan dan enkripsi data
Verifikasi kelengkapan, mata uang, dan pengujian rencana pemulihan bencana
Rekonsiliasi total file master dengan total kontrol secara terpisah dipertahankan
Amati prosedur yang digunakan untuk mengendalikan konversi file
Kompensasi Kontrol

Kuat pengguna dan kontrol pengolahan data

Kontrol komputer yang efektif keamanan
Pendekatan audit dengan tujuan adalah sarana yang komprehensif, sistematis, dan efektif
mengevaluasi pengendalian internal. Hal ini dapat diimplementasikan menggunakan daftar
periksa audit prosedur untuk masing-masing tujuan. Checklist membantu auditor mencapai
kesimpulan yang terpisah untuk masing-masing tujuan dan menunjukkan kontrol kompensasi
yang sesuai. Masing-masing dari enam daftar periksa harus diselesaikan untuk setiap aplikasi
yang signifikan.

Audit Software
Teknik audit berbantuan komputer (CAATS) mengacu mengaudit software, sering
disebut audit software umum (GAS), yang menggunakan auditor yang disediakan spesifikasi
untuk

menghasilkan

sebuah

program

yang

melakukan

fungsi

audit,

sehingga

mengotomatisasi atau menyederhanakan proses audit. Dua dari paket perangkat lunak yang
paling populer adalah Audit Control Language (ACL) dan interaktif Ekstraksi Data dan
Analisis (IDEA). CAATS cocok untuk memeriksa file besar data untuk mengidentifikasi
catatan yang membutuhkan pengawasan audit lebih lanjut.
Berikut ini adalah beberapa kegunaan yang lebih penting dari CAATS:

Query file data untuk mengambil catatan memenuhi kriteria tertentu

Menciptakan, memperbarui, membandingkan, download, dan penggabungan file
Meringkas, menyortir, dan penyaringan data yang
Mengakses data dalam format yang berbeda dan mengkonversi data ke dalam format

yang umum
Meneliti catatan untuk kualitas, kelengkapan, konsistensi, dan kebenaran
Stratifikasi catatan, memilih dan menganalisis sampel statistik
Pengujian untuk risiko spesifik dan mengidentifikasi cara untuk mengendalikan risiko

yang

Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya

Melakukan tes analitis, seperti rasio dan analisis kecenderungan, mencari pola data tak
terduga atau tidak dapat dijelaskan yang dapat mengindikasikan penipuan

Mengidentifikasi kebocoran keuangan, ketidakpatuhan kebijakan, dan kesalahan

pengolahan data
Menyesuaikan jumlah fisik yang dihitung, pengujian akurasi ulama ekstensi and

balances, pengujian untuk item duplikat

Memformat dan mencetak laporan dan dokumen

Membuat kertas kerja elektronik

Operasional Audit SIA

Teknik-teknik dan prosedur yang digunakan dalam audit operasional serupa dengan
audit sistem informasi dan laporan keuangan. Perbedaan mendasar adalah ruang lingkup
audit. Sebuah sistem informasi audit terbatas pada kontrol internal dan audit keuangan untuk
output sistem, sedangkan audit operasional meliputi semua aspek manajemen sistem. Selain

itu, tujuan dari audit operasional meliputi efektivitas mengevaluasi, efisiensi, dan pencapaian
tujuan.
Langkah pertama dalam audit operasional adalah audit perencanaan, di mana ruang
lingkup dan tujuan audit ditetapkan, system review awal dilakukan, dan program audit
tentatif disiapkan. Langkah selanjutnya, pengumpulan bukti, meliputi kegiatan:

Meninjau kebijakan operasional dan dokumentasi

Mengkonfirmasi prosedur dengan personil manajemen dan operasi
Mengamati fungsi operasi dan kegiatan
Meneliti rencana keuangan dan operasi dan laporan
Pengujian keakuratan informasi operasi
Pengujian kontrol
Pada tahap evaluasi bukti, auditor mengukur sistem terhadap salah satu yang
mengikuti sistem terbaik prinsip-prinsip manajemen. Salah satu pertimbangan penting adalah
bahwa hasil dari kebijakan dan praktek yang lebih signifikan daripada kebijakan dan praktik
sendiri. Artinya, jika hasil yang baik dicapai melalui kebijakan dan praktek-praktek yang
secara teoritis kekurangan, maka auditor harus hati-hati mempertimbangkan apakah
rekomendasi

perbaikan

secara

substansial

akan

meningkatkan

hasil.

Auditor

mendokumentasikan temuan mereka dan kesimpulan dan berkomunikasi mereka kepada

manajemen.
Auditor operasional ideal memiliki pelatihan audit dan pengalaman serta pengalaman
beberapa tahun 'dalam posisi manajerial. Auditor dengan latar belakang audit yang kuat
namun pengalaman manajemen yang lemah seringkali tidak memiliki perspektif yang
diperlukan untuk memahami proses manajemen.

REVIEW ATAS PROSES BISNIS UTAMA DALAM PERUSAHAAN

MANUFAKTUR : Penjualan Dan Penerimaan Kas
Kata Pengantar

Romney and Steinbart (2015:366), Siklus pendapatan adalah seperangkat berulang kegiatan
bisnis dan operasi pemrosesan informasi terkait yang berhubungan dengan menyediakan
barang dan jasa kepada pelanggan dan mengumpulkan uang tunai dalam pembayaran untuk
penjualan tersebut. Informasi tentang kegiatan siklus pendapatan juga mengalir ke siklus
akuntansi lainnya. buku besar dan fungsi pelaporan menggunakan informasi yang dihasilkan
oleh siklus pendapatan untuk menyiapkan laporan keuangan dan laporan kinerja.
Romney and Steinbart (2015:366), Tujuan utama siklus pendapatan adalah untuk
menyediakan produk yang tepat di tempat yang tepat pada waktu yang tepat sesuai harga
yang tepat. Kita mulai dengan menggambarkan desain sistem informasi siklus pendapatan
dan kontrol dasar yang diperlukan untuk memastikan bahwa ia menyediakan manajemen
dengan informasi yang dapat dipercaya.

Sistem Informasi Akuntansi Siklus Pendapatan

Proses
Seperti kebanyakan organisasi besar, AOE menggunakan perencanaan sistem sumber daya
perusahaan (ERP). Sistem ERP yang mendukung kegiatan bisnis siklus pendapatan AOE ini.
Beberapa pelanggan AOE masih mengirimkan cek ke salah satu bank regional dengan AOE
yang telah membentuk lockboxes elektronik, namun peningkatan jumlah menggunakan
pembayaran tagihan layanan online perbankan mereka. Setiap hari, bank mengirimkan AOE
file yang berisi data pengiriman uang, yang kasir menggunakan untuk memperbarui saldo
rekening kas perusahaan dan rekening petugas piutang menggunakan untuk memperbarui
rekening nasabah (Romney and Steinbart, 2015:367-368).
Ancaman Dan Pengendalian Dalam Siklus Pendapatan
Menurut Romney and Steinbart (2015:369), ada beberapa ancaman dan pengendalian dalam
siklus pendapatan, diantaranya adalah :
AKTIVITAS
ANCAMAN
Masalah
1. data master yang1.1
umum

PENGENDALIAN
data
kontrol
integritas

di tidak akurat atau pengolahan

1.2 Pembatasan akses ke data master
seluruh siklus tidak valid
1.3 Ulasan semua perubahan data
2.
pengungkapan
pendapatan
master
yang tidak sah dari
2.1 Kontrol Akses
informasi sensitif 2.2 Enkripsi
3. Kehilangan atau
3.1 Backup dan bencana prosedur

kerusakan data
pemulihan
4. Kinerja yang buruk
4.1 Laporan Manajerial
Entri pesanan 5. lengkap / pesanan5.1 data entri mengedit kontrol
5.2 Pembatasan akses ke data master
penjualan
akurat
1.1 Signatures untuk mengotorisasi
6. perintah tidak valid
7.
rekening
Tak penjualan
7.1 Batas Kredit
Tertagih
7.2 otorisasi khusus untuk menyetujui
8. stockouts atau
penjualan kepada pelanggan baru
kelebihan
9.
Kehilangan atau penjualan yang melebihi batas
pelanggan

kredit pelanggan
7.3 Aging piutang
8.1 sistem pengendalian persediaan
Perpetual
8.2 Penggunaan kode bar atau RFID
8.3 Pelatihan
8.4 penghitungan fisik periodik
persediaan
8.5 perkiraan penjualan dan laporan
kegiatan
9.1 sistem CRM, self - situs Web
bantuan, dan evaluasi yang tepat

dari penilaian layanan pelanggan

pengiriman 10. Memilih item yang
10.1 Barcode dan teknologi RFID
10.2
Rekonsiliasi memilih daftar
salah atau kuantitas
rincian pesanan penjualan
yang salah
11.1Pembatasan akses fisik ke
11.
Pencurian
persediaan
persediaan
11.2 Dokumentasi semua transfer
12.
Kesalahan
persediaan
Pengiriman
11.3 RFID dan teknologi barcode
(keterlambatan atau
11.4
penghitungan fisik periodik
kegagalan

untuk persediaan dan rekonsiliasi untuk

kapal, jumlah yang jumlah tercatat

12.1
Rekonsiliasi
pengiriman
salah, item yang
dokumen
dengan
pesanan
salah, alamat yang
penjualan, memilih daftar, dan
salah, duplikasi)
kemasan slip
12.2 Sistem Gunakan RFID untuk
mengidentifikasi penundaan
12.3
entri data melalui scanner

barcode dan RFID

12.4 data entri mengedit kontrol (jika
pengiriman data yang dimasukkan
pada terminal)
12.5 Konfigurasi sistem ERP untuk
penagihan

13. Kegagalan untuk

13.1

mencegah duplikasi pengiriman

Pemisahan penagihan dan

tagihan
14.

pengiriman fungsi
Rekonsiliasi periodik

kesalahan
13.2

faktur

Penagihan
dengan pesanan penjualan, tiket
15. kesalahan Posting
memetik,
dan
dokumen
piutang
pengiriman
16. memo kredit yang
14.1Konfigurasi sistem untuk secara
tidak akurat atau
otomatis memasukkan data harga
tidak valid
14.2 Pembatasan akses ke harga
Master Data
14.3 data entri mengedit kontrol
14.4
Rekonsiliasi
dokumen
pengiriman (mengambil tiket, bill
of lading, dan packing list) untuk
order penjualan
15.1data entri kontrol
15.2 Rekonsiliasi total angkatan
15.3 Mailing laporan bulanan untuk
15.4

pelanggan
Rekonsiliasi anak perusahaan

account untuk buku besar

16.1 Pemisahan tugas otorisasi memo
kredit dari kedua entri order
penjualan

dan

rekening nasabah
16.2
Konfigurasi

pemeliharaan
sistem

untuk

memblokir memo kredit kecuali

ada

baik

dokumentasi

terkait

pengembalian barang rusak atau

koleksi kas 17.

Pencurian

uang
17.1

tunai
18. masalah arus kas

otorisasi khusus oleh manajemen

tugas Pemisahan - orang yang
menangani (deposito) pembayaran

dari pelanggan tidak harus juga

a. Posting pengiriman uang ke
rekening nasabah
b. Membuat atau otorisasi memo
kredit
c. Mendamaikan rekening bank
17.2 Penggunaan EFT, FEDI, dan
lockboxes untuk meminimalkan
penanganan

pembayaran

pelanggan dengan karyawan

17.3 Obatain dan menggunakan UPIC
untuk menerima EFT dan FEDI
17.4

pembayaran dari pelanggan

Segera setelah membuka surat,
membuat

daftar

semua

pembayaran

pelanggan

yang

17.5

diterima
Prompt, dukungan membatasi

17.6

semua cek pelanggan

Memiliki dua orang membuka
semua

email

mengandung

mungkin
pembayaran

pelanggan
17.7 Penggunaan cash register
17.8 deposito harian dari semua
18.1

penerimaan kas
Lockbox arragements, kartu

EFT, atau kredit

18.2 Diskon untuk cepat pembayaran
oleh pelanggan
18.3 anggaran arus kas
Entri Pesanan Penjualan
Romney and Steinbart (2015:370), Proses entri pesanan penjualan mencakup tiga tahap
yang dapat dilihat pada gambar berikut. Ketiga tahap tersebut adalah mengambil pesanan dari
pelanggan, memeriksa dan menyetujui kredit pelanggan, serta memeriksa ketersediaan
persediaan. Selain itu, proses entri pesanan juga memasukkan kegiatan terkait yang mungkin

ditangani oleh bagian pesanan penjualan ataupun oleh departemen terpisah untuk pelayanan
pelanggan yaitu menjawab pertanyaan pelanggan.

Mengambil

pesanan

pelanggan

Data pesanan pelanggan akan dicatat dalam dokumen pesanan penjualan. Pesanan penjualan
berisi informasi mengenai nomor barang, kuantitas, harga, dan syarat penjualan lainnya
(Romney

and

Steinbart

(2015:371).

- Sales order ; dokumen yang dibuat selama penjualan order entry daftar nomor item,
kuantitas,

harga,

dan

syarat

penjualan.

- Electronic data interchange (EDI) ; penggunaan komunikasi komputerisasi dan skema

pengkodean standar untuk menyerahkan dokumen bisnis secara elektronik dalam format yang
dapat

secara

otomatis

diproses

oleh

sistem

informasi

Persetujuan

penerima.
kredit

Sebagian besar penjualan antar perusahaan (business-to-business) dilakukan secara kredit.

Penjualan secara kredit harus disetujui sebelum proses. Bagi pelanggan lama dengan catatan
pembayaran yang baik, pemeriksaan kredit formal untuk setiap penjualan biasanya tidak
dibutuhkan. Sebagai gantinya, pengambil pesanan memiliki otorisasi umum untuk
menyetujui pesanan dari pelanggan yang baik, artinya mereka tidak memiliki saldo yang
lewat jatuh tempo. Hal ini biasanya dengan membuat batas kredit (saldo kredit maksimum
yang diizinkan) untuk setiap pelanggan berdasarkan pada catatan kredit pelanggan terdahulu
dan

kemampuannya

untuk

membayar

(Romney

and

Steinbart

(2015:373).

- Credit limit ; saldo maksimum yang diijinkan rekening kredit, untuk setiap pelanggan,
berdasarkan

sejarah

kredit

masa

lalu

dan

kemampuan

untuk

membayar.

- Accounts receivable aging schedule ; laporan daftar saldo rekening nasabah oleh lamanya
waktu

yang

Memeriksa

luar

ketersediaan

biasa.

barang

Romney and Steinbart (2015:375), Langkah berikut adalah menetapkan apakah tersedia
cukup persediaan untuk memenuhi pesanan tersebut, agar pelanggan dapat menginformasikan
mengenai perkiraan tanggal pengiriman. Akurasi proses ini adalah penting, karena apabila

catatan persediaan tidak akurat dan sesuai dengan kondisi terakhir, pelanggan bisa saja
kecewa ketika terjadi penundaan tidak terduga dalam pemenuhan pesanan mereka tersebut.
Apabila tersedia cukup banyak persediaan untuk memenuhi pesanan tersebut, pesanan
penjualan tersebut dilengkapi dan kolom jumlah yang tersedia dalam file persediaan untuk
setiap barang dikurangi sejumlah barang yang dipesan. Departemen pengiriman, pengawasan
persediaan, dan departemen penagihan kemudian akan diberitahu mengenai penjualan
tersebut, dan pemberitahuan dapat dikirim ke pelanggan. Apabila tidak tersedia cukup banyak
persediaan di perusahaan untuk memenuhi pesanan tersebut, pemesanan ulang (back order)
untuk barang-barang tesebut harus dibuat. Ketika ketersediaan persediaan telah dipastikan,
sistem tersebut kemudian akan membuat kartu pengambilan barang (picking ticket) yang
berisi daftar jenis barang-barang, dan jumlah setiap jenig barang, yang dipesan pelanggan.
Kartu pengambilan memberikan otorisasi bagi bagian pengawasan persediaan untuk
melepaskan barang dagangan ke bagian pengiriman. Walaupun secara tradisional merupakan
dokumen dari kertas, kartu pengambilan pada saat ini sering merupakan formulir elektronis.
Guna meningkatkan efisiensi, kartu pengambilan barang sering kali mendaftar barang dalam
urutan tempat mereka disimpan dalam gudang, daripada dalam bentuk pesanan yang didaftar
dalam

pesanan

penjualan.

- Back order ; dokumen otorisasi pembelian atau produksi barang-barang yang dibuat ketika
ada

persediaan

cukup

untuk

memenuhi

pesanan

pelanggan.

- Picking ticket ; dokumen yang berisi daftar item dan jumlah yang dipesan dan otorisasi
fungsi pengendalian persediaan untuk melepaskan barang dagangan yang ke departemen
pengiriman.

Menjawab

pertanyaan

pelanggan

Proses entri pesanan penjualan meliputi pemberian jawaban atas permintaan pelanggan.
Kadang kala, permintaan-permintaan ini mendahului suatu pesanan, dan sering kali mereka
terjadi

setelah

pesanan

dibuat

(Romney

and

Steinbart

(2015:377).

- Customer relationship management (CRM) systems ; perangkat lunak yang mengatur

informasi tentang pelanggan dengan cara yang memfasilitasi layanan yang efisien dan
personal.
Pengiriman

Proses pengiriman mencakup dua tahap. Kedua tahap dalam proses pengiriman adalah
mengambil dan mengepak pesanan dan mengirim pesanan tersebut. Departemen bagian
penggudangan dan pengiriman yang melakukan aktivitas tersebut (Romney and Steinbart
(2015:378).

Mengambil

dan

mengepak

pesanan

Kartu pengambilan barang yang dicetak sesuai dengan entri pesanan penjualan akan memicu
proses pengambilan dan pengepakan. Para pekerja bagian gudang menggunakan kartu
pengambilan barang untuk mengidentifikasi produk mana, dan jumlah setiap produk, untuk
mengeluarkannya dari persediaan. Para pekerja bagian gudang mencatat jumlah setiap barang
yang diambil, baik dalam kartu pengambilan barnag itu sendiri jika menggunakan dokumen
kertas, maupun dengan memasukkan data ke dalam sistem jikaformulir elektronis yang
digunakan. Persediaan kemudian akan dipindahkan ke departemen pengiriman (Romney and
Steinbart

(2015:378).
Mengirim

Pesanan

Romney and Steinbart (2015:380), Departemen pengiriman membandingkan perhitungan

fisik persediaan dengan jumlah yang ditunjukkan dalam kartu pengambilan barang dan
dengan jumlah yang ditunjukkan dalam salinan pesanan penjualan yang dikirim secara
langsung ke bagian pengiriman dari entri pesanan penjualan. Setelah staf administrasi bagian
pengiriman menghitung barang yang dikirm dari gudang, jumlah pesanan penjualan, nomor
barang, dan jumlah barang akan dimasukkan dengan menggunakan terminal on-line. Proses
ini memperbarui field jumlah yang dimiliki dalam file induk persediaan. Proses ini juga
menghasilkan slip pengepakan dan beberapa rangkap dokumen pengiriman. Slip pengepakan
mendaftar jumlah dan keterangan setiap barang yang dimasukkan dalam pengiriman tersebut
(dapat saja berupa salinan dari daftar pengambilan barang). Dokumen pengiriman adalah
kontrak legal yang menyebutkan tanggung jawab atas barang yang dikirim. Dokumen ini
mengidentifikasi kurir, sumber, tujuan, dan instruksi pengiriman lainnya, serta menunjukkan
siapa (pelanggan atau pemasok) yang harus membayar kurir tersebut. Sebuah salinan
dokumen pengiriman dan slip pengepakan akan menyertai pengiriman tersebut. Apabila
pelanggan harus membayar biaya pengiriman, salinan dokumen pengiriman ini dapat berlaku
sebagai tagihan pengiriman, untuk menunjukkan jumlah yang harus dibayar pelanggan
kepada kurir tersebut. Departemen pengiriman menyimpan salinan kedua dokumen

pengiriman untuk melacak dan mengkonfirmasikan pengiriman barang ke kurir tersebut.

Salinan lainnya dari dokumen pengiriman dan slip pengepakan dikirim ke departemen
penagihan untuk menunjukkan bahwa barang tersebut telah dikirim dan bahwa faktur
penjualan harus dibuat serta dikirim. Kurir juga menahan satu salinan dokumen pengiriman
untuk

catatan

mereka.

- Packing slip ; dokumen daftar kuantitas dan deskripsi setiap item yang termasuk dalam
pengiriman.
- Bill of lading ; kontrak hukum yang mendefinisikan tanggung jawab untuk barang-barang
sementara

mereka

berada

dalam

perjalanan.

Penagihan
Aktivitas dasar ketiga siklus pendapatan melibatkan penagihan ke para pelanggan dan
memelihara data piutang usaha. Gambar berikut menunjukkan penagihan dan pembaruan
piutang usaha sebagai proses terpisah dan keduanya dilakukan oleh dua fungsi terpisah dalam
departemen

akuntansi

(Romney

and

Steinbart

(2015:383).

Penagihan

Penagihan yang akurat dan tepat waktu atas barang dagangan yang dikirimkan adalah hal
yang penting. Aktivitas penagihan hanyalah aktivitas pemrosesan informasi yang mengemas
ulang serta meringkas informasi dari entri pesanan penjualan dan aktivitas pengiriman.
Aktivitas ini membutuhkan informasi dari departemen pengiriman yang mengidentifikasi
barang dan jumlah yang dikirm, serta informasi mengenai harga dan syarat
khusus penjualan lainnya dari departemen penjualan. Dokumen dasar yang dibuat dalam
proses penagihan adalah faktur penjualan, yang memberitahukan pelanggan mengenai jumlah
yang harus dibayar dan ke mana harus mengirimkan pembayaran (Romney and Steinbart
(2015:383).
- Sales invoice ; dokumen memberitahukan pelanggan dari jumlah penjualan dan di mana
untuk

mengirim
Maintain

pembayaran.
accounts

receivable

Fungsi piutang usaha, yang bertanggung jawab kepada kontroler, melakukan dua tugas dasar,
yaitu menggunakan informasi dalam faktur penjualan untuk mendebit rekening pelanggan
dan karenanya mengkredit rekening tersebut ketika pembayaran diterima. Dua cara dasar

untuk memelihara data piutang usaha adalah dengan metode faktur terbuka dan
pembayaran gabungan. Perbedaan kedua metode tersebut terletak pada kapan pelanggan
mengirimkan pembayaran, bagaimana pembayaran tersebut digunakan untuk memperbarui
file induk piutang usaha, dan format laporan keuangan yang dikirim ke para pelanggan
(Romney

and

Steinbart

(2015:385).

- Open-invoice method ; Metode untuk menjaga piutang di mana pelanggan biasanya

membayar

sesuai

dengan

setiap

faktur.

- Remittance advice ; salinan faktur penjualan kembali dengan pembayaran pelanggan yang
menunjukkan

faktur,

laporan,

atau

barang-barang

lainnya

yang

dibayar.

- Balance-forward method ; Metode mempertahankan piutang di mana pelanggan biasanya

membayar accoring untuk jumlah yang ditampilkan pada laporan bulanan, bukan oleh faktur
individu. Pengiriman uang diterapkan terhadap resiko saldo rekening total, daripada faktur
tertentu.
- Monthly statement ; dokumen daftar semua transaksi yang terjadi selama sebulan terakhir
dan

menginformasikan

pelanggan

dari

saldo

rekening

mereka

saat

ini.

- Cycle billing ; memproduksi laporan bulanan untuk subset dari pelanggan pada waktu yang
berbeda.
- Credit memo ; dokumen, yang disetujui oleh manajer kredit, otorisasi departemen
penagihan
Penagihan

untuk

kredit

account

pelanggan.
Kas

Romney and Steinbart (2015:388), Langkah terakhir dalam siklus pendapatan adalah
penagihan kas. Kasir, orang yang melapor pada bendahara, menangani kiriman uang
pelanggan dan menyimpannya ke bank. Oleh karena kas dan cek dari pelanggan dapat dicuri
dengan mudah, maka fungsi piutang usaha, yang bertanggung jawab atas pencatatan kiriman
uang pelanggan, seharusnya tidak memiliki akses fisik ke kas atau cek. Akan tetapi, fungsi
piutang usaha harus mampu mengidentifikasi sumber kiriman uang dari mana pun dan faktur
penjualan terkait harus dikredit. Salah satu solusinya adalah dengan mengirimkan dua salinan
faktur ke pelanggan dan memintanya untuk mengembalikan salah satu salinan tersebut
bersama dengan pembayaran. Solusi alternatifnya adalah dengan meminta petugas bagian
surat-menyurat untuk mempersiapkan daftar pengiriman uang (remittance list), yaitu
dokumen yang mengidentifikasi nama dan jumlah semua kiriman uang pelanggan, serta
mengirimkan daftara ini ke bagian piutang usaha. Cara lainnya untuk menjaga kiriman
kiriman uang dari pelanggan adalah dengan membuat perjanjian lockbox dengan sebuah

bank. Lockbox adalah alamat pos yang dituju oleh pelanggan ketika mereka mengirimkan
uang mereka. Bank yang terlibat mengambil cek dari kotak pos dan menyimpannya ke dalam
rekening milik perusahaan. Bank tersebut kemudain mengirimkan pemberitahuan pengiriman
uang, sebuah daftar elektronis semua kiriman uang, dan fotocopi semua cek ke perusahaan.
- Remmitance list ; dokumen daftar nama dan jumlah semua pembayaran pelanggan yang
diterima
-

Lockbox

melalui
;

alamat

pos

yang

pelanggan

pos.
mengirimkan

uang

mereka.

- Electronic lockbox ; sebuah arragement lockbox di mana bank secara elektronik

mengirimkan informasi perusahaan tentang nomor rekening pelanggan dan jumlah disetorkan
segera

setelah

menerima

pembayaran.

- Electronic funds transfer (EFT) ; transfer dana melalui penggunaan perangkat lunak
perbankan

online.

- Financial electronic data interchnage (FEDI) ; kombinasi EFT dan EDI yang
memungkinkan baik data remittance dan transfer dana instruksi untuk dimasukkan dalam satu
paket

elektronik.

- Universal payment identification code (UPIC) ; nomor yang memungkinkan pelanggan

untuk mengirimkan pembayaran melalui kredit ACH tanpa memerlukan penjual untuk
membocorkan

informasi

rinci

tentang

rekening

bank-nya.

- Cash flow budget ; anggaran yang menunjukkan arus kas masuk dan keluar diproyeksikan
untuk jangka waktu tertentu.
BS
1. Siklus Pendapatan
-

Pengertian Siklus Pendapatan

Siklus pendapatan adalah rangkaian aktivitas bisnis dan kegiatan pemrosesan

informasi terkait yang terus berlangsung dengan menyediakan barang dan jasa ke para
pelanggan dan menagih kas sebagai pembayaran dari penjualan penjualan tersebut.Siklus
Pendapatan merupakan prosedur pendapatan dkimulai dari bagian penjualanotorisasi kredit,
pengambilan barang, penerimaan barang, penagihan sampai denganpenerimaan kas.
-

Aktivitas Bisnis Siklus Pendapatan

Empat aktivitas dasar bisnis yang dilakukan dalam siklus pendapatan :

1. Penerimaan pesanan dari para pelanggan

Mengambil pesanan pelanggan
Persetujuan kredit
Memeriksa ketersediaan persediaan
Menjawab permintaan pelanggan
2. Pengiriman barang
Ambil dan pak pesanan
Kirim pesanan
3. Penagihan dan piutang usaha
Penagihan
Pemeliharaan data piutang usaha
Pengecualian : Penyesuaian rekening dan penghapusan
4. Penagihan kas
Menangani kiriman uang pelanggan
Menyimpannya ke bank
-

Tujuan Siklus Pendapatan

Tujuan utama siklus pendapatan adalah menyediakan produk yang tepat di tempat dan waktu
yang tepat dengan harga yang sesuai.
Tujuan tujuan lain :
o Semua transaksi telah diotorisasikan dengan benar
o Semua transaksi yang dicatat valid (benar-benar terjadi)
o Semua transaksi yang valid, dan disahkan, telah dicatat
o Semua transaksi dicatat dengan akurat

o Asetdijaga dari kehilangan ataupun pencurian

o Aktivitas bisnis dilaksanakan secara efisien dan efektif
- Ancaman dan Pengendalian dalam Siklus Pendapatan
Proses

Ancaman

Prosedur pengendalian yang dapat

/Aktivitas

diterapkan

Entri

1. pesanan pelanggan yang

pesanan

tidak lengkap atau tidak

penjualan

akurat

Pemeriksaan edit entri data

2. Penjualan secara kredit

Persetujuan kredit oleh manajer

ke pelanggan yang

bag. Kredit bukan oleh fungsi

memiliki catt. Kredit buruk

penjualan: catt yang akurat atas

saldo rek. pelanggan

3. Legitimasi pesanan

Ttd diatas dokumen kertas, ttd

digital dan sertifikat digital untuk
e-biz

4. Habisnya persediaan,

Sistem pengendalian persediaan

biaya penggudangan, dan

pengurangan harga
Pengiriman

5. Kesalahan pengiriman:

Rekonsiliasi pesanan penjulana

barang dag., jumlah dan

dengan kartu pengambilan dan slip

alamat yang salah

pengepakan: pemindai kode garis

Pengendalian aplikasi entri data

6. Pencurian persediaan

Batasi akses fisik ke persediaan

Penagihan

7. Kegagalan untuk

Pemisahan fungsi pengiriman dan

dan piutang

menagih pelanggan

penagihan

8. Kesalahan dalam

Pengendalian edit entri data

usaha

penagihan
9. Kesalahan dalam

Daftar harga
Rekonsiliasi buku pembantu

Penagihan

memasukkan data ketika

piutang usaha dengan buku besar:

memperbarui piutang usaha

laporan bulanan ke pelanggan

10. Pencurian kas

Pemisahan tugas; minimalisasi

kas

penanganan kas; kesepakatan

lockbox; konfirmasikan
pengesahan dan penyimpanan
semua penerimaan
Rekonsiliasi periodic laporan bank
dengan catt seseorang yang tidak
terlibat dalam pemrosesan
penerimaan kas

Masalah -

11. Kehilangan data

Prosedur cadangan dan pemulihan

masalah

dari bencana; pengendalian akses

pengendalia

(secara fisik dan logis)

n umum
12. Kinerja yang buruk

Persiapan dan tinjauan laporan

kinerja

F.

Prosedur Manual dalam Sistem Pemesanan Penjualan

o Penjualan Kredit
Departemen Penjualan
Proses yang pertama dari penjualan terdapat pada departemen penjualan yang dimana
departemen ini akan mencatat jenis barang dan kuantitas barang dagang yang akan dipesan
oleh pelanggan.
Departemen Kredit

Pada departemen ini memiliki proses awal yaitu melakukan transaksi persetujuan yang
dimana dengan melihat kelayakan dari pelanggan dalam hal pembelian kredit terhadap
pelanggan tersebut. Dalam memutuskan sifat / jenis pemeriksaan akan disesuaikan dengan
kondisi nyata pada saat terjadinya penjualan.
Departemen Pengiriman
Tugas dari departemen ini adalah mengirimkan barang yang dipesan ke pelanggan. Pada
proses ini, departemen pengiriman menerima surat jalan dan dokumen pengiriman barang
dagangnya. Kemudian departemen ini memberikan dokumen pengiriman beserta barang yang
dipesan kepada pelanggan tersebut.
Prosedur Gudang
Departemen penjualan mengirim salinan surat pengeluaran barang 9 stock release disebut
juga tiket pengambilan) dari pesanan penjualan ke bagian gudang.
Departemen Penagihan
Bagian Penagihan menerima dua buah dokumen untuk kemudian disatukan menjadi suatu
faktur. Dokumen tersebut adalah tembusan SO yang diterima dari bag. Penjualan dan Nota
Pengiriman yang diberikan oleh bag. Pengiriman. Bag. Penagihan kemudian membandingkan
dan menjumlah semua biaya yang terjadi untuk kemudian membuat faktur yang sesuai.
Departemen Pengendalian Persediaan
Departemen pengendalian persediaan menggunakan dokumen pengeluaran barang untuk
memperbaruinakun buku besar pembantu persediaan (inventory subsidiary ledger).
Departemen Piutang Dagang
Tugas dari departemen ini adalah memposting data salinan buku besar pesanan penjualan
ke buku besar tambahan piutang. Sehingga dengan adanya departemen ini akan memudahkan
perusahaan mengetahui seberapa besar piutang yang dimilikinyan dan mengetahui pelanggan
mana yang belum melunasi utangnya.
Departemen Buku BesarUmum
Pada departemen ini,semua jenis dokumen akan diberikan dan akan diolah. Data yang
terkait adalah dokumen jurnal dari departemen penagihan dan departemen pengawasan

persediaan. Selain itu juga ringkasan rekening dari departemen piutang. Hal ini dilakukan
pada saat penutupan periode pemrosesan.
o Retur Penjualan
Disebabkan oleh beberapa hal,antara lain :
1.

Penjual mengirim barang yang salah

2.

Barang yang dikirim ternyata rusak/cacat

3.

Barang tersebut rusak pada saat pengiriman

4.

Penjual terlalu terlambat mengirimkan barang atau terjadi keterlambatan karena penundaan
saat transit, dan pembeli menolak pengiriman tersebut
Prosedur retur penjualan :

Departemen penerimaan barang

Ketika barang dikembalikan, staf penerimaan menghitung, memeriksa dan menyiapkan
slip retur barang yang mendeskripsikan barang tersebut.
Departemen penjualan
Saat menerima slip retur barang, staf penjualan menyiapkan memo kredit. Dokumen ini
merupakan alat yang sah bagi pelanggan untuk menerima pembayaran atas barang yang
dikembalikan.
Departemen kredit
Manajer kredit mengevaluasi kondisi pengembalian dan membuat keputusan untuk
memberikan atau menolak pengembalian tersebut.
Departemen penagihan
Staf penagihan menerima memo kredit dari departemen penjualan dan mencatat kredit
tersebut dalam jurnal penjualan sebagai entri kontra.
Departemen pengendalian persediaan dan piutang dagang

Staf pengendalian persediaan menyesuaikan catatan persediaan dan meneruskan memo kredit
ke departemen piutang, dimana rekening pelanggan akan disesuaikan.
Departemen buku besar umum
Staf departemen umum menerima voucher journal dari departemen penagihan dan
pengendalian persediaan serta rangkuman akun dari departemen piutang dagang.
o Penerimaan Kas
o Prosedur ruang penerimaan dokumen
Ruang penerimaan dokumen menerima cek dari pelanggan bersama dengan permintaan
pembayaran. Dokumen ini berisi informasi utama yang diperlukan untuk akun pelanggan.
o Departemen penerimaan kas
Kasir meverifikasi keakuratan dan kelengkapan antara cek dengan permintaan pembayaran.
Setiap cek yang hilang dan salah dikirimkan dari ruang penerimaan dokumen dan departemen
penerimaan kas diidentifikasi pada proses ini.
o Departemen piutang dagang
Staf departemen piutang dagang melakukan prosespembukuan permintaan pembayaran pada
akun pelanggan di buku besar pembantu piutang dagang.
o Departemen buku besar
Secara berkala, departemen buku besar menerima voucher jurnal dari departemen penerimaan
kas dan rangkuman akun dari departemen piutang dagang.
o Departemen kontroler
Secara berkala(mingguan atau bulanan), staf dari departemen kontroler mencocokkan
penerimaan kas dengan membandingkan dokumen berikut ini :
1.

Salinan dari daftar permintaan pembayaran

2.

Slip setoran bank yang diterima dari bank

3.

Voucher jurnal dari departemen penerimaan kas dan departemen piutang dagang.

o Laporan keuangan yang dicatat :

Jurnal khusus (jurnal penjualan, jurnal penerimaan kas, dan jurnal umum untuk mencatat
memo kredit)

Buku pembantu piutang dagang

Buku pembantu penjualan.

Buku besar
o Kategori file :
1.

File pesanan penjualan terbuka

Adalah file pesanan pelanggan yang belum terpenuhi

2.

File referensi data harga

Adalah daftar harga setiap barang dagangan

3.

File sejarah penjualan

Adalah file dari transaksi penjualan yang sudah selesai

4.

File laporan pengiriman

Menyebutkan barang barang yang dikirim untuk periode tertentu

5.

File memo kredit

Salinan dari memo kredit yang telah dibukukan kea kun pelanggan.
- Prosedur Berbasis Komputer dalam Sistem Pemesanan Penjualan
Prinsip pembukuan pada sistem berbantuan komputer sama dengan sistem manual.
Komputer berfungsi untuk mengotomatisasikan pekerjaan manual dan untuk memungkinkan
penyajian laporan secara lebih cepat, lengkap, dan terpercaya. Pada sistem berbantuan
komputer arsip pembukuan dalam bentuk file atau data-base. Data base adalah kumpulan file.

o Kategori kategori file :

 File transaksi (transaction file), file ini berisi data transaksi tertentu, misalnya transaksi
penjualan, penerimaan kas, dan retur penjualan. Data pada file transaksi digunakan sebagai
basis pemutakhiran file induk (master file).
File induk (master file), file ini berisi data lengkap setiap pelanggan dan tersedia untuk
seluruh pelanggan.
o Mengotomatiskan Pemrosesan Pesanan Penjualan Dengan Teknologi Batch
Pemasukan data
Proses ini dimulai dengan diterimanya sekumpulan dokumen pemberitahuan pengiriman
dari departemen pengiriman. Dokumen ini merupakan salinan dari pesanan dari penjualan
yang berisi informasi tentang jumlah unit yang dikirimkan dan informasi mengenai
pelanggan.
Pengeditan
Sistem penjualan batch dilakukan secara berkala. Bergantung pada volume transaksi dan
kebutuhan akan informasi terbaru, hal ini bisa dijalankan satu kali saja pada hari kerja atau
beberapa kali per hari.
Prosedur pembaruan
Proses pembaruan akses langsung dengan menggunakan data percontoh. Mulai dari
bagian atas file pesanan penjualan yang diedit, program pembaruan memasukkan transaksi
pertama ke record buku besar pembantu persediaan dan piutang dagang dengan
menggunakan kunci sekunder(nomor persediaan dan nomor akun) untuk mencari record yang
sesuai secara langsung. Record transaksi dicatat dalam jurnal, dan program kemudian pindah
ke transaksi selanjutnya dan mengulangi proses ini.
o Rekayasa Ulang Pemrosesan Pesanan Penjualan dengan Teknologi Real-Time

Prosedur Pemrosesan Transaksi

Prosedur penjualan
Pada pemrosesan secara real time, staf penjualan menerima pesanan dari pelanggan dan
memproses setiap transaksi secara terpisah pada saat itu.

 Prosedur pergudangan
Terminal komputer staf pergudangan segera mencetak dokumen pengeluaran barang yang
akan dikirim secara elektronik.
Departemen pengiriman
Staf pengiriman mencocokkan barang, dokumen pengeluaran barang, dan slip pengepakan
yang dibuat oleh terminal komputer.

Kelebihan Pemrosesan secara real time

Pemrosesan rel-time akan sangat menyederhanakan siklus kas perusahaan.

Pemrosesan real-time dapat memberikan perusahaan keunggulan bersaing di pasar
Prosedur manual cenderung menghasilkan kesalahan administrasi, seperti kesalahan pada
nomor akun, nomor persediaan yang tidak valid, dan kesalahan dalam perhitungan harga.

Prosedur Penerimaan Kas Otomatis

Ruang penerimaan dokumen

Ruang penerimaan dokumen memisahkan cek dengan permintaan pembayaran dan
menyiapkan daftar pembayaran.
Departemen penerimaan kas
Staf penerimaan kas mencocokkan cek dan daftar pembayaran dan menyiapkan slip setoran.
Departemen piutang dagang
Staf departemen piutang dagang menerima dan mencocokkan dokumen pembayaran dan
daftar pembayaran.
Departemen pemrosesan data
Pada akhir hari kerja, program batch mencocokkan voucher jurnal dengan file transaksi
penerimaan kas dan memperbarui buku besar pembantu piutang dagang dan akun pengendali
buku besar umum.

- Transaksi dan Dokumen

Transaksi

Dokumen
Pesanan penjualan (sales order)

Penjualan Kredit

Nota pengiriman (shipping notice)

Faktur penjualan (sales invoice)

Penjualan tunai

Nota penjualan (sales ticket)

Penerimaan kas

Bukti pembayaran (remittance advise)

Retur penjualan

Memo kredit (credit memo)

Potongan piutang

Memo kredit (sales allowance adalah

(Sales allowance)
Penghapusan piutang

pengurangan terhadap piutang karena adanya

barang rusak tanpa pengembalian barang)
Memo dan daftar umur piutang (memo and
aged accounts receivable trial balance)

I.

- Aplikasi Siklus Pendapatan

1. Sistem Penagihan Piutang

Postbilling system, dalam sistem ini faktur penjualan dibuat setelah diperoleh konfirmasi
bahwa barang telah dikirimkan. Sistem ini umum digunakan pada perusahaan manufaktur, di
mana sering terjadi selisih waktu antara penerimaan order penjualan dengan pengiriman
barang
Prebilling system, dalam sistem ini faktur penjualan dibuat (tetapi tidak dikirimkan) setelah
order penjualan disetujui (misalnya setelah kredit disetujui dan barang tersedia). Persediaan
barang dagangan, piutang dagang, dan buku besar dimutakhirkan bersamaan dengan
pembuatan faktur.
2. Sistem Piutang Dagang

Piutang dagang adalah sejumlah nilai yang menjadi hak perusahaan sebagai akibar dari
timbulnya transaksi penjulan secara kredit. Terdapat 2 pendekatan dasar dalam aplikasi
piutang dagang, yaitu :
1)

Pemrosesan akun terbuka

Dibuatkan catatan terpisah untuk setiap faktur pelanggan. Pada saat nota pengiriman uang
diterima, dicocokkan ke faktur faktur yang belum dilunasi.
2)

Pemrosesan saldo

Nota nota pelanggan dibebankan ke saldo total piutang pelanggan dan bukan ke faktur
faktur pelanggan.
Pengolahan

piutang

dagang

merupakan

hal

yang

sangat

kompleks

dalamsuatuperusahaan. Perusahaan bidang keuangan skala besar baik ituasuransi atau

perbankan dapat memiliki rekening piutang terpisah yangsangat besar jumlahnya. Terkadang
timbul kendala permrosesan dalam halwaktu, sehingga tidak jarang perusahaan menggunakan
kebijakan rencanapenagihan bersiklus (cycling billing plan), dimana arsip piutang
dagangdipisahkan baik itu secara alfabet atau nomor rekening. Penagihan piutangdilakukan
secara bertahap, misalnya dalam 1 bulan terbagi menjadi 3 atau 4periode penagihan.
Sehingga kebijakan ini secara tidak langsung jugamempengaruhi lancarnya arus kas masuk
perusahaan. Karena biasanyapelanggan akan segera membayar hutang tidak lama setelah
menerima surattagihandari perusahaan.
3. Retur dan Potongan Penjualan
Rekening ini timbul apabila terdapat retur atau pengembalian barangyang telah
dijual.Hal ini disebabkan diantaranya adalah kerusakanbarang, penyusutan jumlah,
kekeliruan pencatatan, dsb. Jumlahbarang yang diretur atau dikembalikan akan mengurangi
jumlahtransaksi yang terjadi. Jumlah potongan atau pengurangandinegosiasikan antara
pelanggan dengan tenaga penjual dan harusditelaah dan disahkan oleh pihak yang
independen, misalnya departemen kredit.
4. Penghapusan Piutang dagang
Fokus utama dari piutang yang dihapuskan adalah piutang yang sudahjatuh tempodan benarbenar sudah tidak dapat ditagih. Cara lain yangmungkin bisa dilakukanagar penghapusan

piutang tidak terjadi misalnya adalah dengan surat peringatan,surat tindak lanjut atau agen
penagihan.
J.

- Laporan Siklus Pendapatan

Sistem aplikasi dalam siklus pendapatan menghasilkan tiga jenis laporan,yaitu :

Laporan control
Sistem akuntansi menghasilkan laporan control selama sistem itu memproses perubahan
ganda terhadap suatu file. Laporan control mungkin membuka transaksi, jumlah total atau
sejumlah transaksi atau daftar perubahab yabg dibuat selama pemeliharaan file.

Daftar
Adalah daftar semua transaksi dari jenis tertentu yang diproses selama periode
pemrosesan tunggal. Daftar merupakan komponen yang penting pada system akuntansi sebab
daftar itu menyediakan audit yang dimana daftar itu mengijinkan auditor untuk
menghubungkan transaksi catatan dokumen dengan neraca rekening buku besar umum yang
meringkasnya.

Laporan khusus
Dibagi menjadi 4, yaitu :

1.

Laporan pelanggan
Laporan pelanggan merupakan daftar dari semua transaksi pada rekening pelanggan
selama periode waktu tertentu. Banyak perusahaan mengirim rekening pada masing masing
pelanggan aktif secara bulanan. Hal ini menunjukkan penjualan yang ditujukan pada
pelanggan, karena rekening terakhir, pembayaran yang diterimadan keseimbangannya masih
dimiliki oleh pelanggan itu.
Rekening bulanan memiliki 2 manfaat, antara lain :

Rekening itu memungkinkan para pelanggan untuk memonitor transaksi dalam rekeningnya.
Hal ini mungkin membuka kesalahan atau ketidakteraturan yang dideteksi oleh prosedur
control dalam sistem akuntansi.
Rekening itu mengingatkan pelanggan supaya membayar rekeningnya lebih cepat.

2.

Neraca percobaan piutang tersimpan

Merupakan daftar semua pelanggan dan keseimbangan yang mereka miliki pada tanggal
tertentu. Ketika neraca percobaan tersimpan, masing masing saldo pelanggan dikategorikan
menurut berapa lama hal ini ada.

3.

Daftar pengiriman uang

Suatu daftar pengiriman uang menjumlahkan semua arus dan cek yang diterima selama
satu hari. Hal ini menjadikan control total atas tanda terima kas, mencegah pencuri, dan
menjadikan yakin bahwa tidak ada tanda terima yang hilang sebelum dikreditkan terhadap
rekening pelanggan.

4.

Laporan analisis penjualan

Dari file akuntansi yang ada dalam siklus pendapatan, aplikasi analisis penjualan menghasilkan
berbagai laporan kinerja manajemen. Dan aplikasi analisis ini meringkas pendapatan
penjualan, harga, batas keuntungan oleh pelanggan, produksi, pelayanan penjualan, atau oleh
wilayah penjualan. Laporan analisis juga memungkinkan manajemen marketing untuk
mengevaluasi keuntungan produksi, kinerja personel penjualan atau akibat dari iklan atau
promosi khusus.

-Flowchart yang terkait :

>Retur Penjualan

Diposkan oleh Aprecia Graciela di 23.51

SIKLUS PENGELUARAN: PEMBELIAN DAN PENGELUARAN KAS

Landasan Materi :
Agar dapat memahami dan menjelaskan mengenai :
Pemesanan Barang, Menerima dan Menyimpan Barang, Membayar Barang dan Layanan,
Memesan Barang, Menyetujui dan Membayar Faktur dari Vendor, Isu-isu Pengendalian
Umum, Model Data Siklus Pengeluaran, Membaca Diagram REA, Manfaat Model Data,
Pertimbangan Pengendalian Internal.
Pengertian Siklus Pengeluaran
Siklus Pengeluaran adalah rangkaian kegiatan bisnis dan operasional pemrosesan data terkait
yang berhubungan dengan pembelian serta pembayaran barang dan jasa.
Tujuan utama dalam siklus pengeluaran adalah untuk meminimalkan biaya total memperoleh
dan memelihara persediaan, perlengkapan, dan berbagai layanan yang dibutuhkan organisasi
untuk berfungsi.
Aktivitas Bisnis Siklus Pengeluaran
Aktivitas utama pertama dalam siklus pengeluaran adalah memesan persediaan atau
perlengkapan.
Metode pengendalian persediaan tradisional ini sering disebut: kuantitas pesanan ekonomis
[EOQ]):
Pendekatan ini didasarkan pada perhitungan jumlah optimal pesanan untuk meminimalkan

jumlah biaya pemesanan, penggudangan dan kekurangan persediaan.

Memesan barang, Perlengkapan dan jasa (layanan)
Metode-metode pengendalian persediaan alternatif :
MRP (material requirement planning)
Pendekatan ini bertujuan mengurangi tingkat persediaan yang dibutuhkan dengan cara
menjadwalkan produksi, bukan memperkirakan kebutuhan.
JIT (just in time)
Sistem JIT berusaha untuk meminimalkan, jika bukan menghilangkan, baik biaya
penggudangan maupun kekurangan persediaan.
Apakah perbedaan utama antara Materials requirements planning (MRP) dan Just-In-Time
(JIT) ?
Sistem MRP menjadwalkan produksi untuk memenuhi perkiraan kebutuhan penjualan,
sehingga menghasilkan persediaan barang jadi.
Sistem JIT menjadwalkan produksi untuk memenuhi permintaan pelanggan, sehingga
secara nyata meniadakan persediaan barang jadi.
Dokumen-dokumen dan prosedur-prosedur:
Permintaan pembelian adalah sebuah dokumen yang mengidentifikasikan berikut ini :
Peminta dan mengidentifikasi nomor barang
Menspesifikasikan lokasi pengiriman dan tanggal dibutuhkan
Deskripsi, jumlah barang, dan harga setiap barang yang diminta
Dan dapat berisi pemasok yang dianjurkan
Apakah keputusan penting itu ?
Menetukan pemasok (vendor)
Faktor-faktor apakah yang harus dipertimbangkan dalam membuat kieputusan ini ?
Harga, kualitas bahan baku
Dapat diandalkan dalam melakukan pengiriman
Dokumen-dokumen dan prosedur-prosedur:
Pesanan pembelian adalah sebuah dokumen atau formulir elektronis yang secara formal
meminta pemasok untuk menjual dan mengirimkan produk yang disebutkan dengan harga
yang telah ditentukan.
Pesanan pembelian juga merupakan janji untuk membayar dan menjadi sebuah kontrak
begitu pemasok menyetujuinya.

 Sering kali, beberapa pesanan pembelian dibuat untuk memenuhi satu permintaan
pembelian.
Menerima dan menyimpan barang, Perlengkapan dan jasa (layanan)
Aktivitas bisnis utama kedua dalam siklus pengeluaran adalah penerimaan dan
penyimpanan barang yang dipesan.
Keputusan-keputusan penting dan kebutuhan-kebutuhan informasi:
Bagian penerimaan mempunyai dua tanggung jawab utama:
1. Memutuskan apakah menerima pengiriman
2. Memeriksa jumlah dan kualitas barang
Dokumen-dokumen dan prosedur-prosedur:
Laporan penerimaan adalah dokumen utama yang digunakan dalam subsistem penerimaan
dalam siklus pengeluaran, laporan ini mendokumentasikan rincian mengenai: setiap kiriman,
termasuk tanggal penerimaan, pengiriman, pemasok, dan nomor pesanan pembelian.
-Bagi setiap barang yang diterima, laporan ini menunjukkan nomor barang, deskripsi, unit
ukuran, dan jumlah barang yang diterima.
Membayar barang dan jasa (layanan):
Menyetujui Faktur Pemasok
Aktivitas utama ketiga dalam siklus pengeluaran adalah menyetujui faktur penjualan
dari vendor untuk pembbayaran.
Bagian utang usaha menyetujui faktur penjualan untuk dibayar
Kasir bertanggung jawab untuk melakukan pembayaran
Membayar barang dan jasa (layanan): Memperbaiki Utang Usaha
Pemrosesan efisiensi dapat diperbaiki dengan:
Meminta para pemasok untuk memberikan faktur secara elektronis, baik melalui EDI atau
melalui Internet
Penghapusan faktur vendor (pemasok). Pendekatan tanpa faktur ini disebut Evaluated
Receipt Settlement (ERS).
Membayar Barang: Membayar faktur penjualan yang telah disetujui
Kasir menyetujui faktur
Gabungan dari faktur vendor dengan dokumen pendukungnya disebut : Bundel voucher.

 Keputusan penting dalam proses pengeluaran kas adalah menetapkan apakah akan
memanfaatkan diskon yang ditawarkan untuk pembayaran awal.
Kebutuhan Informasi
Fungsi ketiga dari SIA adalah menyediakan informasi yang berguna untuk pengambilan
keputusan.
Kegunaan dalam siklus pengeluaran berarti bahwa SIA harus memberikan informasi
operasional yang dibutuhkan untuk melakukan fungsi-fungsi berikut ini :
Menetapkan kapan dan seberapa banyak tambahan persediaan yang akan dipesan.
Memilih pemasok yang tepat untuk pesanan.
Memverifikasi akurasi faktur dari vendor.
Memutuskan apakah diskon pembelian harus dimanfaatkan.
Mengawasi kebutuhan arus kas untuk membayar kewajiban yang belum diselesaikan.
Sebagai tambahan, SIA harus memberikan informasi evaluasi strategis dan kinerja berikut
ini:
Efisiensi dan efektivitas bagian pembelian
Analisis kinerja pemasok, seperti pengiriman tepat waktu dan kualitas.
Waktu yang digunakan untuk memindahkan barang dari area penerimaan ke produksi.
Persentase diskon pembelian yang dimanfaatkan.

Prosedur Pengendalian secara umum yang terkait dengan siklus pengeluaran

Auditor harus memahami bagaimana kecenderungan kelima kategori prosedur pengendalian
dalam operasi transaksi siklus pengeluaran ini. Kelima kategori tersebut antara lain :
1. Adanya otorisasi yang memadai
2. Adanya pemisahan tugas
3. Adanya dokumen dan catatan akuntansi
4. Adanya akses kea rah pengendalian
5. Pengecekan yang di lakukan oleh personel yang independent
Auditor harus melakukan evaluasi apakah prosedur pengendalian dalam perusahaan benarbenar telah berjalan dengan baik. Prosedur pengendalian yang tidak memenuhi kelima criteria
tersebut mempunyai kecenderungan risiko audit yang tinggi.
Pengendalian Intern terhadap siklus pengeluaran
1. Catatan dan dokumen yang biasa digunakan dalam transaksi siklus pengeluaran
Check, yaitu dokumen perintah pembayaran sejumlah uang kepada bank
Check Summary, yaitu laporan tentang ringkasan check yang telah dikeluarakan dalam
suatu periode
Cash Disbusement Transaction File, yaitu file yang berisi informasi pembayaran cek untuk
penjual atau pihak lain yang digunakan untuk memasukan ke dalam rekening utang dagang
dan buku besar
Cash Disbusement Juornal or Check Register, merupakan catatan formal terhadap
pengeluaran cek untuk pihak lain
2. Fungsi-fungsi terkait dalam transaksi siklus pengeluaran

Nama Fungsi Unit Organisasi Pemegang Fungsi

1. Fungsi yang memerlukan pengeluaran kas
2. Fungsi pencatatan utang
3. Fungsi keuangan
4. Fungsi akuntansi biaya
5. Fungsi akuntansi umum
6. Fungsi audit intern
7. Fungsi penerimaan kas Bagian pemasaran atau bagian-bagian lain
- Bagian utang
- Bagian kasa
- Bagian akuntansi biaya
- Bagian akuntansi umum
- Bagian audit intern
- Bagian kasa
Keterangan :
1. Fungsi yang memerlukan pengeluaran kas (misalnya untuk pembelian jasa dan untuk biaya
perjalanan dinas), fungsi yang bersangkutan mengajukan permintaan cek kepada fungsi
pencatatan utang. Permintaan cek ini harus mendapat persetujuan dari kepala fungsi yang
bersangkutan.
2. Fungsi pencatatan utama
Fungsi ini bertanggung jawab atas pembuatan bukti kas keluar yang memberikan otorisasi
kepada fungsi keuangan dalam mengeluarkan cek yang tercantum dalam dokumen tersebut.
Fungsi ini juga bertanggung jawab untuk melakukan verifikasi kelengkapan dan validitas
dokumen pendukung yang dipakai sebagai dasar pembuatan bukti kas keluar.
3. Fungsi keuangan.
Dalam transaksi pengeluaran kas, fungsi ini bertanggungjawab untuk mengisi cek, meminta
otorisasi atas cek, dan mengirimkan cek kepada kreditur via pos atau membayarkan langsung
kepada kreditur.
4. Fungsi akuntansi biaya
Dalam transaksi pengeluaran kas, fungsi ini bertanggungjawab atas pencatatan pengeluaran

kas yang menyangkut biaya dan persediaan.

5. Fungsi akuntansi umum
Dalam transaksi pengeluaran kas, fungsi ini bertanggungjawab atas pencatatan transaksi
pengeluaran kas dalam jurnal pengeluaran kas atau register cek.
6. Fungsi audit intern
Fungsi ini bertanggung jawab untuk melakukan perhitungan kas (cash count) secara periodik
dan mencocokkan hasil perhitungannya dengan saldo kas menurut catatan akuntansi (akun
kas dalam buku besar). Fungsi ini bertanggung jawab untuk melakukan pemeriksaan secara
mendadak (surprised audit) terhadap saldo kas yang ada ditangan dan membuat rekonsiliasi
bank secara periodik.
Risiko yang terdapat struktur pengendalian intern siklus pengeluaran.
Dalam memahami risiko pengendalian yang timbul dalam transaksi pengeluaran kas harus
memperhatikan kemungkinan-kemungkinan salah saji, pengendalian yang dibutuhkan, serta
kemungkinan pengujian yang harus dilakukan berikut ini:
a. Terhadap transaksi pembayaran hutang.
Kemungkinan adanya pengeluaran cek untuk pembelian yang tidak disetujui, harus
dikendalikan dengan cara penandatanganan cek melakukan penelaahan terhadap kelengkapan
pendukung voucher dan persetujuannya. Auditor dapat melakukan pengujian dengan cara
observasi apakah penandatanganan cek melakukan pengecekan dengan bebas terhadap
dokumen pendukung.
Kemungkinan voucher dibayar dua kali, dikendalikan dengan pemberian cap terhadap
voucher dan dokumen pendukungnya bila telah dibayar. Auditor dapat melakukan pengujian
apakah semua pembayaran diberi cap.
Check mungkin dibayarkan untuk jumlah yang salah, dikendalikan dengan pengecekkan
oleh pihak yang bebas mengenai kesesuaian jumlah dalam check dengan voucher-nya.
Check mungkin dirubah setelah ditandatangani, dikendalikan dengan pengecekan
pemberian tanda cek yang dikirim. Auditor dapa melakukan pengujian dengan melakukan
wawancara tentang prosedur pengiriman check, dan observasi proses pengiriman check.
b. Terhadap transaksi pengeluaran kas.

 Check mungkin tidak dicatat, dikendalikan dengan check yang bemomor urut tercetak.
Auditor melakukan pengujian terhadap penggunaan dokumen bemomor urut tercetak.
Kesalahan-kesalahan dalam pencatatan check, dikendalikan dengan pembuatan rekonsiliasi
bank secara periodik oleh pihak yang bebas. Auditor dapat melakukan pengujian terhadap
bank rekonsiliasi.
Check tidak dicatat dengan segera, dikendalikan oleh pihak yang bebas untuk mencocokkan
tanggal check dan tanggal pencatatannya. Pengujian yang dilakukan dengan memperlihatkan
kembali adanya kebebasan dalam pengecekan.
Tujuan Pengendalian, Ancaman, dan Prosedur
Fungsi lain SIA yang dirancang dengan baik adalah untuk memberikan pengendalian yang
cukup untuk memastikan bahwa tujuan-tujuan berikut terpenuhi:
Transaksi-transaksi diotorisasi dengan tepat.
Transaksi-transaksi dicatat dengan valid.
Valid, otorisasi transaksi dicatat.
Transaksi dicatat secara akurat.
Aset (Kas, persediaan, dan data) diamankan (dijaga) dari kehilangan atau pencurian.
Aktivitas bisnis dilakukan secara efisien dan dengan efektif.
Apakah ancaman-ancaman itu ?
Mencegah kehabisan &/atau keleihan persediaan
Meminta barang yg tidak dibutuhkan
Membeli dengan harga yg dinaikkan
Membeli barang berkualitas rendah
Membeli dari pemasok yang tidak diotorisasi
Komisi (kickbacks)
Menerima barang yang tidak dipesan
Membuat kesalahan dalam penghitungan
Mencuri persediaan
Gagal memanfaatkan diskon pembelian yang tersedia
Kesalahan mencatat dan memasukkan data dalam utang usaha
Kehilangan data
Apakah prosedu-prosedur pengendalian itu ?
Sistem pengendalian persediaan
Analisis kinerja pemasok
Persetujuan permintaan pembelian

 Batasi akses ke permintaan pembelian kosong

Konsultasi daftar harga
Pengendalian anggaran
Gunakan daftar pemasok yang disetujui
Persetujuan pesanan pembelian
Pemesanan pembelian sebelum penomoran
Larangan hadiah dari para pemasok
Insentif ke semua rekening pengiriman
Pengendalian akses phhisik
Cek ulang akurasi faktur
Pembatalan pengepakan voucher
Model Data Siklus Pengeluaran
Penggabungan model data REA kedua-duanya (both) data transaksi akuntansi tradisional
dengan data operasional lain.
Apakah contoh-contohnya?
Tanggal dan jumlah tiap pembelian
Information tentang dimana barang-barang disimpan
Ukuran kinerja pemasok, seperti tanggal pengiriman

Model Data Siklus Pengeluaran

Model diagram REA hubungan antara kegiatan barang yang diminta dan pemesanan barang
dimodelkan sebagai hubungan banyak ke satu.
Mengapa ?
Kadang-kadang perusahaan menerbitkan pemesanan pembelian untuk permintaan
pembelian individu.
Pada waktu yang lain mengambil keuntungan dari pemotongan volume dengan
menerbitkan satu pemesanan pembelian untuk satu set permintaan.

Model Data Siklus Pengeluaran

Mengapa ada hubungan banyak ke banyak antara kegiatan pemesanan barang dan
penerimaan barang ?
Kadang-kadang para pemasok membuat beberapa pengieiman terpisah untuk mememnuhi
satu pesanan pembelian.
Lain waktu, Para pemasok mengisi beberapa pesanan pembelian dengan satu pengiriman.
Kadang-kadang, para pemasok melakukan pengiriman untuk mengisi penuh pesanan
pembelian tunggal