BAB 2

LANDASAN TEORI

2.1 Teori umum

2.1.1 Pengertian Sistem

Menurut Mulyadi ( diterjemahkan oleh Devi Fitriasari dan Deny Arnos Kwary,

2002, p5 ), sistem adalah suatu jaringan prosedur yang dibuat menurut pola yang terpadu

untuk melaksanakan kegiatan pokok perusahaan.

Menurut James A. OBrien ( diterjemahkan Devi Fitriasari dan Deny Arnos

Kwary, 2005, p29), sistem adalah sekelompok komponen yang saling berhubungan,

bekerja sama untuk mencapai tujuan bersama dengan menerima input serta

menghasilkan output dalam proses transformasi yang teratur.

Menurut Tata Sutabri ( 2004, p9 ), suatu sistem pada dasarnya adalah sekelompok

unsur yang erat hubungannya satu dengan yang lain, yang berfungsi bersama sama

untuk mencapai tujuan tertentu.

Jadi dapat disimpulkan bahwa sistem adalah kumpulan dari beberapa elemen yang saling

berhubungan atau berinteraksi untuk mencapai satu tujuan dan terintegrasi.

6
 2

2.1.2 Pengertian Informasi

Menurut Jeffery L.Whitten, Lonnie D. Bentley dan Kevin C. Dittman (

diterjemahkan oleh Andi, 2004, p23 ), informasi adalah data yang telah diproses atau

diorganisasi ulang menjadi bentuk yang berarti. Informasi dibentuk dari kombinasi

yang diharapkan memiliki arti ke penerima.

Menurut James A. OBrien ( diterjemahkan oleh Devi Fitriasari dan Deny Arnos

Kwary, 2005, p38 ), informasi adalah data yang telah diubah menjadi kontek yang

berarti dan berguna bagi para pemakai akhir tertentu.

Menurut George H.Bonar dan William S.Hopwood ( diterjemahkan oleh Amir

Abadi Jusuf dan Rudi M.Tambunan, 2000, p1 ), informasi adalah data yang berguna

yang diolah sehingga dapat dijadikan dasar untuk mengambi keputusan yang tepat.

Menurut Turban Rainer Potter ( 2003 p15 ), Information is a collection of fact

( data ) organized in some manner so that they are meaningful to a recipient .

( informasi adalah suatu kumpulan dari fakta ( data ) yang terorganisir dalam

beberapa cara sedemikian rupa sehingga mereka penuh arti bagi seorang penerima.

Jadi dapat disimpulkan bahwa informasi adalah data yang sudah diolah yang mempunyai

arti khusus dan dapat digunakan sebagai bahan pengambilan keputusan.

2.1.3 Pengertian Sistem Informasi

Menurut Jeffery L.Whitten, Lonnie D. Bentley dan Kevin C. Dittman (

diterjemahkan oleh Andi, 2004, p10 ), sistem informasi adalah pengaturan, orang, data,
proses, dan teknologi informasi yang berinteraksi untuk mengumpulkan, memproses,

menyimpan, dan menyediakan sebagai output informasi yang diperlukan untuk

mendukung sebuah organisasi.

Menurut James A. OBrien ( diterjemahkan oleh Devi Fitriasari dan Deny Arnos

Kwary, 2005, p32 ), sistem informasi adalah sistem yang menerima sumberdaya ( data )

sebagai input dan memprosesnya menjadi produk ( informasi ) sebagai outputnya.

Menurut Turban Rainer Potter ( 2003, p15 ), An information system ( IS )

collects, processes, stores, analyzes, and disseminates information for a specific purpose

. ( Suatu sistem informasi ( SI ) mengumpulkan, memproses, menyimpan, meneliti,

dan menyebarkan informasi untuk suatu tujuan yang spesifik ).

Jadi dapat disimpulkan bahwa sistem informasi adalah suatu kerangka kerja

dimana sumberdaya ( man, machine, material, money, information ) dikoordinasikan

untuk mengubah input ( data sumberdaya ) menjadi output ( informasi barang jadi ) guna

mencapai sasaran sasaran perusahaan.

2.2 Audit

2.2.1 Pengertian Audit

Menurut http://www.scribd.com/doc/931629/Auditing-dan-profesi-

akuntan-publik#, audit adalah proses sistematis untuk menghimpun dan

mengevaluasi bukti-bukti secara obyektif mengenai asersi-asersi tentang berbagai

tindakan dan kejadian ekonomi untuk menentukan tingkat kesesuaian antara asersi-
asersi tersebut dengan kriteria yang telah ditentukan dan menyampaikan hasilnya

kepada para pemakai yang berkepentingan.

Menurut A.Arens dan James K.Loebbecke ( 1996, p1 ) dalam bukunya

yang diterjemahkan oleh Amir Abadi Jusuf, Auditing adalah proses pengumpulan

dan pengevaluasian bahan bukti berupa informasi yang dapat diukur mengenai

suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen

untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan

kriteria kriteria yang telah ditetapkan.

Menurut James Hall ( 2001, p42 ) dalam bukunya yang diterjemahkan

oleh Jusuf, Auditing adalah salah satu bentuk pengujian independen yang

dilakukan oleh seorang ahli yang menunjukkan pendapatnya tentang kejujuran (

fairness ) sebuah laporan keuangan.

Menurut A.Arens dan James K.Loebbecke ( 2003, p.8 ) Auditing is the

accumulation and evaluation of evidence about information to determine and

report on the degree of correspondence between the information and established

criteria.

Auditing should be done by a competent, independent person. ( Auditing

adalah proses pengumpulan dan penilaian bahan bukti tentang informasi untuk

menentukan dan melaporkan kesesuaian informasi dengan kriteria kriteria yang

telah ditetapkan dan dilakukan oleh orang yang kompeten dan independen ) .

Jadi dapat disimpulkan bahwa audit adalah suatu sistem yang digunakan untuk

melakukan pemeriksaan terhadap empat laporan keuangan ( neraca, arus kas,

perubahan modal dan rugi/laba ), apakah laporan keuangan tersebut wajar menurut

prinsip prinsip dasar akuntansi dan mengevaluasi bukti bukti audit.

 2.2.2 Jenis jenis Audit

Menurut Arens dan Loebbecke (2001, p4-5), ada tiga jenis audit, yaitu:

a. Audit Laporan Keuangan ( General Financial Statement Audit )

Audit laporan keuangan bertujuan untuk menentukan apakah laporan keuangan

secara keseluruhan yang merupakan informasi terukur yang akan

diverifikasikan telah disajikan sesuai dengan kriteria-kriteria tertentu.

b. Audit Operasional atau Manajemen ( Operational or Management Audit )

Audit operasional merupakan penelaahan atas bagian manapun dari prosedur

dan metode operasi suatu organisasi untuk menilai efisiensi dan efektivitasnya.

Umumnya, pada saat selesainya audit operasional, auditor akan memberikan

sejumlah saran kepada manajemen untuk memperbaiki jalannya operasi

perusahaan.

c. Audit Ketaatan (Compliance Audit)

Audit ketaatan bertujuan mempertimbangkan apakah klien telah mengikuti

prosedur atau aturan tertentu yang telah ditetapkan pihak yang memiliki

otorisasi lebih tinggi, misalnya pemeriksaan surat perjanjian dengan banyak

dan atau kreditur lain untuk memastikan bahwa perusahaan tersebut telah

memenuhi ketentuan hukum yang berlaku.

2.2.3 Instrumen Audit

Menurut Weber, R ( 1999, p789 801 ), instrumen audit yang digunakan untuk

mengumpulkan data adalah sebagai berikut :

a. Wawancara

Dalam audit, auditor menggunakan teknik interview atau wawancara dengan

beberapa alasan, yaitu:

1. Sistem analisa dan programmer yang mendesain dan mengimplementasikan

sistem aplikasi dapat diwawancarai sehingga auditor lebih mengerti akan fungsi

dan kontrol sistem .

2. User juga dapat di wawancarai untuk menjelaskan seberapa besar kualitas dari

sistem yang mereka gunakan.

3. Pengendalian organisasi dapat di wawancarai untuk mengidentifikasinya sistem

yang kritis yang terdapat dalam organisasi .

b. Check list

Adalah membuat daftar pertanyaan yang ditujukan kepada pihak yang terkait

diperusahaan, khususnya bagian penjualan untuk mengetahui kondisi yang

sebenarnya.

c. Observasi

Adalah memeriksa dengan menggunakan panca indera terutama mata, yang

dilakukan secara berulang ulang selama kurun waktu tertentu untuk membuktikan

sesuatu keadaan atau masalah.

2.2.4 Audit Sistem Informasi

2.2.4.1 Pengertian Audit Sistem Informasi

Menurut Weber, R. ( 1999, p10), Information systems auditing is the process of

collecting and evaluating evidence to determine whether a computer system safeguards

assets, maintains data integrity, allows organizational goals to be achieved effectively,

and users resources efficiently. ( Audit sistem informasi adalah proses pengumpulan

dan pengevaluasian bukti bukti untuk menentukan apakah sistem aplikasi

komputerisasi telah menetapkan dan menerapkan sistem pengendalian intern yang

memadai, semua aktiva dilindungi dengan baik untuk menjamin integritas data,

kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis

komputer tersebut ).

2.2.4.2 Tujuan Audit Sistem Informasi

Menurut Ron Weber ( 1999, p11 ), tujuan audit sistem informasi dapat dibagi

menjadi empat, yaitu ;

a. Meningkatkan keamanan asset perusahaan

Asset suatu peusahaan seperti perangkat keras ( hardware ), perangkat lunak (

software), sumber daya manusia, dan file data harus mempunyai sistem pengendalian

intern yang baik agar tidak terjadi penyalahgunaan asset perusahaan.

b. Meningkatkan integritas data

Integritas data adalah suatu konsep dasar yang sistem informasi. Data memiliki

atribut atribut tertentu seperti kelengkapan, kebenaran, dan keakuratan. Jika

integritas data tidak terpelihara maka suatu perusahaan tidak akan memiliki laporan

yang benar bahkan perusahaan dapat menderita kerugian.

c. Meningkatkan efektifitas sistem

Efektifitas sistem informasi perusahaan memiliki peranan dalam pengambilan

keputusan. Suatu sistem informasi dapat dikatakan efektif apabila suatu sistem sudah

sesuai dengan kebutuhan user.

d. Meningkatkan efisiensi

Suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi

kebutuhan user dengan sumber daya informasi minimal.

2.2.4.3 Perlunya Pengendalian dan Audit Sistem Informasi

Faktor-faktor yang mendorong pentingnya pengendalian dan audit sistem

informasi menurut Ron Weber (1999, p5-10) adalah untuk :

a. Mendeteksi agar komputer tidak dikelola secara kurang terarah, tidak ada visi , misi,

perencanaan sistem informasi pimpinan tertinggi organisasi kurang peduli, tidak ada

pelatihan dan pola karir personal yang baik, dan sebagainya.

b. Mendeteksi resiko kehilangan data.

c. Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses

sistem komputerisasi yang salah atau tidak lengkap.

d. Menjaga asset perusahaan karena nilai hardware, software, dan personil yang

lazimnya tinggi.

e. Mendeteksi error komputer.

f. Menjaga kerahasiaan, maksudnya adalah bahwa sistem informasi berbasis komputer

hendaknya mempunyai kemampuan untuk memproteksi aman, terjaganya privasi

para penggunanya dan sebagainya.

g. Mendeteksi resiko penyalahgunaan komputer.

2.2.4.4 Jenis jenis Audit Sistem Informasi

Menurut Weber, R. ( 1999, p106 107 ), jenis jenis audit sistem informasi

adalah sebagai berikut :

a. Audit secara bersamaan ( Concurrent Audit )

Auditor merupakan anggota dari tim pengembangan sistem, mereka membantu tim

dalam meningkatkan kualitas dan pengembangan untuk sistem spesifikasi yang

mereka bangun dan akan diimplementasikan.

b. Audit setelah implementasi ( Post Implementation Audit )

Auditor membantu organisasi untuk belajar dari pengalaman pengembangan dari

sistem aplikasi. Mereka mengevaluasi apakah sistem perlu dihentikan, dilanjutkan

atau di modifikasi.

c. Audit Umum ( General Audit )

Auditor mengevaluasi kontrol pengembangan sistem secara keseluruhan, memberi

opini audit tentang pernyataan keuangan ataupun tentang keefektifitasan dan

keefisienan sistem.

2.2.4.5 Tahapan Audit

Menurut Ron Weber(1999, p 47), tahapan audit sistem informasi dibagi menjadi

lima tahapan, antara lain :

a. Perencanaan audit ( Planning the Audit)

 Perencanaan adalah tahap awal. Pada tahap ini auditor harus menentukan tingkat

preliminary material untuk audit serta mencoba memperoleh pengertian

mengenai pengendalian intern yang digunakan dalam organisasi.

b. Pengujian pengendalian ( Test of Control)

Auditor harus melakukan pengujian atas pengendalian tertentu untuk mengevaluasi

apakah mereka beroperasi secara efektif.

c. Pengujian transaksi ( Test of Transactions )

Auditor menjalankan pengujian substantive untuk mengevaluasi apakah ada

kesalahan material atau salah penyajian dari akuntansi yang terjadi ataupun yang

mungkin terjadi.

d. Pengujian balanced atau hasil keseluruhan ( Tests of Balances or Everall results)

Auditor mencari untuk mendapatkan bukti yang cukup untuk membuat keputusan

akhir tingkat kesalahan atau salah penyajian yang telah tejadi atau yang mungkin

terjadi.

e. Penyelesaian audit ( Completion of the audit )

Auditor memberi opini apakah ada kesalahan material ataupun salah penyajian yang

telah terjadi ataupun yang mungkin terjadi.

2.3 Standar Audit

Menurut Information System Audit and Control Association ( ISACA ),

Standar Audit adalah sebagai berikut :

a. S1 - Audit Charter

1. Tujuan, tanggungjawab, otorisasi, dan akuntabilitas fungsi audit SI

pada suatu organisasi / perusahaan ataupun penguasa audit harus

dengan dibuat tertulis ( didokumentasikan ) dalam audit charter atau

engagement letter.

2. Audit Charter atau engagement letter harus disetujui dan

ditandatangani oleh pimpinan organisasi.

b. S2 - Independence

1. Independensi Professional

Dalam segala hal yang berkaitan dengan audit, auditor harus

independen dalam sikap dan penampilan.

2. Independensi Organisasi

Fungsi audit SI harus bebas ( tidak ada conflict of interest ) dari area

yang diperiksa untuk dapat menyelesaikan tugas audit dengan baik.

c. S3 - Professional Ethics Standards

1. Code of Professional Ethics

Auditor dari sistem informasi harus menghormati dan menaati etika

profesional dari Information System Audit and Control Association.

2. Due Professional Care

Standards auditing professional harus diterapkan dalam segala aspek

dalam pekerjaan yang dilakukan oleh auditor sistem informasi.

d. S4 - Professional Competence

1. Auditor SI harus mampu secara profesional, mempunyai pengetahuan

dan keahlian teknis untuk melakukan penugasan tugas audit.

2. Auditor SI harus memelihara kemampuan profesionalnya dengan

pendidikan dan pelatihan berkelanjutan.

e. S5 - Audit Planning

1. Auditor SI harus membuat rencana kerja audit SI, mencakup tujuan

audit, dan bahwa kegiatan kegiatan auditnya akan sesuai dengan

aturan, hukum dan standar professional audit yang ada.

2. Auditor SI harus melakukan teknik pendekatan audit berbasis resiko (

risks based audit ) dan mendokumentasikannya dengan baik.

3. Auditor SI harus menyusun rencana kerja audit, mencakup rincian

tentang hakekat dan tujuan audit, periode atau waktu yang diperlukan,

dan sumber daya yang diperlukan untuk penugasan audit tersebut.

4. Auditor SI harus menyusun rencana kerja audit dan / atau program

audit, mencakup prosedur audit yang diperlukan untuk penyelesaian

tugas audit itu.

f. S6 - Performance of Audit Work

1. Supervisi

a. Staff audit SI harus disupervisi untuk memperoleh keyakinan

memadai bahwa tujuan audit yang telah dicapai sesuai dengan standar

profesional audit.
 2. Bukti audit

a. Dalam pelaksanaan tugasnya auditor SI harus memperoleh bukti yang

cukup, reliable, dan relevan untuk pencapaian tujuan audit. Temuan

hasil audit harus didasarkan pada ketersediaan bukti yang cukup,

dianalisis dan di interprestasikan / dievaluasi dengan baik / tepat.

3. Dokumentasi

a. Proses audit harus didokumentasikan, menjelaskan pelaksanaan

kegiatan audit, dan bukti audit yang mendukung kesimpulan / temuan

audit.

g. S7 - Reporting

1. Auditor SI harus membuat laporan hasil audit dalam format yang

tepat segera setelah selesai melakukan tugas auditnya. Laporan hasil

audit harus memuat organisasi, pihak yang dituju, dan batasan

batasan sirkulasi ( jika ada ).

2. Laporan audit harus menyebutkan ruang lingkup, tujuan periode

dan waktu pelaksanaan pemeriksaan.

3. Laporan audit harus berisi temuan, kesimpulan dan rekomendasi,

serta pengungkapan mengenai penyediaan, kualifikasi atau

pembatasan cakupan audit yang dialami oleh auditor SI dalam

melaksanakan tugasnya.

4. Temuan hasil audit yang dilaporkan harus didukung bukti audit yang

cukup, lengkap dan kompeten untuk mendukung laporan hasil

pemeriksaan itu.
 5. Laporan hasil audit harus ditandatangani, dibubuhi tanggal pelaporan,

dan didistribusikan sesuai ketentuan pada audit charter / letter of

engagement.

h. S8 - Follow Up Activities

1. Setelah laporan hasil audit yang mengemukakan temuan dan

rekomendasi, auditor SI harus mengevaluasi informasi yang relevan

untuk memperoleh keyakinan apakah tindak lanjut yang diperlukan

( atas rekomendasi ) telah dilaksanakan oleh pihak manajemen sesuai

jadwal yang diusulkan ( tepat waktu ).

i. 9. S9 - Irregularities of Audit Work

1. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko

audit, auditor SI harus mempertimbangkan resiko ketidakteraturan

dan illegal acts.

2. Auditor SI harus bersikap profesional skeptis dalam pelaksanaan

audit, paham kemungkinan misstatements yang material dapat saja

terjadi karena adanya irregularities dan illegal acts, di luar evaluasi

yang telah dilakukan.

3. Auditor SI harus memahami organisasi dan lingkungannya, termasuk

sistem pengendalian internal bidang yang diperiksa.

4. Auditor SI harus memiliki bukti audit yang lengkap dan kompeten

untuk menentukan apakah manajemen atau pihak lainnya dalam

organisasi mengetahui aktual, curiga atau yang diduga keras terdapat

ketidakteraturan dan / atau tindakan tindakan yang ilegal.

5. Dalam menjalankan prosedur audit untuk memahami organisasi dan

lingkungannya, auditor SI harus dapat mempertimbangkan

kemungkinan hubungan tak terduga atau bisa terjadinya resiko

misstatemens akibat ketidakteraturan dan / atau tindakan tindakan

ilegal.

6. Auditor SI harus merancang dan menjalankan prosedur untuk

menguji ( test ) kecukupan pengendalian intern dan resiko manajemen

mengesampingkan pengendalian intern.

7. Jika auditor SI mengidentifikasikan adanya misstatements, auditor SI

harus menilai apakah misstatements tersebut terjadi akibat

irregularities dan illegal acts, jika ya, auditor SI harus memikirkan

kemungkinan dampaknya ke bidang lain, khususnya berkaitan dengan

representations of management.

8. Auditor SI harus memperoleh representasi tertulis dari manajemen,

dilakukan sedikitnya setiap tahun atau lebih sering lagi bergantung

pada penugasan audit yang antara lain :

9. Pengakuan tanggungjawab manajemen untuk merancang dan

mengimplementasikan kontrol internal untuk mencegah dan

mendeteksi irregularities dan illegal acts.

10. Mengungkapkan kepada auditor mengenai penilaian resiko jika

terdapat kemungkinan misstatements yang material sebagai akibat

irregularities dan illegal acts.

11. Mengungkapkan kepada auditor tentang pengetahuannya terhadap

irregularities dan illegal acts, dampaknya kepada organisasi dan

 kaitannya dengan manajemen maupun karyawan yang mempunyai

peran penting dalam sistem pengendalian intern.

12. Mengungkapkan kepada auditor jika mengetahui atau menduga

adanya irregularities dan illegal acts atau disampikan oleh

karyawan, eks karyawan, pihak regulator atau yang lain.

13. Jika auditor SI mengidentifikasikan adanya irregularities dan illegal

acts atau memperoleh informasi mengenai hal itu, auditor harus

mengkomunikasikan ini kepada level manajemen yang tepat sesegera

mungkin.

14. Jika auditor SI mengidentifikasikan irregularities dan illegal acts

yang melibatkan manajemen atau personil yang berperan dalam

internal control, auditor intern harus mengkomunikasikan hal itu

kepada pihak yang bertanggungjawab dalam tatakelola perusahaan.

15. Auditor SI harus memberi advice kepada tingkat manajemen yang

bertanggungjawab atas kelemahan rancangan dan implementasi

internal control dalam mencegah dan mendeteksi irregularities dan

illegal acts yang mendapat perhatian auditor dalam melaksanakan

penugasan pemeriksaannya.

16. Jika auditor SI menemui kondisi yang tidak biasa yang berdampak

pada kelanjutan pelaksanaan audit sebagai akibat misstatements yang

material dan / atau tindakan ilegal, auditor harus mempertimbangkan

tanggungjawab legal dan profesional, termasuk kemungkinan auditor

untuk memberitahu kepada pihak pihak ( lain ) yang mendapat

 penugasan, penanggungjawab perusahaan, atau pihak berwenang, dan

bila perlu mengundurkan diri dari penugasan.

17. Auditor SI harus mendokumentasikan semua komunikasi,

perencanaan, hasil, evaluasi, dan kesimpulan yang berhubungan

dengan irregularities dan illegal acts yang sudah dikomunikasikan

kepada manajemen, pihak bertanggungjawab lain, atau pihak

berwenang, dan lainnya.

j. S10 IT Governance

1. Auditor SI harus melakukan peninjauan dan penilaian apakah fungsi

SI sudah selaras dengan visi, misi, tata nilai, dan strategis serta

tujuan organisasi.

2. Auditor SI melakukan peninjauan apakah fungsi SI memiliki

pernyataan yang jelas mengenai kinerja yang diharapkan oleh

organisasi ( efektif dan efisien ) dan dinilai apakah hal hal tersebut

sudah tercapai.

3. Auditor SI harus meninjau dan menilai efektivitas sumberdaya SI dan

kinerja proses manajemennya.

4. Auditor SI harus meninjau dan menilai kepatuhan terhadap legal,

lingkungan dan kualitas informasi, dan keamanan.

5. Dalam pemeriksaan dan evaluasi fungsi SI, auditor sebaiknya

menggunakan pendekatan audit berbasis resiko ( risk based audit

approach ).

6. Auditor SI harus meninjau dan menilai lingkungan pengendalian

auditan.
 7. Auditor SI harus meninjau dan menilai resiko yang mungkin terjadi

dalam lingkungan sistem berbasis teknologi informasi.

k. S11 Use of Risk Assessment in Audit Planning

1. Auditor SI harus menggunakan teknik penilaian resiko yang cocok

dalam pengembangan rencana kerja audit SI, dan dalam menentukan

prioritas alokasi sumberdaya audit yang efektif.

2. Ketika merencanakan peninjauan individual, auditor SI harus

mengidentifikasi dan menilai resiko yang relevan dari area yang

diperiksanya.

l. 12. S12 Audit Materiality

1. Auditor SI harus mempertimbangkan konsep materialitas dalam

hubungannya dengan resiko audit.

2. Dalam merencanakan audit, auditor SI mempertimbangkan

kelemahan kelemahan potensial atau tidak adanya kontrol internal

dan apakah hal itu dapat mempunyai akibat yang signifikan pada SI.

3. Auditor SI mempertimbangkan dampak komulatif dari kelemahan

atau ketiadaan pengendalian intern.

4. Laporan auditor SI harus mengungkapkan adanya pengendalian intern

yang tidak efektif atau tidak adanya pengendalian intern ( terhadap

resiko tertentu ) dan dampaknya.

m. S13 Using the Work of Other Expert

1. Auditor SI harus, jika memungkinkan, menggunakan hasil kerja

auditor atau tenaga ahli lain.

 2. Auditor SI harus menilai kualifikasi profesional, kompetensi,

pengalaman yang relevan, sumberdaya, independensi, proses quality

control dari ahli lain tersebut, sebelum menerima penugasan audit.

3. Auditor harus meninjau, menilai dan evaluasi hasil kerja tenaga ahli

lain tersebut sebagai bagian dari audit dan menentukan tingkat

penggunaan atau mengesampingkan hasil kerja tenaga ahli dan lain

tersebut.

4. Auditor SI harus menentukan dan menyimpulkan apakah hasil kerja

tenaga ahli lain tersebut cukup memadai dan lengkap untuk

mendukung auditor SI menarik kesimpulan sesuai tujuan audit ( dan

kesimpulan tersebut harus secara jelas didokumentasikan ).

5. Auditor SI perlu melaksanakan prosedur pemeriksaan tambahan

untuk memperoleh bukti audit yang lebih efficient dan appropriate

pada situasi dimana auditor berpendapat bahwa bukti audit dari hasil

kerja tenaga ahli lain tersebut tidak cukup.

6. Auditor SI harus memberikan opini tentang kecukupan bukti audit

dan pembatasan ruang lingkup pemeriksaan ( jika ada ), terkait

kelengkapan bukti audit yang diperoleh melalui pemeriksaan

tambahan.

n. 14. S14 Audit Evidence

1. Auditor SI harus memiliki bukti audit yang cukup dan layak ( lengkap

dan kompeten ) untuk dapat menarik kesimpulan hasil audit.

2. Auditor SI harus mengevaluasi kompetensi dan kecukupan bukti

audit.
2.4. Teknik dan praktek Audit Sistem Informasi

Menurut Gondodiyoto (2007, p 451), dalam melakukan audit system informasi dapat

dilakukan dengan tiga pendekatan :

a. Audit disekitar computer (Audit Around The Computer)

Dalam pendekatan ini, auditor dapat melangkah pada perumusan pendapat hanya

dengan menelaah struktur pengendalian dan melakukan pengujian transaksi dan

persedur verifikasi saldo perkiraan dengan cara sama seperti pada system manual

(bukan system informasi berbasis computer). Auditor tidak perlu menguji

pengendalian system informasi berbasis computer klien (yaitu terhadap file

program/data didalam computer), melainkan cukup terhadap input dan output

system aplikasi saja.

Keunggulan mengunakan pendekatan ini adalah :

1. Pelaksanaan auditnya lebih sederhana.

2. Auditor yang memiliki pengetahuan minimal dibidang computer

dapat dilatih dengan mudah untuk melaksanakan audit.

Kelemahannya adalah jika lingkungan berubah, kemungkinan system itu akan

berubah dan perlu penyesuaian system atau program programnya, bahkan

mungkin struktur data atau file, sehingga auditor tidak dapat menilai atau

menelaah apakah system masih berjalan dengan baik.

b. Audit melalui computer (Audit Through The Computer)

Dalam pendekatan ini, auditor melalukan pemeriksaan langsung terhadap

program program dan file computer yang ada pada audit system informasi

berbasis computer. Auditor menggunakan bantuan software computer langsung

atau dengan cek logika atau listing program untuk menguji logika program dalam
 rangka pengujian pengendalian yang ada dalam kompter. Selain itu, auditor juga

dapat memintak penjelasan dari para teknisi computer mengenai spesifikasi

system dan program yang diperiksanya.

Keunggulan menggunakan pendekatan ini adalah :

1. Auditor dapat menilai kemapuan system computer tersebut untuk

menghadapi perubahan lingkungan.

2. Auditor memperoleh kemampuan yang besar dan efektif dalam

melakukan pengujian terhadap system computer.

3. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.

Kelemnahannya adalah pendekatan ini memerlukan biaya yang besar dan

memerlukan tenaga ahli yang terampil.

c. Audit dengan computer (Audit with The Computer)

Pendekatan ini dilakuan dengan menggunakan computer dan software untuk

mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini merupakan cara

audit yang sangat bermanfaat, khususnya dalam pengujian substantif atas file

dan record perusahaan. Software audit yang diguanakan merupakan program

computer auditor untuk membantu dalam pengujian dan evaluasi kehandalan

data, file atau record perusahaan.

Keunggulan menggunakan pendekatan ini adalah:

1. Merupakan program computer yang diproses untuk membantu pengujian

pengendalian system computer klien itu sendiri.

2. Dapat melaksanakan tugas audit yang terpisah dari catatan klien, yaitu

dengan mengambil copy data atau file untuk dites dengan computer lain.

Kelemahan adalah upaya dan biaya untuk pengembangan relatif besar.

2.5 Prosedur Audit Sistem Informasi

Menurut Weber (1999, p 47 55), tahapan tahapan audit system informasi

terdiri dari :

a. Merupakan tahapan pertama dalam audit bagi auditor eksternal yang berarti

menyelidiki dari awal atau melanjutkan yang ada untuk menentukan apakah

pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai

melakukan pengecekan informasi latar belakang klien, mengerti kewajiban

utama dari klien dan mengidentifikasi area resiko.

b. Pengujian atas control (Tests of Controls)

Tahap ini dimulai dengan pemfokusan pada pengendalian menejemen,

apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian

menejemen tidak berjalan sebagai mana mestinya. Bila auditor menemukan

kesalahan yang serius pada pengendalian menejemen, maka mereka akan

mengemukakan opini atau mengambil keputusan dalam pengujian transaksi

dan saldo untuk hasilnya.

c. Pengujian atas transaksi (Tests of Transaction)

Pengujian yang termasuk adalah pengecekan jurnal yang masuk dari

dokumen utama, menguji nilai kekayaan dan ketepatan komputasi. Computer

sangat berguna dalam pengujian ini dan auditor dapat menggunakan software

audit yang umum untuk mengecek apakah pembayaran bunga dari bank telah

dikalkulasi secara tepat.

d. Pengujian atas keseimbangan atau hasil keseluruhan (Tests of Balances or

Overall Results)
 Auditor melakuan pengujian ini agar bukti penting dalam penilaian akhir

kehilangan atau pencatatan yang keliru yang menyebabkan fungsi system

informasi gagal dalam memelihara data secara keseluruhan dan mencapai

system yang efektif dan efesien. Dengan kata lain, dalam tahap ini

mementingkan pengamatan asset dan integritas data yang obyektif.

e. Penyelesaian audit (Completion of The Audit)

Tahap terakhir ini, auditor eksternal melakukan beberapa pengujian

tambahan untuk mengkoleksi bukti unutk ditutup, dengan memberikan

pernyataan pendapat.

2.6 Pengendalian Internal

2.6.1 Pengertian Sistem Pengendalian Intern

Menurut Mulyadi ( 2001, p163 ) sistem pengendalian intern meliputi struktur

organisasi, metode dan ukuran ukuran yang dikoordinasikan untuk menjaga kekayaan

organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan

mendorong dipatuhinya kebijakan manajemen.

Menurut Ron Weber ( 1999, p35 ) A control is a system that prevents, detects, or

corrects unlawful events can be arise unauthorized, inaccurate, incomplete, redundant,

ineffective, or inefficient. ( Pengendalian internal adalah suatu sistem untuk mencegah,

mendeteksi, mengkoreksi kejadian yang timbul saat transaksi dari serangkaian

pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung

redudansi, tidak efektif dan tidak efisien ). Dengan demikian, tujuan dari pengendalian
adalah untuk mengurangi resiko atau mengurangi pengaruh yang sifatnya merugikan

akibat suatu kejadian. Maka pengendalian dikelompokkan menjadi tiga bagian yaitu :

a. Preventive Control

Pengendalian ini digunakan untuk mencegah masalah sebelum masalah tersebut

muncul.

b. Detective Control

Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan

pengendalian segera setelah masalah tersebut muncul.

c. Corrective Control

Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada

pengendalian Detective. Pengendalian ini mencakup prosedur untuk menentukan

penyebab masalah yang timbul, memodifikasi sistem proses. Dengan demikian dapat

memcegah kejadian yang sama dimasa yang akan datang.

2.6.2 Tujuan Sistem Pengendalian Internal

Menurut Mulyadi ( 2001, p163 ), mengungkapkan empat tujuan sistem

pengendalian intern, yaitu :

a. Menjaga kekayaan organisasi.

b. Mengecek ketelitian dan kehandalan data akuntansi.

c. Mendorong efisiensi.

d. Mendorong dipatuhinya kebijakan manajemen.

 Sedangkan menurut Gondodiyoto ( 2003, p75 ) berpendapat bahwa tujuan utama

Dari sistem pengendalian internal adalah :

a. Mengamankan aset organisasi.

b. Memperoleh informasi yang akurat dan dapat dipercaya.

c. Meningkatkan efektifitas dan efisiensi kegiatan.

d. Mendorong kepatuhan pelaksanaan terhadap kebijaksanaan organisasi / pimpinan.

2.6.3 Jenis-jenis Pengendalian internal

2.6.3.1 Pengendalian Manajemen

Pengendalian manajemen terdiri dari :

a. Pengendalian Top Manajemen ( Top Management Control )

Top Manajemen menurut Ron Webber (1999, p39) merupakan sebuah

pengendalian oleh pimpinan perusahaan yang bertanggung jawab terhadap

fungsi sistem informasi yang berhadapan dengan banyak tantangan, seperti

perkembangan hardware dan software.

b. Pengendalian Manajemen Sistem Informasi (Information System

Management Control )

Information system management menurut Ron Weber (1999,p39), memiliki

tanggung jawab keseluruhan dalam merencanakan dan melakukan kontrol

terhadap aktivitas sistem informasi juga memberikan saran untuk manajemen

puncak dalam hubungannya dengan pengambilan keputusan jangka panjang

 dan menerjemahkan kebijakan jangka panjang ke dalam tujuan dan sasaran

jangka pendek.

c. Pengendalian terhadap manajemen pengembangan sistem informasi (

Information System Development Management Control )

Pengendalian terhadap manajemen pengembangan sistem informasi menurut

Ron Weber (1999,p105), bertanggung jawab terhadap fungsi analisa, desain,

pengembangan, implementasi dan maintenance sistem informasi.

d. Pengendalian Manajemen Sumber Data ( Data Resources Management

Contro l)

Menurut Ron Weber (1999, p206), Pengendalian sumber data yang baik

yaitu:

1. User harus dapat membagi data.

2. Data harus tersedia untuk dapat digunakan kapan saja, dimanapun dan

dalam bentuk apapun.

3. Data harus dapat dimodifikasi dengan mudah oleh yang berwenang

sesuai dengan kebutuhan susunan kebutuhan user.

4. Memelihara integritas data.

Agar kondisi tersebut dapat dicapai, maka dibutuhkan solusi teknik dengan

menggunakan sistem manajemen database yang baik dalam sistem

penyimpanan data. Dengan sistem database yang baik maka independensi

data, Integritas data dan pengendalian akses dapat dilakukan atau di kelola

dengan lebih baik..

e. Pengendalian Manajemen Jaminan Kualitas ( Quality Assurance

Management Control )

Management Quality Assurance menurut Ron Weber (1999, p332),

berkonsentrasi untuk memastikan bahwa sistem informasi yang dihasilkan

oleh fungsi sistem informasi mencapai suatu standar kualitas yang dapat

diterima dan pengembangan, implementasi, operasional dan maintenance

terhadap sistem informasi tunduk kepada standar kualitas yang telah

ditetapkan.

f. Pengendalian Manajemen Keamanan ( Security Management Control )

Menurut Ron Weber (1999, p257), pengendalian terhadap manajemen

keamanan secara garis besar bertanggung jawab dalam menjamin aset sistem

Informasi tetap aman. Ancaman utama terhadap keamanan dapat bersifat

karena alam, oleh manusia yang bersifat kelalaian maupun kesengajaan,

antara lain :

1. Ancaman kebakaran

Beberapa pelaksanaan pengamanan untuk ancaman kebakaran adalah :

a. Memiliki alarm kebakaran otomatis yang diletakkan pada tempat

dimana aset-aset sistem informasi berada.

b. Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah

diambil.

c. Memiliki tombol power utama ( Termasuk AC ).

 d. Gedung tempat penyimpanan aset sistem informasi dibangun dari

bahan tahan api.

e. Memiliki pintu atau tangga darurat yang diberi tanda tangan jelas

sehingga karyawan dengan mudah menggunakannya.

2. Ancaman banjir

Beberapa pelaksanaan pengamanan untuk ancaman kebanjiran, antara

lain:

a. Usahakan untuk atap, dinding dan lantai yang tahan air.

b. Menyediakan alarm pada titik strategis dimana material aset sistem

informasi diletakkan.

c. Semua material aset sistem informasi diletakkan ditempat yang tinggi

d. Menutup perlatan hardware dengan bahan yang tahan air sewaktu

tidak digunakan.

3. Perubahan tegangan sumber energi

Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan

sumber energi listrik, misalnya menggunakan stabilizer ataupun untuk

Uninterruptible Power Supply ( UPS ) yang memadai dan mampu

mengatasi tegangan listrik jika tiba-tiba turun.

4. Kerusakan struktural

Kerusakan sttruktural terhadap aset sistem informasi dapat terjadi karena

adanya gempa dan angin. Beberapa pelaksanaan pengamanan untuk

 mengantisipasi kerusakan struktural, misalnya memilih lokasi perusahaan

yang jarang terjadi gempa dan angin ribut.

5. Polusi

Beberapa pelaksanaan pengamanan untuk mengantisipasi polusi,

misalnya situasi kantor yang bebas debu dan tidak memperbolehkan

membawa binatang peliharaan serta melarang karyawan membawa atau

meletakkan minuman di dekat peralatan komputer.

6. Penyusup

Pelaksanaan pengamanan untuk mengantisipasi penyusup dapat

dilakukan dengan menempatkan penjaga dan penggunaan alarm.

7. Virus

Pelaksanaan pengamanan untuk mengantisipasi virus meliputi pedagang :

a. Preventif, seperti menginstal anti virus dan meng-update secara rutin,

melakukan scan file yang akan digunakan.

b. Detektif, melakukan scan secara rutin.

c. Korektif, memastikan back up data bebas virus, pemakaian anti virus

terhadap file yang terinfeksi.

8. Hacking

Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking :

 a. Penggunaan kontrol logika seperti penggunaan password yang sulit

untuk ditebak.

b. Petugas keamanan secara teratur memonitor sistem yang digunakan.

Pengendalian akhir dapat dilaksanakan apabila ancaman keamanan benar-

benar telah terjadi antara lain :

1. Rencana Pemulihan Bencana

Rencana pemulihan menjadi normal setelah terjadinya bencana dilakukan

kegiatan-kegiatan yang pada hakekatnya terdiri dari 4 bagian yaitu :

a. Rencana Darurat (Emergency Plan) yaitu jika terjadi sesuatu,

tindakan apa yang harus segera dilakukan dan bagaimana

melakukannya.

b. Rencana Back-up (Back-Up Plan) dilakukan misalnya

membuat persetujuan dengan unit komputer atau dengan

instalasi lain, yaitu bila terjadi masalah dapat menggunakan

komputer di tempat tersebut.

c. Rencana Pemulihan (Recovery Plan) yaitu prosedur apa yang

harus dilakukan untuk dapat kembali beroperasi dengan

starting point pada saat kerusakan terjadi (tidak mengulang

lagi proses yang sudah dikerjakan dari saat start-up sampai

mesin down atau listrik mati)

d. Rencana Pengujian (Test Plan), dimana seluruh program kerja

yang sudah direncanakan perlu diuji coba terlebih dahulu

untuk test atau uji keahliannya.

 2. Asuransi

Perlu di pertimbangkan cost atau bernefit-nya untuk memiliki asuransi

untuk peralatan, fasilitas, media penyimpanan, gangguan bisnis, dokumen

dan kertas yang berharga yang ada di instalasi.

g. Pengendalian Manajemen Operasional ( Operation Management Control )

Menurut Gondodiyoto ( 2007, p331 ), pengendalian manajemen operasional

merupakan jenis pengendalian intern yang didesain untuk pengelolaan

sumberdaya dan operasi teknologi informasi ( TI ) pada suatu organisasi.

Menurut Ron Weber (1999, p293 320 ), Secara keseluruhan Pengendalian

Operasional bertanggung jawab terhadap hal-hal sebagai berikut :

1. Pengoperasian Komputer ( Computer Operations )

Tipe pengendalian yang harus dilakukan adalah :

a. Menentukan fungsi yang harus dilakukan operator komputer

maupun fasilitas operasi otomatis.

b. Menentukan penjadwalan kerja pada pemakaian hardware /

software.

c. Menentu perawatan terhadap hardware / software agar dapat

berjalan dengan baik.

d. Pengendalian perangkat keras berupa hardware controls dari

produsen untuk mendeteksi hardware malfunction.

2. Pengoperasian jaringan ( Network Operations )

 Pengendalian yang dilakukan adalah seperti memonitor dan

memelihara jaringan dan pencegahan terhadap akses oleh pihak

yang tidak berwenang. Pengendalian sistem komunikasi data antara

lain jalur komunikasi, Hardware, Cryptology, Software.

3. Persiapan dan Pengentrian data ( Preparation and Entry Data )

Fasilitas fasilitas yang ada harus dirancang untuk memiliki

kecepatan dan keakuratan data serta telah dilakukan pelatihan

terhadap pengentrian data.

4. Pengendalian Produksi ( Production Control )

Fungsi yang harus dilakukan untuk pengendalian produksi adalah :

a. Penerimaan dan pengiriman input dan output.

b. Penjadwalan kerja.

c. Manajemen pelayanan.

d. Peningkatan pemanfaatan komputer.

5. File Library

Fungsi yang harus dilakukan untuk file library adalah :

a. Penyimpanan media penyimpanan ( Storage of storage media

).

b. Penggunaan media penyimpanan ( Use of storage media ).

c. Pemeliharaan dan penempatan media penyimpanan

( Maintenance and disposal of storage media

).

d. Lokasi media penyimpanan ( Location of storage media ).

6. Documentation and Program Library

Orang yang bertanggung jawab atas dokumentasi mempunyai

beberapa fungsi yang harus dilakukan yaitu :

a. Memastikan bahwa semua dokumentasi disimpan secara

aman.

b. Memastikan bahwa hanya orang yang mempunyai otorisasi

saja yang bisa mengakses dokumentasi.

c. Memastikan bahwa dokumentasi tersebut selalu up to date.

d. Memastikan adanya back up yang cukup untuk dokumentasi

yang ada.

7. Help Desk / Technical Support

Ada dua fungsi utama help desk / technical support yaitu :

a. Membantu end user dalam menggunakan hardware dan

software yang berhubungan dengan end user seperti

microcomputer, spreadsheet packages, database management

packages, dan local area networks.

b. Menyediakan technical support untuk sistem produksi dengan

dilengkapi suatu penyelesaian masalah yang berhubungan

dengan hardware, software, dan database.

8. Capacity Planning and Performance Monitoring

Tujuan utama dari fungsi sistem informasi ini adalah untuk mencapai

tujuan dari pelanggan sistem informasi dengan biaya serendah

mungkin.
 9. Management of Outsourced Operations

Saat ini banyak organisasi yang melalukan outsource terhadap

beberapa fungsi dari sistem informasi mereka. Alasan utama

dilakukannya outsource karena mereka ingin memfokuskan pada

fungsi inti bisnis mereka.

Menurut Gondodiyoto ( 2007, p331 ), pengendalian manajemen

operasi

diterapkan dengan mencakup hal hal sebagai berikut :

a. Pemisahan tugas dan fungsi.

b. Pengendalian personil.

c. Pengendalian perangkat keras.

d. Pengendalian jaringan.

e. Manajemen operasi.

h. Pengendalian Program Manajemen (Programming Management Control)

Menurut Ron Weber (1999, p39), programming management bertanggung

jawab dalam proses pemrograman sistem yang baru, merawat sistem lama

dan menyediakan perangkat lunak ( Software ) pendukung.

2.7 Pengendalian Aplikasi

 Menurut Ron Weber (1999, p365 ), Pengendalian sistem aplikasi berkaitan

dengan menjamin sistem aplikasi individu untuk menjaga aset, menjamin integritas data,

dan mencapai objektif perusahaan dengan efektif dan efisien.

a. Boundary Control

Menurut Ron Weber (1999, p368-405 ), subsistem boundary

menghubungkan antara user dengan sistem komputer dan dengan komputer itu

sendiri, mengendalikan sifat dan fungsi pengendalian akses. Pengendalian dalam

subsistem boundary mempunyai tiga tujuan yaitu :

1. Untuk memastikan bahwa pemakai komputer adalah orang yang

mempunyai wewenang.

2. Untuk memastikan bahwa identitas yang diberikan oleh pemakai

adalah benar.

3. Untuk membatasi tindakan yang dapat dilakukan pemakai untuk

menggunakan komputer ketika melakukan tindakan otorisasi.

b. Cryptographic Control

Kontrol cryptographic dirancang untuk mengamankan data pribadi dan untuk

menjaga modifikasi oleh orang yang tidak berwenang, cara ini dilakukan dengan

cara mengecek data sehingga tidak memiliki arti bagi orang yang tidak dapat

menguraikan data tersebut.

c. Access Control
 Jenis kontrol yang digunakan pada subsistem boundary adalah kontrol akses.

Kontrol akses melarang pemakaian komputer yang tidak berwenang, membatasi

tindakan yang dapat dilakukan oleh pemakai, dan memastikan bahwa pemakai

hanya memperoleh sistem komputer yang asli.

d. Personel Identification Numbers

PIN adalah tknik yang digunakan secara luas untuk mengidentifikasikan orang,

sebuah PIN merupakan password yang sederhana, itu biasa merupakan nomor

rahasia seseorang yang berhubungan dengan orang tersebut, melayani

memverifikasi keotentikan orang. PIN digunakan oleh institusi keuangan seperti

untuk kartu ATM, kartu debit. Secara umum cara kerjanya adalah pemakai

menggesekkan kartunya pada sebuah alat dan fungsi PIN pada PIN keypad.

e. Digital Signatures

Jika berita kontrak dibuat dalam bentuk formulir elektronik maka tanda tangan

yang biasa dilakukan pada kontrak biasa tidak dapat dilakukan

untuk mengantisipasi hal tersebut dibuatlah tanda tangan digital. Digital

signature ini terdiri dari rangkaian 0 dan 1 yang terdapat pada halaman.

f. Plastic Card

Bila PIN dan Digital signature digunakan untuk keperluan pembuktian keaslian,

kartu plastik digunakan untuk keperluan identifikasi. Pengendalian disekitar

kartu plastik, bagaimanapun unsur penting dari keseluruhan latihan pengendalian

boundary dalam beberapa tipe dari sistem.

g. Audit Trail Control

Diketahui ada dua jenis jejak audit yang harus ada pada subsistem, yaitu :

1. Jejak audit akuntansi untuk menjaga catatan setiap kejadian pada

subsistem.

2. Jejak audit operasional untuk menjaga catatan pemakaian sumber

daya yang berhubungan dengan setiap kejadian dan subsistem.

g. Exsistence Control

Jika susbsistem pada boundary tidak berhasil, kemungkinan pemakaian sistem

komputer tidak dapat mengadakan hubungan dengan sistem. Kegagalan dapat

terjadi pada setiap komponen susbsistem sebagai contoh : sirkuit terminal bisa

rusak, software akses kontrol bisa rusak dan lain lain.

h. Input Control

Menurut Ron Weber (1999, p418), Pengendalian input bertanggung jawab untuk

mengirimkan data dan instruksi dari pengguna kepada sistem aplikasi.Input

merupakan salah satu tahap dalam sistem komputerisasi yang paling krusial dan

mengandung resiko. Resiko yang dihadapi misalnya:

1. Data transaksi yang ditulis oleh pelaku transaksi salah ( error ).

2. Kesalahan pengisian dengan kesengajaan.

3. Penulisan tidak jelas sehingga dibaca salah oleh orang lain.

Tipe pengendalian yang berhubungan dengan pengendalian input, yaitu :

a. Data input Methods

 Mengingat bahwa cara yang dilakukan oleh auditor untuk mengevaluasi control

terhadap sistem aplikasi adalah dengan menelusuri jenis jenis transaksi pada

sistem, maka untuk dapat melakukan tugas itu dengan baik mereka harus

mengerti bagaimana cara sistem tersebut bekerja terutama pada proses input data.

Dengan cara memahami metode input data yang digunakan pada aplikasi maka

auditor dapat mengembangkan cara pengendalian terhadap kekuatan maupun

kelemahan dari input subsistem tersebut.

b. Source Document Design

Beberapa dokumen data menggunakan dokumen sumber untuk mencatat data

yang akan dimasukkan pada komputer. Sumber daya dokumen digunakan bila

terdapat interval waktu antara waktu terjadinya data dengan waktu input berbeda.

Proses desain sumber data dimulai setelah analisis terhadap sumberdaya yang

telah dilakukan, apa saja data yang akan direkam pada sumber data tersebut,

bagaimana cara data tersebut direkam, siapa yang akan merekam data,

bagaimana data tersebut disiapkan dan dimasukkan dalam komputer dan

bagaimana data tersebut ditangani, disimpan dan diarsip.

c. Data Entry Screen Design

Jika data dimasukkan ke dalam monitor, maka diperlukan desain yang

berkualitas terhadap layar tampilan masukkan data ( Data input ) agar

mengurangi kemungkinan terjadinya kesalahan dan agar tercapainya efektif dan

efisien masukkan data pada subsistem input.

d. Data Code Control

 Data kode memiliki dua tujuan, yaitu :

1. Sebagai identitas yang unik.

2. Untuk keperluan identifikasi.

e. Check Digits

Pada beberapa kasus kesalahan pengetikan data dapat berdampak serius.

Pengendalian data yang digunakan untuk menjaga terjadinya kesalahan adalah

dengan melakukan check digit . Check digit ini biasanya digunakan pada

berbagai aplikasi untuk mendeteksi kesalahan, seperti pada proses kartu kredit,

proses rekening bank dan lain lain.

f. Batch Control

Cara kontrol yang mudah dan efektif untuk melakukan pengendalian terhadap

masukkan data ( Data input ) adalah batch control. Batching adalah proses

pembentukkan suatu transaksi yang memiliki hubungan satu sama lainnya.

g. Validation of Data Input

Data yang dimasukkan pada aplikasi harus segera divalidasikan setelah diinput.

h. Instruction Input

Memastikan bahwa kuantitas dari data input. Data masukkan cenderung untuk

mengikuti pola yang telah terstandarisasi.

i. Validation of Instruction input

Seperti pada input data, input transaksi juga harus divalidasi. Auditor harus

memberikan perhatian kepada validasi input transaksi, ketika :

 1. Instruksi itu merupakan bagian dari paket software yang digunakan

secara luas.

2. Instruksi itu diinterpretasikan melalui bahasa pemrograman tingkat

tinggi.

j. Audit trial Control

Jejak audit pada subsistem input memelihara kronologis kejadian data dari waktu

ke waktu dan instruksi yang diterima serta yang dimasukkan pada sistem aplikasi

sampai pada waktu penentuan data tersebut valid dan dapat dikirim kepada

subsistem yang lain, yang terdapat pada aplikasi.

k. Existence Control

Pengendalian yang ada terhadap proses data input subsistem yang merupakan hal

yang kritis. Jika file master aplikasi sistem rusak atau dikorupsi, proses

pemulihan harus dilakukan dengan menggunakan versi sebelumnya dari master

file dan proses input harus dilakukan lagi terhadap data yang hilang.

l. Database Control

Menurut Ron Weber (1999, p560), Pengendalian database bertanggung jawab

terhadap mendefinisikan, membuat, memodifikasi, menghapus, membaca data

dalam sistem infomasi.

m. Processing Control

Menurut Ron Weber (1999, p517), pengendalian proses bertanggug jawab

terhadap perhitungan, pengurutan, pengklasifikasian dan merangkum data.

 n. Output Control

Menurut Ron Weber (1999, p613 634 ), pengendalian output menyediakan

fungsi yang menentukan isi data yang akan tersedia bagi pengguna, cara data

diubah dan dipresentasikan kepada pengguna, dan cara data akan disediakan dan

didistribusikan ke pengguna.

Ada beberapa pengendalian yang harus diperhatikan dalam melakukan pengendalian

atas output yang dihasilkan, yaitu :

a. Stationery supplies storage controls

Orang yang menggunakan printer untuk mencetak laporan biasanya memiliki

jumlah formulir preprinted yang cukup banyak, sebagai contoh invoice untuk

memudahkan kontrol terhadap formulir tersebut penggunaan warna kertas dapat

dilakukan sehingga memudahkan pencarian dan pemakaian formulir tersebut.

b. Report program execution controls

Auditor harus memperhatikan tiga hal yang berhubungan dengan pelaksanaan

program pembuatan laporan, yaitu :

1. Hanya orang yang memiliki wewenang saja yang dapat menjalankan

program.

2. Wewenang yang diberikan kepada orang yang dapat menjalankan

perintah pembuatan laporan harus sesuai dengan kebutuhan. Jadi

laporan dibuat selengkap mungkin sesuai dengan kebutuhan yang

memerlukan laporan tersebut.

 3. Program pembuatan laporan yang menghasilkan laporan dalam

jumlah banyak harus memiliki fasilitas checkpoint / restart.

c. Queuing / spooling / printer file controls

Jika laporan tidak dapat dicetak dengan segera maka laporan tersebut harus

mengentri, sistem software dapat membuat program laporan mengerti bahwa

ketika printer sedang digunakan oleh pihak lain maka mereka harus mengantri

ketika printer sudah bisa digunakan maka segera perintah cetak diberikan oleh

sistem.

d. Printing controls

1. Kontrol terhadap pencetakan laporan memiliki tiga tujuan, yaitu :

Untuk memastikan bahwa laporan dicetak oleh printer yang benar.

2. Untuk mencegah pihak yang tidak berwenang melihat data sensitif yang

terkandung pada laporan tersebut.

3. Untuk memastikan bahwa kontrol yang tepat telah dilakukan pada proses

pencetakan laporan.

e. Report collection controls

Ketika output sudah dihasilkan maka harus diperhatikan keamanannya agar

output tidak hilang, diambil oleh pihak yang tidak berwenang.

f. User / client services review controls

Sebelum output dikirim ke pemakai, maka perlu dilakukan pemeriksaan atas

kualitas output yang dihasilkan. Pemeriksaan yang bisa dilakukan dapat berupa

pemeriksaan atas nomor halaman yang tidak tercetak karena printer kehabisan
 tinta, kualitas tulisan, media penyimpanan telah diberi label yang memadai,

halaman laporan yang hilang, dan halaman laporan yang tercetak miring.

g. Report distribution controls

Ada beberapa cara yang bisa dilakukan dalam pengiriman laporan ke pemakai,

yaitu :

1. Output harus disimpan pada tempat yang terkunci dan terjangkau oleh

pemakai.

2. Dapat langsung dikirim kepada pemakai.

3. Dapat dikirim melalui kurir.

4. Dapat diambil sendiri oleh pemakai.

5. Diserahkan ke orang pengiriman

h. User output controls

Pemakai dapat dilibatkan untuk melakukan kontrol terhadap output yang

dihasilkan karena pemakai sudah terbiasa dengan output yang mereka terima

maka sangat mudah bagi mereka untuk mengetahui terjadinya kesalahan pada

output.

i. Storage controls

Ada tiga hal utama yang harus dilakukan sehubungan dengan media

penyimpanan output, yaitu :

1. Output harus disimpan ditempat yang mudah dijangkau sehingga bila

output tersebut diperlukan mudah untuk ditemukan.

2. Output harus disimpan dengan aman.

 3. Kontrol terhadap keluar masuk output harus dilakukan bila output

menggunakan mekanisme kontrol persediaan.

j. Retention controls

Keputusan tentang berapa lama output disimpan harus dilakukan.

k. Destruction controls

Kontrol dilakukan agar tidak ada output yang seharusnya masih diperlukan tidak

dihancurkan.

Tipe pengendalian yang berhubungan dengan pengendalian Output yaitu :

1. Inference Controls

Pengendalian model akses memperbolehkan atau menolak akses pada

item data berdasarkan nama dari item, isi dari data item, atau beberapa

dari karakteristik dari serangkaian data yang terdapat pada data item, agar

data yang tidak boleh diakses dapat di blok maka timbullah apa yang

disebut database statistikal.

2. Batch Output Production dan Distribbution Controls

Batch output adalah output yang dihasilkan pada beberapa fasilitas

operasional dan sesudah itu dikirim atau disimpan oleh custodian atau

pemakai ouput tersebut. Output ini menggunakan berbagai formulir.

Contohnya, keluaran laporan pengendalian manajemen berisi table,

grafik, dan image. Pengendalian terhadap batch output dilakukan dengan

tujuan untuk memastikan bahwa laporan tersebut akurat, lengkap, dan

 tepat waktu yang hanya dikirimkan atau yang akan diserahkan kepada

pemakai yang berhak.

3. Batch Report Design Control

Elemen penting untuk melihat pengendalian efektifitas pelaksanaan

terhadap produksi dan distribusi terhadap laporan keluaran batch adalah

dengan melihat kualitas dari desainnya. Desain laporan yang baik akan

membuat pemakai mudah untuk membaca output yang dihasilkan.

4. Online Output Production and Distribution Control

Pengendalian terhadap produksi dan distribusi atas output yang dilakukan

melalui online, dilakukan secara garis lurus, tujuan utamanya adalah

untuk memastikan bahwa hanya bagian yang memiliki wewenang saja

dapat melihat output melalui online tersebut.

5. Audit Trail Control

Pengendalian jejak audit pada subsistem output dilakukan untuk menjaga

kronologi kejadian yang terjadi dari saat output diterima sampai pemakai

melakukan penghapusan tersebut karena sudah tidak dipakai atau

disimpan lagi.

6. Existance Control
 Output dapat hilang atau rusak karena berbagai alasan seperti, invoice

hilang, online output terkirim pada alamat yang salah, output terbakar

karena kebakaran. Pada beberapa kasus pemulihan kembali output mudah

dilakukan tetapi pada kasus lain, hal tersebut sulit bahkan mustahil

dilakukan. Recovery terhadap subsistem output secara akurat, lengkap,

dan tepat merupakan hal yang sangat membantu kelangsungan hidup

banyak organisasi.

2.8 Teori Penetapan Resiko

Menurut Maiwald (2003, p144), risk is underlying concept that forms the basis

for what we calls Security. Risk is the potensial for loss that requires protection.

( Resiko adalah konsep yang mendasari apa yang kita sebut dengan keamanan. Resiko

adalah potensi kehilangan perlindungan yang dibutuhkan).

A vulnerability is potential avenue of attack. (Sifat rawan adalah pendekatan

potensial dari serangan ).

A threat is an action or event that might violate the security of an information

System. (Ancaman adalah tindakan atau peristiwa yang mungkin melanggar keamanan

lingkungan sistem informasi).

Threat + Vulnerability = Risk

Risk is the combination of threat and vulnerability. (Resiko adalah kombinasi dari

ancaman dan kerawanan).

Resiko dapat didefinisikan dalam 3 tingkatan secara kualitatif, yaitu :

a. Low ( Rendah)

Kerawanan menempati sebuah tingkatan resiko dalam organisasi, walaupun itu

tidak diinginkan terjadi. Tindakan untuk memindahkan atau menghilangkan

kerawanan harus dihilangkan jika mungkin, tetapi biaya dari tindakan ini

seharusnya berat bertentangan dengan penurunan kecil dalam resiko.

b. Medium ( Menengah)

Kerawanan menempati tingkat signifikan dari resiko untuk kerahasiaan,

integritas, kemampuan dan atau pelaporan dari sistem informasi organisasi, atau

segi fisik. Ada kemungkinan nyata bahwa ini mungkin terjadi. Tindakan untuk

menghilangkan kerawanan adalah kebijaksanaan.

c. High ( Tinggi)

Kerawanan menempati tingkat berbahaya untuk kerahasiaan, integritas,

kemampuan, dan atau pelaporan dari sistem informasi organisasi, atau segi fisik.

Tindakan harus diambil secara tepat untuk menghilangkan kerawanan ini.

2.9 Sistem Informasi Penjualan

2.9.1 Pengertian Sistem Informasi Penjualan

Menurut Mulyadi ( 2001, p202 ) menyatakan, kegiatan penjualan terdiri dari

transaksi penjualan barang dan jasa, baik secara kredit maupun tunai . Secara umum

System Informasi Penjualan dapat didefinisikan sebagai suatu kegiatan penjualan

yang terorganisasikan guna menghasilkan informasi bagi pihak manajemen di dalam

keperluan perencanaan, pengawasan dan pengambilan keputusan untuk

pengoperasian pengendalian kegiatan penjual. Sistem Informasi penjualan dibuat

dengan tujuan menyediakan informasi penjualan yang berhubungan dengan

peningkatan penjualan sebagai bahan pengambilan keputusan.

Menurut http://id.wikipedia.org/wiki/sistemInformasi yang dikutip tanggal 15

September 2006, sistem informasi penjualan adalah suatu sistem informasi yang

mengorganisasikan serangkaian prosedur dan metode yang dirancang untuk

menghasilkan, menganalisa, menyebarkan dan memperoleh informasi guna

mendukung pengambilan keputusan mengenai penjualan.

2.9.2 Jenis Jenis Penjualan

Menurut Mulyadi ( 2001, p202 ), kegitan penjualan barang dan jasa dapat

dibedakan menjadi dua jenis, yaitu:

a. Kegiatan Penjualan Kredit

 Dalam transaksi penjualan kredit, jika order dari pelanggan telah dipenuhi

dengan pengiriman barang atau penyerahan jasa, untuk jangka waktu tertentu

perusahaan memiliki piutang kepada pelanggannya. Kegiatan penjualan secara

kredit ini ditangani oleh perusahaan melalui sistem penjualan kredit.

b. Kegiatan Penjualan Tunai

Dalam transaksi penjualan tunai, barang atau jasa baru diserahkan oleh

perusahaan kepada pembeli jika perusahaan telah menerima kas dari pembeli.

Kegiatan penjualan secara tunai ini dapat ditangani perusahaan melalui sistem

penjualan tunai.

2.9.3 Sistem Penjualan Tunai

2.9.3.1 Fungsi fungsi yang Terkait Dalam Penjualan Tunai

Menurut Mulyadi ( 2001, p462 ), fungsi yang terkait dalam penjualan yaitu:

a. Fungsi Penjualan

Dalam transaksi penjualan kredit, fungsi ini bertanggung jawab untuk

menerima surat order dari pembeli, mengedit order dari pelanggan untuk

menambahkan informasi yang belum ada pada surat order tersebut, meminta

otorisasi kredit, menentukan tanggal pengiriman dan dari gudang mana akan

dikirim, serta mengisi surat order pengiriman.

b. Fungsi Kredit
 Fungsi ini berada dibawah fungsi keuangan yang dalam transaski penjualan

kredit, bertanggung jawab untuk meneliti status kredit pelanggan dan

memberikan otorisasi pemberian kredit kepada pelanggan.

c. Fungsi Gudang

Dalam transaksi penjualan kredit, fungsi ini bertanggung jawab untuk

menyimpan barang dan menyiapkan barang yang dipesan oleh pelanggan,

serta menyerahkan barang ke fungsi pengiriman.

d. Fungsi Pengiriman

Dalam transaksi penjualan kredit, fungsi ini bertanggung jawab untuk

menyerahkan barang atas dasar surat order pengiriman yang diterimanya dari

fungsi penjualan. Fungsi ini menjamin bahwa tidak adanya barang yang

keluar dari perusahaan tanpa adanya otorisasi dari yang berwenang.

e. Fungsi Penagihan

Dalam transaski penjualan kredit, fungsi ini bertanggung jawab untuk

membuat dan mengirimkan faktur penjualan kepada pelanggan, serta

menyediakan copy faktur bagi kepentingan pencatatan transaksi penjualan

oleh fungsi akuntansi.

f. Fungsi Akuntansi

Dalam transaksi penjualan kredit, fungsi ini bertanggung jawab untuk

mencatat piutang yang timbul dari transaksi penjualan kredit dan membuat
 serta mengirimkan pernyataan piutang kepada para debitur, serta membuat

laporan penjualan.

2.9.3.2 Prosedur yang Membentuk Sistem Penjualan Tunai

Menurut Mulyadi ( 2001, p469 ), jaringan prosedur yang membentuk sistem

penjualan tunai adalah sebagai berikut :

a. Prosedur order penjualan

Dalam prosedur ini fungsi penjualan meneria order dari pembeli dan menambah

informasi penting pada surat order dari pembeli. Fungsi penjualan kemudian

membuat surat order pengiriman dan mengirimkannya kepada berbagai fungsi yang

lain untuk memungkinkan fungsi tersebut memberikan kontribusi dalam melayani

order dari pembeli.

b. Prosedur penerimaan kas

Dalam prosedur ini fungsi kas menerima pembayaran harga barang dari pembeli dan

memberikan tanda pembayaran ( berupa pita register kas dan cap lunas pada

faktur penjualan tunai ) kepada pembeli untuk memungkinkan pembeli tersebut

melakukan pengambilan barang yang dibelinya dari fungsi pengiriman.

c. Prosedur penyerahan barang

Dalam prosedur ini fungsi pengiriman menyerahkan barang kepada pembeli.

d. Prosedur pencatatan penjualan tunai

Dalam prosedur ini fungsi akuntansi melakukan pencatatan transaksi penjualan tunai

dalam jurnal penjualan dan jurnal penerimaan kas. Disamping itu fungsi akuntansi

juga mencatat berkurangnya persediaan barang yang dijual dalam kartu persediaan.

e. Prosedur penyetoran kas ke bank

Sistem pengendalian intern terhadap kas mengharuskan penyetoran dengan segera ke

bank semua kas yang diterima pada suatu hari. Dalam prosedur ini fungsi kas

menyetorkan kas yang diterima dari penjualan tunai ke bank dalam jumlah penuh.

f. Prosedur pencatatan penerimaan kas

Dalam prosedur ini fungsi akuntansi mencatat penerimaan kas dalam jurnal

penerimaan kas berdasarkan bukti setor bank yang diterima dari bank melalui fungsi

kas.

g. Prosedur pencatatan harga pokok penjualan

Dalam prosedur ini fungsi akuntansi membuat rekapitulasi harga pokok penjualan

berdasarkan data yang dicatat dalam kartu persediaan. Berdasarkan rekapitulasi

harga pokok penjualan ini, fungsi akuntansi membuat bukti memorial sebagai

dokumen sumber untuk pencatatan harga pokok penjualan ke dalam jurnal umum.

2.9.3.3 Dokumen yang Digunakan Dalam Penjualan Tunai

Menurut Mulyadi ( 2001, p214 ), dokumen yang digunakan dalam penjualan,

meliputi:

a. Surat order Pengiriman dan Tembusannya

 Surat order pengiriman yang memberikan otorisasi kepada fungsi pengiriman

untuk mengirimkan jenis barang dan jumlah barang yang tertera dalam dokumen.

b. Faktur dan Tembusannya

Faktur penjualan diserahkan kepada pelanggan serta tanda bukti bahwa barang

telah diterima pelanggan dan perusahaan menggunakannya untuk menagih pada

pelanggan dan dipakai sebagai dasar pencatatan timbulnya piutang.

c. Rekapitulasi Harga Pokok Penjualan

Dokumen yang digunakan untuk total HPP ( Harga Pokok Penjualan ) yang

dijual selama periode tertentu.

d. Bukti Memorial

Dokumen sumber untuk dasar pencatatan ke dalam jurnal umum. Pada penjualan

kredit, bukti memorial ini merupakan dokumen sumber untuk mencatat HPP

( Harga Pokok Penjualan ) yang dijual dalam periode tertentu.

2.9.3.4 Informasi yang Diperlukan Oleh Manajemen

Menurut Mulyadi ( 2001, p462 463 ), informasi yang diperlukan oleh

manajemen dari kegiatan penjualan tunai adalah :

a. Jumlah pendapatan penjualan menurut jenis produk atau kelompok produk

selama jangka waktu tertentu.

b. Jumlah kas yang diterima dari penjualan tunai.

c. Jumlah harga pokok produk yang dijual selama jangka waktu tertentu.

d. Nama dan alamat pembeli. Informasi ini diperlukan dalam penjualan produk

tertentu, namun pada umumnya informasi nama dan alamat pembeli tidak

diperlukan oleh manajemen dari kegiatan penjualan tunai.

e. Kuantitas produk yang dijual.

f. Nama wiraniaga yang melakukan penjualan.

g. Otorisasi pejabat yang berwenang.