Upload
trannga
View
216
Download
0
Embed Size (px)
Citation preview
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi
2.1.1 Pengertian Sistem Informasi
Pengertian sistem informasi menurut Hall (2001, p7) adalah suatu
rangkaian prosedur formal di mana data dikumpulkan, diproses menjadi
informasi, dan didistribusikan kepada para pengguna.
Sedangkan menurut Laudon (1998, p8), sistem informasi
merupakan sekumpulan komponen yang saling berhubungan dan
berfungsi untuk mengumpulkan, memproses, menyimpan, dan
mendistribusikan informasi untuk membantu manager dalam mengambil
keputusan, menganalisis dan menggambarkan masalah yang kompleks
dalam suatu organisasi.
Sedangkan O’Brien (2005, p5) mendefinisikan sistem informasi
sebagai kombinasi teratur dari orang-orang, hardware, software, jaringan
komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan
menyebarkan informasi dalam sebuah organisasi.
Sedangkan menurut Cushing dan Romney (1994, p6), sistem
informasi adalah pengumpulan, pemasukkan, pemrosesan data
penyimpanan, pengelolaan, pengendalian serta pelaporan informasi
sehingga organisasi dapat mencapai sasaran dan tujuan.
6
7
2.1.2 Tujuan Sistem Informasi
Tujuan sistem informasi menurut Hall (2001, p18) dibedakan atas
tiga tujuan umum bagi semua sistem, yaitu:
1. Untuk mendukung fungsi kepengurusan (stewardship)
manajemen. Kepengurusan yang merujuk ke tanggung jawab
manajemen untuk mengatur sumber daya perusahaan secara
benar.
2. Untuk mendukung pengambilan keputusan manajemen. Sistem
informasi memberikan para manajer informasi yang mereka
butuhkan untuk melakukan tanggung jawab pengambilan
keputusan.
3. Untuk mendukung kegiatan operasi perusahaan. Sistem informasi
menyediakan informasi bagi personal operasi untuk membantu
kegiatan operasi perusahaan secara efisien dan efektif.
2.1.3 Jenis Sistem Informasi
Jenis sistem informasi menurut Bodnar (2001, p4-p6) antara lain
adalah sebagai berikut:
• Pengolahan Data Elektronik (Electronic Data Processing)
Adalah pemanfaatan teknologi komputer untuk melakukan
pengolahan data transaksi-transaksi dalam suatu organisasi. EDP
adalah aplikasi sistem informasi paling dasar dalam setiap
organisasi.
8
• Sistem Informasi Manajemen (Management Information System)
Sistem ini menguraikan penggunaan teknologi komputer untuk
menyediakan informasi bagi pengambilan keputusan para
manajer.
• Sistem Pendukung Keputusan (Decision Support System)
Sistem ini mensyaratkan penggunaan model-model keputusan dan
basis data khusus, dan benar-benar terpisah dari sistem
pengolahan data. Sistem pendukung keputusan diarahkan untuk
melayani permintaan informasi tertentu, khusus, dan tidak rutin
dari manajemen.
• Sistem Pakar (Expert System)
Adalah sistem informasi berbasis pengetahuan yang
memanfaatkan pengetahuannya tentang bidang aplikasi tertentu
untuk bertindak seperti seorang konsultan ahli bagi pemakainya.
• Sistem Informasi Eksekutif (Excecutive Information System)
Adalah sistem yang dibuat untuk kebutuhan informasi stratejik
manajemen tingkat puncak.
• Sistem Informasi Akuntansi (Accounting Information System)
Adalah sistem berbasis komputer yang dirancang untuk mengubah
data akuntasi menjadi informasi.
9
2.2 Sistem Informasi Distribusi
2.2.1 Pengertian Sistem Distribusi
Menurut Charles A. Taff (1996, p5), distribusi fisik
mencakup pengangkutan barang-barang dari tempat asal atau
produksi lanjutan ke tempat penjualan atau publikasi
selanjutnya, penyimpanan barang sampai barang tersebut
diperlukan, perdagangan, peragaan, serta periklanan barang,
dan penjualan atau transfer yang sebenarnya sehingga menjadi
milik si pembeli.
Di samping itu ada dua definisi yang umum digunakan
untuk menggambarkan sistem distribusi yaitu :
a. Sistem distribusi adalah pemindahan barang jadi dari
akhir lini produksi kepada para pelanggan.
b. Sistem distribusi merupakan tanggung jawab untuk
merancang dan melaksanakan sistem untuk
pengendalian arus bahan baku dan barang jadi.
Definisi yang pertama tidak akan mencakup semua fungsi
manajemen transportasi pada banyak perusahaan, oleh karena
manajemen transportasi biasanya bertanggung jawab atas
transportasi masuk dan keluar. Karena transportasi dianggap
bagian integral dari fungsi distribusi fisik, definisi ini menjadi
agak terbatas. Akan tetapi definisi yang kedua jadi lebih luas.
10
2.2.2 Fungsi Sistem Distribusi
Fungsi dari departemen distribusi fisik dalam perusahaan pada
umumnya meliputi manajemen :
a. Persediaan
Perusahaan mengetahui bahwa tingkat persediaan yang
terlalu tinggi akan menyebabkan biaya penyimpanan dan
kemungkinan keusangan yang tinggi. Sebaliknya,
persediaan yang terlalu rendah dapat mengakibatkan biaya
pengisian kembali persediaan dan produksi yang tinggi,
demikian pula resiko kehilangan pasar dan nama baiknya
di mata pelanggan. Jelaslah, pengendalian persediaan
sangat penting demi keberhasilan sebagian besar
perusahaan.
b. Pergudangan
Pergudangan (warehousing) merupakan tanggung jawab
penting dari manajemen distribusi fisik, terutama apabila
manufaktur memproduksi barang-barang konsumen.
Lokasi yang optimal dengan memperhatikan biaya
transportasi yang minimal, pelayanan pada pelanggan,
tingkat persediaan, dan gudang perusahaan versus gudang
umum adalah sebagian dari masalah yang harus
ditentukan. Dalam beberapa perusahaan yang tidak
memiliki departemen distribusi fisik, gudang-gudang
dioperasikan oleh manajemen transportasi atau diadakan
11
kontrak dengan gudang umum untuk menangani barang-
barang perusahaan.
Lokasi gedung yang strategis dapat memberikan
pelayanan yang baik kepada para pelanggan dan dapat
juga mengurangi biaya transportasi dengan mengangkut
sebanyak muatan mobil, truk atau perahu ke gudang-
gudang yang kemudian akan didistribusikan dengan
jumlah yang lebih sedikit.
c. Pengemasan
Pengemasan merupakan salah satu fungsi distribusi fisik
karena biaya pengemasan merupakan salah satu unsur dari
total harga pokok barang bagi pelanggan, maka perlu
diketahui teknik pengemasan yang muktahir. Departemen
distribusi fisik harus bekerja sama dengan bagian
penjualan dan bagian produksi dalam rangka
mengembangkan dan menggunakan pengemasan yang
tepat untuk menampung produk dan selamat sampai di
tangan konsumen.
Ketika mempersiapkan barang untuk dikirim, departemen
transportasi harus berbagi pengetahuan teknisnya dalam
bidang ini dengan departemen lain. Spesifikasi
pengemasan dan kemasan tertentu bisa diisyaratkan oleh
peraturan dalam klasifikasi pengiriman atau tarif.
Departemen yang kurang memahami aspek transportasi
12
harus diberikan penjelasan tentang akibat kesalahan
mengemas barang-barang dari klasifikasi yang berbeda
dalam satu kemasan, yang akan mengakibatkan bahwa
tarif barang dengan klasifikasi tertinggi mungkin akan
dibebankan ke keseluruhan barang dalam kemasan itu.
d. Penanganan Bahan
Dewasa ini, pengembangan teknik penanganan bahan agak
berkurang. Penanganan bahan yang telah ditingkatkan
tidak terbatas hanya pada produksi, tetapi berlaku untuk
semua tahap pergerakan fisik. Peralatan yang tepat tidak
hanya mempercepat operasi dalam pengiriman dan
penerimaan barang, tetapi juga dapat mengefisiensikan
penggunaaan ruang penyimpanan dan mengurangi biaya
penanganan.
Penggunaan peralatan penanganan bahan seperti operasi
penyusunan bahan dengan fork-truk, dapat juga
mengurangi kerugian dan kerusakan, karena kemasan
individual semakin berkurang penanganannya karena
mereka dapat digabungkan menjadi unit-unit yang lebih
besar.
Manfaat penanganan bahan tidak hanya terbatas bagi para
produsen, tetapi menguntungkan juga bagi penerima
titipan (consignee). Melalui kerja sama dengan
departemen penjualan, departemen transportasi dapat
13
mengatur pemindahan barang-barang dengan paket,
peluncuran (skid), atau kumpulan-kumpulan lain yang
disatukan sehingga penerima titipan hanya membutuhkan
penanganan yang sedikit di tempat tujuan.
e. Pemrosesan Pesanan
Pemrosesan pesanan sangat erat hubungannya dengan
penjualan dan produksi oleh karena itu, departemen
distribusi fisik harus menaruh perhatian sepenuhnya
mengenai perlunya koordinasi antar departemen. Arus
informasi yang efektif harus dimulai dari pengiriman
pesanan pelanggan diteruskan ke bagian pengepakan,
diambil oleh angkutan transportasi, penyesuaian terhadap
tingkat persediaan, dan pengiriman informasi kepada
perencanaan produksi. Distribusi fisik bertanggung jawab
menganalisa arus pesanan dan menetapkan prosedur yang
baik jika diperlukan sehingga pelanggan dapat menerima
barang tepat pada waktunya.
f. Analisa Lokasi
Lokasi pabrik harus dipilih dengan cermat. Yaitu dengan
menentukan lokasi letak yang paling baik memenuhi
kebutuhan perusahaan. Analisis mengenai lokasi pabrik
mencakup daerah pasar, fasilitas dan tarif transportasi
yang ada serta pergudangan. Pemilihan faktor ini
tergantung pada sifat industrinya.
14
g. Arus Informasi Manajemen
Ada kemungkinan untuk mengkonversi sebagian besar
masalah transportasi, manajemen persediaan, pengemasan,
dan pergudangan ke dalam bahasa komputer dan dapat
digunakan untuk memeriksa operasi sistem melalui
pembuatan model dan simulasi. Konversi catatan-catatan
ke komputer memudahkan penanganan berbagai dokumen
transportasi, pergudangan, persediaan, dan dokumen lain
ke dalam suatu sistem rutin. Selain itu, catatan-catatan
dapat dianalisis mengenai kegunaannya untuk aplikasi
penelitian dan juga dapat memungkinkan manajemen
menggunakan data umpan balik yang tepat dalam
pengembangan strategi perusahaan.
2.2.3 Proses Sistem Distribusi
Proses sistem distribusi barang secara umum dapat
dinyatakan seperti dibawah ini :
a. Barang dari sumber pasok (pabrik, pemasok, pelabuhan)
b. Barang dikirim ke konsumen (retail, pabrik, rumah tangga)
dalam jumlah dan waktu yang tepat, biaya pengiriman
yang wajar, dan kondisi barang yang baik.
Perusahaan bisa menempuh kebijaksanaan untuk menangani
sendiri sistem distribusi barangnya, menyerahkan pada
intermediary, atau kombinasi dari keduanya. Barang dari
15
pabrik bisa langsung dikirim ke konsumen, ke gudang
regional, maupun ke field warehouses. Demikian halnya
dengan konsumen, mereka bisa dikirim barang dari pabrik,
dari gudang regional maupun field warehouses. Informasi
dalam sistem jaringan distribusi barang terutama mengalir
dari konsumen ke field warehouses, gudang regional, dan
pabrik. Sedang barang mengalir kearah yang sebaliknya.
2.2.4 Sistem Informasi Distribusi
Sistem Informasi Distribusi merupakan kumpulan dari computer
autonomous yang terkoneksi dengan sebuah jaringan komputer dan
dilengkapi dengan distributed system software untuk membangun computing
facility (http://johanesbrain.wordpress.com/2007/05/23/filosoft-mata-kuliah-
sistem-distribusi/)
Sistem Informasi Distribusi adalah sistem yang mengumpulkan data-
data atau informasi mengenai kegiatan distribusi yang dilakukan oleh suatu
perusahaan, kemudian mengolah data tersebut melalui sistem yang
terkomputerisasi untuk menghasilkan laporan yang dapat digunakan oleh top
management dalam pengambilan keputusan sehubungan dengan sistem
distribusi perusahaan tersebut.
Manajer distribusi fisik menggunakan pendekatan sistem yang
berusaha memadukan semua komponen untuk mencapai suatu tujuan
tertentu. Manajemen menganalisis kesempatan-kesempatan perdagangan
ekonomi dan membuat keputusan berdasarkan hasil total bagi perusahaan.
16
Disamping pendekatan biaya total, manajemen dapat mempergunakan
pendekatan profitabilitas yang menghubungkan fungsi distribusi fisik
terhadap laba perusahaan pada berbagai tingkat pelayanan kepada para
pelanggan.
Tersedianya peralatan pemrosesan data, otomatis telah
memudahkan pendekatan sistem. Manajemen memiliki data yang lengkap
dan tepat waktu dalam periode waktu yang jauh lebih singkat. Prediksi
operasional jangka panjang dan jangka pendek mengenai pasar, persyaratan
barang lini individual dalam hal ini simulasi model seperti banyaknya
persediaan optimum dan lokasi letak alternatif, dan juga data-data lain yang
relevan dapat membantu pengolahan komponen-komponen distribusi fisik.
2.3 Sistem Pengendalian Internal
2.3.1 Pengertian Sistem Pengendalian Internal
Menurut Weber (1999, p35), pengendalian adalah suatu sistem
untuk mencegah, mendeteksi dan mengoreksi kejadian yang timbul saat
transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah,
tidak akurat, tidak lengkap, mengandung redudansi, tidak efektif dan
tidak efisien.
Menurut Mulyadi (1997, p165), sistem pengendalian internal
meliputi struktur organisasi, metode dan ukuran-ukuran yang
dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian
dan keandalan data akuntansi, mendorong efisiensi dan mendorong
dipatuhinya kebijakan manajemen.
17
Sedangkan menurut Hall (2001, p.150), sistem pengendalian
internal merangkum kebijakan, praktik-praktik, dan prosedur-prosedur
yang digunakan oleh organisasi untuk mencapai tujuan perusahaan.
2.3.2 Tujuan Pengendalian Internal
Sistem pengendalian internal merangkum kebijakan, praktik, dan
prosedur yang digunakan oleh organisasi untuk mencapai empat tujuan
utama (Hall, 2001, p.150), yaitu:
1. Untuk menjaga aktiva perusahaan
2. Untuk memastikan akurasi catatan dan informasi
akuntansi yang dapat diandalkan
3. Untuk mempromosikan efisiensi operasi perusahaan
4. Untuk mengukur kesesuaian dengan kebijakan dan
prosedur yang telah ditetapkan oleh manajemen
2.3.3 Unsur-Unsur Pengendalian Internal
Menurut Mulyadi (1997, p.166), unsur pokok sistem pengendalian
internal adalah sebagai berikut:
1. Struktur organisasi yang memisahkan tanggung jawab fungsional
secara tegas
2. Sistem wewenang dan prosedur pencatatan yang memberikan
perlindungan yang cukup terhadap aset, hutang, pendapatan dan
biaya
18
3. Praktik yang sehat dalam melaksanaan tugas dan tanggung jawab
dan fungsi setiap unit organisasi.
4. Karyawan yang mutunya sesuai dengan tanggung jawabnya.
2.3.4 Elemen-Elemen Pengendalian Internal
Menurut Weber (1999, p49), pengendalian internal terdiri dari
lima unsur/komponen yang saling berintegrasi, antara lain:
1. Lingkungan Pengendalian (Control Environment)
Komponen ini diwujudkan dengan cara pengoperasian,
pembagian wewenang dan tanggung jawab yang harus dilakukan,
komite audit berfungsi, dan metode-metode yang digunakan untuk
merencanakan dan memonitor kinerja.
2. Penaksiran Resiko (Risk Assessment)
Komponen untuk mengidentifikasi dan menganalisa resiko yang
dihadapi oleh perusahaan dan cara untuk menghadapi resiko
tersebut.
3. Aktivitas Pengendalian (Control Activities)
Komponen yang dioperasikan untuk memastikan transaksi telah
terotorisasi, adanya pembagian tugas, pemeliharaan terhadap
dokumen dan record, perlindungan aset dan record, pengecekan
kinerja dan penilaian dari jumlah record yang terjadi.
19
4. Informasi dan Komunikasi (Information and Communication)
Komponen dimana informasi digunakan untuk mengidentifikasi,
mendapatkan, dan menukarkan data yang dibutuhkan untuk
mengendalikan dan mengatur operasi perusahaan.
5. Pemantauan (Monitoring)
Komponen yang memastikan pengendalian internal beroperasi
secara dinamis.
2.4 Audit Sistem Informasi
2.4.1 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p10), audit sistem informasi adalah proses
pengumpulan dan pengevaluasian bukti-bukti untuk memutuskan apakah
dengan adanya sistem pengamanan aset yang berbasis komputer dan
pemeliharaan integritas data, data dapat mendukung perusahaan untuk
mencapai tujuannya secara efektif dan penggunaan sumber daya secara
efisien serta mengetahui apakah suatu perusahaan memiliki pengendalian
internal yang memadai.
Sedangkan menurut Rommey dan Steinbart (2003, p321), audit
sistem informasi mengkaji ulang pengendalian sistem informasi akuntansi
untuk menilai pemenuhannya dengan kebijakan dan prosedur
pengendalian internal dan keefektifan perlindungan terhadap aset.
20
2.4.2 Tujuan Audit Sistem Informasi
Berdasarkan pendapat Muchtar (1999, p.125), tujuan dari audit
sistem informasi adalah untuk mereview dan mengevaluasi pengawasan
internal yang digunakan untuk menjaga keamanan dan memeriksa tingkat
kepercayaan sistem informasi serta mereview operasional aplikasi.
Apabila audit sistem informasi akan dilaksanakan secara lengkap maka
auditor harus berusaha untuk memenuhi setiap tujuan berikut ini:
1. Untuk menemukan bahwa sistem keamanan yang ada
berfungsi dengan baik untuk memperoleh peralatan,
program, file data dari pemakaian dan perubahan oleh
yang tidak berhak.
2. Untuk menemukan bahwa desain dan implementasi
program aplikasi sesuai dengan spesifikasi dan otorisasi
manajemen.
3. Untuk menemukan bahwa semua modifikasi program
aplikasi memiliki otorisasi dan persetujuan manajemen.
4. Untuk menemukan akurasi dan integrasi dari proses
transaksi, file, laporan, dan record-record lainnya.
5. Untuk menemukan sumber data dari program aplikasi
yang tidak akurat dan mengidentifikasikan serta
menyesuaikan dengan kebijakan manajemen.
6. Untuk menemukan apakah ada usaha untuk memenuhi
syarat akurasi proses data, kelengkapan data, serta tingkat
kerahasiaan file data.
21
2.4.3 Pendekatan Audit Sistem Informasi
Menurut Weber (1999, p55-57), metode audit antara lain adalah:
1. Auditing around the computer
Merupakan suatu pendekatan audit dengan memperlakukan
komputer sebagai black box, maksudnya metode ini tidak menguji
langkah-langkah proses secara langsung, tetapi hanya berfokus
pada input dan output dari sistem komputer. Diasumsikan bahwa
jika input benar akan diwujudkan pada output, sehingga
pemrosesan juga benar dan tidak melakukan pengecekan terhadap
pemrosesan komputer secara langsung.
Pendekatan ini mengandung berbagai kelemahan antara lain:
• Umumnya database mencakup jumlah data yang banyak
dan sukar untuk ditelusuri secara manual.
• Tidak menciptakan sarana bagi auditor untuk menghayati
dan mendalami lebih mantap liku-liku komputer.
• Cara ini mengabaikan pengendalian sistem dalam
pengolahan komputer itu sendiri, sehingga rawan terhadap
adanya kelemahan dan kesalahan yang potensial
didalamnya.
• Kemampuan komputer sebagai fasilitas penunjang
pelaksanaan audit menjadi sia-sia.
• Tidak dapat mencakup keseluruhan maksud dan tujuan
penyelenggaraan audit.
22
2. Auditing through the computer
Merupakan suatu pendekatan audit yang berorientasi pada
komputer dengan membuka black box, dan secara langsung
berfokus pada operasi pemrosesan dalam sistem komputer.
Dengan asumsi bahwa apabila pemrosesan mempunyai
pengendalian yang memadai, maka kesalahan dan
penyalahgunaan tidak akan terlewat untuk dideteksi, sebagai
akibat dari keluaran dapat diterima.
Keuntungan utama dari pendekatan ini adalah dapat
meningkatkan kekuatan terhadap pengujian sistem aplikasi secara
efektif, dimana ruang lingkup dan kemampuan dari pengujian
yang dilakukan dapat diperluas sehingga tingkat kepercayaan
terhadap keandalan dari pengumpulan dan pengevaluasian bukti
dapat ditingkatkan. Selain itu dengan memeriksa secara langsung
logika pemrosesan dari sistem aplikasi, dapat diperkirakan
kemampuan sistem dalam menangani perubahan dan
kemungkinan kehilangan yang terjadi pada masa yang akan
datang.
Kelemahan dari pendekatan ini adalah sebagai berikut:
• Biaya yang dibutuhkan relatif tinggi yang disebabkan
jumlah jam kerja yang banyak untuk dapat lebih
memahami struktur kontrol internal dari pelaksanaan
sistem aplikasi.
23
• Butuh banyak keahlian teknis yang lebih mendalam untuk
memahami cara kerja.
3. Auditing with the computer
Pendekatan ini dilakukan dengan menggunakan komputer dan
software untuk mengotomatisasi prosedur pelaksanaan audit.
Pendekatan ini merupakan cara audit yang sangat bermanfaat,
khususnya dalam pengujian substantif atas file dan record
perusahaan. Software audit yang digunakan merupakan
program komputer auditor untuk membantu dalam pengujian
dan evaluasi kehandalan data, file dan record perusahaan.
Keunggulan pendekatan ini adalah:
• Merupakan program komputer yang diproses untuk
membantu pengujian pengendalian sistem komputer
klien itu sendiri.
• Dapat melaksanakan tugas audit yang terpisah dari
catatan klien, yaitu dengan mengambil copy data atau
file untuk dites dengan komputer lain.
Kelemahan dari pendekatan ini adalah dibutuhkan upaya dan
biaya yang relatif besar untuk pengembangannya.
24
2.4.4 Prosedur Audit
Arens dan Loebbecke yang diterjemahkan oleh Jusuf (1996,
p.153-158), dalam menentukan prosedur audit digunakan tujuh kategori
bahan bukti yang dapat digunakan oleh auditor yaitu:
1. Pemeriksaan Fisik
Adalah sebagai alat yang langsung digunakan untuk
memverifikasi apakah suatu aktiva secara aktual ada, dianggap
sebagai salah satu bahan bukti yang paling handal dan berguna.
2. Konfirmasi
Digambarkan sebagai penerimaan jawaban tertulis maupun lisan
dari pihak ketiga yang independen dalam memverifikasi akurasi
informasi yang telah diminta oleh auditor.
3. Dokumentasi
Merupakan bentuk bahan bukti yang digunakan secara luas dalam
setiap audit karena biasanya sudah tersedia bagi auditor dengan
biaya yang relatif rendah. Seringkali hanya bahan bukti jenis ini
yang tersedia.
4. Pengamatan
Adalah penggunaan perasaan untuk menetapkan aktivitas tertentu.
Dalam keseluruhan audit akan ada banyak kesempatan untuk
melihat, mendengar, menyentuh, dan mencium untuk
mengevaluasi bermacam benda.
5. Pertanyaan
25
Adalah mendapatkan informasi tertulis atau lisan dari klien
dengan menjawab pertanyaan dari auditor. Meskipun sebagai
bahan bukti yang diperhitungkan dan diperoleh dari klien melalui
tanya jawab, biasanya tanya jawab tidak dapat diperlakukan
sebagai kemampuan memberikan kesimpulan, karena didapat dari
sumber yang tidak independen dan mungkin memihak
kepentingan klien. Dengan demikian, apabila auditor memperoleh
bahan bukti tanya jawab, biasanya perlu untuk mendapatkan
bahan bukti lain yang menguatkan melalui prosedur yang lain.
6. Pelaksanaan Ulang
Mencakup pengecekan ulang suatu sampel perhitungan dan
perpindahan informasi yang dilakukan klien selama periode yang
diaudit.
7. Prosedur Analitis
Adalah menggunakan perbandingan dan hubungan untuk
menentukan apakah saldo akun tersaji secara layak. Prosedur
analitis sangat penting sehingga harus dilakukan selama tahap
perencanaan dan penyelesaian di setiap audit.
2.4.5 Langkah-langkah Audit Sistem Informasi
Menurut Weber (1999, p47-54), langkah-langkah untuk melakukan
kegiatan audit terdiri dari:
1. Planning the audit
26
Perencanaan merupakan fase pertama dari kegiatan audit, bagi eksternal
auditor hal ini artinya adalah melakukan investigasi terhadap klien untuk
mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staff
audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang
klien, mengerti tentang masalah hukum klien dan melakukan analisa terhadap
prosedur yang ada untuk mengerti tentang bisnis klien dan mengidentifikasi
resiko audit.
2. Test the controls
Auditor melakukan test controls ketika mereka menilai bahwa control resiko
berada pada level kurang dari maksimum, mereka mengandalkan control
sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor
tidak mengetahui apakah identifikasi control telah berjalan dengan efektif,
test terhadap control oleh karena itu diperlukan evaluasi yang spesifik
terhadap materi control.
3. Test the transactions
Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah
kesalahan atau proses yang tidak biasa terjadi pada transaksi yang
mengakibatkan kesalahan pencatatan yang material pada laporan keuangan.
Test transaksi ini termasuk menelusuri atau trace jurnal dari sumber
dokumen, memeriksa file berharga dan mengecek keakuratan perhitungan.
Pemakaian komputer sangat membantu pekerjaan ini dan auditor harus
menggunakan software audit umum untuk mengecek apakah bunga yang
dibayar kepada bank telah sesuai perhitungannya.
4. Tests the balances or overall results
27
Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus
diperhatikan adalah tujuan pengamanan harta dan data integrity. Beberapa
jenis substantive test terhadap saldo yang digunakan adalah konfirmasi
piutang, perhitungan fisik persediaan, dan perhitungan ulang penyusutan
aktiva tetap.
5. Completion of the audit
Pada fase akhir audit, eksternal audit akan menjalankan beberapa tes
tambahan terhadap bukti yang ada agar dapat dijadikan laporan.
Terdapat 4 opini yang dapat diberikan terhadap hasil audit oleh eksternal
audit, yaitu :
- Disclaimer of opinion ( Tidak Memberikan Pendapat ), auditor tidak akan
memberikan opini.
- Adverse opinion ( Pendapat Tidak Wajar ), auditor berpendapat bahwa
terdapat banyak kesalahan.
- Qualified opinion ( Wajar Dengan Pengecualian ), auditor berpendapat
bahwa terjadi beberapa kesalahan tetapi nilainya tidak material.
- Unqualified opinion ( Wajar Tanpa Pengecualian ), auditor berpendapat
bahwa tidak terjadi kesalahan atau misstatement.
2.4.6 Standar Audit Sistem Informasi
Standar audit merupakan pedoman bagi auditor dalam menjalankan
tanggung jawab profesionalnya. Standar-standar ini meliputi pertimbangan
mengenai kualitas profesional mereka, seperti keahlian dan independensi,
persyaratan pelaporan dan bahan bukti. Dalam audit sistem informasi, penulis
28
menggunakan standar COBIT (Control Objectives for Information and related
Technology) yang dikembangkan oleh IT Governance Institute kemudian
dipublikasikan oleh ISACA (Information Systems Audit and Control
Association). ISACA merupakan sebuah asosiasi profesional dalam audit sistem
informasi, pengendalian, keamanan dan governance. ISACA yang
beranggotakan auditor sistem informasi internasional mempunyai fungsi sebagai
sumber informasi, pihak yang memberikan panduan-panduan praktek bagi
auditor sistem informasi serta menyediakan standar, panduan (guidelines), dan
prosedur dalam hal audit, pengendalian dan keamanan sistem informasi oleh para
profesional audit sistem informasi di seluruh dunia.
Menurut Gondodiyoto (2007, p. 153-154) CobIT (Control Objectives for
Information and Related Technology) adalah sekumpulan dokumentasi yang best
practices untuk IT governance yang dapat membantu auditor, pengguna (user),
dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol
dan masalah-masalah teknis TI. CobIT bermanfaat bagi auditor karena
merupakan teknik yang dapat membantu dalam identifikasi IT Control Issue.
CobIT berguna bagi para infornation technology users karena memperoleh
keyakinan atas kehandalan sistem aplikasi yang digunakan. Sedangkan para
manajer memperoleh manfaat dalam keputusan investasi dibidang teknologi
informasi serta infrastrukturnya, menyusun rencana strategi teknologi informasi,
menentukan arsitektur informasi dan keputusan atas procurement (pengadaan
atau pembelian) mesin. Disamping itu, dengan kehandalan sistem informasi yang
ada pada perusahaannya, diharapkan berbagai keputusan bisnis dapat didasarkan
atas informasi yang ada. CobIT mendukung manajemen dalam mengoptimalkan
29
investasi teknologi informasi melalui ukuran-ukuran yang akan memberi sinyal
bahaya bila suatu kesalahan atau resiko sedang terjadi. Manajemen perusahaan
harus memastikan bahwa sistem pengendalian internal perusahaan bekerja
dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara
jelas menggambarkan bagaimana setiap aktivitas pengendalian individual
memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya
teknologi informasi perusahaan. Sumber daya teknologi informasi merupakan
elemen yang sangat disorotkan CobIT, termasuk pemenuhan kebutuhan bisnis
terhadap:
1. Efektifitas (Effectiveness)
Untuk memperoleh informasi yang relevan dan berhubungan dengan proses
bisnis seperti penyampaian informasi dengan benar, konsisten, dapat
dipercaya, dan tepat waktu.
2. Efisiensi (Efficiency)
Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya
yang optimal.
3. Kerahasiaan (Confidentiality)
Memfokuskan proteksi terhadap informasi yang penting dari orang yang
tidak memiliki hak otorisasi
4. Keterpaduan (Intergrity)
Yang sesuai dengan harapan dan berhubungan dengan keakuratan dan
kelengkapan informasi sebagai kebenaran nilai bisnis.
5. Ketersediaan (Availability)
Berhubungan dengan informasi yang tersedia ketika diperlukan dengan
30
proses bisnis sekarang dan yang akan datang.
6. Kepatuhan pada kebijakan atau aturan (Compliance)
Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.
7. Kehandalan informasi (Reliability)
Berhubungan dengan ketentuan, kecocokan informasi untuk manajemen
mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan
laporan pertanggung jawaban.
Komponen COBIT terdiri atas:
1. Executive Summary
Terdiri dari executive overview yang menyediakan kesadaran sepenuhnya dan
pemahaman konsep utama dan prinsip COBIT, termasuk pula ringkasan
framework yang menyediakan penjelasan mengenai konsep dan prinsip ini.
2. Framework
Menjelaskan bagaimana proses TI mengirimkan informasi yang dibutuhkan
oleh organisasi dalam mencapai tujuannya. Antara lain 34 (tiga puluh empat)
tujuan pengendalian tingkat tinggi yang berisi 4 (empat) domain, 7 (tujuh)
kriteria informasi (effectiveness, efficiency, confidentiality, integrity,
availability, compliance dan reliability), 318 (tiga ratus delapan belas)
control objectives dan audit guidelines, management guidelines dan
implementation guide.
3. Control Objectives
Menyediakan pemahaman yang kritis yang dibutuhkan untuk
menggambarkan kebijakan yang jelas dan praktek yang baik untuk
pengendalian TI.
31
4. Control Practices
Menyediakan panduan bagaimana pengendalian dibutuhkan dan praktek
terbaik yang sesuai dengan tujuan pengendalian yang spesifik serta
membantu memastikan solusi yang lengkap dan sukses jika
diimplementasikan.
5. Audit Guidelines
Berisi sebanyak 318 (tiga ratus delapan belas) tujuan-tujuan pengendalian
yang bersifat rinci (detailed control objective) untuk membantu para auditor
dalam memberikan management assurance dan saran perbaikan.
6. Management Guidelines
Terdiri dari maturity models, untuk membantu menentukan tingkat
pelaksanaan dan pengharapan atas pengendalian dan membandingkannya
dengan norma industri. Critical Success Factors, untuk mengidentifikasi
tindakan paling penting dalam mencapai pengendalian dalam proses TI. Key
Goal Indicators, untuk mendefinisikan tingkat target atas pelaksanaan, dan
Key Performance Indicators, untuk mengukur apakah proses pengendalian TI
sudah sesuai dengan tujuannya.
7. COBIT QuickstartTM
Membantu pemakaian elemen COBIT dengan cepat dan mudah.
Kerangka kerja CobIT terdiri atas beberapa arahan (Guidelines) , yakni
(Gondodiyoto, 2007, p. 157) :
1. Control Objectives
Terdiri dari empat unsur utama, yaitu:
1. Perencanaan dan Organisasi (Planning and Organization) :
32
Yaitu mencakup pembahasan tentang identifikasi dan strategi investasi
teknologi informasi yang dapat memberikan yang terbaik untuk
mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi
strategis perlu direncanakan, dikomunikasikan, dan diatur pelaksanaanya
(dari berbagai perspektif).
2. Pengakuisisi dan Implementasi (Acquisition and Implementation)
Yaitu untuk merealisasi strategi teknologi informasi, perlu diatur
kebutuhan teknologi informasi, diidentifikasi, dikembangkan, atau
diimplementasikan secara terpadu dalam proses bisnis perusahaan.
3. Penyerahan dan Pendukung (Delivery and Support)
Hal ini lebih dipusatkan pada ukuran tentang aspek dukungan teknologi
informasi terhadap kegiatan operasional bisnis (tingkat jasa layanan
teknologi informasi aktual atau service level) dan aspek urutan (prioritas
implementasi dan untuk pelatihannya).
4. Memantau (Monitoring)
Yaitu semua proses teknologi informasi yang perlu dinilai secara berkala
agar kualitas dan tujuan dukungan teknologi informasi tercapai, dan
kelengkapannya berdasarkan pada syarat pengendalian internal yang
baik.
Tabel 2.1 Domain dan High Level Controls CobIT
CobIT domain High Level Objectives
1 Plan and
Organize
1. Definisikan arah dan rencana strategis teknologi
informasi
33
2. Definisikan arsitektur informasi
3. Tentukan arah teknologi
4. Definisikan proses-proses teknologi informasi,
organisasi dan hubungannya
5. Mengelola investasi teknologi informasi
6. Mengomunikasikan arah dan tujuan manajemen
7. Mengelola sumber daya manusia teknologi
informasi
8. Mengelola kualitas
9. Mengkaji dan mengelola risiko teknologi
informasi
10. Mengelola proyek-proyek
2 Acquire and
implement
1. Identifikasi solusi-solusi otomatis
2. Memperoleh dan memelihara aplikasi perangkat
lunak
3. Memperoleh dan memelihara infrastruktur
teknologi
4. Memperbolehkan operasi dan penggunaan
5. Memperoleh sumber daya teknologi informasi
6. Mengatur perubahan
7. Memasang dan mengakui solusi dan perubahan
3 Delivery and
support
1. Mendefinisi dan mengelola tahapan layanan
2. Mengelola layanan pihak ketiga
3. Mengelola kinerja dan kapasitas
4. Menjamin kelangsungan layanan
5. Menjamin keamanan sistem
6. Mengidentifikasi dan menetapkan biaya
7. Mendidik dan melatih pengguna
8. Memberikan masukan kepada pengguna
9. Mengelola konfigurasi
10. Mengelola kegiatan dan masalah
34
11. Mengelola data
12. Mengelola fasilitas
13. Mengelola operasi
4 Monitor and
evaluate
1. Mengawasi dan mengevaluasi proses teknologi
informasi
2. Mengawasi dan mengevaluasi pengawasan
internal
3. Memastikan pemenuhan pengaturan
4. Menyediakan Pemerintahan teknologi informasi
(Information Technology Governance)
Sumber: Gondodiyoto (2007, p. 160)
2. Audit Guidelines
Berisi sebanyak 318 (tiga ratus delapan belas) tujuan-tujuan pengendalian
rinci (detailed control objectives) untuk membantu para auditor dalam
memberikan management assurance dan atau saran perbaikan.
1. Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang
harus dilakukan.
35
Gambar 2.1 CobIT Framework
Sumber: COBIT 4.1 (2007)
CobIT diharapkan dapat membantu menemukan berbagai macam
kebutuhan manajemen berkaitan dengan teknologi informasi, membantu
mengoptimalkan investasi teknologi informasi, dan menyediakan ukuran
(kriteria) ketika terjadi penyelewengan atau penyimpangan serta dapat diterapkan
dan diterima sebagai standar keamanan teknologi informasi dan praktek kendali
36
untuk mendukung kebutuhan manajemen dalam menentukan dan memantau
tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka.
Adapun standar profesional untuk audit sistem informasi yang terdapat
pada ISACA (Information Systems Audit and Control Association) adalah:
1. Audit Charter
Purpose, Responsibility, Authorithy and Accountability
Definisi dari tujuan, tanggung jawab, otoritas, dan accountability dari fungsi
audit sistem informasi lebih tepat bila didokumentasikan dalam suatu surat
perjanjian. Surat perjanjian tersebut harus disetujui oleh suatu tingkat yang
tepat di organisasi.
2. Independence
a. Professional Independence
Dalam permasalahan yang berkaitan dengan audit, auditor sistem
informasi harus bersikap independen dalam tingkah laku dan
tindakannya.
b. Organizational Relationship
Fungsi audit sistem informasi harus berada independen dari area yang
diaudit untuk mencapai tujuan objektivitas dari suatu proses audit.
3. Professional Ethics and Standards
a. Code of Professional Ethics
Auditor sistem informasi harus menghormati dan mentaati etika
profesional dalam melakukan tugas audit.
b. Due Professional Care
37
Auditor sistem informasi harus melakukan ketelitian profesional yang
seharusnya, termasuk ketaatan standar audit profesional yang dapat
dipakai dalam melakukan tugas audit.
4. Professional Competence
Auditor sistem informasi harus mampu secara profesional, memiliki keahlian
dan pengetahuan untuk melakukan tugas audit.
Auditor sistem informasi harus memelihara kompetensi profesional melalui
pendidikan dan pelatihan lanjut profesional yang tepat.
5. Audit Planning
Auditor sistem informasi harus merencanakan ulasan sistem informasi untuk
menempatkan tujuan audit dan untuk melengkapi hukum yang berlaku dan
standar profesional audit.
6. Performance of Audit Work
a. Supervision
Staf dari sistem informasi harus diawasi untuk menyediakan jaminan
yang cukup bahwa tujuan audit telah dijalankan dan standar profesional
auditing dapat terpenuhi.
b. Evidence
Selama masa pekerjaan audit, auditor sistem informasi harus
mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna
untuk mencapai tujuan objektif dari suatu audit. Penemuan dan
kesimpulan audit harus didukung dengan analisa dan interpretasi yang
tepat atas bukti tersebut.
c. Documentation
38
Proses audit harus didokumentasikan, menggambarkan pelaksanaan kerja
audit, dan bukti audit yang mendukung penemuan dan kesimpulan
auditor sistem informasi.
7. Reporting
Auditor sistem informasi harus menyediakan laporan dalam bentuk yang
tepat pada saat penyelesaian tugas audit. Laporan audit harus
mengidentifikasikan perusahaan, penerima yang dimaksud, dan setiap
pembatasan pada distribusinya.
Laporan audit yang berupa lingkup, tujuan, periode audit, dan lingkungan,
waktu, dan isi dari pelaksanaan kerja audit harus mempunyai temuan,
simpulan, dan rekomendasi, kualifikasi atau batasan lingkup yang harus
dihormati oleh auditor sistem informasi dalam audit.
Auditor sistem informasi harus memiliki bukti audit yang cukup dan tepat
untuk mendukung hasil yang dilaporkan.
Ketika dikeluarkan, laporan auditor sistem informasi harus ditandatangani,
diberi tanggal, dan didistribusikan berdasarkan bentuk piagam audit atau
surat perjanjian.
8. Follow Up Activities
Setelah melaporkan penemuan dan simpulan, auditor sistem informasi harus
meminta dan mengevaluasi informasi yang sesuai untuk menyimpulkan
apakah tindakan yang tepat telah dilakukan oleh manajemen secara tepat
waktu.
9. Irregularities and Illegal Acts
39
a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko pada
tingkat yang rendah, auditor sistem informasi harus mempertimbangkan
resiko irregularities and illegal acts, dengan memahami perusahaan dan
lingkungannya serta pengendalian internal melalui perolehan bukti audit
yang cukup dan tepat
b. Auditor sistem informasi harus merancang dan melaksanakan prosedur
untuk menguji pengendalian internal yang tepat dan resiko pengendalian
sampingan manajemen.
c. Jika auditor sistem informasi telah mengidentifikasikan irregularities and
illegal acts yang melibatkan manajemen atau karyawan yang memiliki
role penting dalam pengendalian internal, auditor sistem informasi harus
mengkomunikasikannya tepat waktu untuk orang-orang yang
bertanggung jawab terhadap governance.
d. Auditor sistem informasi harus mendokumentasikan semua komunikasi,
perencanaan, hasil, evaluasi dan kesimpulan yang berhubungan dengan
irregularities and illegal acts.
10. IT Governance
Auditor sistem informasi harus meninjau dan menilai fungsi sistem informasi
sesuai dengan visi, misi, nilai, tujuan dan strategi perusahaan. Juga menilai
keefektifan sumber daya sistem informasi dan pelaksanaan proses
manajemen, pemenuhan keabsahan, kualitas lingkungan dan informasi, serta
kebutuhan pengendalian dan keamanan. Selain itu, dinilai pula lingkungan
pengendalian dan resiko dalam lingkungan sistem informasi.
11. Use of Risk Assestment in Audit Planning
40
Auditor sistem informasi harus menggunakan teknik atau pendekatan
penilaian resiko yang tepat dalam pengembangan rencana audit sistem
informasi secara keseluruhan, dan menentukan prioritas pembagian sumber
daya audit sistem informasi secara efektif.
12. Audit Materiality
Auditor sistem informasi harus mempertimbangkan audit secara material dan
hubungannya dengan resiko audit ketika menentukan sifat, waktu dan isi dari
prosedur audit.
13. Using the Work of Other Experts
Auditor sistem informasi harus mempertimbangkan penggunaan ahli lain
dalam melakukan audit.
14. Audit Evidence
Auditor sistem informasi harus memperoleh bukti audit yang cukup dan tepat
untuk membuat kesimpulan yang beralasan sebagai dasar dari hasil audit.
2.4.7 Teknik Evaluasi
Teknik evaluasi yang digunakan berdasarkan pada Djatmiko (2007),
dimana maturity model digunakan sebagai metric untuk mengukur tingkat
perkembangan sistem informasi. Dengan Maturity model dapat digunakan juga
untuk mengendalikan proses IT dengan suatu metoda skoring sedemikian
sehingga suatu organisasi dapat menilai dirinya sendiri dari “tidak ada” sampai
“optimized” (dari 0 sampai 5). Pendekatan ini diperoleh berdasarkan Maturity
Model.
41
Untuk masing-masing proses IT, ada suatu skala pengukuran, berdasar
pada suatu penilaian antara “0” sampai “5”. Skala ini dihubungkan dengan
maturity model yang diuraikan berkisar antara “Tidak Ada” sampai “Optimized”
sebagai berikut:
Tabel 2.2 Level Model Maturity
Model Umum Maturity
Level 0 Tidak ada (Non – Existent), kurang lengkapnya setiap proses yang
dikenal. Organisasi sama sekali tidak mengetahui adanya masalah.
Level 1 Inisialisasi (Initial), Terdapat bukti bahwa organisasi telah
mengetahui adanya masalah yang membutuhkan penanganan.
Penanganan masalah dilakukan dengan pendekatan adhoc,
berdasarkan kasus dari perorangan. Tidak dilakukannya pengelolaan
proses yang terorganisir. Setiap proses ditangani tanpa menggunakan
standar.
Level 2 Pengulangan (Repeatable), Prosedur yang sama telah
dikembangkan dalam proses – proses untuk menangani suatu tugas,
dan diikuti oleh setiap orang yang terlibat di dalamnya. Tidak ada
pelatihan dan komunikasi dari prosedur standard tersebut. Tanggung
jawab pelaksanaan standar diserahkan pada setiap individu.
Kepercayaan terhadap pengetahuan individu sangat tinggi, sehingga
kesalahan sangat memungkinkan terjadi.
Level 3 Terdefinisi (Defined), Prosedur telah distandardisasikan,
didokumentasikan, serta dikomunikasikan melalui pelatihan.
42
Namun, implementasinya diserahkan pada setiap individu, sehingga
kemungkinan besar penyimpangan tidak dapat dideteksi. Prosedur
tersebut dikembangkan sebagai bentuk formulasi dari praktik yang
ada.
Level 4 Dikelola (Managed), Pengukuran dan pemantauan terhadap
kepatuhan dengan prosedur, serta pengambilan tindakan jika proses
tidak berjalan secara efektif, dapat dilakukan. Perbaikan proses
dilakukan secara konstan. Implementasi proses dilakukan secara
baik. Otomasi dan perangkat yang digunakan terbatas.
Level 5 Dioptimalkan (Optimised), Implementasi proses dilakukan secara
memuaskan. Hal tersebut merupakan hasil dari perbaikan proses
yang terus menerus dan pengukuran tingkat kedewasaan organisasi.
Teknologi informasi diintegrasikan dengan aliran kerja, dan
berfungsi sebagai perangkat yang memperbaiki kualitas dan
efektifitas. Organisasi lebih responsif dalam menghadapi kompetisi
bisnis.
Sumber: Djatmiko (2007)
Terdapat lima macam kemungkinan respon, dikaitkan dengan maturity
model yang direkomendasikan oleh COBIT (skala 0 – 5). Responden akan
memilih tingkat aktivitas yang sangat sesuai dengan kondisi saat ini. Maturity
Model akan membantu para profesional menjelaskan ke para manajer tentang
kekurangan manajemen TI dan menetapkan target yang mereka perlukan dengan
43
membandingkan kontrol organisasi praktek yang terbaik. Tingkatan maturity
akan dipengaruhi oleh sasaran bisnis organisasi dan operasi lingkungan. Yang
secara rinci tingkatan dari control maturity akan tergantung pada organisasi yang
bergantung pada TI, teknologi dan terutama informasinya.
Pemetaan posisi tiap-tiap proses sistem informasi perusahaan terhadap
model maturity dibuat berdasarkan hasil dari respon yang didapatkan. Rumus
yang digunakan untuk menghitung indeks adalah:
Indeks = Σ (Jumlah Nilai Jawaban)
Σ (Pertanyaan Kuesioner)
Skala pembulatan indeks bagi pemetaan ke tingkat model maturity adalah
sebagai berikut: 0.00-0.49 berada pada tingkat 0 (Tidak ada), 0.50-1.49 berada
pada tingkat 1 (Inisialisasi), 1.50-2.49 berada pada tingkat 2 (Dapat diulang),
2.50-3.49 berada pada tingkat 3 (Ditetapkan), 3.50-4.49 berada pada tingkat 4
(Terkelola), 4.50-5.00 berada pada tingkat 5 (Optimal).