Upload
vonhu
View
213
Download
0
Embed Size (px)
Citation preview
7
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi Akuntansi
2.1.1 Pengertian Sistem Informasi Akuntansi
Menurut Rama & Jones (2006), sistem informasi akuntansi adalah
sebuah subsistem dari sistem informasi manajemen yang menyediakan
informasi keuangan dan akuntansi serta informasi lainnya yang
dihasilkan dari proses rutin transaksi akuntansi. Menurut Bodnar dan
Hopwood (2004), sistem informasi akuntansi merupakan kumpulan
sumber daya seperti manusia dan peralatan, yang diatur untuk mengubah
data keuangan dan data-data lain menjadi informasi akuntansi. Informasi
akuntansi ini akan dikomunikasikan secara luas ke para users untuk
berbagai pengambilan keputusan. Menurut Gondodiyoto & Hendarti
(2006, p107), sistem informasi akuntansi adalah merupakan struktur yang
menyatu dalam suatu entitas, yang menggunakan sumber daya fisik dan
komponen lain, untuk mengubah data transaksi keuangan/akuntansi
menjadi informasi akuntansi dengan tujuan untuk memenuhi kebutuhan
informasi bagi para pengguna atau pemakainya (user).
Dengan demikian yang dimaksud dengan sistem informasi
akuntansi adalah suatu kesatuan sumber daya serta teknologi informasi
yang terkoordinasi, yang tujuannya untuk mengelola data
8
keuangan/akuntansi dalam rangka memenuhi kebutuhan informasi para
pihak yang berkepentingan.
2.1.2 Tujuan Sistem Informasi Akuntansi
Secara umum tujuan penggunaan sistem informasi akuntasi dalam
suatu organisasi adalah untuk meningkatkan efisiensi dan efektivitasnya.
Tujuan dari sistem informasi akuntansi yang dikemukakan oleh Rama &
Jones (2006), yaitu: (1) menghasilkan laporan eksternal, (2) mendukung
aktivitas rutin, (3) mendukung pengambilan keputusan, (4) perencanaan
dan pengendalian, (5) implementasi pengendalian internal. Selain itu,
Romney & Steinbart (2006) mengemukakan beberapa tujuan sistem
informasi akuntansi sebagai berikut: (1) meningkatkan kualitas dan
mengurangi biaya, (2) meningkatkan efisiensi dengan menyediakan
informasi yang diperlukan tepat pada waktunya, (3) menyebarkan
informasi untuk meningkatkan kinerja operasi, (4) meningkatkan efisiensi
dan efektivitas supply chain, (5) meningkatkan struktur pengendalian
intern , (6) meningkatkan pengambilan keputusan.
Jadi, tujuan daripada sistem informasi akuntansi dapat
disimpulkan sebagai berikut:
1. Mendukung pengambilan keputusan.
Informasi juga diperlukan untuk mendukung pengambilan
keputusan bagi seluruh tingkatan dalam organisasi yang
aktivitasnya bersifat non rutin, misalnya untuk mengetahui produk
9
paling laku atau pelanggan yang paling banyak melakukan
pembelian.
2. Menghasilkan laporan dalam memenuhi kebutuhan informasi bagi
pihak yang berkepentingan.
Menghasilkan laporan yang dapat digunakan organisasi untuk
meningkatkan kinerja operasional dan menjadi dasar penilaian
bagi para investor, creditor, perpajakan dan sebagainya.
3. Membuat perencanaan dan meningkatkan pengendalian.
Informasi tentang anggaran dan biaya standar tersimpan dalam
sistem informasi dan laporan didesain untuk membandingkan
anggaran yang ada dengan jumlah yang sebenarnya. Informasi
yang ada dapat dikelola melalui data mining (penggunaan
software untuk mengetahui large store dari data historikal) untuk
menentukan trend-trend terbaru sehingga menghasilkan produk-
produk yang berkualitas.
Pengendalian internal meliputi rangkaian aturan, prosedur, dan
sistem informasi yang digunakan, dalam usaha melindungi aset
perusahaan dari penyalahgunaan dan untuk mempertahankan
akurasi data keuangan.
4. Meningkatkan efisiensi dengan menyediakan informasi secara
cepat.
Dengan adanya sistem informasi akuntansi, data-data dapat
dikelola dengan baik sehingga informasi dihasilkan dengan cepat.
Apabila data-data tidak terkoordinasi dengan baik, maka akan
10
menyebabkan kehilangan data dan pada akhirnya akan merugikan
organisasi itu sendiri.
5. Mendukung aktivitas rutin organisasi.
Manager memerlukan sistem informasi akuntansi untuk
menangani aktivitas operasi rutin dalam sebuah siklus operasi
perusahaan.
2.1.3 Komponen-komponen Sistem Informasi Akuntansi
Sistem informasi akuntansi terdiri dari komponen-komponen yang
saling berinteraksi satu dengan lainnya dan membentuk satu kesatuan
dalam suatu struktur sistem informasi untuk mencapai sasaran. Beberapa
komponen sistem informasi akuntansi yang dikemukakan oleh Romney
& Steinbart (2006) adalah sebagai berikut:
1. Orang (people), sebagai pengoperasi sistem dan mampu
melaksanakan berbagai fungsi.
2. Prosedur (procedures) dan instruksi, dapat dilakukan secara
manual maupun otomatis, meliputi pengumpulan, proses, dan
penyimpanan data tentang aktivitas organisasi.
3. Data, berisi tentang proses bisnis organisasi.
4. Software, digunakan untuk memproses data.
5. Infrastruktur teknologi informasi, meliputi komputer, peripheral
devices, dan network communications devices yang digunakan
untuk mengumpulkan, menyimpan, memproses, dan pengiriman
data dan informasi.
11
6. Pengendalian intern dan ukuran pengamanan yang melindungi
data dalam sistem informasi akuntansi.
2.1.4 Fungsi Sistem Informasi Akuntansi
Tiga fungsi dasar yang penting dari suatu sistem informasi
akuntansi menurut Romney & Steinbart (2006) adalah sebagai berikut :
1. Mengumpulkan dan menyimpan data mengenai aktivitas, sumber
daya dan personal.
2. Mengubah data menjadi informasi yang berguna untuk
pengambilan keputusan sehingga pihak manajemen dapat
merencanakan, menjalankan, mengendalikan, dan mengevaluasi
aktivitas, sumber daya dan personal.
3. Menetapkan pengendalian yang cukup untuk menjaga aset
organisasi, yang mencakup data itu sendiri, untuk memastikan
bahwa aset dan data tersebut tersedia ketika diperlukan dan
datanya akurat dan dapat dipercaya.
2.1.5 Siklus Proses Transaksi Sistem Informasi Akuntansi
Secara garis besar siklus sistem informasi akuntansi yang
dikemukakan oleh Romney & Steinbart (2006) adalah sebagai berikut:
1. Revenue Cycle
Kumpulan aktivitas bisnis dan informasi yang berkaitan dengan
proses penyediaan barang dan jasa ke pelanggan, serta
penerimaan kas dalam suatu penjualan.
12
2. Expenditure Cycle
Kumpulan aktivitas bisnis dan informasi yang berkaitan dengan
proses pembelian barang untuk dijual kembali atau bahan baku
untuk produksi.
3. Production Cycle
Kumpulan aktivitas bisnis dan informasi yang berkaitan dengan
proses pengolahan bahan baku menjadi barang jadi.
4. Human Resources Management and Payroll Cycle
Kumpulan aktivitas bisnis dan informasi yang berkaitan dengan
proses merekrut, melatih, mengganti, mengevaluasi,
mempromosi, dan memberhentikan karyawan.
5. Financial Cycle
Kumpulan aktivitas bisnis dan informasi dimana perusahaan
menjual sebagian dari perusahaan kepada investor, peminjaman
dana, pembayaran dividen kepada investor, pembayaran bunga
atas pinjaman, dan menyajikan laporan keuangan. Penyajian
laporan keuangan tersebut melalui sistem informasi general
ledger yang meliputi kegiatan menjurnal, posting, membuat jurnal
penyesuaian dan sampai laporan keuangan itu dihasilkan.
13
2.1.6 Sistem Informasi General Ledger
2.1.6.1 Pengertian Sistem Informasi General Ledger
Menurut Romney & Steinbard (2006), General Ledger
berisi tentang rangkuman data mengenai setiap aset, kewajiban,
ekuitas, penjualan, dan biaya-biaya sebuah organisasi. Kegiatan
proses informasi meliputi updating general ledger dan
persiapan laporan yang merangkum hasil aktivitas organisasi.
Gambar 2.1 Flow Chart Online General Ledger
Sumber: Buku Romney & Steinbart (2006, p526)
14
2.1.6.2 Tujuan General Ledger
Tujuan General Ledger yang dikemukan oleh Wilkinson
(2000, p380), diantaranya : (1) mencatat transaksi akuntansi
secara akurat dan tepat waktu, (2) memposting transaksi ke akun
yang sesuai, (3) menjaga keseimbangan debet dan kredit untuk
masing-masing akun, (4) mengakomodasikan jurnal
penyesuaian, serta (5) menyediakan laporan keuangan yang
handal dan tepat waktu dalam setiap periode akuntansi.
2.1.6.3 Aktivitas dalam General Ledger
Terdapat beberapa aktivitas dalam General Ledger dan
sistem pelaporan yang dikemukakan oleh Romney & Steinbart
(2006), yaitu:
1. Update General Ledger
Update General Ledger terorganisir dari 2 (dua) sumber,
yaitu :
a. Accounting subsystem, secara teori general ledger
bisa diperbaharui untuk tiap-tiap transaksi
individual, namun pada prakteknya, variasi
subsistem akuntansi biasa memperbaharui general
ledger dengan rangkuman jurnal, yang
menampilkan hasil dari semua transaksi yang
terjadi selama periode tertentu.
15
b. Treasurer, bagian treasurer menghasilkan catatan
jurnal individual untuk membaharui general ledger
bagi transaksi tidak rutin seperti penjualan atau
pembelian surat berharga penanaman modal.
2. Post adjusting entries
Adjusting entries berasal dari pengendali (controller)
setelah trial balance disiapkan. Trial balance adalah
laporan yang berisi keseimbangan untuk semua akun
general ledger. Terdapat 5 (lima) kategori dasar adjusting
entries, yaitu:
a. Accruals, mewakili catatan-catatan yang dibuat
pada akhir periode akuntansi untuk
menggambarkan transaksi yang telah terjadi namun
kas belum diterima atau belum dibayar.
Contohnya pencatatan pendapatan sewa.
b. Defferals, mewakili catatan-catatan yang dibuat
pada akhir periode akuntansi untuk
menggambarkan pertukaran dari kas yang dibayar
dimuka untuk pelaksanaan dari kejadian yang
berhubungan.
c. Estimates, mewakili catatan-catatan untuk
menggambarkan bagian dari pengeluaran yang
16
terjadi diluar periode akuntansi. Contohnya
penyusutan dan biaya piutang tak tertagih.
d. Revaluations, mewakili catatan-catatan yang dibuat
untuk menggambarkan perbedaan antara nilai
sebenarnya dengan nilai yang tercatat dari suatu
aset atau perubahan prinsip akuntansi. Contohnya
perubahan metode yang digunakan untuk menilai
persediaan.
e. Corrections, mewakili catatan-catatan yang dibuat
untuk mengatasi pengaruh-pengaruh dari kesalahan
yang ditemukan dalam general ledger. Contohnya
rekonsiliasi.
3. Prepare financial statements
Persiapan laporan keuangan dimulai pertama kali dengan
income statement yang datanya diambil dari penjualan
nilai biaya pada adjusted trial balance, kemudian
dilanjutkan dengan balance sheet. Kegiatan ini
memerlukan closing entries dengan nilai penjualan dan
biaya sama dengan 0 (nol), kemudian dilakukan transfer
net income atau loss ke retained earnings.
17
4. Produce manajerial report
Menghasilkan laporan manajerial merupakan kegiatan
final dalam general ledger and reporting system. Laporan
ini akan digunakan untuk memverifikasi akurasi proses
posting.
Dalam bukunya Accounting Information Systems
(Wilkinson, 2000), mengemukakan bahwa sumber input
general ledger berasal dari berbagai sistem pemrosesan
transaksi yang diklasifikasikan menjadi :
1. Routine external transaction, timbul selama periode
akuntansi dari pertukaran dengan pihak independen yang
berada dalam lingkungan sekitar.
2. Routine internal transaction, terjadi karena ada transaksi
internal yang timbul selama periode akuntansi.
3. Nonroutine transaction, biasanya terjadinya jarang dan
berasal dari luar perusahaan dari aktivitas yang tidak rutin.
4. Adjusting entries, terjadi pada akhir periode akuntansi.
5. Reserving entries, jurnal pada awal periode akuntansi untuk
membalik jurnal penyesuaian yang dibuat pada akhir
periode akuntansi sebelumnya.
6. Closing entries, memindahkan jumlah yang ada pada akun
sementara ke dalam akun, sehingga akun sementara menjadi
nol.
18
Serta informasi yang dihasilkan dari general ledger adalah
general ledger analysis, financial statement dan managerial
report.
2.1.6.4 Ancaman dan Pengendalian dalam Sistem Informasi General
Ledger
Menurut Romney & Steinbart (2006), terdapat beberapa
ancaman yang potensial dalam sistem informasi general ledger,
yang secara garis besar dapat diterjemahkan sebagai berikut:
1. Kesalahan (error) dalam mengupdate general ledger dan
pembuatan laporan keuangan. Kesalahan yang terjadi
ketika mengupdate general ledger dapat mempengaruhi
pengambilan keputusan yang tidak tepat karena
menyajikan informasi yang keliru dalam laporan
keuangan. Prosedur pengendalian yang dapat diterapkan
terhadap ancaman ini adalah dengan input edit and
processing controls, reconciliations and control reports
dan audit trail.
2. Kehilangan, akses tidak berwenang, atau pengubahan
terhadap data keuangan. General ledger merupakan
komponen kunci dalam sistem informasi akuntansi
perusahaan. Akses yang dilakukan oleh pihak yang tidak
berwenang dapat menyebabkan kerahasian data
perusahaan terbongkar yang mungkin akan dimanfaatkan
19
oleh kompetitor yang ada. Pengendalian yang dapat
diterapkan untuk mencegah terjadinya akses oleh pihak
yang tidak berwenang dapat dilakukan dengan cara
penggunaan username dan password.
3. Kinerja yang buruk (Poor Performance). Perusahaan mesti
menyediakan informasi kepada banyak pihak eksternal,
termasuk pemerintah, investor dan creditor. Perusahaan
juga membuat laporan pengendalian untuk digunakan
dalam pengelolaan operasi. Merancang ulang proses bisnis
memberikan kesempatan tambahan untuk memperbaiki
efisiensi dan efektivitas.
2.2 Sistem Pengendalian Intern
2.2.1 Pengertian Sistem Pengendalian Intern
Rama & Jones (2006), mengemukakan bahwa pengendalian intern
adalah aturan, kebijakan, prosedur, dan sistem informasi yang digunakan
untuk memastikan data keuangan perusahaan akurat dan terpercaya dan
untuk memproteksi aset-aset perusahaan dari tindakan pencurian atau
kerugian. Gondodiyoto & Hendarti (2006, p158) mengemukakan
pengertian dari Sistem Pengendalian Internal yaitu suatu mekanisme yang
didesain untuk menjaga (preventif), mendeteksi (detektif), dan
memberikan mekanisme pembetulan (korektif) terhadap
potensi/kemungkinan terjadinya kesalahan (kekeliruan, kelalaian, error)
maupun penyalahgunaan (kecurangan, fraud).
20
Menurut Weber (1999, p35), mengemukakan bahwa Sistem
Pengendalian Internal adalah suatu sistem untuk mencegah, mendeteksi
dan mengoreksi kejadian yang timbul saat transaksi dari serangkaian
pemrosesan yang tidak teotorisasi secara sah, tidak akurat, tidak lengkap,
mengandung redudansi, tidak efektif dan tidak efesien.
Dengan adanya pengendalian maka diharapkan dapat mengurangi
resiko ataupun pengaruh lain yang sifatnya merugikan, akibat suatu
kejadian (penyebab). Maka dari itu, pengendalian dikelompokkan
menjadi tiga bagian, yaitu :
1. Preventive Control
Pengendalian ini digunakan untuk mencegah masalah sebelum
masalah itu muncul.
2. Detective Control
Pengendalian ini digunakan untuk menemukan masalah yang
berhubungan dengan pengendalian segera setelah masalah tersebut
muncul.
3. Corrective Control
Pengendalian ini digunakan untuk memperbaiki masalah yang
ditemukan pada pengendalian detektif. Pengendalian ini mencakup
prosedur untuk menentukan penyebab masalah yang timbul,
memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi
sistem proses. Dengan demikian bisa mencegah kejadian yang sama
di masa mendatang.
21
Menurut Muchtar (1999, pp41-42), sistem pengendalian internal
merupakan perencanaan organisasi guna mengkoordinasikan metode atu
cara pengendalian dalam suatu perusahaan untuk menjaga aset
perusahaan guna meningkatkan tingkat kepercayaan dan akurasi data,
serta menjalankan operasional perusahaan secara efesien.
Jadi, dapat disimpulkan bahwa sistem pengendalian internal
merupakan sebuah sistem yang dirancang oleh manajemen sebuah
organisasi untuk mengendalikan (meliputi tindakan preventive, detective
dan corrective) dan mengawasi seluruh kegiatan organisasi tersebut untuk
menjaga aset perusahaan dan menjamin dipatuhinya kebijakan
manajemen.
2.2.2 Tujuan Sistem Pengendalian Intern
Menurut Gondodiyoto & Hendarti (2006, p158), tujuan
didesainnya sistem pengendalian intern bagi sistem berbasis komputer
adalah:
1. Meningkatkan pengamanan (improve safeguard) aset dan
data/catatan akuntansi (accounting records).
2. Meningkatkan integritas data (improve data integrity).
3. Meningkatkan efektivitas sistem (improve system effectiveness).
4. Meningkatkan efesiensi sistem (system efficiency).
Menurut Mulyadi (2001, p163) mengungkapkan empat tujuan
sistem pengendalian intern, yaitu :
1. Menjaga kekayaan organisasi.
22
2. Mengecek ketelitian dan kehandalan data akuntansi.
3. Meningkatkan efisiensi operasional.
4. Mendorong dipatuhinya kebijakan manajemen.
2.2.3 Komponen-komponen Sistem Pengendalian Intern
Menurut Weber (1999, p49), sistem pengendalian intern terdiri
dari lima komponen yang saling terintegrasi, antara lain :
1. Control Environment
Control environment merupakan dasar bagi komponen-komponen
internal control lainnya, yang turut menentukan atmosfer sebuah
organisasi, mempengaruhi karyawan akan pentingnya pengendalian
dan juga menyediakan struktur dan kedisiplinan. Control enviroment
mempengaruhi bagaimana suatu aktivitas bisnis dijalankan dan
resiko-resiko dinilai dalam organisasi. Control environment
membawa pengaruh yang besar pada pencapaian tujuan organisasi,
penyelesaian tugas, dan kegiatan operasional. Faktor-faktor control
environment meliputi:
a. Integritas, nilai etika dan kompetensi sumber daya manusia.
b. Filosofi manajemen dan operating style.
c. Pelaksanaan wewenang dan tanggung jawab dan
mengorganisasikan dan mengembangkan sumber daya manusia.
d. Pedoman dan petunjuk yang disediakan dewan direksi.
23
2. Risk Assessment
Risk assessment merupakan komponen untuk mengidentifikasi
dan menganalisa resiko yang dihadapi oleh perusahaan dan cara-cara
untuk menghadapi resiko tersebut. Setiap entitas menghadapi
berbagai resiko baik eksternal maupun internal yang mesti dikaji.
Prasyarat untuk mengkaji resiko adalah pada waktu menetapkan
tujuan.
3. Control Activities
Komponen yang beroperasi untuk memastikan transaksi telah
terotorisasi, adanya pemisahan tugas dan fungsi, pemeliharaan
terhadap dokumen, pengecekan kinerja dan pengamanan terhadap
aset serta catatan akuntansi.
4. Information and Communication
Komponen dimana informasi digunakan untuk mengidentifikasi,
mendapatkan dan menukarkan data yang dibutuhkan untuk
mengendalikan dan mengatur operasi perusahaan. Komunikasi yang
efektif harus mampu menyampaikan sesuatu yang menglobal, terus
menerus, beragam dan sampai pada organisasi. Setiap personal harus
menerima pesan dengan jelas dari top management sehingga terdapat
pengendalian yang jelas.
5. Monitoring
Sistem pengendalian intern perlu dipantau untuk memastikan
proses-proses yang ada melakukan fungsinya dengan baik dan benar.
24
2.2.4 Sistem Pengendalian Intern pada Sistem Berbasis Komputer
2.2.4.1 Pengendalian Umum (General Control)
Menurut Gondodiyoto & Hendarti (2006, p250), pengendalian
umum adalah sistem pengendalian intern komputer yang berlaku umum
meliputi seluruh kegiatan komputerisasi sebuah organisasi secara
menyeluruh. Artinya ketentuan-ketentuan yang berlaku dalam
pengendalian tersebut, berlaku untuk seluruh kegiatan komputerisasi di
perusahaan tersebut. Pengendalian ini berguna untuk menyediakan
infrastruktur yang stabil sehingga sistem informasi dapat dibangun,
dioperasikan dan dipelihara secara berkesinambungan.
Dalam pengendalian umum terdapat beberapa pengendalian,
yaitu:
1. Pengendalian Pucuk Pimpinan (Top Level Management
Controls)
Sistem pengendalian intern yang ada pada suatu organisasi
yang mendorong keterlibatan, kepedulian dan tanggung jawab
pucuk pimpinan organisasi terhadap kegiatan TI (teknologi
informasi) pada organisasi tersebut, berikut semua konsekuensi,
dampak dan syarat-syarat yang harus dipenuhi demi berjalannya
sistem secara memadai.
2. Pengendalian Manajemen Pengembangan Sistem (System
Development Management Controls)
Pengendalian manajemen pengembangan sistem diperlukan
untuk mencegah dan mendeteksi kemungkinan adanya kesalahan
25
pada waktu pengembangan dan pemeliharaan sistem serta untuk
memperoleh keyakinan yang memadai bahwa sistem berbasis
teknologi informasi telah dikembangkan dan dipelihara dengan cara
yang efisien dan melalui proses otorisasi yang semestinya.
3. Pengendalian Manajemen Sumber Data (Data Resource
Management Controls)
Pengendalian manajemen sumber data dimaksudkan agar data
dalam perusahaan terkoordinasi dengan baik. Data harus tersedia
untuk digunakan kapan saja, dimana pun dan dalam bentuk apa pun.
Sistem manajemen data harus menjamin adanya data security, data
integrity dan data independence serta data harus dapat dimodifikasi
dengan mudah (user friendly) oleh yang berwenang sesuai dengan
kebutuhan user.
4. Pengendalian Manajemen Mutu (Quality Assurance
Management Controls)
Mengendalikan fungsi utama yang harus dilakukan oleh
Quality Assurance Management untuk menyakinkan bahwa
pengembangan, pelaksanaan, pengoperasian dan pemeliharaan dari
sistem informasi sesuai dengan standar kualitas.
5. Pengendalian Manajemen Operasi (Operation Management
Controls)
Merupakan jenis pengendalian intern yang dirancang untuk
menciptakan kerangka kerja organisasi, pendayagunaan sumber
26
daya informasi dan pembagian tugas yang baik bagi suatu
organisasi yang menggunakan sistem berbasis teknologi informasi.
Pengendalian manajemen operasi dapat diterapkan dengan
menggunakan metode-metode sebagai berikut :
1. Pemisahan fungsi
Pemisahan fungsi didesain untuk memastikan bahwa
fungsi-fungsi yang tidak sejalan (atau seharusnya saling-cek),
seperti : fungsi analisis / desain dan pemrograman, dengan
operasi komputer (mencakup penyiapan transaksi, otorisasi,
proses entri, dan pelaporan) telah dipisahkan. Terdapat dua jenis
pemisahan fungsi, yaitu pemisahan fungsi departemen teknologi
informasi dengan non teknologi informasi, dan pemisahan
fungsi di dalam departemen teknologi informasi.
2. Pengendalian personil
Pengendalian personil yang efektif dapat diindikasikan
oleh hal-hal berikut ini :
a. Adanya prosedur penerimaan dan pemilihan pegawai.
b. Adanya peningkatan keahlian melalui pelatihan yang
berhubungan dengan bidang tugasnya.
c. Adanya evaluasi atas pekerjaan.
d. Administrasi atas gaji dan prosedur promosi yang jelas.
e. Penggunaan uraian tugas (job description).
f. Pemilihan dan pelatihan pegawai.
g. Supervisi dan penilaian.
27
h. Penggiliran pekerjaan dan keharusan mengambil cuti.
Sedangkan menurut Mulyadi (2001), ada kalanya pihak
perusahaan melakukan pemeriksaan mendadak (surprised
audit). Pemeriksaan mendadak dilaksanakan tanpa
pemberitahuan lebih dahulu kepada pihak yang akan diperiksa,
dengan jadwal yang tidak teratur. Jika dalam suatu organisasi
dilaksanakan pemeriksaan mendadak terhadap kegiatan-
kegiatan pokoknya, hal ini akan mendorong karyawan
melaksanakan tugasnya sesuai dengan aturan yang telah
ditetapkan.
3. Pengendalian perangkat keras
Pengendalian perangkat keras didesain untuk memastikan
bahwa perangkat komputer aman dari kerusakan yang
disebabkan oleh faktor manusia maupun lingkungan. Beberapa
jenis pengendalian perangkat keras yang dapat diterapkan untuk
menjaga keamanan perangkat komputer adalah mencakup :
a. Pengawasan terhadap akses fisik
Untuk menjaga perangkat komputer dari kemungkinan
penyalahgunaan, akses fisik terhadap perangkat komputer
perlu diawasi. Pengawasan ini merupakan proteksi berupa
pembatasan terhadap orang-orang yang akan masuk
kebagian penting seperti ruangan komputer. Beberapa
bentuk pengawasan tersebut antara lain penempatan satpam
pada posisi yang strategis, pengisian agenda kunjungan oleh
28
tamu yang berkunjung, dan penggunaan tanda pengenal oleh
pegawai kantor.
b. Pengaturan lokasi fisik
Lokasi ruangan komputer merupakan pertimbangan
yang penting dalam pengendalian keamanan komputer.
Ruangan komputer perlu ditempatkan pada lokasi yang tidak
mudah didatangi oleh orang-orang yang tidak
berkepentingan sehingga dapat mencegah pengerusakan
fasilitas komputer oleh pihak yang tidak berwenang.
c. Penggunaan alat pengaman
Alat-alat pengaman tambahan diperlukan untuk
menjaga keamanan komputer dari kemungkinan kerusakan.
Alat-alat pengaman tersebut dapat berupa alat pemadam
kebakaran, Uninterruptible Power Supply (UPS), dan
stabilizer.
d. Pengendalian operasional perangkat keras
Pengendalian operasional perangkat keras merupakan
bentuk pengendalian untuk menjaga perangkat keras dari
kemungkinan kerusakan pengoperasian perangkat keras
tersebut. Pengendalian operasional perangkat keras meliputi
prosedur pemeliharaan rutin, penanganan kerusakan dan
laporan kerusakan, pengendalian tindakan personil serta
inventarisasi.
29
4. Pengendalian perangkat lunak
Pengendalian perangkat lunak didesain untuk memastikan
keamanan dan keandalan sistem. Pengendalian ini dilakukan
dengan cara mengawasi penggunaan program dan mencegah
akses oleh pihak yang tidak berwenang. Beberapa cara yang
dapat digunakan dalam pengendalian perangkat lunak sistem
adalah dengan pemakaian prosedur log-on dan pengendalian
terhadap ancaman serangan virus.
Menurut Weber (1999), terdapat delapan fungsi utama
yang menjadi tanggung jawab dari manajemen operasional,
antara lain :
1. Pengoperasian Komputer (Computer Operation)
Tipe pengendalian yang harus dilakukan :
a. Menentukan fungsi-fungsi yang harus dilakukan
operator komputer maupun fasilitas operasi otomatis.
b. Menentukan penjadwalan kerja pada pemakaian
hardware atau software.
c. Menentukan perawatan terhadap hardware agar dapat
berjalan dengan baik.
d. Pengendalian perangkat keras berupa hardware controls
dari produsen untuk deteksi hardware malfunction.
Kontrol terhadap pengoperasian komputer ada tiga tipe
yaitu:
30
a. Operations controls
Banyak jenis kegiatan yang harus dilakukan untuk
mendukung jalannya program komputer, sebagai contoh
program harus dijalankan dan dimatikan, media
penyimpanan harus tersedia, formulir harus disediakan
di printer dan informasi yang dihasilkan harus dikirim ke
pemakai informasi.
b. Schedulling controls
Scheduling control dilakukan untuk memastikan bahwa
komputer digunakan untuk kepentingan yang seharusnya
dan menggunakan sumber daya dengan efisien.
c. Maintenance controls
Kegiatan maintenance terhadap hardware komputer
merupakan tindakan preventive yang harus dilakukan
agar kerusakan hardware dapat dicegah.
2. Pengoperasian Jaringan (Network Operation)
Pengendalian yang dilakukan ialah memonitor dan
memelihara jaringan dan pencegahan terhadap akses oleh
pihak yang tidak berwenang. Pengendalian sistem
komunikasi data antara lain adalah :
a. Jalur komunikasi
b. Hardware
c. Cryptology
d. Software
31
Dalam pengoperasian jaringan terdapat dua jenis kontrol,
yaitu :
a. WAN (Wide Area Network)
WAN merupakan jaringan yang menghubungkan
antar komputer yang tersebar pada area geografis yang
luas seperti antar kota, antar propinsi dan bahkan antar
negara.
b LAN (Local Area Network)
LAN merupakan suatu jaringan yang
menghubungkan komputer-komputer dengan peralatan
komunikasi yang menempati area terbatas seperti di
dalam gedung, kampus, dan lain-lain.
3. Persiapan dan Pengentrian Data (Preparation and Entry
Data)
Fasilitas-fasilitas yang ada harus dirancang untuk memiliki
kecepatan dan keakuratan data serta telah dilakukan
terhadap pengentrian data.
4. Pengendalian Produksi (Production Controls)
Fungsi yang harus dilakukan untuk pengendalian produksi
adalah :
a. Penerimaan dan pengiriman input dan output
b. Penjadwalan kerja
c. Manajemen pelayanan
d. Peningkatan pemanfaatan komputer
32
5. File Library
Fungsi yang dilakukan untuk file library adalah :
a. Penyimpanan media penyimpanan (storage of storage
media)
b. Penggunaan media penyimpanan (use of storage media)
c. Pemeliharaan dan penempatan media penyimpanan
(maintenance and disposal of storage media)
d. Lokasi media penyimpanan (location of storage media)
6. Documentation and Program Library
Orang yang bertanggung jawab atas dokumentasi
mempunyai beberapa fungsi yang harus dilakukan yaitu:
a. Memastikan bahwa semua dokumentasi disimpan secara
aman.
b. Memastikan bahwa hanya orang yang mempunyai
otorisasi saja yang bisa mengakses dokumentasi.
c. Memastikan bahwa dokumentasi tersebut selalu up-to-
date.
d. Memastikan bahwa adanya backup yang cukup untuk
dokumentasi yang ada.
7. Help Desk/Technical Support
Ada dua fungsi utama help desk/technical support, yaitu:
a. Membantu end user dalam menggunakan hardware dan
software yang berhubungan dengan end user seperti
33
microcomputer, spreadsheet packages, database
management packages, dan local area networks.
b. Menyediakan technical support untuk sistem produksi
dengan dilengkapi suatu penyelesaian masalah yang
berhubungan dengan hardware, software dan database.
8. Capacity Planning and Performance Monitoring
Tujuan utama dari fungsi sistem informasi ini adalah untuk
mencapai tujuan dari penggunaan sistem informasi dengan
biaya yang serendah mungkin.
6. Pengendalian Manajemen Keamanan (Security Management
Controls)
Pengendalian manajemen keamanan (security management
controls) dimaksudkan untuk menjamin agar aset sistem informasi
tetap aman. Aset sumber daya informasi mencakup fisik (perangkat
mesin dan fasilitas penunjang lainnya) serta aset tak berwujud (non
fisik yang meliputi data, informasi, dan program aplikasi
komputer).
Beberapa alasan dibutuhkan keamanan informasi, yaitu :
1. Semakin banyak informasi yang telah dikumpulkan, disimpan
dan diakses melalui jaringan sistem informasi yang tersebar luas
membutuhkan penanganan yang lebih cermat dan aman.
2. Perubahan teknologi secara cepat menciptakan kemudahan
untuk dapat berinteraksi tetapi di satu sisi ikut pula
34
meningkatkan resiko rentan untuk mudah diserang (misalnya
melalui email yang disusupi virus).
3. Penggunaan komputer personal yang semakin banyak di kantor
dan di rumah juga berperan untuk mudah / rentan terhadap
serangan ke komputer besar (mainframe / minicomputer)
karena sistem yang terbuka (open system). Dengan prinsip yang
terbuka ini, setiap komputer personal akan mudah dikenali
(misalnya dari alamat IP-nya, siapa penggunanya, dan aplikasi
apa saja yang ada di dalam komputer tersebut).
Menurut Weber (1999), terdapat beberapa ancaman utama
terhadap keamanan aset sistem informasi yang secara garis besar
adalah sebagai berikut:
a. Ancaman kebakaran
Beberapa pengendalian yang dapat dilakukan yaitu:
1) Memasang alarm kebakaran otomatis yang diletakkan
pada tempat dimana aset sistem informasi berada.
2) Menyediakan tabung kebakaran yang disimpan pada
lokasi yang mudah dijangkau.
3) Adanya suatu tombol power utama untuk listrik.
4) Sebaiknya tempat penyimpanan aset sistem informasi
dibangun dari bahan yang tahan api.
5) Memiliki pintu atau tangga darurat yang diberi tanda
dengan jelas.
35
6) Sebaiknya terdapat suatu sistem yang dapat memberikan
signal langsung ke stasiun pengendalian yang selalu dijaga
oleh staf ketika alarm berbunyi.
7) Memiliki manajemen pemeliharaan gedung yang baik.
b. Ancaman banjir
Beberapa pengendalian yang dapat dilakukan yaitu:
1) Menggunakan bahan tahan air seperti bagian atap, lantai
dan dinding gedung.
2) Menyediakan alarm pada titik strategis dimana material
aset sistem informasi diletakkan.
3) Sebaiknya aset sistem informasi diletakkan di tempat yang
tinggi.
4) Menutup peralatan hardware dengan bahan tahan air
sewaktu tidak digunakan.
c. Perubahan tenaga sumber energi
Untuk mengantisipasi perubahan tegangan sumber energi
listrik, sebaiknya menggunakan stabilizer atau UPS
(Uninterruptible Power Supply) untuk mengcover tegangan
listrik jika tiba-tiba down.
d. Kerusakan struktural
Kerusakan struktural yang dimaksud adalah aset sistem
informasi rusak akibat terjadinya gempa ataupun badai. Untuk
mengantisipasi kerusakan struktural tersebut sebaiknya dipilih
36
lokasi perusahaan pada daerah yang tidak rawan gempa dan
membangun gedung dengan struktur yang benar dan baik.
e. Polusi
Beberapa pengendalian yang dapat dilakukan seperti larangan
merokok dalam kantor dan adanya sirkulasi udara yang bebas.
f. Penyusup
Pengendalian untuk mengantisipasi adanya penyusup dapat
dilakukan dengan penempatan penjaga dan penggunaan
alarm.
g. Virus
Untuk mengantisipasi masuknya virus ke dalam komputer
yang mengakibatkan data-data menjadi rusak, dapat dilakukan
dengan tindakan preventive dengan menginstall software
Antivirus. Memastikan Antivirus selalu terupdate, melakukan
scan secara rutin dan memastikan back-up data bebas dari
virus.
h. Hacking
Untuk mengantisipasi serangan-serangan dari para hacker,
sistem komputer harus dipasang firewall, menggunakan sistem
operasi komputer yang kompeten dan sebaiknya pengiriman
data-data dilakukan enkripsi.
Walaupun seluruh pengendalian telah dijalankan, tetapi masih
mungkin terjadi bencana. Oleh karena itu, untuk mengurangi
37
kerugian dan me-recover kegiatan operasional perusahaan dapat
dilakukan dengan cara :
1. Disaster recovery plan, yaitu :
a. Emergency plan
Emergency plan ini merupakan tindakan khusus yang
akan dilakukan segera setelah terjadinya bencana.
b. Backup plan
Rencana backup berisi jangka waktu backup dilakukan,
prosedur untuk melakukan backup, letak perlengkapan
backup, dan karyawan yang bertanggung jawab melakukan
kegiatan backup ini.
c. Recovery plan
Rencana recovery merupakan kelanjutan dari rencana
backup karena recovery adalah kegiatan yang dilakukan
agar sistem informasi dapat berjalan seperti biasa.
d. Test plan
Komponen terakhir adalah test plan yang berfungsi
untuk memastikan bahwa ketiga rencana diatas berjalan
dengan baik.
2. Insurance
Memiliki asuransi untuk fasilitas peralatan, media
penyimpanan, biaya tambahan, gangguan bisnis, dokumen dan
kertas yang berharga, dan media trasnsportasi.
38
2.2.4.2 Pengendalian Aplikasi (Application Control)
Menurut Hall (2001), pengendalian aplikasi adalah tindakan atau
prosedur manual yang diprogram dalam sebuah aplikasi. Menurut
Gondodiyoto & Hendarti (2006, p328), Pengendalian aplikasi adalah
sistem pengendalian intern (internal control) pada sistem informasi
berbasis teknologi informasi berkaitan dengan
pekerjaan/kegiatan/aplikasi tertentu (setiap aplikasi memiliki
karateristik dan kebutuhan pengendalian yang berbeda).
Dalam pengendalian aplikasi terdapat beberapa pengendalian,
yaitu:
1. Pengendalian Batasan (Boundary Controls)
Menurut Gondodiyoto & Hendarti (2006) pengendalian
batasan merupakan suatu tampilan (interface) yang menghubungkan
user dengan sistem sehingga antara user dan sistem dapat
berinteraksi.
Boundary control mempunyai tiga tujuan, yaitu :
a. Untuk memastikan bahwa pemakai komputer adalah orang yang
memiliki wewenang.
b. Untuk memastikan bahwa identitas yang diberikan oleh
pemakai adalah benar.
c. Untuk membatasi tindakan yang dapat dilakukan oleh pemakai
untuk menggunakan komputer ketika melakukan tindakan
otorisasi.
39
Awalnya pengendalian batasan tidak terlalu banyak dipakai,
dan jika pun ada hanya sekedar penggunaan password saja. Tetapi
seiring dengan perkembangan sistem informasi, meningkatnya
sistem jaringan dan semakin banyak input dan output device maka
pengendalian batasan dianggap sangat penting. Apalagi dengan
muncul e-business dan e-commerce meningkatkan kebutuhan untuk
mengidentifikasi user dan menjamin transaksi-transaksi yang terjadi
berjalan dengan aman dan terkontrol. Oleh karena itu, terdapat
beberapa pengendalian yang sedang berkembang saat ini, mulai
banyak diimplementasikan seperti:
1. Cryptographic Control adalah pengendalian yang didesain untuk
menjaga privasi untuk menghindari akses yang tidak berwenang
seperti tindakan mengubah, menambah, atau bahkan menghapus
data-data tertentu dengan cara mengubah password atau
identitas user lainnya menjadi kode-kode tertentu. Beberapa
teknik cryptographic yang digunakan adalah:
1) Transposition Ciphers
2) Substitution Ciphers
3) Product Ciphers
2. Access Control adalah pengendalian yang didesain untuk
membatasi penggunaan sumber daya sistem komputer,
membatasi dan memastikan user untuk mendapatkan sumber
daya yang mereka butuhkan. Langkah-langkah umum untuk
menunjang fungsi tersebut, yaitu :
40
1. Mengesahkan user yang telah mengidentifikasikan dirinya
ke sistem,
2. Mengesahkan sumber daya yang diminta oleh user, serta
3. Membatasi aktivitas yang dilakukan oleh user terhadap
sistem.
Fungsi mekanisme pengendalian akses
Mekanisme pengendalian akses memproses permintaan user
melalui tiga tahap, yaitu :
1) User mengidentifikasikan dirinya, untuk
mengidentifikasikan bahwa user sungguh-sungguh
melakukan permintaan terhadap sistem.
2) User mengautensifikasikan dirinya, begitu juga dengan
mekanisme. Terdapat dua cara proses autensifikasi yaitu:
mekanisme harus yakin terhadap user dan user pun
harus yakin terhadap mekanisme.
3) User memerlukan sumber daya khusus dan tindakan
khusus agar mereka dapat menggunakan sumber daya
tersebut.
Komponen dalam pengendalian boundary, terdiri dari:
(1) Identifikasi dan Otentifikasi
User mengidentifikasikan dirinya pada
mekanisme pengendalian akses dengan memberi
informasi seperti nama atau nomor rekening. Informasi
tersebut memungkinkan mekanisme untuk menentukan
41
bahwa data yang masuk sesuai dengan informasi pada
file otentifikasi. Terdapat tiga bagian yang dapat diisi
oleh user untuk informasi otentikasi, yaitu:
PEMBAGIAN
INFORMASI
CONTOH
Informasi yang mudah
diingat
Nama, tanggal lahir, account number,
password, PIN.
Benda-benda yang
dimiliki
Badge, plastic card, kunci, cincin.
Karakteristik pribadi Sidik jari, suara, ukuran tangan, tanda
tangan, pola retina.
Setiap bagian memiliki kelemahan masing-masing.
Permasalahan pada bagian informasi yang mudah diingat user adalah
lupa, akibatnya kebanyakan user memilih informasi yang mudah
ditebak atau mencatatnya di suatu tempat yang kurang aman.
Beberapa masalah sehubungan dengan password dapat dilihat
pada tabel 2.1 di bawah ini :
1. Untuk mengingat password, biasanya user mencatatnya di dekat
komputer;
2. User memilih password yang mudah untuk ditebak, seperti nama
keluarga atau bulan kelahiran;
3. User tidak mengganti password pada jangka waktu yang lama;
4. User kurang menyadari pentingnya password;
5. User memberitahu passwordnya kepada teman atau teman
kerjanya;
42
6. Beberapa mekanisme pengendalian akses meminta user untuk
mengingat beberapa password;
7. Beberapa mekanisme pengendalian akses tidak menyimpan
password dengan menggunakan enkripsi;
8. Password tidak diganti ketika user keluar dari organisasi;
9. Password ditransmisikan melalui jalur komunikasi dalam bentuk
clear text.
Tabel 2.1 Permasalahan pada Password
Sumber : Weber (1999,p391)
Prinsip mengatur password dengan baik dapat dilihat pada tabel
2.2 di bawah ini :
1. Jumlah password yang ada seharusnya dapat diterima oleh
mekanisme pengendalian akses;
2. Mekanisme pengendalian akses tidak menyetujui apabila
panjang password kurang dari minimum;
3. Mekanisme pengendalian akses tidak memperbolehkan user
menggunakan password yang kata-katanya mudah dicari di
kamus;
4. User diharuskan mengganti password secara periodik;
5. Password harus dienkripsi ketika akan disimpan atau
ditransmisikan;
6. User harus diberi penjelasan mengenai pentingnya keamanan
password, prosedur yang dapat digunakan untuk memilih
password yang aman, dan prosedur untuk menjaga keamanan
password;
7. Password harus segera diganti, apabila terdapat indikasi bahwa
43
password telah dikompromikan;
8. Mekanisme pengendalian akses membatasi user untuk
memasukkan password yang salah.
Tabel 2.2 Prinsip-prinsip Mengatur Password
Sumber : Weber (1999, p382)
Contoh identifikasi dan otentifikasi yang dapat dilakukan oleh
user ktika mengakses sistem diantaranya, yaitu :
a. Personal Identification Numbers (PIN)
PIN adalah suatu informasi yang mudah diingat dan
digunakan untuk mengotentikasi user pada sistem transfer data
elektronik.
b. Plastic Card
Plastic card dimaksudkan untuk mengidentifikasikan setiap
individu yang akan menggunakan sistem komputer.
c. Password
Password adalah sekelompok karakter yang kita berikan
untuk memverifikasi bahwa yang mengakses sistem komputer
adalah kita sendiri.
(2) Sumber Daya Objek
Sumber daya yang digunakan oleh user untuk bekerja pada
lingkungan sistem informasi berbasiskan komputer dapat dibagi
menjadi empat yaitu :
44
Klasifikasi Sumber Daya Contoh
Hardware Terminal, printer, prosesor,
disk, jalur komunikasi
Software Program sistem aplikasi,
generalisasi software sistem
Komoditi Kecepatan prosesor, tempat
penyimpanan
Data File, grup, data item ( termasuk
gambar dan suara)
Setiap sumber daya harus diberi nama karena secara
umum mekanisme pengendalian akses harus menyesuaikannya
dengan permintaan user.
(3) Action Privileges (Hak Istimewa)
Action Privileges diberikan kepada user berdasarkan pada
tingkatan kewenangan user dan jenis sumber daya yang akan
digunakan.
2. Pengendalian Masukan (Input Controls)
Menurut Weber (1999, pp420-450), komponen pada
subsistem input bertanggung jawab dalam mengirimkan data dan
instruksi ke dalam sistem aplikasi dimana kedua tipe atribut
haruslah divalidasi, selain itu banyaknya kesalahan yang terdeteksi
harus dikontrol sehingga input yang dihasilkan akurat, lengkap,
unik dan tepat waktu.
Pengendalian input merupakan hal yang kritis karena
didasarkan pada tiga alasan, yaitu :
45
a) Pada sistem informasi, kontrol yang besar jumlahnya adalah
pada subsistem input, sehingga auditor harus memberikan
perhatian yang lebih kepada kehandalan kontrol input yang ada.
b) Kegiatan subsistem input melibatkan jumlah kegiatan yang
besar dan rutin serta merupakan kegiatan yang monoton
sehingga dapat menyebabkan terjadinya kesalahan.
c) Subsistem input seringkali merupakan target dari fraud, banyak
kegiatan yang tidak seharusnya dilakukan seperti penambahan,
penghapusan dan lain-lain.
Komponen pengendalian input ada delapan, yaitu mencakup:
1. Metode Data Input
2. Perancangan Dokumen Sumber
Menurut sudut pandang pengendalian, perancangan
dokumen sumber yang baik adalah memiliki beberapa tujuan,
yaitu :
a. Mengurangi kemungkinan perekaman data yang error.
b. Meningkatkan kecepatan perekaman data.
c. Mengendalikan alur kerja.
d. Memfasilitasi pemasukan data ke dalam sistem komputer.
State/EventPerekam
Media
Keyboarding
DirectReading
Direct Entry
PC
Point of sales device,ATM, Image Reader
Touch screen,Joystick / voice / video
46
e. Dapat meningkatkan kecepatan dan keakuratan pembacaan
data.
f. Memfasilitasi pengecekan referensi berikutnya.
Auditor harus memahami prinsip dalam merancang
dokumen sumber yang baik. Perancangan dokumen sumber
dinilai setelah melakukan analisis, dimana analisis dokumen
sumber menentukan data apa yang akan diambil, bagaimana
data dipersiapkan dan dimasukkan ke dalam sistem komputer,
juga penanganan, penyimpanan, dan pengarsipan dokumen.
Adapun dasar-dasar yang perlu diperhatikan untuk penilaian
perancangan dokumen sumber yang baik adalah :
a. Karakteristik media kertas yang digunakan untuk dokumen
sumber, meliputi seleksi panjang dan lebar kertas, serta
kualitas kertas.
b. Tampilan dan style yang digunakan sebagai dokumen
sumber.
Secara garis besar, hal penting dalam perancangan dokumen
sumber terdiri dari :
(a) Penggunaan preprinted.
(b) Harus ada nama dokumen sumber, headernya, notes, dan
instruksi yang jelas.
(c) Penggunaan teknik untuk perhatian dan perbedaan-
perbedaan yang penting.
47
(d) Rancanglah sedemikian rupa sehingga field mudah untuk
digunakan.
(e) Gunakan pendekatan yang mudah untuk merekam data
seperti gunakan kolom-kolom tertentu, contoh kolom
tanggal diminta untuk diisi dengan dd,mm,yy.
(f) Jika memungkinkan sediakan pertanyaan yang hanya perlu
dijawab dengan jawaban yang sudah disediakan.
(g) Gunakan check point atau indikator harga untuk
mengurangi kemungkinan terjadinya kesalahan ukuran,
misalnya ukuran S, M, L sudah disediakan dan hanya
perlu di check mark tidak perlu ditulis.
(h) Gabungkan instruksi dengan pertanyaan.
(i) Berilah jarak yang cukup pada dokumen sumber.
(j) Rancanglah agar mudah untuk diketik (keying).
(k) Dokumen sumber harus prenumber.
(l) Sesuaikan dengan standar perusahaan.
3. Perancangan Layar Data Entry
Jika data yang dikeying masuk ke sistem melalui terminal,
rancangan layar dengan kualitas tinggi sangat penting untuk
meminimumkan error input dan mencapai keefektifan dan
keefesienan subsistem input. Auditor harus mampu memeriksa
layanan data entry pada sistem aplikasi dan memberikan
penilaian terhadap frekuensi error input yang kemungkinan
dibuat dan perluasan perancangan layar yang meningkatkan atau
48
mengurangi keefektifan dan keefesienan. Penilaian ini akan
mempengaruhi cara memutuskan untuk mengadakan audit yang
masih tersisa.
Macam-macam bagian dalam perancangan layar data
entry, diantaranya :
(1) Mengelola Tampilan
Layar seharusnya diorganisasikan dengan rapi dan
simetris. Elemen data seharusnya dikelompokkan ke dalam
grup-grup berdasarkan fungsinya, bentuk kotak dapat
digunakan untuk highlight grup data tertentu. Semua
informasi yang diperlukan untuk membuat tugas data entry
di komputer menjadi mudah harus tampil pada layar.
Penataan data yang akan direkam harus dapat dilakukan
pada tampilan layar sebaik mungkin agar proses data entry
dapat dilakukan dengan cepat dan terstruktur sehingga
mengurangi kemungkinan kesalahan entry.
(2) Perancangan Judul Halaman
Judul halaman mengidentifikasikan sifat data yang
dimasukan ke dalam field pada layar. Yang perlu
dipertimbangkan dalam perancangan meliputi struktur,
ukuran jenis huruf, intensitas tampilan, format, jarak baris
dan spasi.
Faktor utama yang mempengaruhi perancangan judul
halaman, yaitu :
49
Memilih apakah screen digunakan untuk direct-entry
input data atau output data yang siap diambil dari
dokumen sumber.
Judul halaman harus lengkap dieja.
Jika layar digunakan untuk direct entry data maka
layar memberikan petunjuk selama proses data
capture.
Maksud dari judul halaman tidak boleh ambigu.
Jika data yang dimasukkan berdasarkan dokumen
sumber, judul halaman dapat disingkat.
Judul halaman dapat dibedakan dengan jelas dari
asosiasi field data entry.
Memiliki intensitas tampilan yang lebih tinggi
daripada data yang dimasukkan oleh User.
Secara alternatif, judul halaman dan judul field dapat
ditampilkan dengan perbedaan warna.
Judul halaman harus selalu mendahului asosiasi field
data entry kecuali saat field data entry banyak
berhubungan dengan halaman yang sama.
(3) Perancangan Field Data-Entry
(a) field data entry harus mengikuti asosiasi field data
entry judul halaman pada baris yang sama atau jika
field berulang-ulang, beberapa baris di bawah judul
halaman.
50
(b) Ukuran field seharusnya diindikasikan dengan
penggunaan karakater underscore atau karakater
lainnya.
(c) Jika masing-masing karakter baru dimasukkan ke
dalam field maka karakter yang ada diganti.
(d) Secara alternatif ukuran field dapat diindikasikan
dengan penggunaan sebuah lined box filled dengan
warna atau background yang kontras.
(e) Adanya bantuan penyelesaian untuk mengurangi
keying error.
(f) Radio buttons dan check boxes hanya digunakan saat
satu atau sedikit pilihan yang ada, list boxes untuk
daftar pilihan yang panjang, dan spin boxes digunakan
untuk siklus terhadap batasan pilihan dengan jumlah
terbatas.
(4) Tabbing dan Skipping
Skipping otomatis untuk field baru seharusnya
dihindari dalam perancangan layar data entry, karena dua
alasan, yaitu pertama, ciri dari skip otomatis, yakni operator
keyboard membuat kesalahan ukuran field yang tidak
terdeteksi karena kursor dengan mudah melompat ke field
baru dan yang kedua, dalam banyak field data entry sering
tidak diisi, sehingga operator keyboard masih harus tab ke
51
field berikutnya. Meskipun tab membutuhkan key-stroke
tambahan tetapi rhythm pada operator keying dipelihara.
(5) Warna
Pemilihan warna yang baik akan membuat proses data
entry dapat dilakukan dengan cepat, tepat dan tidak
membuat operator cepat lelah. Penggunaan warna yang
sangat terang akan membuat operator cepat lelah dan akan
menimbulkan kemungkinan kesalahan entry menjadi lebih
besar, penggunaan warna-warna yang soft seperti biru, hijau
akan membuat proses entry data menjadi cepat.
(6) Waktu Respon
Waktu respon merupakan interval yang berlalu antara
pemasukan item data dan indikasi sistem yang siap
menerima item data baru. Pada transaksi, waktu respon
seharusnya cepat tanggap kira-kira 2 sampai 4 detik. Waktu
respon yang cepat dibutuhkan jika data dikey dari dokumen
sumber.
(7) Tingkat Tampilan
Tingkat tampilan adalah kecepatan karakter atau image
yang tampak pada layar yang berfungsi sebagai indikasi
kecepatan komunikasi data antara terminal dengan komputer
(bound rate).
52
(8) Fasilitas Prompting dan Help
Fasilitas prompting menyediakan petunjuk atau
informasi tentang aksi user yang seharusnya digunakan saat
mereka menggunakan layar data entry saat itu juga. Sebuah
prompt sering menggunakan bentuk pop-up window yang
memuat pesan instruksional yang muncul secara otomatis
saat user memindahkan cursor ke field khusus. Petunjuk
informasi yang disediakan harus singkat dan mudah
dipahami. Fasilitas help menyediakan petunjuk atau
informasi yang dicari tentang aksi user yang seharusnya
digunakan saat mereka bekerja dengan layar data entry.
Fasilitas prompting dan help berguna saat memasukkan data
tidak berdasarkan dokumen sumber yang ditujukan serta
berguna untuk user baru atau user yang jarang melakukan
tugas memasukkan data.
4. Pengendalian Kode Data
Tujuan kode data yang unik yaitu untuk
mengidentifikasikan entitas sebagai anggota dalam suatu grup
atau set, dan lebih rapi dalam menyusun informasi yang dapat
mempengaruhi tujuan integritas data, keefektifan serta
keefisienan.
1) Kesalahan dalam pengkodean data
Ada lima jenis kesalahan dalam pengkodean data, yaitu :
53
a. Addition (penambahan), sebuah karakter ditambahkan
pada kode, contoh 87942 ditulis 879142.
b. Truncation (penghilangan), sebuah karakter dihilangkan
pada kode, contoh 87942 ditulis 8792.
c. Transcription (kesalahan catat), kesalahan pencatatan
karakter, contoh 87942 ditulis 81942.
d. Transposition (perubahan), karakter dicatat terbalik,
contoh 87942 ditulis 78942.
e. Double Transpositon, karakter ditulis terbalik satu atau
lebih, contoh 87942 ditulis 84972.
Lima faktor yang mempengaruhi terjadinya kesalahan dalam
pengkodean adalah :
a. Panjang kode yang cenderung menyebabkan kesalahan.
b. Gabungan alfabet dengan numerik.
c. Pilihan karakter.
d. Gabungan huruf besar dengan huruf kecil.
e. Kemampuan prediksi dari karakter berurutan.
(2) Jenis sistem pengkodean
Kode spesifik dipilih dalam konteks sistem pengkodean.
Dalam teori, sistem pengkodean mencapai lima tujuan,
yaitu:
a. Fleksibilitas, suatu kode seharusnya menginginkan
tambahan item atau kategori baru dengan mudah.
54
b. Keberartian, jika mungkin kode seharusnya
mengidentifikasikan nilai atribut dari entitas.
c. Kepadatan, suatu kode seharusnya menyampaikan
informasi maksimal yang disampaikan dengan jumlah
karakter yang minimum.
d. Kesesuaian, suatu kode seharusnya mudah encode,
decode, dan key.
e. Kemampuan, jika mungkin suatu kode dapat diadaptasi
dengan perubahan syarat-syarat berkembang user.
5. Cek Digit
Cek digit digunakan sebagai peralatan untuk mendeteksi
kesalahan dalam banyak aplikasi, sebagai contoh : tiket pesawat,
proses kartu kredit, proses rekening bank, proses pengumpulan
item bank dan proses lisensi mengemudi.
6. Pengendalian Batch
Batching merupakan proses pengelompokkan transaksi
bersama-sama yang menghasilkan beberapa jenis hubungan
antara yang satu dengan lainnya. Pengendalian yang bermacam-
macam dapat digunakan pada batch untuk mencegah atau
mendeteksi error atau kesalahan. Ada dua jenis batch yang
digunakan yaitu batch fisik dan batch logis. Physical batches
merupakan grup transaksi yang menjalankan unit fisik. Logical
batches merupakan grup transaksi yang dikelompokkan bersama
berdasarkan logis.
55
7. Validasi Input Data
Jenis pengecekan validasi input data, diantaranya :
1. Field Checks
Test validasi dapat diaplikasikan pada field yang tidak
bergantung pada field lainnya dalam laporan input.
2. Record Checks
Test validasi dapat diaplikasikan ke field berdasarkan
hubungan timbal balik yang logis dari suatu field dengan
field lainnya dalam laporan.
3. Batch Checks
Test validasi memeriksa apakah katrakteristik laporan
batch yang dimasukkan sama dengan rumusan karakteristik
batch.
4. File Checks
Test validasi menguji apakah karakteristik penggunaan
file selama pemasukkan data sama dengan rumusan
karakteristik file.
8. Instruksi Input
Dalam memasukkan instruksi ke dalam sistem informasi sering
terjadi kesalahan karena adanya instruksi yang bermacam–macam
dan kompleks. Karena itu perlu menampilkan pesan kesalahan.
Pesan kesalahan yang ditampilkan harus dikomunikasikan pada
user dengan lengkap dan jelas.
56
Ada enam cara untuk memasukkan instruksi ke dalam sistem
informasi:
1. Menu Driven Languages
Cara yang paling sederhana untuk user dalam menyediakan
instruksi ke dalam sistem aplikasi adalah melalui sebuah menu.
Sistem tersebut memfasilitasi user dengan suatu daftar pilihan
dan user dapat menentukan pilihan dalam beberapa cara, yaitu
dengan mengetik angka atau huruf, memposisikan kursor
kemudian menekan tombol enter atau dengan mengklik mouse,
menggunakan light pen atau touch screen.
2. Question–Answer Dialog
Digunakan untuk menghasilkan input data. Sistem aplikasi
memberikan pertanyaan tentang item data dan user
meresponnya. Question-answer dialog juga dapat digunakan
untuk menghasilkan instruksi input bersama dengan data input.
3. Command Languages
Memerlukan user untuk memberikan perintah tertentu dengan
meminta beberapa proses dan sekumpulan argumen yang secara
spesifik memberitahukan bagaimana proses tersebut harusnya
dijalankan.
4. Form-Based Languages
Memerlukan user untuk memberikan perintah dan data tertentu
yang terdapat dalam konteks beberapa format keluaran atau
masukan.
57
5. Natural Languages
Mengijinkan user untuk memberikan instruksi kepada sistem
aplikasi melalui recognition device.
6. Driver Manipulation Language
User memberikan instruksi pada sistem aplikasi melalui
manipulasi langsung pada objek layar.
3. Pengendalian Proses (Process Controls)
Menurut Weber (1999), process controls melindungi,
mendeteksi dan mengoreksi error dari data yang diterima dari
subsistem input atau subsistem komunikasi untuk dikirim kepada
subsistem database, communication dan output.
4. Pengendalian Keluaran (Output Controls)
Menurut Weber (1999), output controls dilakukan untuk
melindungi isi dari data yang akan disampaikan kepada pemakai
baik itu secara hardcopy maupun softcopy.
Kontrol terhadap batch output dilakukan dengan tujuan untuk
memastikan bahwa laporan tersebut akurat, lengkap dan tepat waktu
yang hanya dikirim atau diserahkan kepada pemakai yang berhak.
Batch output control terdiri dari :
1) Stationery supplies storage controls
Merupakan pengendalian yang berkaitan dengan pembuatan,
penggunaan dan penyimpanan persediaan stationery, seperti
form dan kertas untuk mencetak bukti.
58
2) Report program execution controls
Merupakan pengendalian yang berkaitan dengan pelaksanaan
persyaratan dan batasan-batasan dalam pencetakan laporan.
3) Printer file controls
Merupakan pengendalian yang berkaitan dengan pengaturan lalu
lintas proses pencetakan laporan jika terdapat cukup banyak
pengguna yang menggunakan sebuah printer untuk mencetak
laporan secara bersama-sama.
4) Printing controls
Merupakan pengendalian yang bertujuan untuk memastikan
laporan dicetak pada printer yang benar, mencegah pihak lain
mengambil data yang tercetak pada laporan, dan memastikan
pengendalian yang sesuai telah dijalankan terhadap pencetakan
form.
5) Report collection controls
Merupakan pengendalian yang mengatur pengamanan laporan
yang masih belum sampai ke tangan penerima.
6) User/client services review coontrols
Merupakan pengendalian yang mengatur pemeriksaan output
dari kesalahan yang mungkin timbul, sebelum akhirnya
didistribusikan kepada user.
59
7) Report distribution controls
Merupakan pengendalian yang mengatur pendistribusian
laporan sehingga dapat sampai kepada penerima secara aman
dan benar.
8) User output controls
Pengendalian ini dilakukan oleh user untuk mendeteksi
kesalahan pada output dan mempunyai pelaksanaan yang
hampir sama dengan user/client services review controls.
9) Storage controls
Merupakan pengendalian yang bertujuan untuk memastikan
bahwa output tersimpan pada lingkungan yang baik dan aman
sehingga dapat memaksimalkan umur output yang disimpan.
10) Retention controls
Merupakan pengendalian mengenai jangka waktu berapa lama
setiap tipe output dapat disimpan sampai akhirnya output
tersebut akan dihancurkan.
11) Destruction controls
Merupakan pengendalian mengenai proses penghancuran atau
pemusnahan output yang sudah melebihi jangka waktu retention
masing-masing.
5. Pengendalian Basis Data (Database Controls)
Menurut Gondodiyoto & Hendarti (2006) pengendalian ini
bertujuan menjaga database dalam sistem komputer diakses oleh
pihak yang tidak berwenang. Misalnya menghindari tindakan user
60
tertentu yang melakukan pengubahan, penambahan, ataupun
penghapusan database yang berisikan informasi-informasi penting
organisasi.
6. Pengendalian Komunikasi (Communication Controls)
Menurut Weber (1999), pengendalian komunikasi digunakan
untuk mengendalikan pendistribusian pembukaan komunikasi
subsistem, komponen fisik, kesalahan jalur komunikasi, aliran dan
hubungan, pengendalian topologi, pengendalian arsitektur
komunikasi serta pengendalian internetworking.
2.3 Audit Sistem Informasi
2.3.1 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p10), audit sistem informasi adalah proses
pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem
komputer dapat melindungi aset kekayaan, memelihara integritas data,
memungkinkan tujuan organisasi untuk dicapai secara efektif dan
menggunakan sumber daya yang efesien. Menurut Gondodiyoto &
Hendarti (2006, p384), mengemukakan bahwa audit sistem informasi
adalah suatu evaluasi untuk mengetahui tingkat kesesuian antara sistem
informasi dengan prosedur yang telah ditetapkan (atau kebutuhan
pengguna, user needs) dan untuk mengetahui apakah suatu sistem
informasi telah didesain dan diimplementasikan secara efektif, efisien,
dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin
integritas data yang memadai.
61
Jadi, dapat disimpulkan pengertian audit sistem informasi adalah
proses pengumpulan dan pengevaluasian bukti oleh orang yang kompeten
dan independent untuk menentukan apakah sistem yang dijalankan sesuai
dengan kriteria yang ditentukan.
2.3.2 Tujuan Audit Sistem Informasi
Tujuan audit sistem informasi menurut Weber (1999, p11), dapat
disimpulkan bahwa secara garis besar dapat terbagi menjadi empat antara
lain: (1) meningkatkan keamanan aset-aset perusahaan, (2) meningkatkan
integritas data, (3) meningkatkan efektifitas sistem, (4) meningkatkan
efesiensi. Sedangkan menurut ISACA (dalam Gondodiyoto, 2006, p400),
bahwa audit objectives dalam audit terhadap IT Governance adalah
“effectiveness, confidentiality, data integrity, availability, efficiency, dan
realibility”.
Sehingga dapat disimpulkan tujuan audit sistem informasi adalah
untuk menjaga dan meningkatkan keamanan aset-aset perusahaan serta
meningkatkan kehandalan, efektifitas, dan efesiensi sistem.
2.3.3 Bukti-bukti Audit
2.3.3.1 Pengertian Bukti Audit
Menurut Gondodiyoto & Hendarti (2006, p440), bukti
audit ialah data utama (substansi), data pendukung dan semua
informasi penguat (informasi lain) yang tersedia bagi auditor
dari kegiatan pemeriksaannya yang dapat dipakai sebagai dasar
62
yang layak untuk menyatakan opini atau memberikan
rekomendasinya.
2.3.3.2 Jenis-jenis Bukti Audit
Bukti audit dapat dikategorikan dalam beberapa cara,
antara lain:
1. Bukti Langsung dan Bukti Tidak Langsung
Bukti langsung adalah bukti audit bersifat fakta atau
dokumen sah yang langsung terkait dengan kegiatan
pemeriksaan, sedangkan bukti tidak langsung ialah bukti
yang harus disimpulkan sendiri oleh auditor berdasarkan
bahan bukti tertentu.
2. Bukti Utama (primer) dan Bukti Sekunder
Bukti utama adalah bukti audit bersifat fakta atau
dokumen sah yang terkait dengan timbulnya suatu
keterjadian atau transaksi, sedangkan bukti sekunder
adalah bentuk copy dari dokumen asli.
3. Fakta/bukti hasil analisis
Fakta/bukti hasil analisis adalah kesimpulan auditor
berdasarkan bukti audit yang berasal dari hasil pemikiran
dengan kenyataan atau fakta yang relevant.
4. Record/testimonial evidence
Record evidence adalah bukti audit yang berwujud
dokumentasi atau catatan, sedangkan testimonial evidence
63
adalah informasi yang diperoleh dari pihak atau orang-
orang tertentu dalam bentuk tertulis atau tulisan yang
dapat diperoleh dengan beberapa cara yaitu: wawancara,
surat atau konfirmasi dari pihak lain, bukti audit dari
pengamatan auditor (observation evidence), bukti audit
dari hasil analisis auditor (analitical evidence).
2.3.3.3 Kualitas Bukti Audit
Mutu atau kualitas bukti audit merupakan ukuran dapat
atau tidaknya suatu bukti digunakan sebagai bahan untuk
menarik kesimpulan guna pernyataan pendapat atau
rekomendasi oleh auditor. Adapun bebarapa faktor yang
menentukan kualitas bukti auditor adalah:
1. Relevansi (relevancy), bukti audit yang relevan berarti
bukti tersebut terkait dengan tujuan audit.
2. Kompetensi bukti audit (Competency) sangat dipengaruhi
oleh sumber bukti audit dan sah atau tidaknya bukti audit.
3. Kecukupan atau kelengkapan bukti, pengukuran dan
kecukupan bukti bersifat subjektif berdasarkan auditor
masing-masing.
4. Tepat waktu (timeliness), menunjukkan bukti-bukti
tersebut dikumpulkan sesuai dengan periode yang dicakup
audit.
64
2.3.4 Standar Audit Sistem Informasi
Standar Audit Sistem Informasi menurut ISACA:
S1 Audit Charter
1. Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari
fungsi audit sistem informasi atau penilaian audit sistem
informasi harus didokumentasikan dengan pantas dalam
sebuah audit charter atau perjanjian tertulis.
2. Audit charter atau perjanjian tertulis harus mendapat
persetujuan dan pengabsahan pada tingkatan yang tepat
dalam organisasi.
S2 Independence
3. Professional Independence
Dalam semua permasalahan yang berhubungan dengan
audit, auditor sistem informasi harus independen terhadap
auditee baik dalam sikap maupun penampilan.
4. Organisational Independence
Fungsi audit sistem informasi harus independen terhadap
area atau aktivitas yang sedang diperiksa agar tujuan
penilaian audit terselesaikan.
S3 Professional Ethics and Standards
5. Auditor sistem informasi harus tunduk pada kode etika
profesi dari ISACA dalam melakukan tugas audit.
65
6. Auditor sistem informasi harus patuh pada
penyelenggarakan profesi, termasuk observasi terhadap
standar audit profesional yang dipakai dalam melakukan
tugas audit.
S4 Professional Competence
7. Auditor sistem informasi harus seorang profesional yang
kompeten, memiliki keterampilan dan pengetahuan untuk
melakukan tugas audit.
8. Auditor sistem informasi harus mempertahankan
kompentensi profesionalnya secara terus menerus dengan
melanjutkan edukasi dan training.
S5 Planning
9. Auditor sistem informasi harus merencanakan peliputan
audit sistem informasi sampai pada tujuan audit dan tunduk
pada standar audit profesional dan hukum yang berlaku.
10. Audit sistem informasi harus membangun dan
mendokumentasikan resiko yang didasarkan pada
pendekatan audit.
S6 Performance of Audit Work
11. Pengawasan – staff audit sistem informasi harus diawasi
untuk memberikan keyakinan yang masuk akal bahwa
66
tujuan audit telah sesuai dan standar audit profesional yang
ada.
12. Bukti – Selama berjalannya audit, auditor sistem informasi
harus mendapatkan bukti yang cukup, layak dan relevan
untuk mencapai tujuan audit. Temuan audit dan kesimpulan
didukung oleh analisis yang tepat dan interprestasi terhadap
bukti-bukti yang ada.
13. Dokumentasi – Proses audit harus didokumentasikan,
mencakup pelaksanaan kerja audit dan bukti audit untuk
mendukung temuan dan kesimpulan auditor sistem
informasi.
S7 Reporting
14. Auditor sistem informasi harus menyajikan laporan, dalam
pola yang tepat, atas penyelesaian audit.
15. Laporan audit harus berisikan ruang lingkup, tujuan, periode
peliputan, waktu dan tingkatan kerja audit yang
dilaksanakan.
16. Laporan audit harus berisikan temuan, kesimpulan dan
rekomendasi serta berbagai pesan, kualifikasi atau batasan
dalam ruang lingkup bahwa auditor sistem informasi
bertanggung jawab terhadap audit.
17. Auditor sistem informasi harus memiliki bukti yang cukup
dan tepat untuk mendukung hasil pelaporan.
67
S10 IT Governance
18. Auditor sistem informasi harus meninjau dan menilai
apakah fungsi sistem informasi sesuai dengan misi
organisasi, visi, nilai, objektif dan strategi.
19. Auditor sistem informasi harus meninjau apakah fungsi
sistem infomasi mempunyai pernyataan yang jelas mengenai
kinerja yang diharapkan dari bisnis (efektif dan efisiensi)
dan menilai pencapaiaan yang diperoleh.
20. Auditor sistem informasi harus meninjau dan menilai
efektivitas dari sumber sistem informasi dan kinerja proses
manajemen.
21. Auditor sistem informasi harus meninjau dan menilai
pelaksanaan yang legal/sah, lingkungan dan kualitas
informasi dan fiduciary dan persyaratan keamanan.
22. Pendekatan secara resiko harus digunakan oleh auditor
sistem informasi untuk menilai fungsi sistem informasi.
23. Auditor sistem informasi harus meninjau dan menilai
control environment dari organisasi.
24. Auditor sistem informasi harus meninjau dan menilai resiko
yang mungkin merugikan pengaruh dari lingkungan sistem
informasi.
68
S11 Use of Risk Assessment in Audit Planning
25. Auditor sistem informasi harus menggunakan teknik
penilaian resiko yang tepat atau pendekatan dalam
mengembangkan perencanaan audit sistem informasi secara
keseluruhan dan dalam prioritas determinasi untuk alokasi
yang efektif dari sumber audit sistem informasi.
26. Ketika planning individual reviews, auditor sistem informasi
harus mengidentifikasi dan menilai resiko yang berkaitan
dengan area yang ditinjau.
S14 Audit Evidence
27. Auditor sistem informasi harus memperoleh bukti audit
yang cukup dan tepat untuk menarik kesimpulan yang
masuk akal berdasarkan hasil audit.
28. Auditor sistem informasi harus memeriksa kecukupan bukti
audit yang diperoleh selama audit.
http://www.isaca.org
2.3.5 Prosedur Audit Sistem Informasi
Ketika auditor eksternal mengumpulkan bukti-bukti untuk
menentukan apakah terdapat kehilangan materi atau informasi finansial
material yang salah dicatat, terdapat lima tipe prosedur dalam audit
(Weber, 1999, p46-47), yaitu :
69
1. Prosedur untuk mendapatkan pengertian dari pengendalian
(procedure to obtain an understanding of control) : pencarian,
inspeksi, dan observasi yang dapat digunakan untuk memperoleh
pengertian dari pengendalian yang ada, seberapa baik desainnya, dan
apakah pengendalian tersebut sudah dipakai dalam operasi.
2. Uji coba pengendalian (test of controls) : pencarian, observasi, dan
reperformance dari prosedur pengendalian dapat digunakan untuk
mengevaluasi apakah pengendalian telah berfungsi dengan baik.
3. Uji coba substantif pada detil transaksi (substantive tests of details of
transactions) : uji coba ini dirancang untuk mendeteksi kesalahan
jumlah atau kejanggalan pada transaksi yang dapat mempengaruhi
laporan keuangan.
4. Uji coba substantif pada detil saldo akun (substantive tests of details
of account balances): uji coba ini berfokus pada saldo akhir buku
besar pada neraca saldo dan laporan rugi laba.
5. Prosedur review analitis (analytical review procedure) : uji coba ini
berfokus pada hubungan di antara data dengan tujuan dari area yang
membutuhkan audit tambahan.
Selain itu juga terdapat langkah-langkah dalam audit (Weber,
1999, p47-55), yaitu :
1. Perencanaan audit (audit planning)
Perencanaan merupakan langkah pertama dari audit. Hal ini
mencakup memeriksa klien baru dan lama untuk menentukan apakah
70
pelaksanaan audit dapat diterima, menugaskan staf yang sesuai untuk
audit, mendapatkan surat pelaksanaan, mengetahui informasi tentang
latar belakang klien, mengetahui kewajiban legal klien, dan
melaksanakan prosedur review analisis untuk memahami bisnis klien
secara lebih baik dan mengidentifikasi area resiko dalam audit.
2. Pengujian pengendalian (test of control)
Uji coba ini dilakukan untuk melakukan penyelidikan, inspeksi,
dan observasi dari prosedur-prosedur kontrol untuk mengevaluasi
apakah sistem telah memiliki kontrol yang baik.
3. Pengujian substantif
a. Pengujian transaksi
Auditor menggunakan pengujian transaksi untuk mengevaluasi
apakah kesalahan dalam pemrosesan transaksi telah
mengakibatkan kesalahan yang material dalam pencatatan
informasi keuangan.
b. Pengujian saldo/keseluruhan hasil
Pengujian ini dilakuan untuk mendapatkan bukti-bukti yang
cukup untuk membuat keputusan akhir mengenai kehilangan atau
kesalahan pencatatan akun yang timbul ketika sistem informsi
gagal untuk menjaga aset, menjaga integritas data serta mencapai
efektifitas dan efisiensi sistem.
4. Penyelesaian audit (completion of the audit)
Membuat kesimpulan dan rekomendasi untuk dikomunikasikan
pada manajemen.
71
2.3.6 Audit Trail
Menurut Bodnar dan Hopwood (2001, p196), istilah audit trail
bermula dengan konsep dari seorang auditor eksternal yang bertanya
untuk mengekspresikan sebuah opini pada pernyataan laporan keuangan
dalam sebuah organisasi. Audit trail akan muncul jika sebuah total
keuangan yang ada didalam sebuah akun general ledger dapat didukung
oleh bukti yang terkait dengan semua transaksi dimana terdiri dari total
dan sebaliknya. Jika sebuah audit trail muncul, auditor dapat yakin bahwa
sistem informasi akuntasi dan pernyataan yang berhubungan dapat
dipercaya, dimana sistem dan output-nya akurat.
Didalam sistem informasi, istilah audit trail (Gondodiyoto &
Hendarti, 2006, p331) ialah catatan-catatan atau data tertentu yang
disimpan di dalam sistem komputer dengan tujuan apabila dikemudian
hari bermasalah, maka catataan/data itu dapat digunakan untuk
pelacakan. Audit trail mencakup data antara lain : identitas user,
informasi tentang otentifikasinya, identitas sumber daya yang digunakan,
jenis kegiatan yang dilakukan, apakah bersangkutan mencoba akses
beberapa kali karena gagal (dalam menggunakan ATM, kita diberi
kesempatan tiga kali kesalahan pengisian PIN), dan kapan mulai serta
berakhirnya kegiatan.