9   

BAB 2

LANDAS AN TEORI

2.1 Sistem Informasi Akuntansi

2.1.1 Pengertian Sistem Informasi Akuntansi

Menurut Rama dan Jones (2006,p5), “The accoun ting

information system is a subsystem of an MIS tha t provides accoun ting

and financial information,as well as other information obtained in the

routine processing of accounting transactions”. Sistem informasi

akuntansi adalah bagian dari sistem informasi manajemen yang

menyediakan informasi akuntansi dan keuangan, sebagaimana

informasi lainnya yang terdapat pada proses rutin transaksi akuntansi.

Sistem Informasi Akuntansi menurut Romney dan Steinbart

(2006,p6), “An Accounting Information System (AIS) is a system that

collects,records,stores,and processes data to produce information for

decision makers”. Sistem informasi akuntansi adalah sistem yang

mengumpulkan, mencatat, meny impan dan memproses data untuk

menghasilkan informasi bagi para pengambil keputusan.

Jadi, berdasarkan uraian diatas maka dapat disimpulkan bahwa sistem

informasi akuntansi adalah sistem yang mengumpulkan, mencatat,

menyimpan, dan memproses data yang diperoleh dar i p roses rutin atas

transaksi-transaksi akuntansi menjadi informasi keuangan yang

berguna bagi para pengambil keputusan.

10  

2.1.2 Kegunaan Sistem Informasi Akuntansi

Menurut Rama dan Jones (2006,p6-7), sistem informasi akuntansi

berguna untuk:

1. Menghasilkan laporan eksternal

Perusahaan menggunakan sistem informasi akuntansi untuk

menghasilkan laporan-laporan khusus untuk memuaskan

kebutuhan informasi bagi investor , kreditor, pengumpul

pajak, agen pemerintah, dan lain lain.

2. Mendukung aktivitas rutin

Manajer membutuhkan sistem informasi akuntansi untuk

menangan i aktivitas rutin dalam siklus operasi perusahaan.

3. Mendukung pengambilan keputusan

Informasi juga dibutuhkan dalam pengambilan keputusan yang

tidak rutin oleh seluruh tingkat organ isasi.

4. Perencanaan dan pengendalian

Sistem informasi membutuhkan aktivitas perencanaan dan

pengendalian karena sistem informasi menyimpan informasi

mengenai anggaran dan biaya, dan merancang laporan untuk

membandingkan anggaran tersebut dengan jumlah aktual

biaya yang dikeluarkan.

5. Melaksanakan pengendalian internal

Yang termasuk dalam pengendalian internal adalah peraturan-

peraturan, prosedur-p rosedur, dan sistem informasi digunakan

untuk melindungi aset perusahaan dari kehilangan atau

pencurian dan untuk memelihara data keuangan agar tetap

11  

akurat. Untuk dapat mencapai tujuan-tujuan tersebut,

pengendalian internal dapat dibangun atau dilakukan pada

sistem informasi akuntansi.

2.1.3 Tujuan Sistem Informasi Akuntansi

Menurut Vaassen (2002), “AIS studies the structuring and

operation of planning and control processes which are aimed out at:

(Sistem informasi akuntansi mempelajari struktur dan operasi dari

perencanaan dan p roses pengendalian yang d itujukan pada : )

1. Providing information for decision making and accountability

to internal and external stakeholders that complies with

specified quality criteria.

Yang artinya menyediakan informasi untuk pembuatan

keputusan dan akuntabilitas kepada pemegang saham in ternal

dan eksternal yang memenuhi kr iteria dengan kualitas khusus.

2. Providing the right conditions for sound decision making.

Yang artinya menyediakan kond isi yang tepat dalam

pembuatan keputusan.

3. Ensuring that no assets illegitimately exit the organization.”

Yang artinya meyakinkan bahwa tidak ada asset yang keluar

dari organisasi tanpa ijin.

12  

2.1.4 Transaksi Sistem Informasi Akuntansi

Menurut Jones dan Rama (2006,p4), jenis-jenis transaksi dalam

sistem informasi akuntansi dibagi men jadi tiga (3) yaitu :

1. An aquasition (purchasing) cycle

“the process of purchasing and paying for goods or services”.

Yang artinya siklus aquisision adalah proses pembelian barang

dan service dan pengeluaran kas.

2. A conversion cycle

“the process of transforming aquired into goods and

services”.

Yang artinya siklus konversi adalah suatu proses dalam

mengubah barang setengah jad i men jadi barang jadi.

3. A revenue cycle

“the process of providing goods or services to customers ad

collecting cash”.

Yang artinya siklus penerimaan adalah suatu p roses yang

member ikan barang atau jasa dari penjualan ke konsumen dan

penerimaan kas.

13  

2.1.5 Siklus Transaksi Sistem Informasi Akuntansi

Menurut Jones dan Rama (2006,p19), siklus p roses transaksi sistem

informasi akuntansi adalah :

1. Siklus akusisi (pembelian) mengacu pada p roses ini dari

pembelian barang dan jasa.

2. Siklus konveksi mengacu pada p roses dari transformasi dar i

bahan baku menjad i barang jadi atau jasa.

3. Siklus pendapatan mengacu pada p roses dari menyediakan

barang-barang dan jasa kepada konsumen.

2.1.6 Komponen Sistem Informasi Akuntansi

Menurut Romney dan Steinbart (2006,p6-7) , terdapat 6 komponen

dalam suatu sistem informasi akuntansi adalah :

1. “The people who operate the system and perform various

functions.”

Yang artinya manusia yang mengoperasikan sistem dan

melakukan berbagai fungsi.

2. “The procedures and instructions, both manual and

automated, involved in collecting, processing, and storing

data about the organization’s activities.”

Yang artinya prosedur dan instruksi, manual dan otomatis,

terlibat dalam mengumpulkan, memproses, dan meny impan

data mengenai aktivitas organisasi.

14  

3. “The data about the organization and its business process”

Yang artinya data mengenai organ isasi dan p roses bisnis.

4. “The software used to process the organization’s data.”

Yang artinya software digunakan untuk memproses data

organisasi.

5. “The information technology infrastructure, including

computers, peripheral devices, and network communications

devices used to co llect, store, process, and transmit data and

information.”

Yang artinya infrastruktur Teknologi Informasi, termasuk

komputer, alat tambahan, dan alat komunikasi jar ingan yang

digunakan untuk mengumpulkan, meny impan, memproses,

dan menyalurkan data dan informasi.

6. “The internal controls and security measures that safeguard

the data in the AIS.”

Yang artinya pengendalian internal dan keamanan mengukur

keamanan data dalam sistem informasi akuntansi.

2.2 General Ledger

2.2.1 Pengertian General Ledger

Menurut M oscove, Simkin dan Barranoff ( 2001, p103 ) ,

General Ledger adalah kumpulan informasi moneter yangd detail

mengenai asset, kewajiban, modal pemilik, pendapatan dan beban dari

organisasi.

15  

Dokumen-dokumen transaksi yang sudah dicatat sebelumnya,

baik dalam jurnal umum maupun jurnal khusus kemudian

dip indahkan kedalam buku besar (General Ledger) sesuai dengan

kelompok rekening dan nomor perkiraannya. Pada dasarnya fungsi

buku besar adalah untuk mengetahui total saldo pada masing-masing

rekening yamg nantinya akan dip indahkan ke neraca saldo secara satu

persatu tiap -tiap rekening.

2.2.2 Proses General Ledger

Menurut Gelinas ( 2008, P 574 ) Proses General Ledger terdir i

dari:

a) Mengakumulasi data, klasifikasi data berdasarkan akuntansi

General Ledger , dan menyimpan data pada akun-akun

tersebut.

b) Mengisi Laporan Keuangan, Laporan Bisnis, dan Laporan

Subsistem dengan menyediakan informasi yang dibutuhkan

untuk meny iapkan laporan internal dan eksternal.

2.2.3 Aktivitas yang ada pada General Ledger

Menurut Romney dan Steinbart ( 2006, p525-528 ), aktivitas

yang ada pada General Ledger adalah :

1. Up Date

2. Memposting Jurnal Penyesuaian

16  

3. Menyiapkan Laporan Keuangan

4. Menghasilkan Laporan M anajerial

2.3 Konsep Dasar Evaluasi Sistem Informasi

2.3.1 Konsep Dasar Evaluasi

Davies mengemukakan bahwa evaluasi merupakan proses

sederhanan memberikan /menetapkan nilai kepada sejumlah tujuan,

kegiatan, keputusan, unjuk-kerja, p roses orang, objek, dan masih

banyak yang lainnya. Sedangkan Wand dan Brown mengemukakan

bahwa evaluasi adalah suatu p roses untuk menentukan nilai dari

sesuatu.

Pengertian evaluasi lebih d ipertegas lagi dengan batasan

sebagai p roses memberikan atau menentukan n ilai kepada ob jek

tertentu berdasarkan suatu kriteria tertentu. (Nana Sudjana, 1990:30).

Dengan batasan-batasan sebelumnya, dapat disimpulkan bahwa

evaluasi secara umum dapat diartikan sebagai p roses sistematis untuk

menentukan nlai sesuatu,( tujuan, kegiatan, keputusan, unjuk kerja,

proses, orang, objek, dan lain- lain) berdasarkan kriteria tertentu

melalui penilaian. Untuk menentukan nilai sesuatu dengan cara

membandingkan dengan kriteria, evaluator dapat langsung

membandingkan dengan kriteria namun dapat pula melakukan

pengukuran terhadap sesuatu yang dievaluasi kemudian baru

membandingkannya dengan kriteria. Dengan demikian evaluasi tidak

17  

selalu melalui proses mengukur baru melakukan proses menilai tetap i

dapat pula evaluasi langsung melalui penilaian saja.

2.3.2 Konsep Dasar Sistem

Suatu sistem adalah suatu kesatuan yang terdir i dari dua

komponen atau lebih, atau subsistem yang berinteraksi untuk

mencapai suatu tujuan. Suatu sistem mempunyai karakteristik atau

sifat-sifat tertentu yaitu mempunyai komponen-komponen, batas

sistem, lingkungan luar sistem, penghubung, masukan, keluaran,

pengolah, dan sasaran / tujuan.

Bentuk dasar suatu sistem sangat sederhana, terdiri dari

masukan, pengolah dan keluaran.

Masukan M engolah Keluaran

Pada kondisi tersebut, sistem tersebut tidak menunjukan

adanya kendali, padahal untuk menjaga kelangsungan suatu sistem

perlu adanya kendali, sistem pengendalian tersebut dapat berupa

umpan balik, umpan maju, atau pencegahan. Dengan adanya

pengendalian, suatu sistem dapat berkembang menjadi semakin baik.

2.3.3 Konsep Dasar Informasi

Kelangsungan hidup suatu organisasi sangat bergantung pada

kelancaran informasi yang diperoleh. Semakin banyak informasi yang

18  

didapat, suatu organisasi dapat semakin berkembang. Sebaliknya bila

suatu organisasi tidak mendapat informasi, organisasi tersebut tidak

akan dapat berkembang.

Informasi adalah hasil dari pengo lahan data dalam suatu

bentuk yang leb ih berguna dan lebih berarti bagi penerimanya.

Informasi ini menggambarkan suatu kejadian nyata yang digunakan

untuk pengambilan keputusan. Sumber dari informasi adalah data,

yang dapat berbentuk simbol, huruf, alphabet, angka, suara sinyal,

gambar-gambar, dan sebagainya. Data adalah kenyataan yang

menggambarkan suatu kejadian dan kesatuan yang nyata.

Siklus Informasi

Data diolah melalu i suatu model menjad i informasi, kemudian

penerima informasi tersebut membuat suatu keputusan dan melakukan

tindakan, yang berarti menghasilkan suatu tindakan yang lain yang

akan membuat sejumlah data kembali. Data tersebut selanjutnya akan

diterima sebagai input dan dip roses kembali lewat suatu model,

demikian seterusnya akan membentuk suatu siklus.

Berkaitan dengan penyediaan informasi bagi manajemen

dalam pengambilan keputusan, informasi yang diperoleh harus

berkualitas.

Kualitas informasi tergantung dari tiga hal yaitu :

1. Akurat, bebas dari kesalahan, tidak bias atau menyesatkan.

2. Tepat waktu, informasi yang disampaikan tidak terlambat.

19  

3. Relevan, informasi mempunyai manfaat untuk pemakainya.

2.3.4 Konsep Dasar Sistem Informasi

Sistem Informasi dapat didefinisikan sebagai suatu sistem di

dalam suatu organisasi. Organ isasi merupakan kombinasi dar i orang-

orang, fasilitas, teknologi, med ia, p rosedur dan pengendalian yang

ditujukan untuk mendapatkan jalur komunikasi penting. Selanjutnya

akan digunakan untuk memproses tipe transaksi rutin tertentu,

member sinyal kepada manajemen dan yang lainnya tentang kejad ian-

kejadian internal dan eksternal yang penting. Di samping itu juga

bertujuan menyediakan suatu dasar informasi untuk pengambilan

keputusan yang tepat.

Dengan berkembangnya teknologi informasi, sistem informasi

dari suatu badan usaha tidak akan terlepas dari masalah komputerisasi

yang dilakukan oleh badan usaha tersebut.

Kompleksitas dan keandalan perangkat dan sumber daya

manusia yang mengelola komputer, sangat berpengaruh terhadap

kualitas informasi yang d ihasilkan. Hal ini secara otomatis

berpengaruh pula bagi pengambilan keputusan oleh manajemen.

20  

2.4 Audit Sistem Informasi

Sejalan dengan kemajuan di bidang teknologi informasi, hampir setiap

badan usaha menerapkan sistem komputerisasi di berbagai kegiatan. Hal ini

sangat membantu kelancaran perusahaan, baik dar i sisi operasional seperti

otomatisasi kegiatan p roduksi atau bagi manajemen dalam upaya memperoleh

informasi yang akurat, tepat waktu dan relevan. Informasi ini akan sangat

berpengaruh terhadap setiap keputusan yang diambil o leh manajemen.

Kesalahan dalam pengambilan keputusan dapat membawa dampak yang sangat

besar bagi kelangsungan badan usaha. Dengan komputerisasi di berbagai

bidang kegiatan akan membawa dampak terhadap kegiatan pemeriksaan atau

audit, baik secara langsung maupun tidak langsung. Perubahan cara

pembukuan dari manual menjad i komputerisasi menyebabkan perubahan

seperti :

1. Dokumen dari bentuk kertas menjadi non visual

2. Sebagian besar data yang akan d ianalisa tersimpan dalam file yang

berupa disket, pita magnetik atau tape

3. Cara pemeriksaaan secara tradisional/manual memer lukan banyak

waktu dan tenaga. Sebaliknya, pemeriksaan dengan cara

komputerisasi jauh lebih ef isien

4. Bagi auditor sendiri, bila ntidak memahami masalah komputer maka

dapat menyebabkan hasil audit tidak optimal

Dengan perubahan-perubahan tersebut auditor dituntut untuk memahamin

konsep dan sistem komputerisasi yang dilaksanakan oleh objek, sehingga hasil

audit akan mencapai sasaran.

21  

2.4.1 Pengertian Audit Sistem Informasi

Menurut Alberts dan Dorofee (2003,p6), “Information systems

audit are independent appraisals of a company’s internal controls to

assure management, regulatory authorities, and company

shareholders that information is accurate and valid”. Audit sistem

informasi adalah penilaian independen atas pengendalian internal

suatu perusahaan yang dilakukan untuk meyakinkan p ihak

manajemen, pemerintah, dan para pemegang saham bahwa informasi

yang ada adalah akurat dan benar.

Menurut Gondodiyoto (2006,p385), yakni bahwa audit sistem

informasi berbasis teknologi informasi adalah proses pengumpulan

dan penilaian bahan bukti audit untuk dapat menentukan apakah

sistem informasi perusahaan telah menggunakan sumber daya

informasi secara tepat dan mampu mendukung pengamatan aset

tersebut, memelihara kebenaran dan integritas data dalam pencapaian

tujuan perusahaan secara efektif dan efisien.

Berdasarkan uraian diatas, dapat disimpulkan bahwa audit

sistem informasi adalah penilaian independen atas pengendalian

internal suatu perusahaan yang dilakuakn untuk menentukan apakah

sistem komputer yang ada member ikan jaminan keamanan terhadap

asset, integritas data, pencapaian tujuan organisasi secara efektif, dan

juga penggunaan sumber daya secara efisien.

22  

2.4.2 Tujuan Audit Sistem Informasi

Menurut Romney dan Steinbart (2006,p316), “The purpose of

an information systems audit is to review and evaluate the in ternal

controls that protect the system”. Tujuan dari aud it sistem informasi

adalah untuk mengkaji ulang dan mengevaluasi pengendalian-

pengendalian internal yang diterapkan untuk melindungi sistem yang

ada.

2.4.3 Jenis-Jenis Audit Sistem Informasi

Berdasarkan atas sasaran pemer iksaan, jenis-jenis audit

dibedakan antara lain :

a. Financial Audit

Audit laporan keuangan memeriksa apakah balance sheet,

income statement, cash flow, dan statement of equity telah

disajikan dengan wajar. Tidak kesalahan materialitas, serta

sesuai dengan standar akuntansi keuangan.

b. Management Audit

Audit manajemen ser ingkali diartikan sama dengan audit

operasional. Pengertian sederhana dar i audit manajemen

adalah investigasi dari suatu organisasi dalam semua aspek

kegiatan manajemen dari yang paling tinggi sampai dengan ke

bawah dan pembuatan laporan audit mengenai efektifitasnya

atau dari segi profitabilitas dan efisiensi kegiatan bisnisnya.

Sedangkan pengertian sederhana aud it operasional adalah

23  

uraian aktifitas perusahaan yang sistematis dalam

hubungannya dengan tujuan untuk melihat,

mengidentifikasikan peluang perbaikan, atau mengembangkan

rekomendasi untuk perbaikan. Jelas kedua pengertian serupa

karena pemeriksaan manajemen dilakukan saat manajemen

beroperasi.

c. Compliance Audit

Audit ketaatan mencakup hakikat dan ruang lingkup transaksi

yang perlu dievaluasi apakah kepatuhan p rosedur sudah ditaati

dan tingkat kepatuhan pada p rosedur dan aturan

d. Special Audit / Investigation

Audit Investigasi merupakan bagian dari manajemen kontrol

yang dilaksanakan dalam kegiatan internal audit, di samping

audit lainnya, seperti audit keuangan dan audit kepatuhan atau

complience audit. Dalam tata cara pemeriksaan dan sifat

pemeriksaannya, audit investigasi lebih dikenal dengan istilah

fraud audit atau pemeriksaan kecurangan. Fraud audit adalah

kombinasi aspek audit forensik/investigasi forensik/uji

menyeluruh semua materi pemeriksaan dengan teknik internal

kontrol dalam tata cara internal audit.

2.4.4 Tugas Auditor Sistem Informasi

Setiap auditor sistem informasi harus selalu berusaha

meningkatkan, mengembangkan, dan menerapkan teknik-teknik yang

24  

lebih maju, seh ingga akan berpengaruh terhadap hasil audit yang pada

akhirnya bepengaruh pula pada bidang akuntansi dan pengelolaan

keuangan bagi unti EDP maupun internal auditor.

Tugas IS auditor dapat dikelompokkan men jadi empat bagian pokok,

yaitu :

a. Review terhadap pengembangan suatu sistem

Pada tahap pengembangan suatu sistem, auditor sistem

informasi melakukan review dan menguji perancangan sistem

atau system design untuk meyakini apakah dalam aplikasi

yang telah dimodifikasi atau sistem aplikasi yang barfu telah

memiliki pengendalian yang memadai. Selain itu auditor

sistem informasi juga melakukan tes terhadap sistem tersebut

serta menilai ketaatan terhadap prosedur pengembangan

sistem.

b. Review terhadap data center

Review data center meliputi evaluasi struktur organisasi,

sumber daya manusia, standar pengembangan sistem, p rosedur

operasi, security, prosedur pengendalian p rogram dan data

library atau general control, communication network, backup,

dan prosedur disaster recovery.

25  

c. Review terhadap sistem ap likasi

Masalah ini merupakan bagian yang dikonsultasikan oleh

auditor kepada auditor sistem informasi, meliputi dua hal

pokok yaitu:

1. Programmed procedures, merupakan bagian dari

proses seperti fungsi logika dari suatu ap likasi.

2. User control procedur, meliputi pemisahan fungsi,

prosedur existing apakah sudah mendapat persetujuan

manajemen, serta pertanggungjawaban pekerjaan.

Pengendalian tidak berjalan apabila suatu exep tion

report dari suatu p rogram tidak segera d itindaklanjuti.

Prosedur audit yang dilaksanakan untuk

mereview sistem ap likasi meliputi evaluasi

pengendalian sistem komputer, testing untuk meyakini

apakah pengendalian berjalan dengan baik dan

konsisten serta melakukan tes untuk meyakini

kebenaran, keakuratan dan kelengkapan hasil

pemrosesan data dan laporan. Evaluasi efektifitas dari

sistem tersebut digunakan untuk menilai apakah sudah

sesuai dengan tujuan manajemen.

d. Membantu auditor non audit sistem informasi

Bantuan yang diberikan kepada internal aud itor

meliputi perolehan dan analisa data, pembuat format laporan

26  

dan analisa, evaluasi pengendalian intern dar i suatu sistem

komputer, extract data dari file existing dengan menggunakan

audit software, penelitian terhadap tidak konsistennya hasil

proses komputer. Bantuan yang diberikan kepada eksternal

auditor pada dasarnya sama dengan internal auditor, yaitu

bertujuan untuk bekerjasama dalam rangka mencapai efisiensi

audit.

Bantuan lainnya adalah member ikan pelatihan bagi

auditor non IS audit mengenai konsep Elektronik Data

Processing, prosedur dan metode audit sistem informasi, serta

menggunakan keahliannya untuk mengkoordinasikan kegiatan

administrasi maupun performansi kegiatan audit melalui EDP.

2.4.5 Beberapa Hal Yang Perlu Diperhatikan Dalam Pelaksanaan

Audit Sistem Informasi

Untuk melaksanakan audit sistem informasi, aud itor harus

memahami beberapa hal mengenai sistem informasi berbasis

komputer yang berkaitan dengan objek yang diperiksa, yaitu :

a. Luas pemakaian komputer dalam setiap aplikasi.

Semakin besar klegiatan atau aktivitas suatu badan usaha,

maka ap likasi yang digunakan juga semakin banyak.

Hubungan antar-aplikasi tersebut juga merupakan hubungan

antarlokasi yuang tidak hanya bersefat lokal tetap i juga

bersifat multinasional.

27  

b. Kerumitan operasi komputer dari satuan usaha termasuk

pemakaian pusat jasa komputer dari luar.

c. Ketersediaan data

Dokumen yang dijadikan dasar pemasukan informasi ke dalam

komputer untuk diproses, seperti file komputer tertentu dan

bahan pembuktian lainnya mungkin hanya tersedia dalam atau

hanya dapat dibaca oleh komputer. Dalam beberapa sistem

komputer, dokumen-dokumen masukan mungkin sama sekali

tidak ada karena informasi langsung d imasukkan ke dalam

sistem, Kebijakan peny impanan data pada satuan usaha

mungk in mengharuskan auditor yntuk meminta wadah

penyimpanan informasi untuk keperluan tinjauan atau untuk

melaksanakan prosedur pemeriksaan ketika informasi tersebut

tersedia. Di samping itu informasi tertentu yang dihasilkan

komputer untuk tujuan internal manajemen mungkin

bermanfaat dalam pelaksanaan pengu jian substantif.

d. Penggunaan teknik-teknik audit yang dibantu komputer untuk

meningkatkan efisiensi pelaksanaan audit.

Auditor harus mempertimbangkan apakah keterampilan

khusus diperlukan untuk menilai pengaruh pemrosesan

komputer terhadap pemeriksaan, untuk memahami arus

transaksi, untuk memahami sifat p rosedur pengendalian

akuntansi atau merancang dan melaksanakan p rosedur

pemeriksaan. Jika keterampilan tersebut diperlukan, aud itor

28  

harus mengupayakan bantuan tenaga ahli yang memiliki

keterampilan semacam itu baik yang berasal dari staf aud itor

sendiri maupun dari luar. Jika penggunaan tenaga ahli seperti

itu direncanakan, auditor sendiri maupun dari luar. Jika

penggunaan tenaga ahli seperti itu direncanakan, auditor harus

memiliki pengetahuan yang cukup mengenai komputer untuk

mengkomunikasikan tujuan-tujuan pekerjaan tenaga ahli

lainnya. Selanjutnya akan dipakai untuk mengevaluasi apakah

prosedur yang ditetapkan akan memenuh i tujuan auditor, dan

untuk mengevaluasi hasil p rosedur yang tidtreapkan dalam

kaitannya dengan sifat, waktu, dan luas p rosedur

pemeriksaan lainnya yuang direncanakan. Tanggung jawab

pemakaian tenaga ahli tersebut sama dengan tanggung jawab

atas asistennya.

2.4.6 Metode Audit Sistem Informasi

Menurut Gondodiyoto (2007,p 451), dalam melakukan audit

sistem informasi dapat dilakukan dengan tiga pendekatan :

1. Audit disekitar komputer (Audit Around The Computer)

Dalam pendekatan ini, auditor dapat melangkah pada

perumusan pendapat hanya dengan menelaah struktur

pengendalian dan melaksanakan pengujian transaksi dan

prosedur verifikasi saldo perkiraan dengan cara sama seperti

pada sistem manual. Auditor tidak perlu mengu ji pengendalian

29  

sistem informasi berbasis komputer klien (yaitu terhadap file,

program data d i dalam komputer), melainkan cukup terhadap

input dan output sistem informasi saja.

Keunggulan menggunakan pendekatan ini adalah :

a. Pelaksanaan auditnya lebih sederhana.

b. Auditor yang memiliki pengetahuan minimal dibidang

komputer dapat dilatih dengan mudah untuk

melaksanakan aud it.

Kelemahannya adalah jika lingkungan berubah, Kemungkinan

sistem itu akan berubah dan perlu penyesuaian sistem atau

program-programnya, bahkan mungk in struktur data, sehingga

auditor tidak dapat menilai/menelaah apakah sistem masih

berjalan dengan baik.

2. Audit melalui komputer ( Audit Through the Computer )

Dalam pendekatan ini, auditor melakukan pemeriksaan

langsung terhadap program-program dan file komputer yang

ada pada aud it sistem informasi berbasis komputer. Auditor

menggunakan bantuan software komputer atau dengan cek

logika atau listing program untuk menguji logika p rogram

dalam rangka pengu jian pengendalian yang ada dalam

komputer. Selain itu, auditor juga dapat meminta penjelasan

dari para teknisi komputer mengenai spesifikasi sistem dan

program yang diperiksanya.

30  

Keunggulan menggunakan pendekatan ini adalah :

a. Auditor dapat menilai kemampuan sistem komputer

tersebut untuk menghadap i perubahan lingkungan.

b. Auditor memperoleh kemampuan yang besar dan

efektif dalam melakukan pengu jian terhadap sistem

komputer.

c. Auditor akan merasa lebih yakin terhadap kebenaran

hasil kerjanya.

Kelemahannya adalah pendekatan ini memer lukan biaya yang

besar dan memerlukan tenaga ah li yang terampil.

3. Audit dengan komputer (Audit With The Computer )

Pendekatan ini dilakukan dengan menggunakan komputer dan

software untuk mengotomatisasi prosedur pelaksanaan audit.

Pendekatan ini merupakan cara audit yang sangat bermanfaat,

khususnya dalam pengujian substantif atas file dan record

perusahaan. Software audit yang digunakan merupakan

program komputer auditor untuk membantu dalam pengujian

dan evaluasi kehandalan data, file atau record perusahaan.

Keunggulan menggunakan pendekatan ini adalah :

a. Merupakan p rogram komputer yang diproses untuk

membantu pengujian pengendalian sistem komputer

klien itu sendiri.

31  

b. Dapat melaksanakan tugas audit yang terpisah dari

catatan klien yaitu dengan mengambil copy data atau

file untuk di test dengan komputer lain.

Kelemahannya adalah upaya dan biaya untuk pengembangan

relatif besar.

2.4.7 Matriks Proses Audit Sistem Informasi

Menurut Gondodiyoto (2009,p267-271), p roses audit diakhiri

dengan evaluasi kinerja tiap-tiap auditor anggota tim. Untuk

mempermudah proses dokumentasi dan evaluasi dapat disusun suatu

formulir berbentuk tabel atau matriks, katakanlah disebut Formulir

Kinerja Audit, adalah :

1. Formulir Checklist Penugasan

Segera setelah dimulainya penugasan aud it, dibentuk tim, dan

proyek atau penugasan tersebut diberi nomor kode, misalnya

terdiri dari 5digit: 2digit pertama kode tahun dan 3digit

berikutnya adalah angka nomor urut tugas dalam tahun

tersebut. Langkah pertama berikutnya ialah dibuat/diisi

formulir checklist penugasan. Formulir ini digunakan untuk

kontrol dan disimpan pada lembar pertama berkas kertas kerja

pemeriksaan. Formulir ini harus dapat digunakan untuk

memonitor atau mengecek bahwa setiap langkah dalam audit

yang diperlukan telah dilaksanakan.

32  

2. Log Kinerja Audit

Untuk memonitor penugasan aud it, perlu disusun daftar

penugasan (log) yang dikelo la o leh Bagian Administrasi atau

Tatausaha DAI. Formulir tersebut terdiri dari kolom-ko lom

yang berisi: tahun, nomor kode penugasan audit, tanggal

dimulainya penugasan, status penugasan (on progress atau

sudah selesai) dan jika sudah selesai isikan tanggal selesainya

penugasan pada kolom ber ikutnya.

3. Notifikasi (Surat Pemberitahuan) Audit

Sebelum dilakukannya kegiatan audit, maka terlebih dahulu

perlu dibuat notifikasi kepada auditan. Sudah tentu ada

pengecualian, misalnya jika yang akan diaudit adalah Kas atau

petty cash accoun t, maka biasanya audit dilakukan dengan a

surprise basis. Selain ada kalanya surat pemberitahuan

menjad i pemicu bagi auditan untuk segera memperbaiki

adanya kelemahan-kelemahan yang mungkin dapat menjadi

temuan negatif audit, semata-mata atau hanya dipersiapkan

berkaitan adanya rencana audit. Dalam hal ini tentu saja audit

tidak tercapai dalam hal untuk mengidentifikasikan kegiatan

lapangan dengan aturan (ketidakpatuhan), atau adanya

ketidakhematan, atau adanya resiko yang kontrolnya kurang

memadai.

4. Survei Pendahuluan

Tujuan survei pendahuluan (preliminary survey) dalam

prosedur audit ialah untuk memperoleh pemahaman awal

33  

bidang yang diaudit (yang nantinya akan diperiksa lebih

mendetail) khususnya yang berkaitan dengan resiko dan

penilaiannya (risk assessment), serta untuk p roses p lanning.

Hal ini disesuaikan dengan standar p rofesional akuntan publik

maupun standar audit internal IIA.

2.4.8 Pengendalian Mutu Audit Sistem Informasi

Menurut Gondodiyoto (2009,p283), dalam proses audit fungsi

member ikan kredibilitas pekerjaan aud itor bukanlah aud itor saja.

Tetapi adanya aturan tertentu yang harus dipatuhi auditor agar

pekerjaanya bermutu. Pengendalian mutu audit mencakup metode-

metode yang digunakan untuk menjamin auditor agar memenuhi

tanggung jawab p rofesional. Pengendalian mutu bertujuan untuk

meyakinkan bahwa standar audit yang telah ditetapkan diikuti dalam

setiap langkah aud it dan menjaga agar standar audit diterapkan secara

konsisten. AICPA, dalam Statemen t on Quality Controls Standards

No.1 mengidentifikasikan sembilan elemen pengendalian mutu audit

meliputi : independent, assigning personnel to engagements,

consultation, supervision, hiring, professional development,

advancement, acceptance and continuance of clients, dan inspections.

2.4.9 Tahapan Audit Sistem Informasi

Menurut Hunton (2004,p208-212), p roses tahapan audit

meliputi : perencanaan(p lanning), penaksiran risiko(risk assement),

34  

pengembangan audit p rogram (development of aud it program),

pengumpulan bukti (gathering evidence) , pernyataan kesimpulan

(forming conclusions), pernyataan pendapat audit (preparing the audit

opinion), and pengkajian ulang ( following up).

Bagan Tahapan Audit Sistem Informasi adalah :

1. Planning

Langkah pertama melibatkan perencanaan proyek audit TI,

dalam hal ini berarti menentukan resiko bawaan pada audit

(inherent risk), menjalin hubungan dengan klien dan

lingkungan dimana klien beroperasi, dan membuat rencana

tahapan audit, meliputi staf yang akan mengaudit dan

bagaimana aud it akan dilakukan.

Standar ISACA 050.010, “Audit Planning”,

menyatakan: “Sistem Informasi auditor membuat kerangka

kerja mengenai ruang lingkup audit dan tujuan audit

berdasarkan standar audit yang ber laku.”

ISACA Guideline 050.010.020 memberikan panduan

perencanaan yang leb ih spesifik. Per the guideline, auditor

harus mengikuti standar yang berlaku selama proses

perencanaan,yaitu:

a) Auditor akan menentukan ruang lingkup dan tujuan

pengendalian audit

35  

b) Melakukan penaksiran pengendalian yang berhubungan

dengan proses yang akan d iaudit oleh auditor

c) Memahami organisasi dan bisnis keuangan dan resiko,

serta masalah-masalah yang dihadap i oleh industri atau

klien

d) Mengidentifikasi sejauh mana klien bergantung pada

outsourcing.

e) Auditor akan mengembangkan audit p rogram yang

berisi p rosedur audit yang spesifik selama p roses audit

berlangsung.

f) Mengembangkan rencana audit secara keseluruhan

g) Dokumen kertas kerja audit dengan rencana audit dan

program audit dan dokumentasi lain diperlukan untuk

memahami p roses bisnis klien dan lingkungan

operasinya.

2. Risk Assessment

Penilaian resiko merupakan komponen penting bagi auditor

dalam mengaudit teknologi informasi. Banyak auditor

menggunakan pendekatan audit berbasiskan risiko dalam

melakukan audit. Auditor harus memahami apa yang salah

dalam sistem dengan menggunakan penaksiran resiko.

Penilaian resiko membutuhkan auditor yang memahami klien,

industri dan lingkungan dimana klien beroperasi dan proses

bisnis klien. Tanpa pemahaman, maka auditor akan gagal

36  

dalam mengidentifikasi resiko yang ada pada bisnis proses

klien.

3. Prepare Audit Program

Tidak ada standar audit p rogram bagi auditor IT, namun pada

umumnya audit program meliputi:

a) Ruang lingkup audit

b) Tujuan audit

c) Prosedur audit

d) Administrasi secara r inci seperti perencanaan dan

laporan

Audit p rogram harus didokumentasikan dalam kertas

kerja yang berfungsi sebagai pedoman dalam melaksanakan

audit. Setelah audit selesai, aud it p rogram akan memberikan

dokumentasikan mengenai siapa yang diaudit, sebagai

referensi kertas ker ja dimana hasil setiap test dan langkah audit

bisa dilihat.

4. Gathering Evidence

Tujuan kerja lapangan adalah mengumpulkan “..cukup , dapat

diandalkan, dan bukti-bukti yang berguna untuk mencapai

tujuan audit secara efektif. Temuan audit dan kesimpulan yang

didukung dengan analisis dan interp retasi yang tepat (ISACA

Standard 060.020,”Ev idence”).

37  

ISACA gu ideline 060.020.030 mengidentifikasikan beberapa

tipe bukti bagi auditor IT yang akan dikumpulkan sebagai

bagian dar i kerja lapangan, meliputi:

a. Proses pengamatan pada barang-barang fisik seperti

pengoperasian komputer dan p rosedur backup.

b. Dokumentasikan bukti seperti program pengubahan

password, hak akses, hak otoritas.

c. Dapatkan gambaran seperti flowchart, narasi dan

kebijakan tertulis dan p rosedur.

d. Analisa p rosedur CAATs (Computer Assisted Audit

Techniques) pada file data.

5. Forming Conclusions

Setelah bukti audit dikumpulkan, maka aud itor mengevaluasi

bukti dan bentuk kesimpulan apakah tujuan audit telah dapat

dipenuhi dan kecukupan p rosedur audit yang dilakukan dalam

mencapai suatu op ini audit secara keseluruhan. Auditor akan

mengidentifikasi kondisi laporan yang mengacu pada situasi

yang mengambarkan kelemahan pengendalian. Laporan yang

mengambarkan kondisi b iasanya disusun dalam Management

Letter yang akan didiskusikan dengan komite audit dan klien.

6. Deliver Audit opin ion

Di dalam laporan audit, tidak ada standar buku yang digunakan

dalam penyusunan laporan audit. Poin-poin utama yang

38  

terdapat pada laporan audit yang diberikan oleh ISACA

Guideline 070.010.010 antara lain:

a) Nama organisasi yang diaudit

b) Judul, tanda tangan dan tanggal

c) Tujuan audit

d) Ruang lingkup audit

e) Metodologi yang digunakan atau standar dan kriteria

yang digunakan o leh aud itor

f) Temuan yang diperoleh (findings)

g) Resiko yang berhubungan dengan temuan

h) Rekomendasi yang diberikan sehubungan dengan

temuan dan risiko

i) Kesimpulan akhir

7. Following Up

Tahap akhir dari tahapan audit IT adalah penindak lanjutan.

Setelah menyampaikan hasil audit kepada klien dan

member ikan op ini audit kepada klien, auditor akan membuat

ketentuan untuk melakukan langkah lebih lanjut dengan klien

setiap kondisi atau kekurangan d itemukan selama audit.

39  

2.4.10 Standar Audit Sistem Informasi

Standar adalah a predetermined criteria, sesuatu yang

dijadikan ukuran baku, atau pedoman yang harus dijadikan acuan atau

referensi. Salah satu tujuan standarisasi adalah pembukuan untuk

kesamaan ukuran (misalnya ukuran mutu). Standar audit merupakan

pedoman bagi aud itor dalam menjalankan tanggung jawab

profesionalnya. Dalam audit sistem informasi, penulis menggunakan

standar COBIT (Control Objectives for Information and Rela ted

Technology) yang dikembangkan oleh IT Governance Institute

kemudian dipublikasikan oleh ISACA (Information System Audit and

Control Association). ISACA merupakan sebuah asosiasi p rofesional

dalam audit sistem informasi, pengendalian, keamanan dan

governance. ISACA yang beranggotakan auditor sistem informasi

internasional mempunyai fungsi sebagai sumber informasi, pihak

yang memberikan panduan-panduan p raktek bagi aud itor sistem

informasi serta menyediakan standar, panduan (guidelines) , dan

pedoman p rosedur audit (procedures).

Menurut Gondodiyoto dan Hendarti (2007,p153-154), CobIT

merupakan a set of best practices (framework) bagi pengelolaan

teknologi informasi (IT management) yang dapat membantu aud itor,

pengguna (user), dan manajemen, untuk men jembatani gap antara

resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI.

CobIT bermanfaat bagi auditor karena merupakan teknik yang dapat

membantu dalam identifikasi IT con trols issues. CobIT berguna bagi

para TI users karena memperoleh keyakinan atas kehandalan sistem

40  

aplikasi yang dipergunakan. CobIT digunakan sebagai alat

komprehensif untuk menciptakan IT Governance pada suatu

perusahaan. CobIT mempertemukan dan menjembatani kebutuhan

manajemen dari celah atau gap antara resiko bisnis, kebutuhan kontrol

dan masalah-masalah teknis TI, serta menyediakan referensi best

business practice yang mencakup keseluruhan TI dan kaitannya

dengan proses bisnis perusahaan dan memaparkan dalam struktur

aktivitas-aktivitas logis yang dapet dikelola serta dikendalikan secara

efektif. Sumberdaya TI merupakan suatu elemen yang sangat disoroti

CobIT, termasuk pemenuhan kebutuhan bisnis yang merupakan

kriteria kerja dari CobIT meliputi :

1. Efektivitas

Untuk memperoleh informasi yang relevan dan berhubungan

dengan proses bisnis seperti penyampaian informasi dengan

benar, konsisten, dapat dipercaya dan tepat waktu.

2. Efisiensi

Memfokuskan pada ketentuan informasi melalui penggunaan

sumber daya yang op timal.

3. Kerahasiaan

Memfokuskan proteksi terhadap informasi yang penting dari

orang yang tidak memiliki hak otorisasi.

41  

4. Integritas

Berhubungan dengan keakuratan dan kelengkapan informasi

sebagai kebenaran yang sesuai dengan harapan dan nilai

bisnis.

5. Ketersediaan

Berhubungan dengan informasi yang tersedia ketika

diperlukan dalam proses bisnis sekarang dan yang akan

datang.

6. Kepatuhan

Sesuai menurut hukum, peraturan dan rencana perjanjian

untuk p roses bisnis.

7. Keakuratan Informasi

Berhubungan dengan ketentuan kecocokan informasi untuk

manajemen mengoperasikan entitas dan mengatur pelatihan

keuangan dan kelengkapan laporan pertanggung jawaban.

CobIT merupakan panduan yang paling lengkap dari p raktek-p raktek

terbaik untuk manajemen TI yang mencakup 4(empat) domain, yaitu :

1. Perencanaan dan Organisasi (Planning and Organization)

Yaitu mencakup pembahasan tentang identifikasi dan strategi

investasi TI yang dapat member ikan yang terbaik untuk

42  

mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi

dan visi strategis perlu direncanakan, dikomunikasikan, dan

diatur pelaksanaannya (dari berbagai prespektif).

2. Perolehan dan Implementasi (Acquisition and Implementation)

Yaitu untuk merealisasi strategi TI, perlu diatur kebutuhan TI,

diidentifikasi, dikembangkan, atau d iimplementasikan secara

terpadu dalam proses bisnis perusahaan.

3. Penyerahan dan Pendukung (Delivery and Support)

Domain ini lebih dipusatkan pada ukuran tentang aspek

dukungan TI terhadap kegiatan operasional b isnis (tingkat jasa

layanan TI aktual atau service level) dan aspek urutan

(prioritas implementasi dan untuk pelatihannya).

4. Monitoring

Yaitu semua semua p roses TI yang perlu dinilai secara berkala

agar kualitas dan tujuan dukungan TI tercapai, dan

kelengkapannya berdasarkan pada syarat kontrol internal yang

baik.

43  

Menurut ISACA terdapat 14 (empat belas) standar-standar yang

dijadikan pedoman oleh auditor dalam melaksanakan tugasnya,

adalah :

S1-Audit Charter

Standar

a. Tujuan, tanggung jawab, otoritas, dan akuntabilitas fungsi

audit SI pada suatu organisasi/ perusahaan ataupun penugasan

audit harus dengan dibuat tertulis (didokumentasikan) dalam

audit charter atau engagement letter.

b. Audit charter atau engagement letter harus disetujui dan

ditandatangan i oleh p impinan organisasi.

S2-Independence

Standar

a. Independensi Professional

Dalam segala hal yang berkaitan dengan audit, auditor harus

independen dalam sikap dan penampilan.

b. Independensi Organisasi

Fungsi aud it SI harus bebas (tidak ada conflict o f in terest) dari

area yang diperiksa untuk dapat menyelesaikan tugas audit

dengan baik.

44  

S3- Professional Ethics and Standard

Standar

a. Auditor SI harus menganut dan berpegang teguh pada kode

etik p rofesi auditor SI (ISACA) dalam menjalankan tugas

auditnya

b. Auditor SI harus menjalankan tugasnya secara seksama

(due professional care) dan bekerja sesuai dengan standar

profesional audit.

S4- Professional Competence

Standar

a. Auditor SI harus mampu secara profesional, mempunyai

pengetahuan dan keahlian teknis untuk melakukan penugasan

tugas audit.

b. Auditor SI harus memelihara kemampuan p rofesionalnya

dengan pendidikan dan pelatihan berkelanjutan.

S5- Planning

Standar

a. Auditor SI harus membuat rencana kerja audit SI, mencakup

tujuan audit, dan bahwa kegiatan-kegiatan aud itnya akan

sesuai dengan aturan, hukum dan standar p rofessional audit

yang ada.

b. Auditor SI harus melakukan teknik pendekatan audit berbasis

resiko (risks-based audit) dan mendokumentasikan dengan

baik.

45  

c. Auditor SI harus menyusun rencana kerja audit, mencakup

rincian tentang hakekat dan tujuan audit, periode atau waktu

yang diperlukan, dan sumber daya yang diperlukan untuk

penugasan audit tertentu.

d. Auditor SI harus menyusun rencana kerja audit dan atau

program audit, mencakup p rosedur audit yang diperlukan

untuk penyelesaian tugas audit itu.

S6- Perfomance of Audit Work

Standar

a. Supervisi : staf audit SI harus disupervisi untuk memperoleh

keyakinan memadai bahwa tujuan audit telah dicapai sesuai

dengan standar profesional audit.

b. Bukti audit : dalam pelaksanaan tugasnya auditor SI harus

memperoleh bukti yang cukup, reliable, dan relevan untuk

pencapaian tujuan audit. Temuan hasil audit harus didasarkan

pada ketersediaan bukti yang cukup , dianalisis dan di-

interpretasikan/dievaluasi dengan baik/tepat.

c. Dokumentasi: p roses audit harus didokumentasikan,

menjelaskan pelaksanaan kegiatan audit, dan bukti audit yang

mendukung kesimpulan/temuan audit.

S7- Reporting

Standar

a. Auditor SI harus membuat laporan hasil audit dalam format

yang tepat segera setelah selesai melakukan tugas auditnya.

46  

Laporan hasil audit harus memuat organisasi, p ihak yang

dituju, dan batasan-batasan sirkulasi (jika ada).

b. Laporan audit harus menyebutkan ruang lingkup, tujuan,

periode, dan waktu pelaksanaan pemeriksaan.

c. Laporan audit harus berisi temuan, kesimpulan dan

rekomendasi, serta pengungkapan mengenai penyediaan,

kualifikasi atau pembatasan cakupan audit dialami oleh auditor

SI dalam melaksanakan tugasnya.

d. Temuan hasil audit yang dilaporkan harus didukung bukti audit

` yang cukup , lengkap dan kompeten untuk mendukung

laporan hasil pemeriksaan itu.

e. Laporan hasil audit harus ditandatangani, dibubuhi tanggal

pelaporan, dan didistribusikan sesuai ketentuan pada audit

charter/ letter of engagement.

S8- Follow up Activities

Standar

Setelah laporan hasil aud it yang mengemukakan temuan dan

rekomendasi, auditor SI harus mengevaluasi informasi yang relevan

untuk memperoleh keyakinan apakah tindak lanjut diperlukan (atas

rekomendasi) telah dilaksanakan oleh p ihak manajemen sesuai jadwal

yang diusulkan (tepat waktu).

47  

S9- Irregularities and Illegal Acts

Standar

a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi

resiko audit, auditor SI harus mempertimbangkan resiko

ketidakteraturan dan illegal acts.

b. Auditor SI harus bersikap profesional skep tis dalam

pelaksanaan audit, paham kemungkinan misstatements yang

material dapat saja terjadi karena adanya irregularities dan

illegal acts, di luar evaluasi yang telah dilakukan.

c. Auditor SI harus memahami organ isasi dan lingkungannya,

termasuk sistem pengendalian internal bidang yang d iperiksa.

d. Auditor SI harus memiliki bukti audit yang lengkap dan

kompeten untuk menentukan apakah manajemen atau p ihak

lainnya dalam organisasi mengetahui aktual, cur iga atau yang

diduga keras terdapat ketidakteraturan dan atau tindakan-

tindakan illegal.

e. Dalam menjalankan p rosedur audit untuk memahami

organisasi dan lingkungan nya, auditor SI harus dapat

mempertimbangkan kemungkinan hubungan tak terduga atau

tidak biasa terjadinya resiko misstatements akibat

ketidakteraturan dan tindakan-tindakan illega l.

f. Auditor SI harus merancang dan menjalankan p rosedur untuk

menguji (tes) kecukupan pengendalian internal dan resiko

manajemen mengesampingkan pengendalian internal.

48  

g. Jika auditor SI mengidentifikasikan adanya misstatements,

auditor SI harus menilai apakah misstatements tersebut terjadi

akibat irregularities dan illegal acts, jika ya, auditor SI harus

memik irkan kemungkinan dampaknya ke bidang lain,

khususnya berkaitan dengan representations of management.

h. Auditor SI harus memperoleh representasi tertulis dari

manajemen, dilakukan sedikitnya setiap tahun atau lebih sering

lagi bergantung pada penugasan audit antara lain:

1) Pengakuan tanggung jawab manajemen untuk

merancang dan mengimplementasikan kontrol internal

untuk mencegah dan mendeteksi irregularities dan

illegal acts.

2) Mengungkapkan kepada auditor mengenai penilaian

resiko jika terdapat kemungkinan misstatements yang

material sebagai akibat irregularities dan illegal acts.

3) Mengungkapkan kepada auditor jika mengetahui atau

menduga adanya irregularities dan illega l acts atau

disampaikan oleh karyawan, eks karyawan, p ihak

regu lator atau yang lain.

i. Jika auditor SI mengidentifikasi adanya irregularities dan

illegal acts atau memperoleh informasi mengenai hal itu,

auditor harus mengkomunikasikan ini kepada level manajemen

yang tepat sesegera mungkin.

j. Auditor SI mengidentifikasikan irregularities dan illegal acts

yang melibatkan manajemen atau personil yang berperan

49  

dalam in ternal control, auditor internal harus

mengkomunikasikan hal itu kepada pihak yang bertanggung

jawab dalam tata kelola perusahaan.

k. Auditor SI harus member advice kepada tingkat manajemen

yang bertanggung jawab atas kelemahan rancangan dan

implementasi in ternal control dalam mencegah dan

mendeteksi irregularities dan illegal acts yang mendapat

perhatian auditor dalam melaksanakan penugasan

pemeriksaannya.

l. Jika auditor SI menemui kond isi yang tidak biasa berdampak

pada kelanjutan pelaksanaan audit sebagai akibat

misstatements yang material dan atau tindakan illegal,auditor

harus mempertimbangkan tanggungjawab legal dan

professional, termasuk kemungkinan auditor untuk

member itahu kepada pihak-p ihak yang mendapat penugasan,

penanggungjawab perusahaan, atau p ihak berwenang,dan bila

perlu mengundurkan diri dari penugasan.

m. Audit SI harus mendokumentasikan semua komunikasi,

perencanaan, hasil, evaluasi, dan kesimpulan yang

berhubungan dengan irregularities dan illega l acts yang sudah

dikomunikasikan kepada manajemen, p ihak bertanggung

jawab lain, atau pihak berwenang, dan lainnya.

50  

S10- IT Governance

Standar

a. Auditor SI harus melakukan peninjauan dan penilaian apakah

fungsi SI sudah selaras dengan visi, misi, tata-nilai, dan

strategis serta tujuan organisasi.

b. Auditor SI melakukan peninjauan apakah fungsi SI memiliki

pernyataan yang jelas mengenai k inerja yang d iharapkan oleh

organisasi ( efektif dan efisien ) dan dinilai apakah hal-hal

tersebut sudah tercapai.

c. Auditor SI harus menin jau dan menilai efektivitas sumber daya

SI dan kinerja p roses manajemennya.

d. Auditor SI harus meninjau dan menilai kepatuhan terhadap

legal, lingkungan dan kualitas informasi, dan keamanan.

e. Dalam pemer iksaan dan evaluasi fungsi SI, auditor sebaiknya

menggunakan pendekatan audit berbasis resiko (Risk-based

audit approach).

f. Auditor SI harus menin jau dan men ilai lingkungan

pengendalian auditan.

g. Auditor SI harus meninjau dan menilai resiko yang mungkin

terjadi dalam lingkungan sistem berbasis teknologi informasi.

51  

S11-Use of Risk Assessment in Audit Planning

Standar

a. Auditor SI harus menggunakan teknik penilaian resiko yang

cocok dalam pengembangan rencana kerja audit SI, dan dalam

menentukan p rioritas alokasi sumberdaya audit yang efektif.

b. Ketika merencanakan peninjauan ind ividual, auditor SI harus

mengidentifikasi dan men ilai resiko yang relevan dari area

yang diperiksanya.

S12-Audit Materiality

Standar

a. Auditor SI harus mempertimbangkan konsep materialitas

dalam hubungannya dengan resiko audit.

b. Dalam merencanakan audit, auditor SI mempertimbangkan

kelemahan- kelemahan potensial atau tidak adanya kontrol

internal dan apakah hal itu dapat mempunyai akibat yang

signifikan pada SI.

c. Auditor SI mempertimbangkan dampak kumulatif dar i

kelemahan atau ketiadaan pengendalian intern.

d. Laporan auditor SI harus mengungkapkan adanya

pengendalian intern yang tidak efektif atau tidak adanya

pengendalian intern ( terhadap resiko tertentu ) dan

dampaknya.

52  

S13-Using the Work of Other Experts

Standar

a. Auditor SI harus , jika memungkinkan, menggunakan hasil

kerja auditor atau tenaga ahli lain.

b. Auditor SI harus menilai kualifikasi professional, kompetensi,

pengalaman yang relevan, sumberdaya, independensi, dan

proses quality control dar i ahli lain tersebut, sebelum

menerima penugasan audit.

c. Auditor SI harus meninjau, men ilai dan evaluasi hasil kerja

tenaga ahli lain tersebut sebagai bagian dari audit dan

menentukan tingkat penggunaan atau mengesampingkan hasil

kerja tenaga ahli lain tersebut.

d. Auditor SI harus menentukan dan meny impulkan apakah hasil

kerja tenaga ah li lain tersebut cukup memadai dan lengkap

untuk mendukung auditor SI menarik kesimpulan sesuai tujuan

audit ( dan kesimpulan tersebut harus secara jelas

didokumentasikan ).

e. Auditor SI perlu melaksanakan p rosedur pemeriksaan

tambahan untuk memperoleh bukti audit yang lebih sufficient

dan appropriate pada situasi dimana aud itor berpendapat

bahwa bukti audit dari hasil kerja tenaga ahli lain tersebut tidak

cukup.

f. Auditor SI harus memberikan op ini tentang kecukupan bukti

audit dan pembatasan ruang lingkup pemeriksaan ( jika ada ),

53  

terkait kelengkapan bukti audit yang diperoleh melalui

pemeriksaan tambahan.

S14-Audit Evidence

Standar

a. Auditor SI harus memiliki bukti audit yang cukup dan layak (

lengkap dan kompeten ) untuk dapat menar ik kesimpulan hasil

audit.

b. Auditor SI harus mengevaluasi kompetensi dan kecukupan

bukti audit.

Alasan Perlunya Standar Audit Sistem Informasi d ikarenakan

(Gondodinyoto,2009,p81):

1. Audit SI memerlukan standar, karena Audit SI memiliki ciri-

ciri khas dan untuk dapat melaksanakan tugas itu dibutuhkan

pengetahuan dan ketrampilan khusus dalam aud it SI.

2. Salah satu tujuan ISACA ialah melakukan globalisasi

(menduniakan) standar audit SI, o leh karena itu pengembangan

dan distribusi standar audit SI adalah merupakan salah satu

kontribusi penting ISACA kepada komunitas/profesi audit.

2.4.11 Audit Program

Menurut Champlain (2003,p27), audit program adalah sebuah

daftar dari jenis-jenis percobaan yang akan dilakukan oleh aud itor

54  

dalam lingkup audit mereka untuk mengetahui apakah pengendalian

penting yang diinginkan untuk meredam resiko yang signifikan telah

berjalan seperti yang telah direncanakan.

Kegunaan audit p rogram Champlain (2003,p27) adalah :

1. Membantu auditor dalam perencanaan sumber daya

2. Dapat menampilkan konsistensi dari percobaan-percobaan

yang dilakukan dalam audit pada p roses yang sama dari satu

siklus yang satu ke siklus yang lainnya.

3. Dapat menampilkan konsistensi dari percobaan-percobaan

yang dilakukan pada pengendalian yang mir ip pada semua

proses.

2.5 Pengendalian Internal Dan Resiko TI

2.5.1 Pengertian Pengendalian Internal

Menurut COSO ( Committee Of S ponsoring Organization)

yang dikutip oleh Louwers, Ramsay , Sinason dan Strawser ( 2008, P

159) “Internal Control is a process,effected by an entitiy’s board of

directors, management and other personnel, designed to provide

reasonable assurance regarding the achievement o f objectives in the

following three ca tegories :

a) Reliability of financial reporting.

b) Effectiveness and efficiency of operations.

55  

c) Compliance with applicable laws and regulations.”

Pengendalian internal adalah sebuah proses yang dipengaruhi

oleh dewan direksi, direksi,dan karyawan lainnya,yang dibuat untuk

menyediakan keyakinan yang beralasan.

Menurut Cascarino (2007,P57), “Pengendalian internal adalah

suatu tindakan yang diambil oleh manajemen untuk meningkatkan

lingkungan dalam upaya mencapai tujuan. Dihasilkan dari

perencanaan manajemen, perorganisasian dan kepemimpinan, dan

yang lainnya (seperti pengendalian manajemen, pengendalian in ternal,

dan lain lain)”.

Menurut Arens (2005,p270), “An understanding of internal

control, especia lly those controls related to the reliability of financial

reporting, is importing to the auditor’s purposes”. Pengertian

pengendalian internal, khususnya kontrol-kontrol yang berhubungan

dengan kehandalan laporan keuangan, yang dapat dipertanggung

jawabkan sangat penting bagi tujuan auditor.

2.5.2 Tujuan Sistem Pengendalian Internal

Menurut Gondodiyoto (2007,p260), tujuan sistem pengendalian

internal adalah :

1. Meningkatkan pengamanan (improve safeguard) aset sistem

informasi data/catatan akuntansi (accounting records) yang

56  

bersifat logical assets, maupun physical assets seperti

hardware, infrastructures, dan sebagainya.

2. Meningkatkan integritas data (improve data integrity),

sehingga dengan data yang benar dan konsisten akan dapat

dibuat laporan yang benar.

3. Meningkatkan efektivitas sistem (improve system

effectiveness).

4. Meningkatkan efisiensi sistem (improve system efficiency).

2.5.3 Fungsi Pengendalian Internal

Menurut Cascarino (2007,p6), fungsi pengendalian internal

diklasifikasikan dalam 5 tipe adalah :

1. Pengendalian pencegahan (prefentive)

Pengendalian preventif adalah pencegahan yang dilakukan

sebelum masalah terjadi tetapi tidak pernah 100% efektif

sehingga tidak dapat sepenuhnya tergantung pada

pengendalian ini. Pengendalian preventif meliputi batasan oleh

pengguna kebutuhan password dan pemisahan tugas.

2. Pengendalian pendeteksian (detective)

Pengendalian ini mendeteksi permasalahan setelah masalah

timbul dan lebih mudah dilakukan dar ipada mengecek setiap

transaksi dengan pengendalian preventif. Pengendalian ini

meliputi keefektifan pelatihan penggunaan audit dan laporan-

laporan pengecualian.

57  

3. Pengendalian pengkoreksian (corrective)

Pengendalian ini mengoreksi masalah-masalah yang telah

diidentifikasi oleh pengendalian detektif dan biasanya ada

campur tangan sistem informasi. Pengendalian ini meliputi

proses perencanaan perbaikan (disaster recovery plan) dan

kemampuan perbaikan transaksi. Pengendalian korektif

memiliki resiko yang tinggi karena terjadi pada lingkup yang

tidak biasa dan d ibutuhkan keputusan untuk melakukannya

serta dibutuhkan pertimbangan pelaksanaan. Contoh

pengendalian korektif adalah jejak-jejak audit, laporan-

laporan, kesalahan statistik, pendukung, pemulihan, dan lain

lain.

4. Pengendalian langsung

Pengendalian dirancang untuk menghasilkan keputusan yang

positif dan meningkatkan kebiasaan yang dapat diterima.

Pengendalian tidak hanya mencegah perilaku yang tidak

diinginkan dan yang pada umumnya terdapat kebijaksanaan

dalam suatu situasi. Akan tetapi juga memberitahukan kepada

pemakai komputer bahwa menjadi tanggung jawab mereka

untuk meyakinkan terdapat backup yang cukup dan disimpan

semestinya. Bagaimanapun pengendalian ini dapat diawasi dan

tindakan dapat diambil ketika pengendalian d ilaksanakan.

5. Pengendalian kompensasi

Pengendalian ini dapat dilakukan ketika kelemahan didalam

suatu pengendalian dapat dikompensasi oleh pengendalian

58  

lain. Pengendalian ini digunakan untuk membatasi resiko dan

hal-hal yang tidak diinginkan, hal in i dibenarkan oleh auditor

menghadap i integrasi sistem yang rumit dan struktur

pengendalian yang melibatkan gabungan dar i pengelolaan

sistem dan pengendalian dari area operasional yang beraneka

ragam.

2.5.4 Komponen Pengendalian

Menurut Hunton (2004, p106-121), komponen pengendalian internal

meliputi keamanan input, output, backup, dan recovery.

1. Security Control (Pengendalian Keamanan), meliputi Physical

Control dan Logical Security :

a) Physical Security (Keamanan Berwujud),

memfokuskan pada keamanan fasilitas, komputer,

peralatan komunikasi, dan aspek infrastruktur komputer

yang nyata agar aman dar i bahaya.

b) Logical Security (Keamanan Tidak Berwujud) ,

memfokuskan pada keamanan yang tidak nyata seperti

keamanan data, software. Bagian sistem keamanan

yang meliputi komponen logika ditangani melalui

pengendalian fisik seperti penempatan data dan

software pada komputer, server dan tempat

peny impanan data. Bagian lain dari keamanan logika

59  

ditangan i melalui pengendalian akses komputer,

monitar dan review sistem.

2. Information Controls ( Pengendalian Informasi ) meliputi :

a. Input controls (Pengendalian Input )

Pengendalian yang memfokuskan pada p rosedur tertulis

mengenai otorisasi, persetujuan, dan input baik berupa

dokumen maupun transaksi sehingga mampu

mengurangi kesalahan yang dapat terjadi.

b. Output controls ( pengendalian Output )

Pengendalian yang memfokuskan pada hasil yang

didapat dari input yang telah dip roses melalui sistem

komputer, agar mendapatkan hasil yang sesuai dengan

yang diharapkan.

3. Continuity Controls ( Pengendalian B erkelanjutan ) meliputi :

a. Backup Controls (Pengendalian Backup) :

1) Data Backup

Kegiatan yang dilakukan oleh organ isasi dengan

menyimpan dan merep likasi data secara berkala sesuai

dengan prosedur yang telah ditetapkan yang berfungsi

sebagai cadangan data sehingga apabila sewaktu-waktu

data hilang atau rusak, perusahaan dapat memperoleh

data dari backup yang telah dilakukan.

60  

2) Hardware Backup

Kegiatan yang dilakukan perusahaan dengan

mengamankan hardware perusahaan berdasarkan

prosedur yang telah ditetapkan, sehingga perusahaan

dapat mengurangi kerugian bila terjadi bencana pada

perusahaan.

b. Disaster Recovery Controls (Pengendalian Pemulihan

Bencana)

Pengendalian yang dilakukan untuk mengantisipasi

adanya bencana yang akan terjadi pada perusahaan sehingga

operasi sistem pada perusahaan dapat berjalan kembali dengan

waktu yang singkat.

2.5.5 Internal Control Quisioner (ICQ)

ICQ adalah suatu rangkaian pertanyaan mengenai pengendalian dalam

suatu area pemeriksaan. Cara in i dapat dipergunakan untuk

menunjukan adanya aspek pengendalian yang lemah. Pada

umumnya,questioner berbentuk pertanyaan yang akan dijawab YA

atau TIDAK, dimana jawaban tidak menunjukan potensi adanya

kelemahan pengendalian. Pertanyaan-pertanyaan yang pada ICQ

dikelompokan dalam 2 bagian utama, yaitu pertanyaan yang

menyangkut pengendalian umum serta pertanyaan yang menyangkut

pengendalian aplikasi

61  

Pengendalian Umum

Pengendalian umum adalah pengendalian yang diterapkan atas segala

aktivitas dan sumber daya yang dipakai dalam pengembangan suatu

sistem informasi, pelaksanaan p roses dan fungsi-fungsi pendukung

lainnya.

1. Organisasi

Review yang dilakukan adalah untuk meyakini bahwa unsur

pengendalian yang ada dalam struktur organisasi pada unit

pengolahan data elektronik apakah telah memadai.

2. Pemisahan Fungsi

Pemisahan fungsi dalam audit system informasi d itekankan pada

unit pengolahan data karena sangat berpengaruh pada keandalan

pengendalian internnya.

3. Kepegawaian

Sumber daya manusia memegang peranan dalam kegiatan atau

operasi di unit PDE karena berkaitan dengan masalah teknologi

informasi yang sangat cepat perkembangannya. oleh karena itu,

penempatan pegawai harus memperhatikan persyaratan khusus

serta p rogram peningkatan keahlian dibidang komputerisasi.

4. Pengendalian Operasi

Setiap kegiatan perusahaan selalu berkaitan dengan penggunaan

sumber daya secara efisien untuk mencapai hasil yang diharapkan.

Untuk masalah ini,aud itor perlu melakukan review.

62  

5. Physical Access,Logical Access, dan Physical Security

Kerugian suatu perusahaan akan sangat besar apabila

pengendalian terhadap Physical Access,Logical Access, dan

Physical Security tidak memadai. Hal ini sangat berkaitan dengan

masalah informasi sebagai alat yang sangat penting bagi

manajemen, khususnya dalam pengambilan keputusan. M isalnya

kebocoran informasi yang diperoleh pesaing, akan sangat

merugikan perusahaan.

6. Environmental control

Untuk menghindari kerugian yang lebih besar, karena kerusakan

perangkat yang disebabkan oleh kebakaran maka perusahaan perlu

tindakan p reventif.

7. Pemulihan masalah

Pedoman atau standar untuk pemulihan masalah sangat diperlukan

untuk acuan pelaksana apabila terjad i bencana yang dapat

merusak perangkat maupun software, untuk mempermudah proses

pemulihan masalah.

8. Pengembangan dan pemeliharaan system

Pengendalian juga harus terus menerus dilakukan pada saat

diperlukan perubahan dan pemeliharaan system.

9. Pengendalian hardware dan operating system.

Output dari p roses EDP sangat bergantung pada performansi dari

hardware yang digunakan, oleh karena itu, perlu pengawasan

terhadap hardware yang menyangkut kelangsungan operasi.

63  

10. Asuransi

Asuransi dapat dipakai untuk mengurangi kerugian akibat

terjadinya sesuatu yang tidak dapat dihindari. Untuk itu, instalasi

komputer yang memilik i resiko kerusakan atau kerugian yang

cukup tinggi perlu ditutup dengan asuransi yang sesuai.

11. System development live cycle ( SDLC )

Pedoman pembangunan suatu system harus ada dalam setiap

organisasi EDP. Pedoman tersebut menjadi acuan sehingga setiap

SDLC harus konsisten dengan aturan yang ada. Tahapan SDLC

meliputi p roject initiation, studi kelayakan, design pembangunan

dan implementasi, operasi dan pemeliharaan, dan review setelah

implementasi.

Pengendalian Aplikasi.

Pengendalian aplikasi adalah pengendalian yang diciptakan atas suatu

sistem ap likasi tertentu dalam rangka menjamin bahwa seluruh

transaksi telah terotorisasi, direkam dan dip roses secara lengkap ,

akurat dan tepat waktu.

a) Pengendalian Input

b) Pengendalian Proses

c) Pengendalian Output.

64  

2.5.6 Pengertian Resiko

Menurut Hall (2007,p201) “Resiko adalah kemungkinan

kerugian atau kerusakan yang dapat mengurangi atau meniadakan

kemampuan perusahaan untuk mencapai berbagai tujuannya.

2.5.7 Penetapan Penilaian Resiko

Maiwald (2003, p 150 ), level atau tingkatan dar i resiko

digo longkan sebagai berikut :

a. Resiko kecil ( Low )

Tingkat kerentanan dari suatu sistem yang dapat berakibat

kecil bagi perusahaan, biasanya resiko ini jarang terjad i atau

muncul.Tindakan yang dapat mengh ilangkan resiko ini perlu

diambil jika mungkin, tetap i biaya yang dikeluarkan harus

sebanding dengan pengurangan akibat dari resiko ini.

b. Resiko sedang ( Medium )

Tingkat kerentanan dari suatu sistem dan dapat mengancam

kerahasiaan, integritas, ketersediaan, dan atau kehandalan dar i

sistem informasi di suatu perusahaan, ataupun aset perusahaan

yang bersifat fisik. Dimana adanya kemungkinan bahwa resiko

ini akan muncul sewaktu-waktu.

Tindakan untuk mengh ilangkan resiko in i sangat disarankan.

c. Resiko Tinggi ( High )

Tingkat kerentanan yang dapat mengak ibatkan bahaya yang

tinggi bagi kerahasiaan, integritas, ketersediaan, dan atau

65  

kehandalan dari sistem informasi di suatu perusahaan, ataupun

aset perusahaan yang bersifat fisik. Tindakan untuk

menanggulangi resiko ini harus sesegera mungkin d iambil.

2.5.8 Jenis-Jenis Resiko

Menurut Hunton ( 2004, p48 ), Klasifikasi resiko sebagai berikut :

1. Business Risk ( Resiko Bisnis ),resiko yang dapat

memungkinkan bahwa organ isasi tidak akan mencapai tujuan

bisnis secara ob jektif. Faktor eksternal dan in ternal ikut

mempengaruhi resiko ini.

2. Audit Risk ( Resiko Audit ), kemungk inan auditor eksternal

membuat kesalahan ketika mengeluarkan pendapat dalam

membuktikan kewajaran suatu laporan keuangan atau auditor

IT gagal dalam mengungkapkan kesalahan yang bersifat

material. Merupakan gabungan dari beberapa resiko yaitu

Inherent Risk ( Resiko bawaan ), Control Risk ( Resiko

Pengendalian ), Detection Risk (Resiko deteksi).

3. Security Risk ( R esiko Keamanan ), resiko yang berkaitan

dengan akses data dan integritas data. Data akses berhubungan

dengan akses yang tidak berwenang yaitu Physical atau

logical. Data integritas adalah kehandalan dan konsistensi data

di dalam sistem manajemen data organisasi.

4. Continuity Risk ( Resiko Berkelanjutan ), resiko yang

berhubungan dengan ketersediaan sistem infomasi, backup dan

66  

proses pemulihan. Ketersediaan diartikan sebagai keamanan

untuk memastikan bahwa sistem informasi selalu dapat diakses

oleh pengguna. Prosedur Backup dan recovery memastikan

bahwa kasus gangguan berkelan jutan, tersedia p rosedur untuk

proses restore dan pengoperasian data.

2.6 Metode Pengumpulan Data

Menurut Sugiyono (2008, h194-203), terdapat 3 teknik metodologi

pengumpulan data :

1. Interview (Wawancara), merupakan teknik pengumpulan data,

apabila peneliti ingin melakukan studi pendahuluan untuk

menemukan permasalahan yang harus diteliti, dan juga apabila

peneliti ingin mengetahui hal-hal dari responden yang lebih

mendalam dan jumlah respondennya sedikit/kecil. Wawancara dapat

dilakukan secara terstruktur maupun tidak terstruktur, dan dapat

dilakukan melalu i tatap muka ( face to face) maupun dengan

menggunakan telpon.

2. Kuesioner (Angket), merupakan teknik pengumpulan data yang

dilakukan dengan cara member seperangkat pertanyaan atau

pertanyaan tertulis kepada responden untuk dijawabnya. Kuesioner

cocok digunakan b ila sejumlah responden cukup besar dan tersebar di

wilayah yang luas, dapat berupa pertanyaan/pertanyaan tertutup atau

terbuka, dapat diberikan kepada responden secara langsung atau

dikirim melalui pos atau internet.

67  

3. Observasi, sebagai teknik pengumpulan data mempunyai ciri yang

spesifik bila dibandingkan dengan teknik yang lain. Observasi

digunakan b ila, penelitian berkenaan dengan perilaku manusia, proses

kerja, gejala-gejala alam dan bila responden yang diamati tidak terlalu

besar.

2.7 Pengertian Struktur Organisasi

Menurut Wursanto (2005,p108-129), “ Susunan hubungan antar

satuan-satuan organisasi, jabatan-jabatan, tugas-tugas, wewenang dan

penanggungjawaban- pertanggung jawaban dalam organ isasi disebut struktur

organisasi”. A gar struktur organ isasi tampak jelas, mudah dilihat, mudah dan

cepat dibaca oleh siapapun,struktur organisasi perlu digambar dalam sebuah

gambaran grafis yang dinamakan bagan organisasi. “Bagan organisasi adalah

gambaran struktur organisasi yang ditunjukkan dengan kotak-kotak atau

gar is-garis yang d isusun menurut kedudukan yang masing-masing memuat

fungsi tertentu dan satu sama lain dihubungkan dengan garis-gar is saluran

wewenang”.