bab 2 landasan teori 2.1 sistem informasi akuntansi 2.1.1...
TRANSCRIPT
9
BAB 2
LANDAS AN TEORI
2.1 Sistem Informasi Akuntansi
2.1.1 Pengertian Sistem Informasi Akuntansi
Menurut Rama dan Jones (2006,p5), “The accoun ting
information system is a subsystem of an MIS tha t provides accoun ting
and financial information,as well as other information obtained in the
routine processing of accounting transactions”. Sistem informasi
akuntansi adalah bagian dari sistem informasi manajemen yang
menyediakan informasi akuntansi dan keuangan, sebagaimana
informasi lainnya yang terdapat pada proses rutin transaksi akuntansi.
Sistem Informasi Akuntansi menurut Romney dan Steinbart
(2006,p6), “An Accounting Information System (AIS) is a system that
collects,records,stores,and processes data to produce information for
decision makers”. Sistem informasi akuntansi adalah sistem yang
mengumpulkan, mencatat, meny impan dan memproses data untuk
menghasilkan informasi bagi para pengambil keputusan.
Jadi, berdasarkan uraian diatas maka dapat disimpulkan bahwa sistem
informasi akuntansi adalah sistem yang mengumpulkan, mencatat,
menyimpan, dan memproses data yang diperoleh dar i p roses rutin atas
transaksi-transaksi akuntansi menjadi informasi keuangan yang
berguna bagi para pengambil keputusan.
10
2.1.2 Kegunaan Sistem Informasi Akuntansi
Menurut Rama dan Jones (2006,p6-7), sistem informasi akuntansi
berguna untuk:
1. Menghasilkan laporan eksternal
Perusahaan menggunakan sistem informasi akuntansi untuk
menghasilkan laporan-laporan khusus untuk memuaskan
kebutuhan informasi bagi investor , kreditor, pengumpul
pajak, agen pemerintah, dan lain lain.
2. Mendukung aktivitas rutin
Manajer membutuhkan sistem informasi akuntansi untuk
menangan i aktivitas rutin dalam siklus operasi perusahaan.
3. Mendukung pengambilan keputusan
Informasi juga dibutuhkan dalam pengambilan keputusan yang
tidak rutin oleh seluruh tingkat organ isasi.
4. Perencanaan dan pengendalian
Sistem informasi membutuhkan aktivitas perencanaan dan
pengendalian karena sistem informasi menyimpan informasi
mengenai anggaran dan biaya, dan merancang laporan untuk
membandingkan anggaran tersebut dengan jumlah aktual
biaya yang dikeluarkan.
5. Melaksanakan pengendalian internal
Yang termasuk dalam pengendalian internal adalah peraturan-
peraturan, prosedur-p rosedur, dan sistem informasi digunakan
untuk melindungi aset perusahaan dari kehilangan atau
pencurian dan untuk memelihara data keuangan agar tetap
11
akurat. Untuk dapat mencapai tujuan-tujuan tersebut,
pengendalian internal dapat dibangun atau dilakukan pada
sistem informasi akuntansi.
2.1.3 Tujuan Sistem Informasi Akuntansi
Menurut Vaassen (2002), “AIS studies the structuring and
operation of planning and control processes which are aimed out at:
(Sistem informasi akuntansi mempelajari struktur dan operasi dari
perencanaan dan p roses pengendalian yang d itujukan pada : )
1. Providing information for decision making and accountability
to internal and external stakeholders that complies with
specified quality criteria.
Yang artinya menyediakan informasi untuk pembuatan
keputusan dan akuntabilitas kepada pemegang saham in ternal
dan eksternal yang memenuhi kr iteria dengan kualitas khusus.
2. Providing the right conditions for sound decision making.
Yang artinya menyediakan kond isi yang tepat dalam
pembuatan keputusan.
3. Ensuring that no assets illegitimately exit the organization.”
Yang artinya meyakinkan bahwa tidak ada asset yang keluar
dari organisasi tanpa ijin.
12
2.1.4 Transaksi Sistem Informasi Akuntansi
Menurut Jones dan Rama (2006,p4), jenis-jenis transaksi dalam
sistem informasi akuntansi dibagi men jadi tiga (3) yaitu :
1. An aquasition (purchasing) cycle
“the process of purchasing and paying for goods or services”.
Yang artinya siklus aquisision adalah proses pembelian barang
dan service dan pengeluaran kas.
2. A conversion cycle
“the process of transforming aquired into goods and
services”.
Yang artinya siklus konversi adalah suatu proses dalam
mengubah barang setengah jad i men jadi barang jadi.
3. A revenue cycle
“the process of providing goods or services to customers ad
collecting cash”.
Yang artinya siklus penerimaan adalah suatu p roses yang
member ikan barang atau jasa dari penjualan ke konsumen dan
penerimaan kas.
13
2.1.5 Siklus Transaksi Sistem Informasi Akuntansi
Menurut Jones dan Rama (2006,p19), siklus p roses transaksi sistem
informasi akuntansi adalah :
1. Siklus akusisi (pembelian) mengacu pada p roses ini dari
pembelian barang dan jasa.
2. Siklus konveksi mengacu pada p roses dari transformasi dar i
bahan baku menjad i barang jadi atau jasa.
3. Siklus pendapatan mengacu pada p roses dari menyediakan
barang-barang dan jasa kepada konsumen.
2.1.6 Komponen Sistem Informasi Akuntansi
Menurut Romney dan Steinbart (2006,p6-7) , terdapat 6 komponen
dalam suatu sistem informasi akuntansi adalah :
1. “The people who operate the system and perform various
functions.”
Yang artinya manusia yang mengoperasikan sistem dan
melakukan berbagai fungsi.
2. “The procedures and instructions, both manual and
automated, involved in collecting, processing, and storing
data about the organization’s activities.”
Yang artinya prosedur dan instruksi, manual dan otomatis,
terlibat dalam mengumpulkan, memproses, dan meny impan
data mengenai aktivitas organisasi.
14
3. “The data about the organization and its business process”
Yang artinya data mengenai organ isasi dan p roses bisnis.
4. “The software used to process the organization’s data.”
Yang artinya software digunakan untuk memproses data
organisasi.
5. “The information technology infrastructure, including
computers, peripheral devices, and network communications
devices used to co llect, store, process, and transmit data and
information.”
Yang artinya infrastruktur Teknologi Informasi, termasuk
komputer, alat tambahan, dan alat komunikasi jar ingan yang
digunakan untuk mengumpulkan, meny impan, memproses,
dan menyalurkan data dan informasi.
6. “The internal controls and security measures that safeguard
the data in the AIS.”
Yang artinya pengendalian internal dan keamanan mengukur
keamanan data dalam sistem informasi akuntansi.
2.2 General Ledger
2.2.1 Pengertian General Ledger
Menurut M oscove, Simkin dan Barranoff ( 2001, p103 ) ,
General Ledger adalah kumpulan informasi moneter yangd detail
mengenai asset, kewajiban, modal pemilik, pendapatan dan beban dari
organisasi.
15
Dokumen-dokumen transaksi yang sudah dicatat sebelumnya,
baik dalam jurnal umum maupun jurnal khusus kemudian
dip indahkan kedalam buku besar (General Ledger) sesuai dengan
kelompok rekening dan nomor perkiraannya. Pada dasarnya fungsi
buku besar adalah untuk mengetahui total saldo pada masing-masing
rekening yamg nantinya akan dip indahkan ke neraca saldo secara satu
persatu tiap -tiap rekening.
2.2.2 Proses General Ledger
Menurut Gelinas ( 2008, P 574 ) Proses General Ledger terdir i
dari:
a) Mengakumulasi data, klasifikasi data berdasarkan akuntansi
General Ledger , dan menyimpan data pada akun-akun
tersebut.
b) Mengisi Laporan Keuangan, Laporan Bisnis, dan Laporan
Subsistem dengan menyediakan informasi yang dibutuhkan
untuk meny iapkan laporan internal dan eksternal.
2.2.3 Aktivitas yang ada pada General Ledger
Menurut Romney dan Steinbart ( 2006, p525-528 ), aktivitas
yang ada pada General Ledger adalah :
1. Up Date
2. Memposting Jurnal Penyesuaian
16
3. Menyiapkan Laporan Keuangan
4. Menghasilkan Laporan M anajerial
2.3 Konsep Dasar Evaluasi Sistem Informasi
2.3.1 Konsep Dasar Evaluasi
Davies mengemukakan bahwa evaluasi merupakan proses
sederhanan memberikan /menetapkan nilai kepada sejumlah tujuan,
kegiatan, keputusan, unjuk-kerja, p roses orang, objek, dan masih
banyak yang lainnya. Sedangkan Wand dan Brown mengemukakan
bahwa evaluasi adalah suatu p roses untuk menentukan nilai dari
sesuatu.
Pengertian evaluasi lebih d ipertegas lagi dengan batasan
sebagai p roses memberikan atau menentukan n ilai kepada ob jek
tertentu berdasarkan suatu kriteria tertentu. (Nana Sudjana, 1990:30).
Dengan batasan-batasan sebelumnya, dapat disimpulkan bahwa
evaluasi secara umum dapat diartikan sebagai p roses sistematis untuk
menentukan nlai sesuatu,( tujuan, kegiatan, keputusan, unjuk kerja,
proses, orang, objek, dan lain- lain) berdasarkan kriteria tertentu
melalui penilaian. Untuk menentukan nilai sesuatu dengan cara
membandingkan dengan kriteria, evaluator dapat langsung
membandingkan dengan kriteria namun dapat pula melakukan
pengukuran terhadap sesuatu yang dievaluasi kemudian baru
membandingkannya dengan kriteria. Dengan demikian evaluasi tidak
17
selalu melalui proses mengukur baru melakukan proses menilai tetap i
dapat pula evaluasi langsung melalui penilaian saja.
2.3.2 Konsep Dasar Sistem
Suatu sistem adalah suatu kesatuan yang terdir i dari dua
komponen atau lebih, atau subsistem yang berinteraksi untuk
mencapai suatu tujuan. Suatu sistem mempunyai karakteristik atau
sifat-sifat tertentu yaitu mempunyai komponen-komponen, batas
sistem, lingkungan luar sistem, penghubung, masukan, keluaran,
pengolah, dan sasaran / tujuan.
Bentuk dasar suatu sistem sangat sederhana, terdiri dari
masukan, pengolah dan keluaran.
Masukan M engolah Keluaran
Pada kondisi tersebut, sistem tersebut tidak menunjukan
adanya kendali, padahal untuk menjaga kelangsungan suatu sistem
perlu adanya kendali, sistem pengendalian tersebut dapat berupa
umpan balik, umpan maju, atau pencegahan. Dengan adanya
pengendalian, suatu sistem dapat berkembang menjadi semakin baik.
2.3.3 Konsep Dasar Informasi
Kelangsungan hidup suatu organisasi sangat bergantung pada
kelancaran informasi yang diperoleh. Semakin banyak informasi yang
18
didapat, suatu organisasi dapat semakin berkembang. Sebaliknya bila
suatu organisasi tidak mendapat informasi, organisasi tersebut tidak
akan dapat berkembang.
Informasi adalah hasil dari pengo lahan data dalam suatu
bentuk yang leb ih berguna dan lebih berarti bagi penerimanya.
Informasi ini menggambarkan suatu kejadian nyata yang digunakan
untuk pengambilan keputusan. Sumber dari informasi adalah data,
yang dapat berbentuk simbol, huruf, alphabet, angka, suara sinyal,
gambar-gambar, dan sebagainya. Data adalah kenyataan yang
menggambarkan suatu kejadian dan kesatuan yang nyata.
Siklus Informasi
Data diolah melalu i suatu model menjad i informasi, kemudian
penerima informasi tersebut membuat suatu keputusan dan melakukan
tindakan, yang berarti menghasilkan suatu tindakan yang lain yang
akan membuat sejumlah data kembali. Data tersebut selanjutnya akan
diterima sebagai input dan dip roses kembali lewat suatu model,
demikian seterusnya akan membentuk suatu siklus.
Berkaitan dengan penyediaan informasi bagi manajemen
dalam pengambilan keputusan, informasi yang diperoleh harus
berkualitas.
Kualitas informasi tergantung dari tiga hal yaitu :
1. Akurat, bebas dari kesalahan, tidak bias atau menyesatkan.
2. Tepat waktu, informasi yang disampaikan tidak terlambat.
19
3. Relevan, informasi mempunyai manfaat untuk pemakainya.
2.3.4 Konsep Dasar Sistem Informasi
Sistem Informasi dapat didefinisikan sebagai suatu sistem di
dalam suatu organisasi. Organ isasi merupakan kombinasi dar i orang-
orang, fasilitas, teknologi, med ia, p rosedur dan pengendalian yang
ditujukan untuk mendapatkan jalur komunikasi penting. Selanjutnya
akan digunakan untuk memproses tipe transaksi rutin tertentu,
member sinyal kepada manajemen dan yang lainnya tentang kejad ian-
kejadian internal dan eksternal yang penting. Di samping itu juga
bertujuan menyediakan suatu dasar informasi untuk pengambilan
keputusan yang tepat.
Dengan berkembangnya teknologi informasi, sistem informasi
dari suatu badan usaha tidak akan terlepas dari masalah komputerisasi
yang dilakukan oleh badan usaha tersebut.
Kompleksitas dan keandalan perangkat dan sumber daya
manusia yang mengelola komputer, sangat berpengaruh terhadap
kualitas informasi yang d ihasilkan. Hal ini secara otomatis
berpengaruh pula bagi pengambilan keputusan oleh manajemen.
20
2.4 Audit Sistem Informasi
Sejalan dengan kemajuan di bidang teknologi informasi, hampir setiap
badan usaha menerapkan sistem komputerisasi di berbagai kegiatan. Hal ini
sangat membantu kelancaran perusahaan, baik dar i sisi operasional seperti
otomatisasi kegiatan p roduksi atau bagi manajemen dalam upaya memperoleh
informasi yang akurat, tepat waktu dan relevan. Informasi ini akan sangat
berpengaruh terhadap setiap keputusan yang diambil o leh manajemen.
Kesalahan dalam pengambilan keputusan dapat membawa dampak yang sangat
besar bagi kelangsungan badan usaha. Dengan komputerisasi di berbagai
bidang kegiatan akan membawa dampak terhadap kegiatan pemeriksaan atau
audit, baik secara langsung maupun tidak langsung. Perubahan cara
pembukuan dari manual menjad i komputerisasi menyebabkan perubahan
seperti :
1. Dokumen dari bentuk kertas menjadi non visual
2. Sebagian besar data yang akan d ianalisa tersimpan dalam file yang
berupa disket, pita magnetik atau tape
3. Cara pemeriksaaan secara tradisional/manual memer lukan banyak
waktu dan tenaga. Sebaliknya, pemeriksaan dengan cara
komputerisasi jauh lebih ef isien
4. Bagi auditor sendiri, bila ntidak memahami masalah komputer maka
dapat menyebabkan hasil audit tidak optimal
Dengan perubahan-perubahan tersebut auditor dituntut untuk memahamin
konsep dan sistem komputerisasi yang dilaksanakan oleh objek, sehingga hasil
audit akan mencapai sasaran.
21
2.4.1 Pengertian Audit Sistem Informasi
Menurut Alberts dan Dorofee (2003,p6), “Information systems
audit are independent appraisals of a company’s internal controls to
assure management, regulatory authorities, and company
shareholders that information is accurate and valid”. Audit sistem
informasi adalah penilaian independen atas pengendalian internal
suatu perusahaan yang dilakukan untuk meyakinkan p ihak
manajemen, pemerintah, dan para pemegang saham bahwa informasi
yang ada adalah akurat dan benar.
Menurut Gondodiyoto (2006,p385), yakni bahwa audit sistem
informasi berbasis teknologi informasi adalah proses pengumpulan
dan penilaian bahan bukti audit untuk dapat menentukan apakah
sistem informasi perusahaan telah menggunakan sumber daya
informasi secara tepat dan mampu mendukung pengamatan aset
tersebut, memelihara kebenaran dan integritas data dalam pencapaian
tujuan perusahaan secara efektif dan efisien.
Berdasarkan uraian diatas, dapat disimpulkan bahwa audit
sistem informasi adalah penilaian independen atas pengendalian
internal suatu perusahaan yang dilakuakn untuk menentukan apakah
sistem komputer yang ada member ikan jaminan keamanan terhadap
asset, integritas data, pencapaian tujuan organisasi secara efektif, dan
juga penggunaan sumber daya secara efisien.
22
2.4.2 Tujuan Audit Sistem Informasi
Menurut Romney dan Steinbart (2006,p316), “The purpose of
an information systems audit is to review and evaluate the in ternal
controls that protect the system”. Tujuan dari aud it sistem informasi
adalah untuk mengkaji ulang dan mengevaluasi pengendalian-
pengendalian internal yang diterapkan untuk melindungi sistem yang
ada.
2.4.3 Jenis-Jenis Audit Sistem Informasi
Berdasarkan atas sasaran pemer iksaan, jenis-jenis audit
dibedakan antara lain :
a. Financial Audit
Audit laporan keuangan memeriksa apakah balance sheet,
income statement, cash flow, dan statement of equity telah
disajikan dengan wajar. Tidak kesalahan materialitas, serta
sesuai dengan standar akuntansi keuangan.
b. Management Audit
Audit manajemen ser ingkali diartikan sama dengan audit
operasional. Pengertian sederhana dar i audit manajemen
adalah investigasi dari suatu organisasi dalam semua aspek
kegiatan manajemen dari yang paling tinggi sampai dengan ke
bawah dan pembuatan laporan audit mengenai efektifitasnya
atau dari segi profitabilitas dan efisiensi kegiatan bisnisnya.
Sedangkan pengertian sederhana aud it operasional adalah
23
uraian aktifitas perusahaan yang sistematis dalam
hubungannya dengan tujuan untuk melihat,
mengidentifikasikan peluang perbaikan, atau mengembangkan
rekomendasi untuk perbaikan. Jelas kedua pengertian serupa
karena pemeriksaan manajemen dilakukan saat manajemen
beroperasi.
c. Compliance Audit
Audit ketaatan mencakup hakikat dan ruang lingkup transaksi
yang perlu dievaluasi apakah kepatuhan p rosedur sudah ditaati
dan tingkat kepatuhan pada p rosedur dan aturan
d. Special Audit / Investigation
Audit Investigasi merupakan bagian dari manajemen kontrol
yang dilaksanakan dalam kegiatan internal audit, di samping
audit lainnya, seperti audit keuangan dan audit kepatuhan atau
complience audit. Dalam tata cara pemeriksaan dan sifat
pemeriksaannya, audit investigasi lebih dikenal dengan istilah
fraud audit atau pemeriksaan kecurangan. Fraud audit adalah
kombinasi aspek audit forensik/investigasi forensik/uji
menyeluruh semua materi pemeriksaan dengan teknik internal
kontrol dalam tata cara internal audit.
2.4.4 Tugas Auditor Sistem Informasi
Setiap auditor sistem informasi harus selalu berusaha
meningkatkan, mengembangkan, dan menerapkan teknik-teknik yang
24
lebih maju, seh ingga akan berpengaruh terhadap hasil audit yang pada
akhirnya bepengaruh pula pada bidang akuntansi dan pengelolaan
keuangan bagi unti EDP maupun internal auditor.
Tugas IS auditor dapat dikelompokkan men jadi empat bagian pokok,
yaitu :
a. Review terhadap pengembangan suatu sistem
Pada tahap pengembangan suatu sistem, auditor sistem
informasi melakukan review dan menguji perancangan sistem
atau system design untuk meyakini apakah dalam aplikasi
yang telah dimodifikasi atau sistem aplikasi yang barfu telah
memiliki pengendalian yang memadai. Selain itu auditor
sistem informasi juga melakukan tes terhadap sistem tersebut
serta menilai ketaatan terhadap prosedur pengembangan
sistem.
b. Review terhadap data center
Review data center meliputi evaluasi struktur organisasi,
sumber daya manusia, standar pengembangan sistem, p rosedur
operasi, security, prosedur pengendalian p rogram dan data
library atau general control, communication network, backup,
dan prosedur disaster recovery.
25
c. Review terhadap sistem ap likasi
Masalah ini merupakan bagian yang dikonsultasikan oleh
auditor kepada auditor sistem informasi, meliputi dua hal
pokok yaitu:
1. Programmed procedures, merupakan bagian dari
proses seperti fungsi logika dari suatu ap likasi.
2. User control procedur, meliputi pemisahan fungsi,
prosedur existing apakah sudah mendapat persetujuan
manajemen, serta pertanggungjawaban pekerjaan.
Pengendalian tidak berjalan apabila suatu exep tion
report dari suatu p rogram tidak segera d itindaklanjuti.
Prosedur audit yang dilaksanakan untuk
mereview sistem ap likasi meliputi evaluasi
pengendalian sistem komputer, testing untuk meyakini
apakah pengendalian berjalan dengan baik dan
konsisten serta melakukan tes untuk meyakini
kebenaran, keakuratan dan kelengkapan hasil
pemrosesan data dan laporan. Evaluasi efektifitas dari
sistem tersebut digunakan untuk menilai apakah sudah
sesuai dengan tujuan manajemen.
d. Membantu auditor non audit sistem informasi
Bantuan yang diberikan kepada internal aud itor
meliputi perolehan dan analisa data, pembuat format laporan
26
dan analisa, evaluasi pengendalian intern dar i suatu sistem
komputer, extract data dari file existing dengan menggunakan
audit software, penelitian terhadap tidak konsistennya hasil
proses komputer. Bantuan yang diberikan kepada eksternal
auditor pada dasarnya sama dengan internal auditor, yaitu
bertujuan untuk bekerjasama dalam rangka mencapai efisiensi
audit.
Bantuan lainnya adalah member ikan pelatihan bagi
auditor non IS audit mengenai konsep Elektronik Data
Processing, prosedur dan metode audit sistem informasi, serta
menggunakan keahliannya untuk mengkoordinasikan kegiatan
administrasi maupun performansi kegiatan audit melalui EDP.
2.4.5 Beberapa Hal Yang Perlu Diperhatikan Dalam Pelaksanaan
Audit Sistem Informasi
Untuk melaksanakan audit sistem informasi, aud itor harus
memahami beberapa hal mengenai sistem informasi berbasis
komputer yang berkaitan dengan objek yang diperiksa, yaitu :
a. Luas pemakaian komputer dalam setiap aplikasi.
Semakin besar klegiatan atau aktivitas suatu badan usaha,
maka ap likasi yang digunakan juga semakin banyak.
Hubungan antar-aplikasi tersebut juga merupakan hubungan
antarlokasi yuang tidak hanya bersefat lokal tetap i juga
bersifat multinasional.
27
b. Kerumitan operasi komputer dari satuan usaha termasuk
pemakaian pusat jasa komputer dari luar.
c. Ketersediaan data
Dokumen yang dijadikan dasar pemasukan informasi ke dalam
komputer untuk diproses, seperti file komputer tertentu dan
bahan pembuktian lainnya mungkin hanya tersedia dalam atau
hanya dapat dibaca oleh komputer. Dalam beberapa sistem
komputer, dokumen-dokumen masukan mungkin sama sekali
tidak ada karena informasi langsung d imasukkan ke dalam
sistem, Kebijakan peny impanan data pada satuan usaha
mungk in mengharuskan auditor yntuk meminta wadah
penyimpanan informasi untuk keperluan tinjauan atau untuk
melaksanakan prosedur pemeriksaan ketika informasi tersebut
tersedia. Di samping itu informasi tertentu yang dihasilkan
komputer untuk tujuan internal manajemen mungkin
bermanfaat dalam pelaksanaan pengu jian substantif.
d. Penggunaan teknik-teknik audit yang dibantu komputer untuk
meningkatkan efisiensi pelaksanaan audit.
Auditor harus mempertimbangkan apakah keterampilan
khusus diperlukan untuk menilai pengaruh pemrosesan
komputer terhadap pemeriksaan, untuk memahami arus
transaksi, untuk memahami sifat p rosedur pengendalian
akuntansi atau merancang dan melaksanakan p rosedur
pemeriksaan. Jika keterampilan tersebut diperlukan, aud itor
28
harus mengupayakan bantuan tenaga ahli yang memiliki
keterampilan semacam itu baik yang berasal dari staf aud itor
sendiri maupun dari luar. Jika penggunaan tenaga ahli seperti
itu direncanakan, auditor sendiri maupun dari luar. Jika
penggunaan tenaga ahli seperti itu direncanakan, auditor harus
memiliki pengetahuan yang cukup mengenai komputer untuk
mengkomunikasikan tujuan-tujuan pekerjaan tenaga ahli
lainnya. Selanjutnya akan dipakai untuk mengevaluasi apakah
prosedur yang ditetapkan akan memenuh i tujuan auditor, dan
untuk mengevaluasi hasil p rosedur yang tidtreapkan dalam
kaitannya dengan sifat, waktu, dan luas p rosedur
pemeriksaan lainnya yuang direncanakan. Tanggung jawab
pemakaian tenaga ahli tersebut sama dengan tanggung jawab
atas asistennya.
2.4.6 Metode Audit Sistem Informasi
Menurut Gondodiyoto (2007,p 451), dalam melakukan audit
sistem informasi dapat dilakukan dengan tiga pendekatan :
1. Audit disekitar komputer (Audit Around The Computer)
Dalam pendekatan ini, auditor dapat melangkah pada
perumusan pendapat hanya dengan menelaah struktur
pengendalian dan melaksanakan pengujian transaksi dan
prosedur verifikasi saldo perkiraan dengan cara sama seperti
pada sistem manual. Auditor tidak perlu mengu ji pengendalian
29
sistem informasi berbasis komputer klien (yaitu terhadap file,
program data d i dalam komputer), melainkan cukup terhadap
input dan output sistem informasi saja.
Keunggulan menggunakan pendekatan ini adalah :
a. Pelaksanaan auditnya lebih sederhana.
b. Auditor yang memiliki pengetahuan minimal dibidang
komputer dapat dilatih dengan mudah untuk
melaksanakan aud it.
Kelemahannya adalah jika lingkungan berubah, Kemungkinan
sistem itu akan berubah dan perlu penyesuaian sistem atau
program-programnya, bahkan mungk in struktur data, sehingga
auditor tidak dapat menilai/menelaah apakah sistem masih
berjalan dengan baik.
2. Audit melalui komputer ( Audit Through the Computer )
Dalam pendekatan ini, auditor melakukan pemeriksaan
langsung terhadap program-program dan file komputer yang
ada pada aud it sistem informasi berbasis komputer. Auditor
menggunakan bantuan software komputer atau dengan cek
logika atau listing program untuk menguji logika p rogram
dalam rangka pengu jian pengendalian yang ada dalam
komputer. Selain itu, auditor juga dapat meminta penjelasan
dari para teknisi komputer mengenai spesifikasi sistem dan
program yang diperiksanya.
30
Keunggulan menggunakan pendekatan ini adalah :
a. Auditor dapat menilai kemampuan sistem komputer
tersebut untuk menghadap i perubahan lingkungan.
b. Auditor memperoleh kemampuan yang besar dan
efektif dalam melakukan pengu jian terhadap sistem
komputer.
c. Auditor akan merasa lebih yakin terhadap kebenaran
hasil kerjanya.
Kelemahannya adalah pendekatan ini memer lukan biaya yang
besar dan memerlukan tenaga ah li yang terampil.
3. Audit dengan komputer (Audit With The Computer )
Pendekatan ini dilakukan dengan menggunakan komputer dan
software untuk mengotomatisasi prosedur pelaksanaan audit.
Pendekatan ini merupakan cara audit yang sangat bermanfaat,
khususnya dalam pengujian substantif atas file dan record
perusahaan. Software audit yang digunakan merupakan
program komputer auditor untuk membantu dalam pengujian
dan evaluasi kehandalan data, file atau record perusahaan.
Keunggulan menggunakan pendekatan ini adalah :
a. Merupakan p rogram komputer yang diproses untuk
membantu pengujian pengendalian sistem komputer
klien itu sendiri.
31
b. Dapat melaksanakan tugas audit yang terpisah dari
catatan klien yaitu dengan mengambil copy data atau
file untuk di test dengan komputer lain.
Kelemahannya adalah upaya dan biaya untuk pengembangan
relatif besar.
2.4.7 Matriks Proses Audit Sistem Informasi
Menurut Gondodiyoto (2009,p267-271), p roses audit diakhiri
dengan evaluasi kinerja tiap-tiap auditor anggota tim. Untuk
mempermudah proses dokumentasi dan evaluasi dapat disusun suatu
formulir berbentuk tabel atau matriks, katakanlah disebut Formulir
Kinerja Audit, adalah :
1. Formulir Checklist Penugasan
Segera setelah dimulainya penugasan aud it, dibentuk tim, dan
proyek atau penugasan tersebut diberi nomor kode, misalnya
terdiri dari 5digit: 2digit pertama kode tahun dan 3digit
berikutnya adalah angka nomor urut tugas dalam tahun
tersebut. Langkah pertama berikutnya ialah dibuat/diisi
formulir checklist penugasan. Formulir ini digunakan untuk
kontrol dan disimpan pada lembar pertama berkas kertas kerja
pemeriksaan. Formulir ini harus dapat digunakan untuk
memonitor atau mengecek bahwa setiap langkah dalam audit
yang diperlukan telah dilaksanakan.
32
2. Log Kinerja Audit
Untuk memonitor penugasan aud it, perlu disusun daftar
penugasan (log) yang dikelo la o leh Bagian Administrasi atau
Tatausaha DAI. Formulir tersebut terdiri dari kolom-ko lom
yang berisi: tahun, nomor kode penugasan audit, tanggal
dimulainya penugasan, status penugasan (on progress atau
sudah selesai) dan jika sudah selesai isikan tanggal selesainya
penugasan pada kolom ber ikutnya.
3. Notifikasi (Surat Pemberitahuan) Audit
Sebelum dilakukannya kegiatan audit, maka terlebih dahulu
perlu dibuat notifikasi kepada auditan. Sudah tentu ada
pengecualian, misalnya jika yang akan diaudit adalah Kas atau
petty cash accoun t, maka biasanya audit dilakukan dengan a
surprise basis. Selain ada kalanya surat pemberitahuan
menjad i pemicu bagi auditan untuk segera memperbaiki
adanya kelemahan-kelemahan yang mungkin dapat menjadi
temuan negatif audit, semata-mata atau hanya dipersiapkan
berkaitan adanya rencana audit. Dalam hal ini tentu saja audit
tidak tercapai dalam hal untuk mengidentifikasikan kegiatan
lapangan dengan aturan (ketidakpatuhan), atau adanya
ketidakhematan, atau adanya resiko yang kontrolnya kurang
memadai.
4. Survei Pendahuluan
Tujuan survei pendahuluan (preliminary survey) dalam
prosedur audit ialah untuk memperoleh pemahaman awal
33
bidang yang diaudit (yang nantinya akan diperiksa lebih
mendetail) khususnya yang berkaitan dengan resiko dan
penilaiannya (risk assessment), serta untuk p roses p lanning.
Hal ini disesuaikan dengan standar p rofesional akuntan publik
maupun standar audit internal IIA.
2.4.8 Pengendalian Mutu Audit Sistem Informasi
Menurut Gondodiyoto (2009,p283), dalam proses audit fungsi
member ikan kredibilitas pekerjaan aud itor bukanlah aud itor saja.
Tetapi adanya aturan tertentu yang harus dipatuhi auditor agar
pekerjaanya bermutu. Pengendalian mutu audit mencakup metode-
metode yang digunakan untuk menjamin auditor agar memenuhi
tanggung jawab p rofesional. Pengendalian mutu bertujuan untuk
meyakinkan bahwa standar audit yang telah ditetapkan diikuti dalam
setiap langkah aud it dan menjaga agar standar audit diterapkan secara
konsisten. AICPA, dalam Statemen t on Quality Controls Standards
No.1 mengidentifikasikan sembilan elemen pengendalian mutu audit
meliputi : independent, assigning personnel to engagements,
consultation, supervision, hiring, professional development,
advancement, acceptance and continuance of clients, dan inspections.
2.4.9 Tahapan Audit Sistem Informasi
Menurut Hunton (2004,p208-212), p roses tahapan audit
meliputi : perencanaan(p lanning), penaksiran risiko(risk assement),
34
pengembangan audit p rogram (development of aud it program),
pengumpulan bukti (gathering evidence) , pernyataan kesimpulan
(forming conclusions), pernyataan pendapat audit (preparing the audit
opinion), and pengkajian ulang ( following up).
Bagan Tahapan Audit Sistem Informasi adalah :
1. Planning
Langkah pertama melibatkan perencanaan proyek audit TI,
dalam hal ini berarti menentukan resiko bawaan pada audit
(inherent risk), menjalin hubungan dengan klien dan
lingkungan dimana klien beroperasi, dan membuat rencana
tahapan audit, meliputi staf yang akan mengaudit dan
bagaimana aud it akan dilakukan.
Standar ISACA 050.010, “Audit Planning”,
menyatakan: “Sistem Informasi auditor membuat kerangka
kerja mengenai ruang lingkup audit dan tujuan audit
berdasarkan standar audit yang ber laku.”
ISACA Guideline 050.010.020 memberikan panduan
perencanaan yang leb ih spesifik. Per the guideline, auditor
harus mengikuti standar yang berlaku selama proses
perencanaan,yaitu:
a) Auditor akan menentukan ruang lingkup dan tujuan
pengendalian audit
35
b) Melakukan penaksiran pengendalian yang berhubungan
dengan proses yang akan d iaudit oleh auditor
c) Memahami organisasi dan bisnis keuangan dan resiko,
serta masalah-masalah yang dihadap i oleh industri atau
klien
d) Mengidentifikasi sejauh mana klien bergantung pada
outsourcing.
e) Auditor akan mengembangkan audit p rogram yang
berisi p rosedur audit yang spesifik selama p roses audit
berlangsung.
f) Mengembangkan rencana audit secara keseluruhan
g) Dokumen kertas kerja audit dengan rencana audit dan
program audit dan dokumentasi lain diperlukan untuk
memahami p roses bisnis klien dan lingkungan
operasinya.
2. Risk Assessment
Penilaian resiko merupakan komponen penting bagi auditor
dalam mengaudit teknologi informasi. Banyak auditor
menggunakan pendekatan audit berbasiskan risiko dalam
melakukan audit. Auditor harus memahami apa yang salah
dalam sistem dengan menggunakan penaksiran resiko.
Penilaian resiko membutuhkan auditor yang memahami klien,
industri dan lingkungan dimana klien beroperasi dan proses
bisnis klien. Tanpa pemahaman, maka auditor akan gagal
36
dalam mengidentifikasi resiko yang ada pada bisnis proses
klien.
3. Prepare Audit Program
Tidak ada standar audit p rogram bagi auditor IT, namun pada
umumnya audit program meliputi:
a) Ruang lingkup audit
b) Tujuan audit
c) Prosedur audit
d) Administrasi secara r inci seperti perencanaan dan
laporan
Audit p rogram harus didokumentasikan dalam kertas
kerja yang berfungsi sebagai pedoman dalam melaksanakan
audit. Setelah audit selesai, aud it p rogram akan memberikan
dokumentasikan mengenai siapa yang diaudit, sebagai
referensi kertas ker ja dimana hasil setiap test dan langkah audit
bisa dilihat.
4. Gathering Evidence
Tujuan kerja lapangan adalah mengumpulkan “..cukup , dapat
diandalkan, dan bukti-bukti yang berguna untuk mencapai
tujuan audit secara efektif. Temuan audit dan kesimpulan yang
didukung dengan analisis dan interp retasi yang tepat (ISACA
Standard 060.020,”Ev idence”).
37
ISACA gu ideline 060.020.030 mengidentifikasikan beberapa
tipe bukti bagi auditor IT yang akan dikumpulkan sebagai
bagian dar i kerja lapangan, meliputi:
a. Proses pengamatan pada barang-barang fisik seperti
pengoperasian komputer dan p rosedur backup.
b. Dokumentasikan bukti seperti program pengubahan
password, hak akses, hak otoritas.
c. Dapatkan gambaran seperti flowchart, narasi dan
kebijakan tertulis dan p rosedur.
d. Analisa p rosedur CAATs (Computer Assisted Audit
Techniques) pada file data.
5. Forming Conclusions
Setelah bukti audit dikumpulkan, maka aud itor mengevaluasi
bukti dan bentuk kesimpulan apakah tujuan audit telah dapat
dipenuhi dan kecukupan p rosedur audit yang dilakukan dalam
mencapai suatu op ini audit secara keseluruhan. Auditor akan
mengidentifikasi kondisi laporan yang mengacu pada situasi
yang mengambarkan kelemahan pengendalian. Laporan yang
mengambarkan kondisi b iasanya disusun dalam Management
Letter yang akan didiskusikan dengan komite audit dan klien.
6. Deliver Audit opin ion
Di dalam laporan audit, tidak ada standar buku yang digunakan
dalam penyusunan laporan audit. Poin-poin utama yang
38
terdapat pada laporan audit yang diberikan oleh ISACA
Guideline 070.010.010 antara lain:
a) Nama organisasi yang diaudit
b) Judul, tanda tangan dan tanggal
c) Tujuan audit
d) Ruang lingkup audit
e) Metodologi yang digunakan atau standar dan kriteria
yang digunakan o leh aud itor
f) Temuan yang diperoleh (findings)
g) Resiko yang berhubungan dengan temuan
h) Rekomendasi yang diberikan sehubungan dengan
temuan dan risiko
i) Kesimpulan akhir
7. Following Up
Tahap akhir dari tahapan audit IT adalah penindak lanjutan.
Setelah menyampaikan hasil audit kepada klien dan
member ikan op ini audit kepada klien, auditor akan membuat
ketentuan untuk melakukan langkah lebih lanjut dengan klien
setiap kondisi atau kekurangan d itemukan selama audit.
39
2.4.10 Standar Audit Sistem Informasi
Standar adalah a predetermined criteria, sesuatu yang
dijadikan ukuran baku, atau pedoman yang harus dijadikan acuan atau
referensi. Salah satu tujuan standarisasi adalah pembukuan untuk
kesamaan ukuran (misalnya ukuran mutu). Standar audit merupakan
pedoman bagi aud itor dalam menjalankan tanggung jawab
profesionalnya. Dalam audit sistem informasi, penulis menggunakan
standar COBIT (Control Objectives for Information and Rela ted
Technology) yang dikembangkan oleh IT Governance Institute
kemudian dipublikasikan oleh ISACA (Information System Audit and
Control Association). ISACA merupakan sebuah asosiasi p rofesional
dalam audit sistem informasi, pengendalian, keamanan dan
governance. ISACA yang beranggotakan auditor sistem informasi
internasional mempunyai fungsi sebagai sumber informasi, pihak
yang memberikan panduan-panduan p raktek bagi aud itor sistem
informasi serta menyediakan standar, panduan (guidelines) , dan
pedoman p rosedur audit (procedures).
Menurut Gondodiyoto dan Hendarti (2007,p153-154), CobIT
merupakan a set of best practices (framework) bagi pengelolaan
teknologi informasi (IT management) yang dapat membantu aud itor,
pengguna (user), dan manajemen, untuk men jembatani gap antara
resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI.
CobIT bermanfaat bagi auditor karena merupakan teknik yang dapat
membantu dalam identifikasi IT con trols issues. CobIT berguna bagi
para TI users karena memperoleh keyakinan atas kehandalan sistem
40
aplikasi yang dipergunakan. CobIT digunakan sebagai alat
komprehensif untuk menciptakan IT Governance pada suatu
perusahaan. CobIT mempertemukan dan menjembatani kebutuhan
manajemen dari celah atau gap antara resiko bisnis, kebutuhan kontrol
dan masalah-masalah teknis TI, serta menyediakan referensi best
business practice yang mencakup keseluruhan TI dan kaitannya
dengan proses bisnis perusahaan dan memaparkan dalam struktur
aktivitas-aktivitas logis yang dapet dikelola serta dikendalikan secara
efektif. Sumberdaya TI merupakan suatu elemen yang sangat disoroti
CobIT, termasuk pemenuhan kebutuhan bisnis yang merupakan
kriteria kerja dari CobIT meliputi :
1. Efektivitas
Untuk memperoleh informasi yang relevan dan berhubungan
dengan proses bisnis seperti penyampaian informasi dengan
benar, konsisten, dapat dipercaya dan tepat waktu.
2. Efisiensi
Memfokuskan pada ketentuan informasi melalui penggunaan
sumber daya yang op timal.
3. Kerahasiaan
Memfokuskan proteksi terhadap informasi yang penting dari
orang yang tidak memiliki hak otorisasi.
41
4. Integritas
Berhubungan dengan keakuratan dan kelengkapan informasi
sebagai kebenaran yang sesuai dengan harapan dan nilai
bisnis.
5. Ketersediaan
Berhubungan dengan informasi yang tersedia ketika
diperlukan dalam proses bisnis sekarang dan yang akan
datang.
6. Kepatuhan
Sesuai menurut hukum, peraturan dan rencana perjanjian
untuk p roses bisnis.
7. Keakuratan Informasi
Berhubungan dengan ketentuan kecocokan informasi untuk
manajemen mengoperasikan entitas dan mengatur pelatihan
keuangan dan kelengkapan laporan pertanggung jawaban.
CobIT merupakan panduan yang paling lengkap dari p raktek-p raktek
terbaik untuk manajemen TI yang mencakup 4(empat) domain, yaitu :
1. Perencanaan dan Organisasi (Planning and Organization)
Yaitu mencakup pembahasan tentang identifikasi dan strategi
investasi TI yang dapat member ikan yang terbaik untuk
42
mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi
dan visi strategis perlu direncanakan, dikomunikasikan, dan
diatur pelaksanaannya (dari berbagai prespektif).
2. Perolehan dan Implementasi (Acquisition and Implementation)
Yaitu untuk merealisasi strategi TI, perlu diatur kebutuhan TI,
diidentifikasi, dikembangkan, atau d iimplementasikan secara
terpadu dalam proses bisnis perusahaan.
3. Penyerahan dan Pendukung (Delivery and Support)
Domain ini lebih dipusatkan pada ukuran tentang aspek
dukungan TI terhadap kegiatan operasional b isnis (tingkat jasa
layanan TI aktual atau service level) dan aspek urutan
(prioritas implementasi dan untuk pelatihannya).
4. Monitoring
Yaitu semua semua p roses TI yang perlu dinilai secara berkala
agar kualitas dan tujuan dukungan TI tercapai, dan
kelengkapannya berdasarkan pada syarat kontrol internal yang
baik.
43
Menurut ISACA terdapat 14 (empat belas) standar-standar yang
dijadikan pedoman oleh auditor dalam melaksanakan tugasnya,
adalah :
S1-Audit Charter
Standar
a. Tujuan, tanggung jawab, otoritas, dan akuntabilitas fungsi
audit SI pada suatu organisasi/ perusahaan ataupun penugasan
audit harus dengan dibuat tertulis (didokumentasikan) dalam
audit charter atau engagement letter.
b. Audit charter atau engagement letter harus disetujui dan
ditandatangan i oleh p impinan organisasi.
S2-Independence
Standar
a. Independensi Professional
Dalam segala hal yang berkaitan dengan audit, auditor harus
independen dalam sikap dan penampilan.
b. Independensi Organisasi
Fungsi aud it SI harus bebas (tidak ada conflict o f in terest) dari
area yang diperiksa untuk dapat menyelesaikan tugas audit
dengan baik.
44
S3- Professional Ethics and Standard
Standar
a. Auditor SI harus menganut dan berpegang teguh pada kode
etik p rofesi auditor SI (ISACA) dalam menjalankan tugas
auditnya
b. Auditor SI harus menjalankan tugasnya secara seksama
(due professional care) dan bekerja sesuai dengan standar
profesional audit.
S4- Professional Competence
Standar
a. Auditor SI harus mampu secara profesional, mempunyai
pengetahuan dan keahlian teknis untuk melakukan penugasan
tugas audit.
b. Auditor SI harus memelihara kemampuan p rofesionalnya
dengan pendidikan dan pelatihan berkelanjutan.
S5- Planning
Standar
a. Auditor SI harus membuat rencana kerja audit SI, mencakup
tujuan audit, dan bahwa kegiatan-kegiatan aud itnya akan
sesuai dengan aturan, hukum dan standar p rofessional audit
yang ada.
b. Auditor SI harus melakukan teknik pendekatan audit berbasis
resiko (risks-based audit) dan mendokumentasikan dengan
baik.
45
c. Auditor SI harus menyusun rencana kerja audit, mencakup
rincian tentang hakekat dan tujuan audit, periode atau waktu
yang diperlukan, dan sumber daya yang diperlukan untuk
penugasan audit tertentu.
d. Auditor SI harus menyusun rencana kerja audit dan atau
program audit, mencakup p rosedur audit yang diperlukan
untuk penyelesaian tugas audit itu.
S6- Perfomance of Audit Work
Standar
a. Supervisi : staf audit SI harus disupervisi untuk memperoleh
keyakinan memadai bahwa tujuan audit telah dicapai sesuai
dengan standar profesional audit.
b. Bukti audit : dalam pelaksanaan tugasnya auditor SI harus
memperoleh bukti yang cukup, reliable, dan relevan untuk
pencapaian tujuan audit. Temuan hasil audit harus didasarkan
pada ketersediaan bukti yang cukup , dianalisis dan di-
interpretasikan/dievaluasi dengan baik/tepat.
c. Dokumentasi: p roses audit harus didokumentasikan,
menjelaskan pelaksanaan kegiatan audit, dan bukti audit yang
mendukung kesimpulan/temuan audit.
S7- Reporting
Standar
a. Auditor SI harus membuat laporan hasil audit dalam format
yang tepat segera setelah selesai melakukan tugas auditnya.
46
Laporan hasil audit harus memuat organisasi, p ihak yang
dituju, dan batasan-batasan sirkulasi (jika ada).
b. Laporan audit harus menyebutkan ruang lingkup, tujuan,
periode, dan waktu pelaksanaan pemeriksaan.
c. Laporan audit harus berisi temuan, kesimpulan dan
rekomendasi, serta pengungkapan mengenai penyediaan,
kualifikasi atau pembatasan cakupan audit dialami oleh auditor
SI dalam melaksanakan tugasnya.
d. Temuan hasil audit yang dilaporkan harus didukung bukti audit
` yang cukup , lengkap dan kompeten untuk mendukung
laporan hasil pemeriksaan itu.
e. Laporan hasil audit harus ditandatangani, dibubuhi tanggal
pelaporan, dan didistribusikan sesuai ketentuan pada audit
charter/ letter of engagement.
S8- Follow up Activities
Standar
Setelah laporan hasil aud it yang mengemukakan temuan dan
rekomendasi, auditor SI harus mengevaluasi informasi yang relevan
untuk memperoleh keyakinan apakah tindak lanjut diperlukan (atas
rekomendasi) telah dilaksanakan oleh p ihak manajemen sesuai jadwal
yang diusulkan (tepat waktu).
47
S9- Irregularities and Illegal Acts
Standar
a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi
resiko audit, auditor SI harus mempertimbangkan resiko
ketidakteraturan dan illegal acts.
b. Auditor SI harus bersikap profesional skep tis dalam
pelaksanaan audit, paham kemungkinan misstatements yang
material dapat saja terjadi karena adanya irregularities dan
illegal acts, di luar evaluasi yang telah dilakukan.
c. Auditor SI harus memahami organ isasi dan lingkungannya,
termasuk sistem pengendalian internal bidang yang d iperiksa.
d. Auditor SI harus memiliki bukti audit yang lengkap dan
kompeten untuk menentukan apakah manajemen atau p ihak
lainnya dalam organisasi mengetahui aktual, cur iga atau yang
diduga keras terdapat ketidakteraturan dan atau tindakan-
tindakan illegal.
e. Dalam menjalankan p rosedur audit untuk memahami
organisasi dan lingkungan nya, auditor SI harus dapat
mempertimbangkan kemungkinan hubungan tak terduga atau
tidak biasa terjadinya resiko misstatements akibat
ketidakteraturan dan tindakan-tindakan illega l.
f. Auditor SI harus merancang dan menjalankan p rosedur untuk
menguji (tes) kecukupan pengendalian internal dan resiko
manajemen mengesampingkan pengendalian internal.
48
g. Jika auditor SI mengidentifikasikan adanya misstatements,
auditor SI harus menilai apakah misstatements tersebut terjadi
akibat irregularities dan illegal acts, jika ya, auditor SI harus
memik irkan kemungkinan dampaknya ke bidang lain,
khususnya berkaitan dengan representations of management.
h. Auditor SI harus memperoleh representasi tertulis dari
manajemen, dilakukan sedikitnya setiap tahun atau lebih sering
lagi bergantung pada penugasan audit antara lain:
1) Pengakuan tanggung jawab manajemen untuk
merancang dan mengimplementasikan kontrol internal
untuk mencegah dan mendeteksi irregularities dan
illegal acts.
2) Mengungkapkan kepada auditor mengenai penilaian
resiko jika terdapat kemungkinan misstatements yang
material sebagai akibat irregularities dan illegal acts.
3) Mengungkapkan kepada auditor jika mengetahui atau
menduga adanya irregularities dan illega l acts atau
disampaikan oleh karyawan, eks karyawan, p ihak
regu lator atau yang lain.
i. Jika auditor SI mengidentifikasi adanya irregularities dan
illegal acts atau memperoleh informasi mengenai hal itu,
auditor harus mengkomunikasikan ini kepada level manajemen
yang tepat sesegera mungkin.
j. Auditor SI mengidentifikasikan irregularities dan illegal acts
yang melibatkan manajemen atau personil yang berperan
49
dalam in ternal control, auditor internal harus
mengkomunikasikan hal itu kepada pihak yang bertanggung
jawab dalam tata kelola perusahaan.
k. Auditor SI harus member advice kepada tingkat manajemen
yang bertanggung jawab atas kelemahan rancangan dan
implementasi in ternal control dalam mencegah dan
mendeteksi irregularities dan illegal acts yang mendapat
perhatian auditor dalam melaksanakan penugasan
pemeriksaannya.
l. Jika auditor SI menemui kond isi yang tidak biasa berdampak
pada kelanjutan pelaksanaan audit sebagai akibat
misstatements yang material dan atau tindakan illegal,auditor
harus mempertimbangkan tanggungjawab legal dan
professional, termasuk kemungkinan auditor untuk
member itahu kepada pihak-p ihak yang mendapat penugasan,
penanggungjawab perusahaan, atau p ihak berwenang,dan bila
perlu mengundurkan diri dari penugasan.
m. Audit SI harus mendokumentasikan semua komunikasi,
perencanaan, hasil, evaluasi, dan kesimpulan yang
berhubungan dengan irregularities dan illega l acts yang sudah
dikomunikasikan kepada manajemen, p ihak bertanggung
jawab lain, atau pihak berwenang, dan lainnya.
50
S10- IT Governance
Standar
a. Auditor SI harus melakukan peninjauan dan penilaian apakah
fungsi SI sudah selaras dengan visi, misi, tata-nilai, dan
strategis serta tujuan organisasi.
b. Auditor SI melakukan peninjauan apakah fungsi SI memiliki
pernyataan yang jelas mengenai k inerja yang d iharapkan oleh
organisasi ( efektif dan efisien ) dan dinilai apakah hal-hal
tersebut sudah tercapai.
c. Auditor SI harus menin jau dan menilai efektivitas sumber daya
SI dan kinerja p roses manajemennya.
d. Auditor SI harus meninjau dan menilai kepatuhan terhadap
legal, lingkungan dan kualitas informasi, dan keamanan.
e. Dalam pemer iksaan dan evaluasi fungsi SI, auditor sebaiknya
menggunakan pendekatan audit berbasis resiko (Risk-based
audit approach).
f. Auditor SI harus menin jau dan men ilai lingkungan
pengendalian auditan.
g. Auditor SI harus meninjau dan menilai resiko yang mungkin
terjadi dalam lingkungan sistem berbasis teknologi informasi.
51
S11-Use of Risk Assessment in Audit Planning
Standar
a. Auditor SI harus menggunakan teknik penilaian resiko yang
cocok dalam pengembangan rencana kerja audit SI, dan dalam
menentukan p rioritas alokasi sumberdaya audit yang efektif.
b. Ketika merencanakan peninjauan ind ividual, auditor SI harus
mengidentifikasi dan men ilai resiko yang relevan dari area
yang diperiksanya.
S12-Audit Materiality
Standar
a. Auditor SI harus mempertimbangkan konsep materialitas
dalam hubungannya dengan resiko audit.
b. Dalam merencanakan audit, auditor SI mempertimbangkan
kelemahan- kelemahan potensial atau tidak adanya kontrol
internal dan apakah hal itu dapat mempunyai akibat yang
signifikan pada SI.
c. Auditor SI mempertimbangkan dampak kumulatif dar i
kelemahan atau ketiadaan pengendalian intern.
d. Laporan auditor SI harus mengungkapkan adanya
pengendalian intern yang tidak efektif atau tidak adanya
pengendalian intern ( terhadap resiko tertentu ) dan
dampaknya.
52
S13-Using the Work of Other Experts
Standar
a. Auditor SI harus , jika memungkinkan, menggunakan hasil
kerja auditor atau tenaga ahli lain.
b. Auditor SI harus menilai kualifikasi professional, kompetensi,
pengalaman yang relevan, sumberdaya, independensi, dan
proses quality control dar i ahli lain tersebut, sebelum
menerima penugasan audit.
c. Auditor SI harus meninjau, men ilai dan evaluasi hasil kerja
tenaga ahli lain tersebut sebagai bagian dari audit dan
menentukan tingkat penggunaan atau mengesampingkan hasil
kerja tenaga ahli lain tersebut.
d. Auditor SI harus menentukan dan meny impulkan apakah hasil
kerja tenaga ah li lain tersebut cukup memadai dan lengkap
untuk mendukung auditor SI menarik kesimpulan sesuai tujuan
audit ( dan kesimpulan tersebut harus secara jelas
didokumentasikan ).
e. Auditor SI perlu melaksanakan p rosedur pemeriksaan
tambahan untuk memperoleh bukti audit yang lebih sufficient
dan appropriate pada situasi dimana aud itor berpendapat
bahwa bukti audit dari hasil kerja tenaga ahli lain tersebut tidak
cukup.
f. Auditor SI harus memberikan op ini tentang kecukupan bukti
audit dan pembatasan ruang lingkup pemeriksaan ( jika ada ),
53
terkait kelengkapan bukti audit yang diperoleh melalui
pemeriksaan tambahan.
S14-Audit Evidence
Standar
a. Auditor SI harus memiliki bukti audit yang cukup dan layak (
lengkap dan kompeten ) untuk dapat menar ik kesimpulan hasil
audit.
b. Auditor SI harus mengevaluasi kompetensi dan kecukupan
bukti audit.
Alasan Perlunya Standar Audit Sistem Informasi d ikarenakan
(Gondodinyoto,2009,p81):
1. Audit SI memerlukan standar, karena Audit SI memiliki ciri-
ciri khas dan untuk dapat melaksanakan tugas itu dibutuhkan
pengetahuan dan ketrampilan khusus dalam aud it SI.
2. Salah satu tujuan ISACA ialah melakukan globalisasi
(menduniakan) standar audit SI, o leh karena itu pengembangan
dan distribusi standar audit SI adalah merupakan salah satu
kontribusi penting ISACA kepada komunitas/profesi audit.
2.4.11 Audit Program
Menurut Champlain (2003,p27), audit program adalah sebuah
daftar dari jenis-jenis percobaan yang akan dilakukan oleh aud itor
54
dalam lingkup audit mereka untuk mengetahui apakah pengendalian
penting yang diinginkan untuk meredam resiko yang signifikan telah
berjalan seperti yang telah direncanakan.
Kegunaan audit p rogram Champlain (2003,p27) adalah :
1. Membantu auditor dalam perencanaan sumber daya
2. Dapat menampilkan konsistensi dari percobaan-percobaan
yang dilakukan dalam audit pada p roses yang sama dari satu
siklus yang satu ke siklus yang lainnya.
3. Dapat menampilkan konsistensi dari percobaan-percobaan
yang dilakukan pada pengendalian yang mir ip pada semua
proses.
2.5 Pengendalian Internal Dan Resiko TI
2.5.1 Pengertian Pengendalian Internal
Menurut COSO ( Committee Of S ponsoring Organization)
yang dikutip oleh Louwers, Ramsay , Sinason dan Strawser ( 2008, P
159) “Internal Control is a process,effected by an entitiy’s board of
directors, management and other personnel, designed to provide
reasonable assurance regarding the achievement o f objectives in the
following three ca tegories :
a) Reliability of financial reporting.
b) Effectiveness and efficiency of operations.
55
c) Compliance with applicable laws and regulations.”
Pengendalian internal adalah sebuah proses yang dipengaruhi
oleh dewan direksi, direksi,dan karyawan lainnya,yang dibuat untuk
menyediakan keyakinan yang beralasan.
Menurut Cascarino (2007,P57), “Pengendalian internal adalah
suatu tindakan yang diambil oleh manajemen untuk meningkatkan
lingkungan dalam upaya mencapai tujuan. Dihasilkan dari
perencanaan manajemen, perorganisasian dan kepemimpinan, dan
yang lainnya (seperti pengendalian manajemen, pengendalian in ternal,
dan lain lain)”.
Menurut Arens (2005,p270), “An understanding of internal
control, especia lly those controls related to the reliability of financial
reporting, is importing to the auditor’s purposes”. Pengertian
pengendalian internal, khususnya kontrol-kontrol yang berhubungan
dengan kehandalan laporan keuangan, yang dapat dipertanggung
jawabkan sangat penting bagi tujuan auditor.
2.5.2 Tujuan Sistem Pengendalian Internal
Menurut Gondodiyoto (2007,p260), tujuan sistem pengendalian
internal adalah :
1. Meningkatkan pengamanan (improve safeguard) aset sistem
informasi data/catatan akuntansi (accounting records) yang
56
bersifat logical assets, maupun physical assets seperti
hardware, infrastructures, dan sebagainya.
2. Meningkatkan integritas data (improve data integrity),
sehingga dengan data yang benar dan konsisten akan dapat
dibuat laporan yang benar.
3. Meningkatkan efektivitas sistem (improve system
effectiveness).
4. Meningkatkan efisiensi sistem (improve system efficiency).
2.5.3 Fungsi Pengendalian Internal
Menurut Cascarino (2007,p6), fungsi pengendalian internal
diklasifikasikan dalam 5 tipe adalah :
1. Pengendalian pencegahan (prefentive)
Pengendalian preventif adalah pencegahan yang dilakukan
sebelum masalah terjadi tetapi tidak pernah 100% efektif
sehingga tidak dapat sepenuhnya tergantung pada
pengendalian ini. Pengendalian preventif meliputi batasan oleh
pengguna kebutuhan password dan pemisahan tugas.
2. Pengendalian pendeteksian (detective)
Pengendalian ini mendeteksi permasalahan setelah masalah
timbul dan lebih mudah dilakukan dar ipada mengecek setiap
transaksi dengan pengendalian preventif. Pengendalian ini
meliputi keefektifan pelatihan penggunaan audit dan laporan-
laporan pengecualian.
57
3. Pengendalian pengkoreksian (corrective)
Pengendalian ini mengoreksi masalah-masalah yang telah
diidentifikasi oleh pengendalian detektif dan biasanya ada
campur tangan sistem informasi. Pengendalian ini meliputi
proses perencanaan perbaikan (disaster recovery plan) dan
kemampuan perbaikan transaksi. Pengendalian korektif
memiliki resiko yang tinggi karena terjadi pada lingkup yang
tidak biasa dan d ibutuhkan keputusan untuk melakukannya
serta dibutuhkan pertimbangan pelaksanaan. Contoh
pengendalian korektif adalah jejak-jejak audit, laporan-
laporan, kesalahan statistik, pendukung, pemulihan, dan lain
lain.
4. Pengendalian langsung
Pengendalian dirancang untuk menghasilkan keputusan yang
positif dan meningkatkan kebiasaan yang dapat diterima.
Pengendalian tidak hanya mencegah perilaku yang tidak
diinginkan dan yang pada umumnya terdapat kebijaksanaan
dalam suatu situasi. Akan tetapi juga memberitahukan kepada
pemakai komputer bahwa menjadi tanggung jawab mereka
untuk meyakinkan terdapat backup yang cukup dan disimpan
semestinya. Bagaimanapun pengendalian ini dapat diawasi dan
tindakan dapat diambil ketika pengendalian d ilaksanakan.
5. Pengendalian kompensasi
Pengendalian ini dapat dilakukan ketika kelemahan didalam
suatu pengendalian dapat dikompensasi oleh pengendalian
58
lain. Pengendalian ini digunakan untuk membatasi resiko dan
hal-hal yang tidak diinginkan, hal in i dibenarkan oleh auditor
menghadap i integrasi sistem yang rumit dan struktur
pengendalian yang melibatkan gabungan dar i pengelolaan
sistem dan pengendalian dari area operasional yang beraneka
ragam.
2.5.4 Komponen Pengendalian
Menurut Hunton (2004, p106-121), komponen pengendalian internal
meliputi keamanan input, output, backup, dan recovery.
1. Security Control (Pengendalian Keamanan), meliputi Physical
Control dan Logical Security :
a) Physical Security (Keamanan Berwujud),
memfokuskan pada keamanan fasilitas, komputer,
peralatan komunikasi, dan aspek infrastruktur komputer
yang nyata agar aman dar i bahaya.
b) Logical Security (Keamanan Tidak Berwujud) ,
memfokuskan pada keamanan yang tidak nyata seperti
keamanan data, software. Bagian sistem keamanan
yang meliputi komponen logika ditangani melalui
pengendalian fisik seperti penempatan data dan
software pada komputer, server dan tempat
peny impanan data. Bagian lain dari keamanan logika
59
ditangan i melalui pengendalian akses komputer,
monitar dan review sistem.
2. Information Controls ( Pengendalian Informasi ) meliputi :
a. Input controls (Pengendalian Input )
Pengendalian yang memfokuskan pada p rosedur tertulis
mengenai otorisasi, persetujuan, dan input baik berupa
dokumen maupun transaksi sehingga mampu
mengurangi kesalahan yang dapat terjadi.
b. Output controls ( pengendalian Output )
Pengendalian yang memfokuskan pada hasil yang
didapat dari input yang telah dip roses melalui sistem
komputer, agar mendapatkan hasil yang sesuai dengan
yang diharapkan.
3. Continuity Controls ( Pengendalian B erkelanjutan ) meliputi :
a. Backup Controls (Pengendalian Backup) :
1) Data Backup
Kegiatan yang dilakukan oleh organ isasi dengan
menyimpan dan merep likasi data secara berkala sesuai
dengan prosedur yang telah ditetapkan yang berfungsi
sebagai cadangan data sehingga apabila sewaktu-waktu
data hilang atau rusak, perusahaan dapat memperoleh
data dari backup yang telah dilakukan.
60
2) Hardware Backup
Kegiatan yang dilakukan perusahaan dengan
mengamankan hardware perusahaan berdasarkan
prosedur yang telah ditetapkan, sehingga perusahaan
dapat mengurangi kerugian bila terjadi bencana pada
perusahaan.
b. Disaster Recovery Controls (Pengendalian Pemulihan
Bencana)
Pengendalian yang dilakukan untuk mengantisipasi
adanya bencana yang akan terjadi pada perusahaan sehingga
operasi sistem pada perusahaan dapat berjalan kembali dengan
waktu yang singkat.
2.5.5 Internal Control Quisioner (ICQ)
ICQ adalah suatu rangkaian pertanyaan mengenai pengendalian dalam
suatu area pemeriksaan. Cara in i dapat dipergunakan untuk
menunjukan adanya aspek pengendalian yang lemah. Pada
umumnya,questioner berbentuk pertanyaan yang akan dijawab YA
atau TIDAK, dimana jawaban tidak menunjukan potensi adanya
kelemahan pengendalian. Pertanyaan-pertanyaan yang pada ICQ
dikelompokan dalam 2 bagian utama, yaitu pertanyaan yang
menyangkut pengendalian umum serta pertanyaan yang menyangkut
pengendalian aplikasi
61
Pengendalian Umum
Pengendalian umum adalah pengendalian yang diterapkan atas segala
aktivitas dan sumber daya yang dipakai dalam pengembangan suatu
sistem informasi, pelaksanaan p roses dan fungsi-fungsi pendukung
lainnya.
1. Organisasi
Review yang dilakukan adalah untuk meyakini bahwa unsur
pengendalian yang ada dalam struktur organisasi pada unit
pengolahan data elektronik apakah telah memadai.
2. Pemisahan Fungsi
Pemisahan fungsi dalam audit system informasi d itekankan pada
unit pengolahan data karena sangat berpengaruh pada keandalan
pengendalian internnya.
3. Kepegawaian
Sumber daya manusia memegang peranan dalam kegiatan atau
operasi di unit PDE karena berkaitan dengan masalah teknologi
informasi yang sangat cepat perkembangannya. oleh karena itu,
penempatan pegawai harus memperhatikan persyaratan khusus
serta p rogram peningkatan keahlian dibidang komputerisasi.
4. Pengendalian Operasi
Setiap kegiatan perusahaan selalu berkaitan dengan penggunaan
sumber daya secara efisien untuk mencapai hasil yang diharapkan.
Untuk masalah ini,aud itor perlu melakukan review.
62
5. Physical Access,Logical Access, dan Physical Security
Kerugian suatu perusahaan akan sangat besar apabila
pengendalian terhadap Physical Access,Logical Access, dan
Physical Security tidak memadai. Hal ini sangat berkaitan dengan
masalah informasi sebagai alat yang sangat penting bagi
manajemen, khususnya dalam pengambilan keputusan. M isalnya
kebocoran informasi yang diperoleh pesaing, akan sangat
merugikan perusahaan.
6. Environmental control
Untuk menghindari kerugian yang lebih besar, karena kerusakan
perangkat yang disebabkan oleh kebakaran maka perusahaan perlu
tindakan p reventif.
7. Pemulihan masalah
Pedoman atau standar untuk pemulihan masalah sangat diperlukan
untuk acuan pelaksana apabila terjad i bencana yang dapat
merusak perangkat maupun software, untuk mempermudah proses
pemulihan masalah.
8. Pengembangan dan pemeliharaan system
Pengendalian juga harus terus menerus dilakukan pada saat
diperlukan perubahan dan pemeliharaan system.
9. Pengendalian hardware dan operating system.
Output dari p roses EDP sangat bergantung pada performansi dari
hardware yang digunakan, oleh karena itu, perlu pengawasan
terhadap hardware yang menyangkut kelangsungan operasi.
63
10. Asuransi
Asuransi dapat dipakai untuk mengurangi kerugian akibat
terjadinya sesuatu yang tidak dapat dihindari. Untuk itu, instalasi
komputer yang memilik i resiko kerusakan atau kerugian yang
cukup tinggi perlu ditutup dengan asuransi yang sesuai.
11. System development live cycle ( SDLC )
Pedoman pembangunan suatu system harus ada dalam setiap
organisasi EDP. Pedoman tersebut menjadi acuan sehingga setiap
SDLC harus konsisten dengan aturan yang ada. Tahapan SDLC
meliputi p roject initiation, studi kelayakan, design pembangunan
dan implementasi, operasi dan pemeliharaan, dan review setelah
implementasi.
Pengendalian Aplikasi.
Pengendalian aplikasi adalah pengendalian yang diciptakan atas suatu
sistem ap likasi tertentu dalam rangka menjamin bahwa seluruh
transaksi telah terotorisasi, direkam dan dip roses secara lengkap ,
akurat dan tepat waktu.
a) Pengendalian Input
b) Pengendalian Proses
c) Pengendalian Output.
64
2.5.6 Pengertian Resiko
Menurut Hall (2007,p201) “Resiko adalah kemungkinan
kerugian atau kerusakan yang dapat mengurangi atau meniadakan
kemampuan perusahaan untuk mencapai berbagai tujuannya.
2.5.7 Penetapan Penilaian Resiko
Maiwald (2003, p 150 ), level atau tingkatan dar i resiko
digo longkan sebagai berikut :
a. Resiko kecil ( Low )
Tingkat kerentanan dari suatu sistem yang dapat berakibat
kecil bagi perusahaan, biasanya resiko ini jarang terjad i atau
muncul.Tindakan yang dapat mengh ilangkan resiko ini perlu
diambil jika mungkin, tetap i biaya yang dikeluarkan harus
sebanding dengan pengurangan akibat dari resiko ini.
b. Resiko sedang ( Medium )
Tingkat kerentanan dari suatu sistem dan dapat mengancam
kerahasiaan, integritas, ketersediaan, dan atau kehandalan dar i
sistem informasi di suatu perusahaan, ataupun aset perusahaan
yang bersifat fisik. Dimana adanya kemungkinan bahwa resiko
ini akan muncul sewaktu-waktu.
Tindakan untuk mengh ilangkan resiko in i sangat disarankan.
c. Resiko Tinggi ( High )
Tingkat kerentanan yang dapat mengak ibatkan bahaya yang
tinggi bagi kerahasiaan, integritas, ketersediaan, dan atau
65
kehandalan dari sistem informasi di suatu perusahaan, ataupun
aset perusahaan yang bersifat fisik. Tindakan untuk
menanggulangi resiko ini harus sesegera mungkin d iambil.
2.5.8 Jenis-Jenis Resiko
Menurut Hunton ( 2004, p48 ), Klasifikasi resiko sebagai berikut :
1. Business Risk ( Resiko Bisnis ),resiko yang dapat
memungkinkan bahwa organ isasi tidak akan mencapai tujuan
bisnis secara ob jektif. Faktor eksternal dan in ternal ikut
mempengaruhi resiko ini.
2. Audit Risk ( Resiko Audit ), kemungk inan auditor eksternal
membuat kesalahan ketika mengeluarkan pendapat dalam
membuktikan kewajaran suatu laporan keuangan atau auditor
IT gagal dalam mengungkapkan kesalahan yang bersifat
material. Merupakan gabungan dari beberapa resiko yaitu
Inherent Risk ( Resiko bawaan ), Control Risk ( Resiko
Pengendalian ), Detection Risk (Resiko deteksi).
3. Security Risk ( R esiko Keamanan ), resiko yang berkaitan
dengan akses data dan integritas data. Data akses berhubungan
dengan akses yang tidak berwenang yaitu Physical atau
logical. Data integritas adalah kehandalan dan konsistensi data
di dalam sistem manajemen data organisasi.
4. Continuity Risk ( Resiko Berkelanjutan ), resiko yang
berhubungan dengan ketersediaan sistem infomasi, backup dan
66
proses pemulihan. Ketersediaan diartikan sebagai keamanan
untuk memastikan bahwa sistem informasi selalu dapat diakses
oleh pengguna. Prosedur Backup dan recovery memastikan
bahwa kasus gangguan berkelan jutan, tersedia p rosedur untuk
proses restore dan pengoperasian data.
2.6 Metode Pengumpulan Data
Menurut Sugiyono (2008, h194-203), terdapat 3 teknik metodologi
pengumpulan data :
1. Interview (Wawancara), merupakan teknik pengumpulan data,
apabila peneliti ingin melakukan studi pendahuluan untuk
menemukan permasalahan yang harus diteliti, dan juga apabila
peneliti ingin mengetahui hal-hal dari responden yang lebih
mendalam dan jumlah respondennya sedikit/kecil. Wawancara dapat
dilakukan secara terstruktur maupun tidak terstruktur, dan dapat
dilakukan melalu i tatap muka ( face to face) maupun dengan
menggunakan telpon.
2. Kuesioner (Angket), merupakan teknik pengumpulan data yang
dilakukan dengan cara member seperangkat pertanyaan atau
pertanyaan tertulis kepada responden untuk dijawabnya. Kuesioner
cocok digunakan b ila sejumlah responden cukup besar dan tersebar di
wilayah yang luas, dapat berupa pertanyaan/pertanyaan tertutup atau
terbuka, dapat diberikan kepada responden secara langsung atau
dikirim melalui pos atau internet.
67
3. Observasi, sebagai teknik pengumpulan data mempunyai ciri yang
spesifik bila dibandingkan dengan teknik yang lain. Observasi
digunakan b ila, penelitian berkenaan dengan perilaku manusia, proses
kerja, gejala-gejala alam dan bila responden yang diamati tidak terlalu
besar.
2.7 Pengertian Struktur Organisasi
Menurut Wursanto (2005,p108-129), “ Susunan hubungan antar
satuan-satuan organisasi, jabatan-jabatan, tugas-tugas, wewenang dan
penanggungjawaban- pertanggung jawaban dalam organ isasi disebut struktur
organisasi”. A gar struktur organ isasi tampak jelas, mudah dilihat, mudah dan
cepat dibaca oleh siapapun,struktur organisasi perlu digambar dalam sebuah
gambaran grafis yang dinamakan bagan organisasi. “Bagan organisasi adalah
gambaran struktur organisasi yang ditunjukkan dengan kotak-kotak atau
gar is-garis yang d isusun menurut kedudukan yang masing-masing memuat
fungsi tertentu dan satu sama lain dihubungkan dengan garis-gar is saluran
wewenang”.