BAB 2 MDP - thesis.binus.ac.idthesis.binus.ac.id/doc/Bab2/2010-1-00893-KA Bab 2.pdfMenurut McLeod...
Transcript of BAB 2 MDP - thesis.binus.ac.idthesis.binus.ac.id/doc/Bab2/2010-1-00893-KA Bab 2.pdfMenurut McLeod...
8
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi
2.1.1 Pengertian Sistem
Menurut McLeod dan Schell (2004, p9), sistem adalah sekelompok
elemen-elemen data yang terintegrasi dengan maksud yang sama untuk mencapai
tujuan tertentu.
Menurut Romney dan Steinbert (2003, p2), system is a set of two or more
interrelated components that interact to achieve a goal.
Menurut Hall (2007, p611), sistem adalah kelompok yang terdiri atas dua
atau lebih komponen atau subsistem yang saling berhubungan, yang menjalankan
tujuan yang sama.
Dari beberapa pengertian sistem diatas, dapat disimpulkan bahwa sistem
adalah sekumpulan elemen atau komponen yang saling berinteraksi untuk
mencapai suatu tujuan yang sama.
2.1.2 Pengertian Informasi
Menurut Gondodiyoto dan Hendarti (2007, p82), informasi adalah data
yang telah diolah menjadi suatu bentuk yang sesuai dengan keinginan si
penerima. Data merupakan bahan yang diolah menjadi suatu bentuk yang lebih
berguna dan lebih mempunyai arti, sedangkan informasi adalah hasil pengolahan
data, sehingga bertambah kegunaannya dan dapat dipakai untuk tujuan tertentu
9
atau untuk analisis dan pengambilan keputusan. Biasanya informasi terdiri dari
data yang telah diproses, dipilih atau terpilih, dan disusun sesuai dengan
kebutuhan pemakai data, masalah, waktu dan fungsinya.
Menurut Romney dan Steinbert (2003, p9), information is data that have
been organized and processed to provide meaning.
Dari penjelasan diatas, dapat disimpulkan bahwa informasi adalah data
yang telah diproses dan memiliki arti bagi penggunanya.
2.1.3 Pengertian Sistem Informasi
Menurut O’Brien (2006, p11), sistem informasi dapat merupakan
kombinasi teratur apapun dari orang-orang, hardware, software, jaringan
komunikasi, dan sumber daya data yang mengumpulkan, mengubah dan
menyebarkan informasi dalam sebuah organisasi.
Menurut Moscove, Simkin dan Bagranoff (2001, p6), information system
is a set of interrelated subsystems that work together to collect, process, store,
transform, and distribute information for planning, decision making, and control.
Berdasarkan penjelasan tersebut dapat disimpulkan bahwa sistem
informasi adalah serangkaian komponen yang saling berinteraksi dan bekerja
sama untuk mengumpulkan, memproses, menyimpan, mengubah dan
menyebarkan informasi yang berguna bagi kegiatan yang berlangsung dalam
suatu organisasi.
10
2.2 Sistem Akuntansi Pembelian
Menurut Mulyadi (2001, p299), sistem akuntansi pembelian merupakan
sistem yang digunakan perusahaan untuk pengadaan barang yang diperlukan oleh
perusahaan.
2.2.1 Fungsi-Fungsi yang Terkait dalam Pembelian
Menurut Mulyadi (2001, p299), fungsi-fungsi yang terkait dalam sistem
pembelian kredit adalah :
1. Fungsi Gudang
Fungsi ini bertanggung jawab untuk mengajukan permintaan pembelian
sesuai dengan posisi persediaan yang ada di gudang dan untuk menyimpan
barang yang telah diterima oleh fungsi penerimaan.
2. Fungsi Pembelian
Fungsi ini bertanggung jawab untuk memperoleh informasi mengenai harga
barang, menentukan pemasok yang dipilih dalam pengadaan barang dan
mengeluarkan order pembelian kepada pemasok yang dipilih.
3. Fungsi Penerimaan
Fungsi ini bertanggung jawab untuk melakukan pemeriksaan terhadap jenis,
mutu dan kuantitas barang yang diterima dari pemasok guna menentukan
dapat atau tidaknya barang tersebut diterima oleh perusahaan.
4. Fungsi Akuntansi
Fungsi akuntansi yang terkait dalam transaksi pembelian adalah fungsi
pencatat utang dan fungsi pencatat persediaan. Fungsi ini bertanggung jawab
11
untuk mencatat transaksi pembelian ke dalam register bukti kas keluar dan
untuk menyelenggarakan arsip dokumen sumber (bukti kas keluar) yang
berfungsi sebagai catatan utang atau menyelengarakan kartu utang sebagai
buku pembantu utang.
2.2.2 Jaringan Prosedur yang Membentuk Sistem Pembelian
Menurut Mulyadi (2001, p301), jaringan prosedur yang membentuk
sistem pembelian adalah :
a. Prosedur permintaan pembelian
Dalam prosedur ini fungsi gudang mengajukan permintaan pembelian dalam
formulir surat permintaan pembelian kepada fungsi pembelian.
b. Prosedur permintaan penawaran harga dan pemilihan pemasok
Dalam prosedur ini fungsi pembelian mengirimkan surat permintaan
penawaran harga kepada para pemasok untuk memperoleh informasi
mengenai harga barang dan berbagai syarat pembelian yang lain, untuk
memungkinkan pemilihan pemasok yang akan ditunjuk sebagai pemasok
barang yang diperlukan perusahaan.
c. Prosedur order pembelian
Dalam prosedur ini fungsi pembelian mengirim surat order pembelian kepada
pemasok yang dipilih dan memberitahukan kepada unit-unit organisasi lain
dalam perusahaan mengenai order pembelian yang sudah dikeluarkan oleh
perusahaan.
12
d. Prosedur penerimaan barang
Dalam prosedur ini fungsi penerimaan melakukan pemeriksaan mengenai
jenis, kuantitas, dan mutu barang yang diterima dari pemasok, dan kemudian
membuat laporan penerimaan barang untuk menyatakan penerimaan barang
dari pemasok.
e. Prosedur pencatatan utang
Dalam prosedur ini fungsi akuntansi memeriksa dokumen-dokuman yang
berhubungan dengan pembelian dan menyelenggarakan pencatatan utang
atau mengarsipkan dokumen sumber sebagai catatan utang.
f. Prosedur distribusi pembelian
Prosedur ini meliputi distribusi rekening yang didebit dari transaksi
pembelian untuk kepentingan pembuatan laporan manajemen.
2.2.3 Dokumen Pembelian
Menurut Mulyadi (2001, p303), dokumen yang digunakan dalam sistem
persediaan barang sebagai berikut:
a. Surat Permintaan Pembelian
Dokumen ini merupakan formulir yang diisi oleh fungsi gudang atau fungsi
pemakai barang untuk meminta fungsi pembelian melakukan pembelian
dengan jenis, jumlah, dan mutu seperti yang tersebut dalam surat tersebut.
Biasanya dibuat dua lembar untuk setiap permintaan, satu lembar untuk
fungsi pembelian, dan tembusannya untuk arsip fungsi yang meminta barang.
13
b. Surat Permintaan Penawaran Harga
Dokumen ini digunakan untuk meminta penawaran harga bagi barang yang
pengadaannya tidak bersifat berulang kali terjadi yang menyangkut jumlah
rupiah pembelian yang besar.
c. Surat Order Pembelian
Dokumen ini digunakan untuk memesan barang kepada pemasok yang telah
dipilih.
d. Laporan Penerimaan Barang
Dokumen ini dibuat oleh fungsi penerimaan untuk menujukkan bahwa
barang-barang yang diterima pemasok telah memenuhi jenis, spesifikasi,
mutu, dan kuantitas seperti yang tercantum dalam surat order pembelian.
e. Surat Perubahan Order Pembelian
Kadangkala diperlukan perubahan terhadap isi surat order pembelian yang
sebelumnya telah diterbitkan. Perubahan tersebut dapat berupa perubahan
kuantitas barang, jadwal penyerahan barang, spesisifikasi, penggantian.
Perubahan tersebut diberitahukan kepada pemasok secara resmi dengan surat
perubahan order pembelian.
f. Bukti Kas Keluar
Dokumen ini dibuat oleh fungsi akuntansi untuk dasar pencatatan transaksi
pembelian juga berfungsi sebagai perintah pengeluaran kas untuk
pembayaran utang kepada pemasok dan yang sekaligus berfungsi sebagai
surat pemberitahuan kepada kreditur mengenai maksud pembayaran.
14
2.3 Audit Sistem Informasi
2.3.1 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p10), audit sistem informasi adalah proses
pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sistem
komputer dapat melindungi aktiva-aktiva, menjaga integritas data, mencapai
tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien.
Menurut Gondodiyoto (2006, p385), audit sistem informasi berbasis
teknologi informasi adalah proses pengumpulan dan penilaian bahan bukti audit
untuk dapat menentukan apakah sistem informasi perusahaan telah menggunakan
sumber daya informasi secara tepat dan mampu mendukung pengamanan asset
tersebut, memelihara kebenaran dan integritas data dalam pencapaian tujuan
perusahaan secara efektif dan efisien.
Maka dapat disimpulkan audit sistem informasi adalah proses
mengumpulkan dan mengevaluasi bukti-bukti audit yang ditemukan sesuai
standar yang berlaku untuk mengetahui apakah sistem informasi dan sumber
daya yang terkait mengelola dan memelihara teknologi dan asset perusahaan
dengan baik serta apakah proses bisnis perusahaan berjalan sesuai dengan yang
seharusnya.
2.3.2 Tujuan dan Manfaat Audit Sistem Informasi
Menurut Weber (1999, p11), tujuan audit sistem informasi dibagi menjadi
4, yaitu :
15
1. Peningkatan keamanan asset (asset safeguarding objectives)
Asset informasi suatu perusahaan seperti hardware, software, SDM, file data,
dokumentasi sistem dan peralatan pendukung lainnya harus dijaga oleh suatu
sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan
terhadap asset perusahaan.
2. Peningkatan integritas data (data integrity objectives)
Integritas data merupakan salah satu konsep dasar dari suatu sistem
informasi, dimana setiap data memiliki atribut tertentu seperti kelengkapan
dan keakuratan. Jika integritas data tidak terpelihara dengan baik maka suatu
perusahaan akan menderita kerugian.
3. Peningkatan efektivitas sistem (system effectiveness objectives)
Efektivitas sistem informasi perusahaan memiliki peranan penting dalam
proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan
efektif apabila sistem tersebut telah sesuai dengan kebutuhan user.
4. Peningkatan efisiensi sistem (system efficiency objectives)
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi
memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi
komputer menurun, maka pihak manajemen harus mengevaluasi apakah
efisiensi sistem masih memadai atau harus meningkatkan penggunaan
sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem
informasi dapat memenuhi kebutuhan user dengan sistem informasi yang
minimal.
16
2.3.3 Tahapan Audit Sistem Informasi
Menurut Hall (2007, p539), audit sistem informasi pada umumnya dibagi
dalam tiga tahap, yaitu :
1. Perencanaan Audit
Bagian utama dalam tahap ini adalah analisis resiko audit. Tujuan auditor
adalah mendapatkan informasi yang memadai tentang perusahaan agar dapat
merencanakan tahap-tahap audit lainnya. Teknik-teknik yang digunakan
untuk mengumpulkan bukti dalam tahap ini antara lain kuesioner,
wawancara, memeriksa dokumen sistem, dan observasi.
2. Uji Pengendalian
Tujuan tahap ini adalah untuk menentukan bahwa pengendalian internal yang
memadai telah diterapkan dan berfungsi dengan benar. Teknik pengumpulan
bukti yang digunakan dalam tahap ini meliputi teknik manual dan teknik
audit komputer khusus.
3. Pengujian Substantif
Tujuan tahap ini adalah untuk menentukan akurasi setiap akun dalam sampel
yang diambil dalam uji substantif. Dan berdasarkan temuan sampel, auditor
dapat mengambil kesimpulan mengenai hasil pengujian. Sebagian uji
substantif merupakan aktifitas fisik dan padat karya, seperti perhitungan
persediaan di gudang, dan verifikasi ada atau tidaknya sertifikat saham di
dalam lemari penyimpanan.
17
2.3.4 Metode Audit Sistem Informasi
Dalam melakukan audit sistem informasi, ada 3 metode yang dapat
digunakan oleh auditor, yaitu :
1. Audit Around The Computer
Menurut Gondodiyoto (2007, p451), dalam metode ini auditor tidak
perlu menguji pengendalian sistem informasi berbasis teknologi informasi,
melainkan cukup terhadap input serta output sistem aplikasi saja.
Kelemahan metode ini adalah :
a. Database biasanya memiliki data yang banyak dan sulit dilacak secara
manual.
b. Auditor tidak akan memahami operasional dalam sistem komputer.
c. Adanya pengabaian pada sistem pengolahan komputer sehingga sangat
rawan terjadi kesalahan potensial dalam sistem.
d. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit
menjadi tidak ada.
e. Tidak menyelesaikan maksud dan tujuan proses audit secara keseluruhan.
Sedangkan keuntungan metode audit around the komputer ini adalah:
a. Tidak ada resiko terhadap kemungkinan hancurnya data sesungguhnya.
b. Auditor hanya sedikit memerlukan tambahan pendidikan.
c. Umumnya mudah, sederhana dan dimengerti oleh semua orang.
d. Biaya yang terkait dengan pelaksanaannya kecil.
18
2. Audit Through The Computer
Menurut Gondodiyoto (2007, p453), dalam pendekatan ini, auditor
melakukan pemeriksaan langsung terhadap program-program dan file-file
komputer pada audit sistem informasi berbasis teknologi informasi. Auditor
menggunakan komputer (software bantu) atau dengan cek logika atau listing
program (desk test on logic or program source code) untuk menguji logika
program dalam rangka pengujian pengendalian yang ada pada komputer.
Tujuan dari metode ini adalah untuk meneliti apakah aplikasi yang
diaplikasikan sesuai dengan kondisi yang sesungguhnya.
Keuntungan metode ini adalah dapat meningkatkan kekuatan terhadap
pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan
kemampuan penguji yang dilakukan dapat diperluas sehingga tingkat
kepercayaan terhadap keandalan dari pengumpulan dan evaluasi dapat
ditingkatkan. Selain itu, dengan memeriksa secara langsung logika
pemrosesan dari sistem aplikasi dan perkiraan kemampuan sistem, dapat
menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa
yang akan datang.
Kelemahan dari metode ini adalah :
a. Biaya yang dibutuhkan relatif tinggi yang disebabkan oleh jumlah jam
kerja yang banyak untuk memahami struktur pengendalian intern dari
pelaksanaan sistem aplikasi.
b. Butuh keahlian teknik yang lebih mendalam untuk memahami cara kerja
sistem.
19
3. Auditing With the Computer
Menurut Gondodiyoto (2007, p455), metode auditing with the computer
adalah suatu pendekatan audit dengan bantuan komputer, dimana prosedur
auditnya dapat dilaksanakan dengan berbagai cara, yaitu:
a. Memproses atau melakukan pengujian langsung terhadap sistem
komputer client dalam pengujian pengendalian atau substantif.
b. Menggunakan komputer untuk melaksanakan tugas audit yang terpisah
dari sistem client, yaitu mengambil copy data atau file dan atau program
milik client untuk diuji dengan komputer lain.
c. Menggunakan komputer sebagai alat bantu dalam audit
Metode ini merupakan suatu pendekatan audit dengan menggunakan
komputer dan software untuk mengotomatisasi prosedur pelaksanaan
audit.
Dari ketiga metode diatas, yang lebih sering digunakan adalah metode
around the computer dan through the computer, karena biaya yang dibutuhkan
relatif lebih murah daripada metode with the computer.
2.3.5 Instrumen Audit Sistem Informasi
Menurut Gondodiyoto dan Hendarti (2006, p447), terdapat beberapa
instrumen audit yang bisa digunakan dalam pelaksanaan audit, yaitu :
20
1. Observasi
Observasi adalah cara memeriksa dengan menggunakan panca indera
terutama mata, yang dilakukan secara kontinyu selama waktu tertentu untuk
membuktikan sesuatu keadaan atau masalah.
2. Wawancara
Wawancara merupakan teknik pemeriksaan berupa tanya jawab yang
biasanya dilakukan secara lisan antara auditor dengan auditee untuk
memperoleh bahan bukti audit.
3. Kuesioner
Kuesioner merupakan teknik pengumpulan data yang dilakukan dengan cara
memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden
untuk dijawab.
4. Konfirmasi
Konfirmasi merupakan upaya untuk memperoleh informasi atau penegasan
dari sumber lain yang independen, baik secara lisan maupun tertulis dalam
rangka pembuktian pemeriksaan.
5. Inspeksi
Inspeksi merupakan cara memeriksa dengan panca indera terutama mata,
untuk memperoleh bukti atas suatu keadaan atau suatu masalah pada saat
tertentu.
21
6. Prosedur Analisis
Analisis artinya memecah atau menguraikan suatu keadaan atau masalah ke
dalam beberapa bagian atau elemen dan memisahkan bagian tersebut untuk
digabungkan dengan keseluruhan atau dibandingkan dengan yang lain.
7. Perbandingan
Perbandingan adalah usaha untuk mencari kesamaan dan perbedaan antara
dua atau lebih gejala atau keadaan.
2.3.6 Standar Audit Menurut ISACA
Mengacu pada ISACA, standar audit sistem informasi mendefinisikan
persyaratan – persyaratan yang wajib dipenuhi dalam pelaksanaan dan pelaporan
atas audit sistem informasi.
Berikut adalah standar audit sistem informasi yang diterapkan oleh
Information System Audit and Control Association (ISACA) :
1. Audit Charter
Bahwa audit charter harus disetujui oleh level organisasi yang tepat dan
harus memuat mengenai tujuan, tanggung jawab, otoritas, dan
pertanggungjawaban dari fungsi audit sistem informasi.
2. Independence
Memuat mengenai pentingnya independensi professional dan independensi
organisasi.
22
3. Professional Ethics and Standards
Bahwa auditor sistem informasi harus setia pada kode etik dan standar
profesionalisme yang ada dalam melaksanakan tugas auditnya.
4. Professional Competence
Bahwa auditor sistem informasi harus kompeten secara profesional dan selalu
memelihara kompetensi profesional yang dimilikinya tersebut dengan cara
mengikuti pendidikan dan pelatihan profesional secara berkelanjutan.
5. Planning
Berkaitan dengan perencanaan atas cakupan audit sistem informasi,
pengembangan dan pendokumentasian pendekatan audit berbasis resiko,
rencana audit, program audit beserta prosedur-prosedurnya.
6. Performance of Audit Work
Berkaitan dengan pengawasan terhadap staf audit sistem informasi,
pengumpulan bukti audit, dan pendokumentasian atas proses audit dalam
rangka mendukung temuan dan kesimpulan auditor sistem informasi.
7. Reporting
Berkaitan dengan rincian keterangan dalam laporan audit yang diperlukan,
penyediaan laporan audit yang dibuat pada akhir penyelesaian audit harus
berdasarkan bukti yang memadai, dan bahwa laporan ketika diterbitkan harus
ditandatangani, diberi tanggal, dan didistribusikan sesuai dengan persyaratan
yang tertuang pada surat perjanjian.
23
8. FolLow-Up Activities
Berkaitan dengan pengevaluasian atas informasi yang relevan untuk
mengetahui apakah tindakan yang semestinya telah diambil oleh pihak
manajemen dalam rangka menyikapi temuan dan rekomendasi dari auditor.
9. Irregularities and Illegal Acts
Berkaitan dengan pertimbangan dan prosedur-prosedur audit yang diperlukan
dalam melakukan penilaian atas adanya resiko tindakan yang tidak biasa dan
melanggar hukum; pentingnya surat representasi dari manajemen;
pengkomunikasian mengenai temuan yang diperoleh, dan juga dokumentasi
mengenai tindakan-tindakan tidak biasa dan melanggar hukum yang materil.
10. IT Governance
Berkaitan dengan penilaian fungsi sistem informasi yang harus sejalan
dengan misi, visi, tujuan, strategi perusahaan; penilaian terhadap hasil yang
dicapai dan keefektifan penggunaan sumber daya sistem informasi serta
kepatuhan terhadap hukum, kualitas informasi, dan persyaratan keamanan
yang ada.
11. Use of Risk Assessment in Audit Planning
Berkaitan dengan penggunaan teknik penilaian resiko yang tepat atas rencana
audit dan dalam penentuan prioritas untuk alokasi sumber daya audit sistem
informasi yang efektif.
24
12. Audit Materiality
Berkaitan dengan pertimbangan mengenai materialitas audit dan
hubungannya terhadap resiko audit; pertimbangan mengenai kelemahan
pengendalian yang berpengaruh secara materil dalam sistem informasi dan
pengungkapan mengenai hal tersebut pada laporan auditor.
13. Using the Work of Other Experts
Berkaitan dengan penggunaan pekerjaan dari pakar lainnya untuk keperluan
audit dan penilaian terhadap kompetensi, independensi, dan pengalaman dari
pakar tersebut.
14. Audit Evidence
Berkaitan dengan pengumpulan bukti audit yang memadai dan layak untuk
menarik kesimpulan yang wajar dan pengevaluasian atas kecukupan bukti
audit.
15. IT Controls
Berkaitan dengan pengevaluasian dan pemantauan atas pengendalian
teknologi informasi; dan pemberian masukan kepada pihak manajemen
mengenai perancangan, implementasi, operasi, dan peningkatan atas
pengendalian teknologi informasi yang ada.
16. E-Commerce
Berkaitan dengan pengevaluasian atas pengendalian-pengendalian yang
berlaku dan penilaian terhadap resiko yang ada dalam rangka menjamin
terkendalinya transaksi-transaksi e-commerce.
25
2.3.7 Matriks Penetapan Penilaian Resiko dan Pengendalian
Untuk melakukan penilaian terhadap bukti audit yang telah ditemukan,
auditor dapat menggunakan metode matriks penetapan penilaian resiko dan
pengendalian untuk merumuskan analisa terhadap bukti audit dan temuan agar
dapat mengevaluasi dan merumuskan serta menyimpulkan opini dan penilaian
terhadap sistem yang ada. Berikut adalah metode matriks penetapan dan
penilaian resiko berdasarkan teori Gondodiyoto (2007, p559) :
1. Matriks Penilaian resiko
Matriks penilaian resiko adalah suatu cara untuk menganalisa seberapa
besar resiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan cara
menganalisa pengaruh dan korelasi antara dampak yang ditimbulkan oleh
resiko dengan tingkat keterjadian dari resiko tersebut. Besarnya tingkat
dampak dan keterjadian suatu resiko dinyatakan sebagai berikut :
a. L atau Low diberi nilai 1
b. M atau Medium diberi nilai 2
c. H atau High diberi nilai 3
Kriteria hasil penilaian matriks resiko yaitu :
a. Resiko kecil (Low) nilainya berkisar antara 1 dan 2, hal ini dihasilkan dari
beberapa kondisi seperti dibawah ini :
1) Jika dampak Low (1) dan keterjadian Low (1), maka nilai resiko adalah
1
2) Jika dampak Low (1) dan keterjadian Medium (2), maka nilai resiko
adalah 2
26
3) Jika dampak Medium (2) dan keterjadian Low (1), maka nilai resiko
adalah 2. Artinya, nilai resiko dari dampak dan keterjadian adalah
kecil.
b. Resiko sedang (Medium) nilainya berkisar antara 3 dan 4, hal ini
dihasilkan dari beberapa kondisi dibawah ini :
1) Jika dampak Low (1) dan keterjadian High (3), maka nilai resiko
adalah 3
2) Jika dampak Medium (2) dan keterjadian Medium (2), maka nilai
resiko adalah 4
3) Jika dampak High (3) dan keterjadian Low (1), maka nilai resiko
adalah 3. Artinya, nilai resiko dari dampak dan desain adalah sedang.
c. Resiko tinggi (High) nilainya berkisar antara 6 dan 9. Hal ini dihasilkan
dari beberapa kondisi seperti dibawah ini :
1) Jika dampak Medium (2) dan keterjadian High (3), maka nilai resiko
adalah 6
2) Jika dampak High (3) dan keterjadian Medium (2), maka nilai resiko
adalah 6
3) Jika dampak High (3) dan keterjadian High (3), maka nilai resiko
adalah 9. Artinya, nilai resiko dari dampak dan keterjadian adalah
tinggi.
27
3 6 9
2 4 6
1 2 3
Gambar 2.1 Matriks Penilaian Resiko
Sumber : Gondodiyoto (Audit Sistem Informasi + pendekatan COBIT, 2007)
2. Matriks Penilaian Pengendalian
Matriks penilaian pengandalian adalah suatu cara untuk menganalisa
seberapa efektif dan efisiennya suatu pengendalian yang ada dalam
menghadapi suatu resiko atau ancaman. Hal ini dilakukan dengan
menganalisa pengaruh dan korelasi antara tingkat efektifitas pengendalian
dengan desain dari pengendalian tersebut. Besarnya tingkat efektifitas dan
desain suatu pengendalian dinyatakan sebagai berikut :
a. L atau Low diberi nilai 1
b. M atau Medium diberi nilai 2
c. H atau High diberi nilai 3
Kriteria hasil penilaian pengendalian yaitu :
a. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, hal ini
dihasilkan dari beberapa kondisi seperti dibawah ini :
3 H
2 M
1 L
0 L 1
M 2
H 3
L IKEHOOD
IMPACT
28
1) Jika efektifitas Low (1) dan desain Low (1), maka nilai pengendalian
adalah 1
2) Jika efektifitas Low (1) dan desain Medium (2), maka nilai
pengendalian adalah 2
3) Jika efektifitas Medium (2) dan desain Low (1), maka nilai
pengendalian adalah 2. Artinya, nilai pengendalian dari efektifitas dan
desain adalah kecil.
b. Pengendalian sedang (Medium) nilainya berkisar antara 3 dan 4, hal ini
dihasilkan dari beberapa kondisi dibawah ini :
1) Jika efektifitas Low (1) dan desain High (3), maka nilai pengendalian
adalah 3
2) Jika efektifitas Medium (2) dan desain Medium (2), maka nilai
pengendalian adalah 4
3) Jika efektifitas High (3) dan desain Low (1), maka nilai pengendalian
adalah 3. Artinya, nilai pengendalian dari efektifitas dan desain adalah
sedang.
3. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9. Hal ini
dihasilkan dari beberapa kondisi seperti dibawah ini :
a. Jika efektifitas Medium (2) dan desain High (3), maka nilai pengendalian
adalah 6
b. Jika efektifitas High (3) dan desain Medium (2), maka nilai pengendalian
adalah 6
29
c. Jika efektifitas High (3) dan desain High (3), maka nilai pengendalian
adalah 9. Artinya, nilai pengendalian dari efektifitas dan desain adalah
tinggi.
3 6 9
2 4 6
1 2 3
Gambar 2.2 Matriks Penilaian Pengendalian
Sumber : Gondodiyoto (Audit Sistem Informasi + pendekatan COBIT, 2007)
2.4 Sistem Pengendalian Internal
2.4.1 Pengertian Sistem Pengendalian Internal
Menurut Mulyadi (2001, p163), sistem pengendalian internal meliputi
struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk
menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi,
mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen. Definisi
ini menekankan tujuan yang hendak dicapai, dan bukan pada unsur-unsur yang
membentuk sistem tersebut.
Menurut Hall (2007, p605), sistem pengendalian internal adalah
kebijakan yang digunakan perusahaan untuk menjaga aktiva perusahaan,
3 H
2 M
1 L
0L 1
M 2
H 3
L IKEHOOD
IMPACT
30
memastikan pencatatan dan informasi akuntansi yang akurat dan handal,
mendorong efisiensi, dan memastikan ketaatannya dengan kebijakan yang telah
dibuat.
Dari penjelasan diatas, dapat disimpulkan bahwa sistem pengendalian
internal adalah suatu sistem yang dirancang oleh manajemen perusahaan untuk
melindungi asset perusahaan dan mengawasi serta mendukung kinerja
perusahaan untuk mencapai tujuannya dan untuk mengurangi resiko yang dapat
merugikan perusahaan.
Menurut Gondodiyoto dan Hendarti (2007, p125), pengendalian internal
bagi suatu perusahaan adalah merupakan suatu keharusan, terutama bagi
perusahaan yang sudah go public. Ada beberapa faktor yang menyebabkan
sistem pengendalian internal menjadi semakin penting, yaitu :
1. Besarnya biaya dan kerugian apabila data di dalam komputer hilang
2. Biaya yang harus dibayar bila mutu keputusan yang diambil buruk akibat
kesalahan dalam pengolahan data
3. Potensi kerugian apabila terjadi kesalahan/penyalahgunaan komputer
4. Nilai (investasi) yang tinggi dalam pengadaan maupun perawatan mesin
5. Nilai atau biaya pendidikan personil yang dikeluarkan tinggi
6. Biaya yang dikeluarkan tinggi apabila terjadi computer error
7. Perlunya dijaga privacy, mengingat di komputer tersimpan data rahasia
8. Agar perkembangan dan pertumbuhan komputerisasi dapat terkendali
31
2.4.2 Tujuan Sistem Pengendalian Internal
Menurut Mulyadi (2001, p178), tujuan pengendalian internal secara rinci
adalah sebagai berikut :
1. Menjaga kekayaan organisasi
2. Mengecek ketelitian dan keandalan data akuntansi
3. Mendorong efisiensi
4. Mendorong dipatuhinya kebijakan manajemen.
Menurut Gondodiyoto dan Hendarti (2007, p136), tujuan disusunnya
sistem pengendalian internal komputerisasi adalah untuk :
1. Meningkatkan pengamanan asset sistem informasi, baik yang bersifat logical
assets maupun physical assets.
2. Meningkatkan integritas data. Dengan adanya data yang benar dan
konsisten, laporan yang benar dapat dibuat.
3. Meningkatkan efektifitas sistem.
4. Meningkatkan efisiensi sistem
Suatu pengendalian internal yang baik dalam sebuah perusahaan akan
memberikan manfaat yang berarti bagi perusahaan tersebut, karena sistem
pengendalian internal :
1. Dapat memperkecil kesalahan-kesalahan dalam penyajian data akuntansi,
sehingga akan menghasilkan laporan yang benar.
2. Melindungi atau membatasi kemungkinan terjadinya kecurangan dan
penggelapan-penggelapan.
3. Kegiatan organisasi akan dapat dilaksanakan dengan efisien.
32
4. Mendorong dipatuhinya kebijakan pimpinan.
5. Tidak memerlukan detail audit dalam bentuk pengujian substantif atas bahan
bukti/data perusahaan yang cukup besar oleh akuntan publik. Karena jika
sistem pengendalian internal perusahaan cukup baik, pengujian dapat
dilakukan dengan teknik sampling.
2.4.3 Komponen Pengendalian Internal
Menurut Moscove, Simkin dan Bagranoff (2001, p213), pengendalian
internal terdiri dari lima komponen, yaitu
1. Control Environment
Faktor-faktor yang termasuk di dalam control environment antara lain (1)
integritas, nilai etika dan kompetensi pegawai perusahaan, (2) filosofi
manajemen dan gaya operasi, (3) cara manajemen memberikan wewenang
dan tanggung jawab kepada pegawainya, (4) perhatian dan arahan yang
diberikan Dewan Direksi.
2. Risk Assessment
Ketika merancang pengendalian bagi perusahaan, pertimbangan terhadap
faktor resiko harus diberikan melalui suatu proses yang dinamakan penilaian
resiko. Proses penilaian ini menandakan bahwa semua organisasi selalu
menghadapi resiko-resiko dalam mencapai kesuksesan.
3. Control Activities
Kebijakan dan prosedur yang membantu memastikan bahwa pengarahan
manajemen telah dijalankan adalah fokus dari kegiatan pengendalian.
33
4. Information and Communication
Informasi di sini mengacu pada sistem akuntansi, termasuk metode dan
pencatatan yang digunakan untuk mencatat, memproses, meringkas, dan
melaporkan transaksi perusahaan, dan juga merawat akuntabilitas terhadap
asset, hutang dan ekuitas perusahaan.
Komunikasi di sini mengacu pada penyediaan pemahaman peran serta
tanggung jawab para personel perusahaan yang menyinggung pengendalian
internal terhadap pelaporan finansial.
5. Monitoring
Proses menilai kualitas kinerja pengendalian internal dari waktu ke waktu.
Hal ini perlu dilakukan untuk mengetahui apakah operasi yang berjalan
dengan seharusnya dan apakah perlu dilakukan modifikasi. Monitoring
melibatkan evaluasi desain dan operasi pengendalian yang tepat waktu dan
pengajuan/penginisasian tindakan yang tepat ketika pengendalian spesifik
tidak dapat berfungsi dengan baik.
2.4.4 Jenis-Jenis Pengendalian Internal
Menurut Weber (1999, p67), ada 2 macam pengendalian internal, yaitu:
1. Pengendalian Manajemen
Pengendalian manajemen adalah sistem pengendalian internal komputer yang
berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi
secara menyeluruh. Yang termasuk pengendalian manajemen :
a. Pengendalian Top Manajemen (Top Level Management Control)
34
Mengendalikan peranan manajemen dalam perencanaan kepemimpinan
dan pengawasan fungsi sistem. Top manajemen harus bertanggung jawab
atas kelangsungan fungsi sistem dan keputusan jangka panjang tentang
bagaimana sistem informasi akan digunakan dalam organisasi.
b. Pengendalian Manajemen Sistem Informasi (Information System
Management Control)
Mengendalikan alternatif dari model proses pengembangan sistem
informasi sehingga dapat digunakan sebagai dasar pengumpulan dan
pengevaluasian bukti.
c. Pengendalian Manajemen Pengembangan Sistem (System Development
Management Control)
Mengendalikan tahapan utama dari daur hidup program dan pelaksanaan
dari tiap tahap.
d. Pengendalian Manajemen Sumber Data (Data Resources Management
Control)
Mengendalikan peranan dan fungsi dari data administrator atau database
administrator.
e. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance
Management Control)
Mengendalikan fungsi utama yang harus dilakukan oleh quality assurance
management untuk meyakinkan bahwa pengembangan, pelaksanaan dan
pengoperasian, dan pemeliharaan dari sistem informasi sesuai dengan
standar kualitas.
35
f. Pengendalian Manajemen Keamanan (Security Management Control)
Mengontrol fungsi utama dari Security Administrator dalam
mengidentifikasi ancaman utama terhadap fungsi sistem informasi dan
perancangan, pelaksanaan, pengoperasian, dan pemeliharaan terhadap
pengontrolan yang dapat mengurangi kemungkinan kehilangan dari
ancaman ini sampai tingkat yang dapat diterima. Ancaman utama
keamanan dapat disebabkan oleh alam dan manusia yang dikarenakan
oleh kelalaian atau kesengajaan, seperti :
1. Ancaman kebakaran
2. Ancaman banjir
3. Perubahan tegangan sumber energi
4. Kerusakan struktural
5. Polusi
6. Penyusup
7. Virus
8. Hacking
g. Pengendalian Manajemen Operasi (Operations Management Control)
Bertanggung jawab mengawasi penggunaan hardware dan software
sehari-hari sehingga sistem aplikasi dapat menyelesaikan pekerjaan
mereka dan staf pengembangan dapat merancang, mengimplementasi,
dan memelihara sistem aplikasi.
36
2. Pengendalian Aplikasi
Pengendalian aplikasi dilakukan dengan tujuan untuk menentukan apakah
pengendalian internal dalam sistem yang terkomputerisasi pada aplikasi
komputer tertentu sudah memadai untuk memberikan jaminan bahwa data
dicatat, diolah, dan dilaporkan secara akurat, tepat waktu, dan sesuai dengan
kebutuhan manajemen. Pengendalian aplikasi terdiri dari :
a. Pengendalian Boundary (Boundary Control)
Pengendalian boundary menentukan hubungan antara pemakai komputer
dengan sistem komputer itu sendiri. Ketika pemakai menggunakan
komputer, maka fungsi boundary berjalan.
Menurut Weber (1999, p368), pengendalian boundary adalah suatu
pengendalian yang memiliki tiga tujuan utama, yaitu :
1. Untuk memastikan bahwa pemakai komputer adalah orang yang
memiliki wewenang.
2. Untuk memastikan bahwa identitas yang diberikan sesuai dengan
pemakainya.
3. Untuk membatasi tindakan yang dapat dilakukan oleh pemakai untuk
menggunakan komputer ketika melakukan otorisasi.
b. Pengendalian Masukan (Input Control)
Menurut Weber (1999, p420), komponen pada subsistem input
bertanggung jawab untuk memasukkan data dan instruksi pada sistem
aplikasi. Kedua jenis input tersebut harus divalidasi terlebih dahulu,
sehingga jika ada kesalahan pada data yang dimasukkan dapat segera
37
diketahui dan dikontrol agar input yang dimasukkan akurat, lengkap, unik
dan tepat waktu.
c. Pengendalian Keluaran (Output Control)
Menurut Gondodiyoto (2003, p145), pengendalian keluaran adalah
pengendalian internal untuk mendeteksi jangan sampai informasi yang
disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau
didistribusikan kepada orang-orang yang tidak berhak.
Pengendalian keluaran, berupa :
1. Mencocokkan data output dengan total pengendalian yang
sebelumnya telah ditetapkan yang diperoleh dalam tahap input dari
siklus pemprosesan.
2. Mereview data output untuk melihat format yang tepat untuk masing-
masing pihak yang berwenang.
3. Mengendalikan data input yang ditolak oleh komputer selama
pemrosesan dan pendistribusian data yang ditolak itu ke personil yang
tepat.
4. Mendistribusikan laporan-laporan output ke departemen laporan tepat
pada waktunya.
2.4.5 Keterbatasan Sistem Pengendalian Internal
Menurut Gondodiyoto dan Hendarti (2007, p128), sistem pengendalian
internal memiliki beberapa kelemahan, antara lain :
38
1. Persekongkolan (kolusi)
Pengendalian internal mengusahakan agar persekongkolan dapat dihindari
sejauh mungkin, misalnya dengan cara mengharuskan giliran bertugas,
keharusan mengambil giliran cuti, dan sebagainya. Akan tetapi pengendalian
internal tidak dapat menjamin bahwa persekongkolan tidak terjadi.
2. Perubahan
Struktur pengendalian internal pada suatu organisasi harus diperbaharui
sesuai dengan perkembangan kondisi dan teknologi.
3. Kelemahan manusia
Banyak penyelewengan yang terjadi pada sistem pengendalian internal yang
secara teoritis dinilai sudah baik. Hal tersebut dapat terjadi karena lemahnya
pelaksanaan sistem pengendalian yang dilakukan oleh personil yang
bersangkutan. Oleh karena itu personil yang paham dan kompeten dalam
menjalankan sistem pengendalian internal merupakan salah satu unsur yang
penting.
4. Azas biaya-manfaat
Pengendalian juga harus mempertimbangkan biaya dan kegunaannya. Biaya
untuk mengendalikan hal-hal tertentu mungkin melebihi kegunaannya, atau
manfaat tidak sebanding dengan biaya yang dikeluarkan. Dalam
pengendalian internal, seringkali dihadapi dilema antara menyusun sistem
pengendalian yang komprehensif sedemikian rupa tetapi dengan biaya yang
relatif menjadi semakin mahal, atau seoptimal mungkin dengan resiko, biaya
dan waktu yang memadai.
39
2.5 Penetapan Resiko
2.5.1 Pengertian Resiko
Menurut Hall (2007, p201), resiko adalah kemungkinan kerugian atau
kerusakan yang dapat mengurangi atau meniadakan kemampuan perusahaan
untuk mencapai berbagai tujuannya.
Menurut Peltier (2001, p79), resiko adalah seseorang atau sesuatu yang
menyebabkan ancaman. Resiko dapat dibagi menjadi 3 tingkatan, yaitu:
1. High Vulnerability
Kelemahan yang sangat besar yang berada di dalam sistem atau rutinitas
operasi dan dimana dampak potensial pada bisnis adalah penting, untuk itu
harus ada pengendalian yang ditingkatkan.
2. Medium Vulnerability
Beberapa kelemahan yang ada pada sistem dan dimana dampak potensial
pada bisnis adalah penting, untuk itu akan ada pengendalian yang
ditingkatkan.
3. Low Vulnerability
Sistem telah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada
penambahan pengendalian yang diperlukan untuk mengurangi kelemahan
(vulnerability).
Dari penjelasan diatas, dapat disimpulkan resiko adalah kemungkinan
kerugian atau kerusakan yang dapat menyebabkan ancaman dalam hal
pencapaian tujuan.
40
2.5.2 Jenis-jenis Resiko Sistem Informasi
Menurut Rama dan Jones (2003, p113), resiko sistem informasi dapat
dibedakan ke dalam dua kategori :
1. Recording Risk
Resiko yang timbul karena sistem tidak menangkap atau merekam informasi
secara akurat ke dalam sistem informasi perusahaan. Kesalahan dalam
pencatatan ini dapat menimbulkan kerugian yang substansial.
2. Updating Risk
Resiko yang timbul karena sistem tidak dapat meng-update data secara benar
atau kesalahan dalam meng-update data di dalam database sistem.
2.5.3 Resiko Audit
Menurut Hall (2007, p541), resiko audit adalah probabilitas bahwa
seorang auditor akan memberikan opini yang sesungguhnya (bersih) tentang
laporan keuangan yang, pada kenyataannya, keliru secara material.
Menurut Hunton (2004, p49-50), resiko audit merupakan kombinasi dari
beberapa resiko, yaitu :
1. Inherent Risk (resiko inheren)
Inherent risk merupakan elemen resiko yang terjadi karena sifat atau kondisi
lingkungan dan kegiatan perusahaan.
41
2. Control Risk (resiko pengendalian)
Resiko yang timbul karena kemungkinan sistem pengendalian internal
perusahaan gagal atau tidak dapat mencegah atau mendeteksi kesalahan
dalam pencatatan data transaksi atau penyesuaian terhadap laporan keuangan.
3. Detection Risk (resiko deteksi)
Detection risk adalah resiko yang timbul karena auditor tidak dapat
mendeteksi kesalahan yang terdapat dalam sistem.