2. LANDASAN TEORI 2.1 Sistem Informasi Akuntansi

6 Universitas Kristen Petra

2. LANDASAN TEORI

2.1 Sistem Informasi Akuntansi

Sistem adalah rangkaian dari dua atau lebih komponen-komponen yang

saling berhubungan, yang berinteraksi untuk mencapai suatu tujuan (Romney dan

Steinbart, 2004).

Sistem Informasi Akuntansi (SIA) terdiri dari lima komponen, yaitu :

a. Orang-orang yang mengoperasikan sistem tersebut dan melaksanakan sebagai

fungsi.

b. Prosedur-prosedur, baik manual maupun terotomatisasi, yang dilibatkan dalam

mengumpulkan, memproses, dan menyimpan data tentang aktivitas-aktivitas

organisasi.

c. Data tentang proses-proses bisnis organisasi.

d. Software yang dipakai untuk memproses data organisasi.

e. Infrastruktur teknologi informasi, termasuk komputer, peralatan pendukung

(perpheral device), dan peralatan untuk komunikasi jaringan.

Kelima komponen tersebut secara bersama-sama memungkinkan suatu

sistem informasi akuntansi memenuhi ketiga fungsi pentingnya dalam organisasi,

yaitu :

• Mengumpulkan dan menyimpan data mengenai aktifitas yang dilakukan oleh

organisasi sehingga perusahaan dan pihak luar dapat melihat kembali apa yang

telah terjadi.

• Mengubah data menjadi informasi yang berguna untuk mengambil keputusan

dan memberikan kemampuan manajemen untuk merencanakan, menjalankan

dan mengontrol aktifitas.

• Menyediakan cukup kontrol untuk keamanan aset organisasi termasuk data,

memastikan data tersedia pada saat dibutuhkan secara akurat dan dapat

diandalkan.

http://www.petra.ac.id/

http://dewey.petra.ac.id/dgt_directory.php?display=classification

http://digilib.petra.ac.id/help.html


2.2 Perbedaan Antara Sistem Informasi Berbasis Komputer Dengan

Sistem Informasi Manual

Perbedaan sistem informasi berbasis komputer dari sistem informasi

manual adalah sebagai berikut (Jusup, 2001) :

a. Sistem berbasis komputer bisa menghasilkan alur transaksi untuk keperluan

audit hanya untuk jangka waktu yang pendek.

b. Dalam sistem berbasis komputer hanya terdapat sedikit bukti dokumen yang

dihasilkan dari prosedur pengendalian dibandingkan sistem manual.

c. Informasi dalam sistem manual bisa dilihat secara nyata (visible). Sebaliknya

file dan catatan dalam sistem berbasis komputer hanya bisa dilihat oleh mesin

dan tidak bisa dibaca manusia tanpa bantuan komputer.

d. Berkurangnya keterlibatan manusia dalam pengolahan sistem berbasis

komputer dapat mengakibatkan kesalahan yang terjadi tidak mudah terlihat

dibandingkan jika terjadi pada sistem manual.

e. Informasi dalam sistem berbasis komputer lebih rentan terhadap kerusakan

fisik, manipulasi tanpa otorisasi, dan kegagalan mekanis dibandingkan dengan

sistem manual.

f. Berbagai fungsi yang berbeda-beda dapat dibuat terpusat dalam sistem berbasis

komputer sehingga mengurangi pembagian tugas (segregation of duty) yang

tradisional dalam sistem manual.

g. Perubahan sistem lebih sulit diimplementasikan dan diawasi pada sistem

berbasis komputer dibandingkan sistem manual.

h. Sistem berbasis komputer menyediakan pengolahan yang lebih konsisten

dibandingkan dengan sistem manual, karena dalam sistem berbasis komputer

semua transaksi dikendalikan secara seragam dalam pengendalian yang sama.

i. Laporan akuntansi yang dihasilkan komputer biasanya lebih tepat waktu

sehingga manajemen bisa memperoleh alat bantu yang efektif dalam

melakukan supervisi dan review atas operasi perusahaan.

2.3 Keuntungan Sistem Informasi Akuntansi Berbasis Komputerisasi

Sistem informasi akuntansi dapat menambah nilai bagi organisasi dengan

cara memberikan informasi yang akurat dan tepat waktu, agar aktivitas utama


organisasi dapat dilaksanakan dengan lebih efektif dan efisien. Sistem informasi

akuntansi yang dirancang dengan baik dapat melakukan hal ini dengan cara

(Romney dan Steinbart, 2004) :

• Memperbaiki kualitas dan mengurangi biaya untuk menghasilkan produk atau

jasa, karena sistem informasi akutansi dapat berfungsi untuk mengawasi mesin.

• Memperbaiki efisiensi jalannya suatu proses dengan memberikan informasi

yang lebih tepat waktu.

• Memperbaiki pengambilan keputusan dengan memberikan informasi yang

lebih tepat waktu sehingga keputusan dapat segera diambil untuk kemajuan

organisasi.

• Berbagi pengetahuan. Dengan sistem informasi akuntansi yang baik dapat

mempermudah proses berbagi pengetahuan dan keahlian, yang selanjutnya

dapat memperbaiki proses operasi perusahaan, dan bahkan memberikan

keunggulan kompetitif.

2.4 Resiko dan Ancaman Terhadap Sistem Informasi Akuntansi

Perusahaan telah semakin tergantung pada sistem informasi akuntansi,

yang juga telah berkembang semakin kompleks untuk memenuhi peningkatan

kebutuhan informasi. Sejalan dengan peningkatan kompleksitas sistem dan

ketergantungan pada sistem, perusahaan meghadapi peningkatan resiko atas

sistem informasi akuntansi mereka. Resiko terhadap sistem informasi akuntansi

dapat dibagi menjadi empat, yaitu (Romney dan Steinbart, 2004) :

• Kerusakan akibat bencana alam dan situasi politik, contoh : kebakaran, panas

yang berlebihan, banjir, gempa bumi, badai angin, dan perang.

• Kesalahan pada software dan tidak berfungsinya peralatan, seperti : kegagalan

hardware, kesalahan atau terdapat kerusakan pada software, kegagalan sistem

operasi, gangguan dan fluktuasi listrik, dan kesalahan pengiriman data yang

tidak terdeteksi.

• Tindakan yang tidak disengaja, seperti : kesalahan atau penghapusan data

karena ketidaktahuan atau karena kecelakaan semata. Hal ini biasanya terjadi

karena kesalahan manusia, kegagalan untuk mengikuti prosedur yang telah

ditetapkan, dan user yang tidak diawasi atau dilatih dengan baik.


• Tindakan disengaja yang biasanya disebut sebagai kejahatan komputer

(computer crime), seperti : sabotase yang bertujuan untuk menghancurkan

sistem atau beberapa komponennya, penipuan komputer yang bertujuan untuk

mencuri benda berharga, atau pemalsuan data-data perusahaan.

Resiko terbesar dalam sistem informasi dan paling merugikan, bersumber

dari kesalahan atau penghapusan karena ketidaktahuan. Ketika sebuah perusahaan

tidak melindungi sistem mereka dari keempat ancaman ini, mereka dapat

menghadapi ancaman tambahan, yaitu tuntutan hukum.

2.5 Pengendalian Internal

Sistem pengendalian internal terdiri dari kebijakan, prakter dan prosedur

yang ditetapkan oleh suatu organisasi untuk mencapai tujuan berikut (Hall, 2008):

• Mengamankan aset perusahaan

• Meyakinkan keakuratan dan reliabilitas pencatatan akuntansi dan informasi.

• Meningkatkan efisiensi dalam operasi perusahaan

• Menilai kepatuhan terhadap kebijakan dan prosedur manajemen

Pengendalian intern sendiri melaksanakan tiga fungsi, yaitu :

• Pengendalian preventive

Pengendalian preventive adalah garis pertama pertahanan yang merupakan

teknik pasif yang didesain untuk mengurangi frekuensi munculnya peristiwa-

peristiwa yang tidak diinginkan.

• Pengendalian detective

Pengendalian detective membentuk garis pertahanana kedua yang terdiri dari

peralatan, teknik, dan prosedur yang dirancang untuk mengidentifikasi dan

mengungkap peristiwa yang tidak diinginkan yang lolos atau tidak terdeteksi

oleh pengendalian preventive.

• Pengendalian corrective

Tindakan-tindakan yang diambil untuk menangani masalah yang telah

terdeteksi pada tahap sebelumnya.


Pengendalian internal terdiri dari lima komponen yang saling

berhubungan, yaitu (Boynton, Johnson, Kell, 2001) :

a. Lingkungan pengendalian (control environment) menetapkan suasana suatu

organisasi, yang mempengaruhi kesadaran akan pengendalian dari orang-

orangnya. Lingkungan pengendalian merupakan fondasi dari semua kompunen

pengendalian internal lainnya, yang menyediakan disiplin dan struktur.

b. Penilaian resiko (risk assessment) merupakan pengidentifikasian dan analisis

entitas mengenai resiko yang relevan terhadap pencapaian tujuan entitas, yang

membentuk suatu dasar mengenai bagaimana resiko harus dikelola.

c. Aktivitas pengendalian (control activities) merupakan kebijakan dan prosedur

yang membantu meyakinkan bahwa perintah manajemen telah dilaksanakan.

d. Informasi dan komunikasi (information and communication) merupakan

pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu bentuk

dan kerangka waktu yang membuat orang mampu melaksanakan tanggung

jawabnya.

e. Pemantauan (monitoring) merupakan suatu proses yang menilai kualitas

kinerja pengendalian intern pada suatu waktu.

2.6 Pengendalian Atas Sistem Informasi Akuntansi

Dalam aktivitas pengendalian yang merupakan salah satu unsur dari

pengendalian internal terdapat pengendalian pemrosesan informasi. Pengendalian

pemrosesan informasi dibagi menjadi dua yaitu pengendalian umum dan

pengendalian aplikasi.

Pengendalian umum bertujuan untuk mengendalikan pengembangan

program, perubahan program, operasi komputer, dan untuk mengamankan akses

terhadap data dan program. Pengendalian umum mencakup hal-hal berikut ini

(Hall, 2002) :

1. Pengendalian atas struktur organisasi

2. Pengendalian atas pusat komputer

3. Pengendalian atas sistem operasi

4. Pengendalian sistem manajemen data

5. Pengendalian aktivitas pemeliharaan sistem


6. Pengendalian Local Area Network (LAN)

Pengendalian aplikasi merupakan pengendalian yang spesifik untuk satu

aplikasi tertentu. Pengendalian aplikasi dikelompokkan menjadi pengendalian

input, pengendalian proses, serta pengendalian output. (Bodnar, Hopwood, 2006)

Pengendalian umum bukan menggantikan pengendalian aplikasi.

Pengendalian umum dirancang untuk melindungi semua pengendalian aplikasi

untuk memastikan bahwa pengendalian aplikasi itu efektif. Sangat mungkin

terjadi sebuah perusahaan memiliki pengendalian umum yang kuat, tetapi

pengendalian aplikasinya lemah, atau malah tidak ada sama sekali. Pengendalian

umum, oleh karena itu, dapat dilihat sebagai satu hal yang penting, tetapi belum

cukup untuk mengendalikan pemrosesan data.

2.7 Auditing

Definisi auditing adalah pengumpulan serta pengevaluasian bukti-bukti

atas informasi untuk menentukan dan melaporkan tingkat kesesuaian informasi

tersebut dengan kriteri-kriteria yang telah ditetapkan, Auditing harus dilaksanakan

oleh seseorang yang kompeten dan independen. (Arens, 2003)

Audit sendiri dibagi menjadi 3 jenis yaitu :

• Audit Operasional adalah tinjauan atas bagian tertentu dari prosedur serta

metode operasional organisasi tertentu yang bertujuan mengevaluasi efisiensi

serta efektifitas prosedur serta metode tersebut. Pada saat audit operasional

selesai dilaksanakan, biasanya manajemen mengharapkan sejumlah

rekomendasi untuk meningkatkan kegiatan operasional perusahaan. Dalam

audit operasional, tinjauan-tinjauan yang dibuat tidak terbatas pada akuntansi

saja tetapi dapat mencakup pula evaluasi atas struktur organisasi, operasi

komputer, metode produksi, pemasaran, serta banyak area audit lainnya

sesuai dengan kualifikasi auditor.

• Audit Kepatuhan adalah untuk menentukan apakah klien telah mengikuti

prosedur, tata cara, serta peraturan yang dibuat oleh otoritas yang lebih tinggi.

Temuan audit kepatuhan umumnya disampaikan kepada seseorang di dalam

unit organisasi yang diaudit daripada disampaikan kepada lingkup pengguna

yang lebih luas.


• Audit Laporan Keuangan dilaksanakan untuk menentukan apakah seluruh

laporan keuangan telah dinyatakan sesuai dengan kriteria tertentu. Umumnya

kriteria tersebut adalah Pernyataan Standart Akuntansi Keuangan (PSAK).

2.8 Audit Sistem Informasi

Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi

pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan

audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini

dipenuhi : (Romney dan Steinbart, 2004)

a. Perlengkapan keamanan melindungi perlengkapan komputer, program,

komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.

b. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi

khusus dan umum dari manajemen.

c. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak

manajemen.

d. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat

dan lengkap.

e. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat

diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah

ditetapkan.

f. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.

Seluruh audit sistem informasi menggunakan urutan kegiatan yang dapat

dibagi menjadi empat langkah, yaitu merencanakan audit, mengumpulkan bukti

audit, mengevaluasi bukti audit, dan mengkomunikasikan hasil audit kepada pihak

perusahaan. Berikut adalah penjelasan dari langkah- langkat tersebut :

a. Merencanaan audit

Tujuan dari merencanakan audit adalah untuk menetapkan mengapa,

bagaimana, kapan dan oleh siapa audit akan dilaksanakan. Langkah pertama

dalam perencanaan audit adalah menetapkan lingkup dan tujuan audit. Setealh

lingkup dan tujuan audit telah jelas, maka hal berikutnya adalah menetapkan

tim audit yang nantinya akan melaksanakan audit. Tim audit ini akan

melakukan diskusi terhadap pihak yang diaudit, melakukan tinjauan tas


dokumentasisistem, dan melakukan tinjauan atas penemuan-penemuan dalam

survei pendahuluan.Langkah berikutnya yang dilakukan adalah

mengidentifikasi faktor resiko. Dan langkah terakhir adalah menyiapkan

program audit yang nantinya akan dilaksanakan oleh tim audit.

b. Mengumpulkan bukti audit

Sebagian besar usaha audit dihabiskan dengan mengumpulkan bukti. Teknik

pengumpulan bukti meliputi kuesioner, wawancara, mereview, dan observasi.

Sebuah audit umumnya akan menggunakan campuran berbagai prosedur.

c. Mengevaluasi bukti audit

Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan audit, dan

memutuskan apakah bukti yang dikumpulkan tersebut cukup memadai atau

tidak. Apabila kurang memadai, auditor akan merencanakan dan

melaksanankan prosedur tambahan sampai bukti yang cukup dapat

dikumpulkan untuk membuat kesimpulan yang kuat. Dalam seluruh tahapan

audit, penemuan dan kesimpulan dengan hati-hati didokumentasikan dalam

lembar kerja audit. Dokumentasi sangatlah penting pada tahap evaluasi untuk

mencapai dan mendukung kesimpulan akhir.

d. Mengkomunikasikan hasil audit

Auditor mempersiapkan laporan tertulis (dan kadang-kadang lisan) yang

meringkas penemuan-penemuan dan berbagai rekomendasi audit. Laporan ini

disajikan kepada pihak manajemen.

2.9 Audit atas Pengendalian Umum

Pengendalian umum mencoba untuk mendapatkan gambaran keseluruhan

dari pengendalian yang ada di sekitar lingkungan sistem informasi. Yang

termasuk di dalamnya yaitu struktur organisasi dan pengaturan struktur dari fungsi

sistem informasi, keberadaan dan kebijakan prosedur sehari-hari, keberadaan staf

dan kemampuan mereka serta keseluruhan lingkungan pengendalian. Penting bagi

auditor untuk memahami hal-hal tersebut karena merekalah fondasi dari

pengendalian.

Gambaran pengendalian umum juga mencakup infrastruktur serta

pengendalian lingkungan. Pusat data atau fasilitas pengolahan informasi harus


memenuhi standart kondisi udara (suhu dan kelembaban), pasokan listrik (UPS

dan generator) dan pendeteksi asap atau sistem kebakaran, lingkungan yang

kondusif dan bersih, perlindungan dari bencana alam.

Pengendalian akses fisik merupakan lingkup lain yang juga penting untuk

ditinjau. Ada perintah atau pengaturan yang hanya dapat dijalankan hanya dari

server. Oleh karena itu penting untuk menempatkan server di lokasi yang aman

dilindungi oleh mekanisme yang sesuai seperti mengunci pintu, gesek kartu akses,

akses perangkat biometrik atau kombinasi dari itu semua. Selanjutnya auditor juga

harus meninjau tindakan kontrol akses secara keseluruhan seperti penjaga

keamanan di pintu masuk serta akses masuk pengunjung (Sayana).

2.9.1 Pengendalian atas struktur organisasi

Tujuan audit atas struktur organisasi adalah untuk memastikan bahwa

individu- individu dari area yang berbeda dipisahkan berkaitan dengan tingkat

resiko potensial dan dalam cara yang mendukung lingkungan kerja. Dikarenakan

pada sistem informasi berbasis komputer, pemisahan fungsi yang ada berkaitan

dengan departemen teknologi informasi (TI) maka yang akan dilihat adalah

pemisahan tugas dalam departemen IT (Hall, 2002).

Untuk memenuhi tujuan di atas, maka pengendalian yang dapat dilakukan

dalam sistem informasi akuntansi berbasis komputer adalah :

a. Memisahkan pengembangan sistem dari operasi komputer

Relasi antara kelompok ini harus terpisah di mana tanggung jawab yang

dipegang oleh mereka tidak boleh digabungkan. Tanggung jawab dari

penggembangan sistem adalah membuat (serta memelihara) sistem untuk para

pemakai. Sedangkan operasi komputer hanya bertanggung jawab menjalankan

sistem dan tidak terlibat sama sekali dalam pembuatan sistem. Dengan

pengetahuan mengenai logika aplikasi dan parameter pengendalian dan akses ke

fungsi- fungsi komputer maka seseorang dapat membuat perubahan yang tidak sah

terhadap aplikasi.

b. Pemisahan administrator database dan pengembangan sistem

Fungsi administrator database bertanggung jawab untuk tugas penting

yang berkaitan dengan keamanan database, termasuk pembuatan skema database,


penetapan otorisasi akses untuk para pemakai, dan perencanaan untuk

pengembangan di masa yang akan datang. Sedangkan tanggung jawab dari

penggembangan sistem adalah membuat (serta memelihara) sistem untuk para

pemakai. Dengan digabungkannya dua fungsi ini maka akan mengakibatkan

kekacauan pada kontrol akses.

c. Pemisahan fungsi pengembangan sistem baru dari fungsi pemeliharaan

Sebagian perusahaan mengelola fungsi- fungsi pengembangan sistem

mereka dalam dua kelompok yaitu analisis dan pemrograman sistem. Bagian

analisis sistem bekerja dengan para pengguna untuk menghasilkan desain

terperinci sistem yang baru. Bagian pemrograman akan mengkodekan berbagai

program seusai dengan spesifikasi desain ini. Dalam pendekatan ini, programmer

akan mengkodekan program awal juga akan memelihara sistem tersebut selama

tahap pemeliharaan dalam siklus hidup pengembangan sistem. Apabila tidak ada

pemisahan fungsi ini dapat menyebabkan dua jenis masalah kontrol dokumentasi

yang tidak memadai (inadequate documentation) dan potensi terjadinya penipuan

program (program fraud).

d. Memisahkan pustakawan data dari kegiatan operasional

Pemisahan pustakawan data dari kegiatan operasi merupakan hal penting

untuk keamanan fisik file-file data yang disimpan dalam perpustakaan data (offline

data). Pustakawan data adalah orang yang bertanggung jawab atas penerimaan,

penyimpanan, penarikan, dan pengamanan berbagai file data dan harus

mengendalikan akses ke perpustakaan tersebut. Para operator yang ditugaskan

fungsi pustakawan harus memahami peran penting pengendalian dalam tanggung

jawab yang sudah jelas sangat besar ini. Pihak manajemen harus mempertahankan

adanya pengendalian yang ketat atas siapa saja yang melakukan fungsi

pustakawan untuk memastikan bahwa tanggung jawab ini tidak dilaksanakan oleh

operator lain dalam masa sibuk.

Prosedur audit yang berkenaan dengan struktur organisasi yang digunakan

oleh auditor untuk mewujudkan tujuan audit adalah :

• Mendapatkan dan memeriksa kebijakan perusahaan perihal keamanan

komputer. Memverifikasi bahwa kebijakan keamanan tersebut

dikomunikasikan kepada para karyawan.


• Memeriksa dokumentasi yang relevan, termasuk struktur organisasi saat ini,

pernyataan misi, dan deskripsi pekerjaan untuk fungsi- fungsi kunci, untuk

memastikan bahwa individu- individu atau kelompok tersebut melakukan

fungsi- fungsi yang saling bertentangan.

• Memeriksa dokumen sistem dan pemeliharaan catatan untuk sebuah sampel

aplikasi. Memverifikasi bahwa pemrogram pemeliharaan sistem yang

ditugaskan untuk proyek-proyek tertentu bukan merupakan pemrogram desain

sistem asli.

• Melalui pengamatan, memastikan bahwa kebijakan pemisahan tugas benar-

benar dipraktekkan. Memeriksa cacatan harian akses ke ruang operasi untuk

melihat apakah para pemrogram memasukkan fasilitas untuk alasan-alasan lain

selain karena kegagalan sistem.

• Memeriksa hak-hak dan akses pemakai untuk memverifikasi bahwa para

pemrogram memiliki akses yang konsisten dengan deskripsi pekerjaan mereka.

2.9.2 Pengendalian atas pusat komputer

Para auditor mempelajari lingkungan fisik dari pusat komputer sebagai

bagian dari pekerjaan audit mereka. Hasil temuan dalam bidang ini berpengaruh

besar pada informasi, catatan akuntansi, pemrosesan transaksi dan efektivitas

kontrol internal lainnya. Maka dari itu aud itor menerapkan tujuan audit yang

berkenaan dengan keamanan pusat komputer, yaitu :

a. Pengendalian keamanan fisik memadai untuk melindungi organisasi dari

kerusakan secara fisik

b. Jaminan asuransi pada peralatan cukup untuk memberikan kompensasi pada

organisasi ketika terjadi kerusakan atau bencana pada pusat komputer

c. Rencana pemulihan kerusakan (Disaster Recovery Plan atau DRP) organisasi

itu memadai dan layak


Untuk memenuhi tujuan audit terhadap pengendalian keamanan fisik yang

memadai sehingga dapat melindungi organisasi dari kerusakan fisik, maka

pengendalian yang harus dijalankan oleh perusahaan adalah (Hall, 2002) :

a. Lokasi fisik

Lokasi fisik secara langsung mempengaruhi resiko kerusakan. Sebisa

mungkin pusat komputer tersebut jauh dari bahaya buatan manusia ataupun alam.

b. Konstruksi

Konstruksi gedung idealnya berlantai satu, kuat, dan aksesnya dikontrol.

Utilities (listrik dan telepon) dan jalur komunikasi harus ditempatkan di bawah

tanah. Jendela gedung jangan dibuka. Perlu juga dilengkapi sistem penyaring

udara.

c. Akses

Akses ke pusat komputer harus dibatasi pada operator dan pekerja lain

yang bekerja di sana. Pusat komputer harus mempertahankan catatan yang akurat

untuk siapapun yang keluar dan masuk ke pusat komputer. Pintu masuk utama

harus ada satu saja. Ruangan dilengkapi dengan alarm, kamera yang memonitor

dan sistem perekam video.

d. Pendingin udara

Pendingin udara dalam pusat komputer dapat membuat komputer

berfungsi dengan baik. Kisaran temperatur yang bak adalah 70 sampai 75 derajat

Farenheit dan kelembaban relatif 50 persen.

e. Pemadam api

Pemadam api harus ada dalam melengkapi pusat komputer. Implementasi

sistem pemadam kebakaran yang efektif memerlukan konsultasi dengan para

ahlinya. Sebagian fitur utama dari sistem ini adalah alarm otomatis dengan

mengeluarkan zat pemadam api yang tepat yang tidak merusak peralatan yang

ada, alarm manual, gedung dengan konstruksi yang kuat dan tahan api, serta pintu

darurat dengan tanda dan penerangan yang jelas. Berikut adalah tabel mengenai

komposisi material tabung pemadam kebakaran beserta kegunaannya :


Tabel 2.1 Material dan Kegunaan Tabung Pemadam Kebakaran

Sumber : http://bartecfire.squarespace.com/fire-extinguishers/

f. Pasokan daya listrik

Pasokan daya listrik dapat mendatangkan masalah bila terjadi kegagalan

daya listrik total, fluktuasi tegangan listrik, dan variasi berkala. Peralatan yang

digunakan untuk mengontrol masalah ini antara lain pengatur voltase, pelindung

goncangan, generator, dan baterai.

Prosedur audit yang dilakukan oleh auditor dalam menguji pengenalian

keamanan fisik adalah (Hall,2002) :

• Menguji lokasi fisik

Auditor harus menentukan bahwa pusat komputer dibangun dengan bahan-

bahan yang tahan api. Konstruksi ini juga harus memiliki saluran air di bawa

lantai serta dilengkapi dengan pendingin udara dengan suhu dan kelembaban

yang mencukupi. Selain itu, auditor harus mengevaluasi lokasi fisik dari pusat

komputer. Fasilitas ini harus terletak di wilayah yang meminimalisir kerusakan

karena kebakaran, perang, dan kerusakan lainnya.


• Menguji kontrol akses

Auditor harus memastikan bahwa akses rutin ke pusat komputer dibatasi pada

karyawan yang memiliki otorisasi saja. Rincian tentang akses pengunjung,

seperti waktu masuk dan keluar, tujuan dan frekuensi akses, dapat diperoleh

dengan memeriksa catatan harian akses.

• Menguji sistem deteksi kebakaran

Auditor harus memastikan bahwa peralatan pemadam dan pendeteksi api, baik

manual maupun otomatis, memang ada dan diuji secara berkala. Sistem

pendeteksi ini harus bisa mendeteksi asap, panas, dan material lain yang mudah

terbakar.

• Menguji pasokan listrik cadangan

Pusat komputer harus melakukan tes secara berkala terhadap pasokan listrik

cadangan untuk memastikan bahwa pasokan listrik tersebut memiliki cukup

kapasitas untuk menjalankan komputer dan pendingn udara sekaligus. Tanpa

tes semacam ini maka perusahaan tidak akan menyadari bahwa kapasitas listrik

cadangan tidak akan mencukupi sampai akhirnya sudah terlambat.

Untuk memenuhi tujuan audit mengenai jaminan asuransi terhadap

hardware, software dan perangkat fisik lainnya, maka pengendalian yang harus

dijalankan oleh perusahaan adalah membeli polis asuransi. Polis asuransi harus

mencerminkan kebutuhan manajemen dalam hal jaminan asuransi dan biaya.

Setiap tahunnya harus diverifikasi bahwa semua akuisisi baru sudah didaftarakan

dalam polis dan bahwa perangkat lunak yang usang telah dihapus.

Prosedur audit yang harus dilakukan oleh auditor adalah memverifikasi

jaminan asuransi. Auditor setiap tahunnya harus memeriksa jaminan asuransi

organisasi untuk hardware, software, dan fasilitas fisik komputer. Auditor harus

memastikan bahwa akuisisi baru sudah didaftarkan dalam polis dan bahwa

perangkat yang usang sudah dihapus.

DRP merupakan pernyataan tentang semua tindakan yang harus diambil

sebelum, selama, dan setelah bencana terjadi, bersamaan dengan prosedur-

prosedur yang didokumentasikan, diuji, yang akan memastikan kelanjutan operasi.

Untuk memenuhi tujuan audit terhadap rencana pemulihan kerusakan (Disaster


Recovery Plan atau DRP) yang memadai, maka pengendalian yang harus

dijalankan oleh perusahaan adalah (Hall, 2002) :

a. Mengidentifikasi aplikasi-aplikasi penting

Salah satu elemen penting dari sebuah DRP adalah mengidentifikasi aplikasi-

aplikasi penting dari file-file perusahaan. Upaya-upaya pemulihan harus

terkonsentrasi pada pemasangan kembali aplikasi-aplikasi yang penting untuk

tujuan jangka pendek organisasi. Bagi kebanyakan organisasi, daya tahan

perusahaan dalam jangka pendek mensyaratkan pemasangan kembali fungsi-

fungsi yang menghasilkan arus kas yang memadai untuk memenuhi kewajiban

jangka pendek.

b. Melakukan prosedur back up dan penyimpanan off site, yang meliputi :

- Back up file data

Database harus dibuat salinannya setiap hari dalam kaset atau disket yang

disimpan dalam tempat yang terpisah.

- Back up dokumentasi

Dokumentasi sistem untuk aplikasi-aplikasi penting harus di back up dan

disimpan terpisah dengan cara yang sama sebagai file-file data.

- Back up perlengkapan dan dokumen sumber

Perusahaan harus menyediakan persediaan cadangan untuk perlengkapan

dan dokumen-dokumen sumber yang digunakan dalam aplikasi-aplikasi

penting.

Prosedur audit yang berkenaan dengan DRP yang digunakan oleh auditor

untuk mewujudkan tujuan audit adalah (Hall, 2002) :

• Memeriksa daftar aplikasi penting

Auditor dapat meninjau daftar aplikasi penting untuk meyakinkan bahwa daftar

tersebut telah lengkap untuk tujuan jangka pendek organisasi.

• Memeriksa prosedur back up

Auditor harus memeriksa bahwa salinan data aplikasi, file, perlengkapan dan

dokumen sumbertelah di bacu up dan dimasukkan dalam off-site sehingga

memadai dan siap untuk dipakai saat rencana pemulihan bencana.


2.9.3 Pengendalian sistem operasi

Sistem operasi merupakan program pengendalian dari komputer. Sistem ini

memungkinkan para pemakai dan aplikasi-aplikasinya untuk menggunakan dan

mengakses sumber daya komputer secara bersamaan. Wilayah pengendalian

sistem operasi meliputi prosedur log on, kebijakan kata sandi, pengendalian virus,

pengendalian jejak audit, dan toleransi kesalahan (Hall dan Singleton, 2008).

Tujuan audit atas sistem operasi adalah untuk :

a. Memastikan hak akses diberikan secara konsisten dengan kebutuhan untuk

memisahkan fungsi- fungsi yang berbeda dan sesuai dengan kebijakan

perusahaan.

b. Memastikan bahwa perusahaan memiliki kebijakan kata sandi yang memadai

dan efektif untuk mengendalikan akses ke sistem operasi perusahaan.

c. Memastikan adanya kebijakan dan prosedur manajemen yang efektif untuk

mencegah masuk dan menyebarnya program yang bersifat merusak.

d. Memastikan bahwa pemeriksaan terhadap user dan event cukup memadai

untuk mencegah dan mendeteksi penyalahgunaan sistem.

Untuk memenuhi tujuan dalam memastikan hak akses diberikan secara

konsisten, maka perusahaan harus menerpakan prosedur log on. Prosedur log on

adalah sebuah prosedur formal yang merupakan pengamanan garis depan sistem

operasi dari akses tidak sah. Ketika pengguna memulai proses tersebut, ia akan

disajikan sebuah kotak dialog yang meminta ID dan kata sandinya. Sistem

kemudian akan membandingkan ID dan kata sandi tersebut dengan basis data para

pengguna yang valid. Jika sistem menemukan kesesuaian, maka usaha untuk

logon tersebut akan diautentikasi. Akan tetapi, jika ID atau kata sandi yang

dimasukkan salah, maka usaha log on tersebut akan gagal dan akan ada sebuah

pesan untuk user. Pesan tersebut tidak boleh memberitahukan apakah ID atau kata

sandi yang menyebabkan kegagalan log on. Setelah beberapa kali percobaan log

on yang gagal dilakukan, sistem akan membawa pengguna keluar dari sistem.

Prosedur audit yang harus dilakukan oleh auditor berkaitan dengan tujuan

audit untuk memastikan hak akses diberikan untuk memisahkan fungsi- fungsi

yang berbeda adalah :


• Memeriksa kebijakan organisasi untuk memisahkan fungsi- fungsi yang saling

bertentangan dan memastikan mereka mendukung keamanan yang masuk akal.

• Memeriksa hak akses individu untuk menentukan sesuai atau tidaknya hak

akses mereka dengan deskripsi dan posisi kerja mereka. Auditor harus

memverifikasi bahwa individu tersebut diberikan hak akses ke data dan

program berdasarkan kebutuhan mereka.

• Memeriksa waktu log on uang diizinkan. Izin ini sesuai dengan tanggung

jawab yang dilakukan.

Untuk memenuhi tujuan dalam memastikan perusahaan memiliki kebijakan

kata sandi, maka perusahaan harus menerapkan kebijakan kata sandi. Kata sandi

merupakan sebuah kode rahasia yang dimasukkan oleh pemakai agar dapat

mengakses sistem, aplikasi-aplikasi, file- file data, atau server jaringan.

Pengendalian yang diterapkan berkenaan dengan kata sandi adalah (CISA Review

2007) :

a. User harus menggunakan kata sandi yang kuat. Idealnya kata sandi memiliki

panjang delapan karakter dengan gabungan paling sedikit tiga dari gabungan

huruf, angka, huruf besar dan kecil, serta tanda baca.

b. Kata sandi seharusnya tidak boleh secara langsung menggambarkan atau

berhubungan dengan user (seperti nama depan, nama keluarga, dll)

c. Kata sandi harus diganti setidaknya dalam waktu 30 hari.

Untuk menilai pencapaian dari tujuan audit mengenai kata sandi maka

auditor harus menerapkan langkah audit sebagai berikut (Hall, 2002) :

• Memverifikasi bahwa semua pemakai diharuskan memiliki kata sandi

• Memverifikasi bahwa pemakai baru diberi petunjuk dalam menggunakan kata

sandi dan pentingnya pengendalian kata sandi.

• Memastikan bahwa prosedur yang ada dapat mengidentifikasi kata sandi yang

lemah. Hal ini dapat dilakukan dengan menggunakan software.

• Menilai kecukupan standart kata sandi seperti panjang dan jangka waktu

kadaluarsanya

• Memeriksa kebijakan dan prosedur penguncian akun. Auditor harus menetukan

berapa jumlah kegagalan user login yang diizinkan sebelum akun itu benar-

benar terkunci besertalamanya penguncian. Penguncian akun ini dapat


berlangsung beberapa menit atau bahkan permanen yang memerlukan tindakan

pengaktifan secara resmi.

Untuk memenuhi tujuan adanya kebijakan dan prosedur manajemen untuk

mencegah masuk dan menyebarnya program yang bersifat merusak makan

dilakukan pengendalian yaitu pengendalian virus. Virus merupakan program

(biasanya destruktif) yang melekatkan dirinya pada program yang sah untuk

mengacaukan sistem operasi. Virus menghancurkan program-program aplikasi,

file-file data, dan sistem operasi dengan berbagai cara. Pengendalian yang dapat

dilakukan diantaranya yaitu (Hall, 2002) :

a. Membeli software hanya dari vendor yang bereputasi baik dan hanya menerima

produk-produk asli dan tersegel dari pabriknya.

b. Mengeluarkan kebijakan yang berkaitan dengan penggunaan software yang

tidak di otorisasi.

c. Memeriksa semua software dari virus-virus sebelum diimplementasikan

d. Secara rutin membuat back up untuk salinan pendukung untuk file-file kunci

e. Menggunakan software antivirus untuk memeriksa aplikasi dan proram sistem

operasi dari ada tidaknya virus dan membersihkan virus dari program tersebut.

Dan harus dilakukan pengecekan antivirus versi terbaru untuk menghindari

virus yang bermutasi dan tidak dapat dicegah oleh antivirus yang lama.

Prosedur audit yang dapat dilakukan oleh auditor untuk mencegah program-

program destruktif adalah (Hall, 2002) :

• Melalui wawancara memastikan bahwa user telah dididik tentang virus

komputer dan menyadari resiko-resiko yang dapat meyebabkan virus masuk ke

dalam komputer.

• Memeriksa bahwa administrator sistem secara rutin memeriksa server file dan

komputer-komputer untuk mengetahui ada tidaknya virus

• Memverifikasi bahwa software diuji terlebuh dahulu sebelum

diimplementasikan

• Memverifikasi bahwa antivirus saat ini terpasang dan diperbarui secara berkala

Untuk menetapkan tujuan memastikan bahwa pemeriksaan terhadap user

dan event cukup memadai untuk mencegah dan mendeteksi penyalahgunaan

sistem maka pengendalian yang harus dilakukan adalah menetapkan jejak audit.


Jejak audit merupakan catatan harian yang dapat didesain untuk mencatat aktivitas

pada sistem, aplikasi, dan pada tingkat pemakai. Ketika diimplementasikan

dengan benar, jejak audit menjadi kontrol deteksi yang penting untuk membantu

pencapaian tujuan dan kebijakan keamanan sistem. Pengendalian jejak audit dapat

digunakan untuk mendukung keamanan dalam tiga cara, yaitu (Hall 2002) :

a. Mendeteksi akses yang tidak diotorisasi

Tujuan utama dari pendekatan real time adalah untuk melindungi sistem dari

pihak luar yang berusaha untuk menembus kontrol sistem. Jejak audit real time

juga dapat digunakan untuk melaporkan kinerja sistem yang mungkin dipenuhi

oleh virus.

b. Merekonstruksi peristiwa

Dapat digunakan untuk merekonstruksi langkah- langkah yang mengarah ke

peristiwa-peristiwa seperti kegagalan sistem, pelanggaran keamanan oleh

individu, atau kesalahan dalam memproses aplikasi.

c. Akuntanbilitas Personal

Kapabilitas ini merupakan control preventif yang dapat digunakan untuk

mempengaruhi perilaku individu- individu yang cenderung segan melanggar

kebijakan keamanan organisasi jika tahu bahwa tindakannya akan dicatat

dalam jejak audit.

Prosedur audit yang dapat dilakukan oleh auditor berkaitan dengan jejak

audit adalah (Hall, 2002 dan CISA review 2007) :

• Auditor harus memverifikasi bahwa jejak audit peristiwa telah diaktifkan

sesuai dengan kebijakan perusahaan.

• Auditor dapat mengakses arsip file catatan harian untuk mencari peristiwa

seperti pemakai yang tidak memiliki otorisasi, periode tidak adanya aktivitas,

usaha log on yang gagal, dan akses ke file atau aplikasi tertentu.

• Auditor memilih satu sampel kasus pelanggaran dan megevaluasi keadaan

untuk menilai efektifitas keamanan.


2.9.4 Pengendalian atas manajemen data

Tujuan audit adalah untuk memverifikasi bahwa kontrol terhadap

manajemen data sudah cukup untuk menjaga integritas dan keamanan fisik

database. Tujuan audit ini dapat dirinci menjadi dua yaitu :

a. Individu yang diberi otorisasi telah menggunakan database secara terbatas

hanya untuk mengakses data yang diperlukan untuk melakukan pekerjaan

mereka dan bahwa individu- individu yang tidak memiliki otoritas ditolak

aksesnya ke database.

b. Backup file data telah memadai untuk memfasilitasi pemulihan ketika terjadi

kehilangan, penghancuran, atau korupsi data

Pengendalian yang dapat dilakukan berkaitan dengan otorisasi akses baik

yang dikehendaki maupun penolakan akses yang tidak sah dapat dilakukan

dengan cara :

a. User view atau subskema adalah bagian dari keseluruhan database yang

mendefinisikan data yang domain bagi pemakai dan menyediakan akses

database. Dalam database tersentralisasi, database administrator mempunyai

timbal balik dasar bagi desain tampilan pemakai dalam bagian ini. Akses inti

untuk database telah terdefinisikan seperti tampilannya akan sepada dengan

pemakaian yang diperlukan pemakai.

b. Tabel otorisasi database

Tabel otorisasi database berisi peraturan-peraturan yang membatasi tindakan-

tindakan pemakai sistem. Teknik ini serupa dengan daftar kontrol akses yang

digunakan dalam sistem operasi.

c. Prosedur yang ditentukan pemakai

Prosedur yang ditentukan pemakai mengijinkan user untuk menciptakan

program keamanan pribadi untuk menyediakan identifikasi user yang lebih

baik dibandingkan satu kata sandi.

Prosedur audit yang dilaksanakan berkaitan dengan otorisasi akses yang

harus dilakuakn oleh aouditor adalah (Hall, 2002) :

• Memverifikasi bahwa personel administrator database memegang tanggung

jawab khusus membuat tabel-tabel otoritas dan mendesain sub-skema pemakai


• Memilih sebuah sampel pemakai dan memverifikasi bahwa hak akses mereka

disimpan dalam tabel otoritas

• Memverifikasi bahwa kontrol pertanyaan database memang ada untuk

mencegah akses-akses yang tidak sah dengan carai dilakukan simulasi akses

yaitu dengan sebuah sampel user dan berusaha mengambil data secara tidak

sah.

Data dapat dikorupsi oleh tindakan-tindakan kriminal dari pembajak, para

karyawan yang tidak puas terhadap perusahaan, kegagalan sistem, dan bencana

alam. Untuk pulih dari bencana-bencana seperti itu, organisasi harus

mengimplementasikan kebijakan, prosedur, dan teknik yang secara rutin

menyediakan back up untuk file-file penting. Tujuan dari audit atas backup data

adalah bahwa backup data sudah memadai untuk memfasilitasi pemulihan ketika

terjadi kehilangan, penghancuran, atau korupsi data.

Untuk mencapai tujuan di atas, maka pengendalian yang dapat dilakukan

oleh perusahaan adalah (Hall,2002) :

a. Backup

Fitur backup ini membuat file pendukung secara periodik untuk seluruh

database. Ini merupakan prosedur otomatis yang harus dilakukan sedikitnya

satu kali dalam sehari. Salinan pendukung (backup copy) ini kemudian harus

disimpan dalam area yang terpisah dan aman. Dapat dilakukan dengan teknik

cadangan GPC (grandparent-parent-child), atau cadangan file akses langsung

atau dengan penyimpanan di tempat lain (off site)

b. Transaction log (journal)

Fitur transaction log menyediakan audit trail untuk semua transaksi yang

diproses. Log ini membuat daftar transaksi dalam file log transaksi dan

mencatat perubahan yang dihasilkan ke basis data dalam log perubahan basis

data yang terpisah.

Prosedur audit yang dilaksanakan oleh auditor berkaitan dengan back up

untuk file-file penting adalah (Hall, 2002) :

• Memverifikasi bahwa prosedur back up otomatis memang ada dan berjalan

baik. Selain itu auditor juga harus memastikan bahwa frekuensi prosedur back


up memadai untuk kebutuhan perusahaan dan salinan pendukung (backup

copy) harus disimpan di tempat terpisah dan aman.

• Melihat kecurangan-kecurangan yang terjadi pada transaction log (journal)

untuk semua transaksi yang diproses.

2.9.5 Pengendalian aktivitas pemeliharaan sistem

Terdapat tiga tujuan dalam pengendalian pemeliharaan sistem, yaitu (Hall,

2002) :

a. Untuk memastikan bahwa prosedur pemeliharaan melindungi aplikasi dari

perubahan yang tidak terotorisasi.

b. Untuk memastikan bahwa program library terlindungi dari akses yang tidak

terotorisasi.

Untuk memastikan bahwa prosedur pemeliharaan melindungi aplikasi dari

perubahan yang tidak terotorisasi. Maka perusahaan dapat menerapkan

pengendalian seperti pengendalian jejak audit. Melalui jejak audit akan terlihat

semua perubahan program baik penambahan ataupun penghapusan modul.

Laporan ini harus merupakan bagian dari file dokumentasi dari setiap aplikasi

untuk membentuk suatu jejak audit. Laporan–laporan ini dapat diproduksi tercetak

atau pada disket dan dapat dikelola dengan kata sandi sehingga akan membatasi

akses hanya kepada pihak yang berkepentingan saja.

Langkah untuk auditor melakukan pemeriksaan untuk mengetahui setiap

perubahan program yang terjadi adalah sah, maka auditor harus melihat jejak

audit dari perubahan program untuk sebuah sampel aplikasi yang telah menjalani

pemeliharaan.

Untuk memastikan bahwa program library terlindungi dari akses yang

tidak terotorisasi. Maka perusahaan dapat mengendalikan akses terhadap program

library. Program library harus hanya diakses oleh orang-orang yang bertindak

sebagai petugas library. Perusahaan dapat menerapkan akses kontrol matrik

terhadap individu- individu petugas library.

Langkah untuk auditor melakukan pemeriksan untuk memastikan bahwa

program library terlindungi dari akses yang tidak terotorisasi maka auditor dapat

melihat akses kontrol matriks yang dimiliki oleh petugas library. Selain itu juga


auditor dapat melakukan pengujian untuk mengetahui apakah akses yang tidak

terotorisasi dapat ditolak oleh sistem.

2.9.6 Pengendalian Local Area Network (LAN)

Local area network adalah jaringan yang terbatas pada satu ruangan

tunggal dalam satu gedung, ataupun menghubungkan beberapa gedung dalam satu

area geografis tertutup. LAN dapat meliputi dapat meliputi beberapa mil dan

menghubungkan ratusan pengguna. Komputer-komputer yang dihubungkan pada

suatu LAN disebut node. Node sering berbagi sumber daya umum seperti

program, data, dan printer yang dikelola melalui server. Bila server menerima

permintaan untuk sumber daya, permintaan ditempatkan dalam suatu antriandan

diproses dalam urutan (Hall, 2002).

Tujuan audit atas local area network (LAN) adalah untuk memastikan

integritas dan keamanan data yang terhubung ke dalam jaringan dan mendeteksi

akses yang tidak terotorisasi.

Untuk mencapai tujuan tersebut, perusahana dapat melaksanakan

pengendalian berupa :

a. Menerapkan catatan harian pesan. Semua pesan yang masuk dan keluar, juga

setiap usaha akses akan dicatat dalam sebuah catatan harian. Catatan ini

menyantumkan ID pemakai, waktu akses dan lokasi akses.

b. Pengendalian backup untuk jaringan. Backup data dalam jaringan dapat

diwujudkan melalui beberapa cara yang berbeda, bergantung pada tingkat

kompleksitas jaringan. Dalam jaringan yang kecil, sebuah stasuin kerja tunggal

dapat memiliki backup dan memulihkan fungsi- fungsi untuk node lainnya.

Ketika jaringan semakin besar dan melibatkan banyak node dan meingkatkan

kuantitas pemakai data secara bersama-sama, backup biasanya ditetapkan pada

jaringan tingkat server.

Auditor dapat melakukan prosedur audit yang berkaitan dengan local area

network (LAN) dengan :

• Memeriksa catatan harian pesan untuk melihat akses terhadap LAN. Apakah

akses yang masuk ke jaringan adalah akses yang memiliki otorisasi. Selain itu


juga auditor dapat memeriksa apakah ada prosedur kata sandi untuk masuk ke

dalam LAN.

• Memverifikasi bahwa ada prosedur backup jaringan dilakukan secara rutin dan

apakah prosedur backup itu merupakan prosedur otomatis dan berjalan dengan

baik. Salinan backup disimpan terpisah dan di tempat yang aman.

2. LANDASAN TEORI 2.1 Sistem Informasi Akuntansi

Documents

Transcript of 2. LANDASAN TEORI 2.1 Sistem Informasi Akuntansi