7

BAB 2

LANDASAN TEORI

2.1 Pengertian Sistem Informasi

Menurut Mcleod (2004, p10), information is processed data that is meaningful;

it usually tells the user something that she or he did not already know. (Informasi

adalah data yang diproses yang mempunyai arti; informasi biasanya memberitahukan

pengguna akan sesuatu yang belum pernah ia ketahui).

Menurut O’Brien (2003, p13), information is data that have been converted

into a meaningful and useful contex for specific end users. (Informasi adalah data

yang telah diubah menjadi isi yang bermakna dan berguna untuk pengguna khusus).

Menurut Laudon (2004, p8), information mean data that have been shaped into

a form that is meaningful and useful to human beings. (Informasi berarti data yang

telah dibentuk menjadi suatu bentuk yang bermakna dan berguna bagi manusia).

Dari pengertian diatas, maka dapat disimpulkan bahwa informasi adalah suatu

data mentah yang kemudian diolah dan diproses sehingga memiliki arti di mana akan

menjadi faktor penentu keberhasilan maupun kegagalan suatu perusahaan.

Menurut O’Brien (2003, p7), information systems can be any organized

combination of people, hardware, software, communications networks, and data

resource that collects, transforms, and disseminates information in an organization.

(Sistem informasi dapat diorganisasikan dengan mengkombinasikan manusia,

hardware, software, jaringan komunikasi dan sumber daya data di mana informasi

dikumpulkan, ditransformasikan dan disebarkan dalam organisasi).

8

Menurut McLeod (2004, p8), information systems are conceptual system that

enable management to control the operations of the physical system of firm. (Sistem

informasi adalah konsep sistem yang dapat membantu manajemen dalam

pengendalian operasional dari sistem fisik perusahaan).

Menurut Laudon (2004, p8), information systems can be defined thecnically as

a set of interrelated components that collect (or retrieve), process, store, and

distribute information to support decision making and control in an organization.

(Sistem informasi dapat didefinisikan sebagai kumpulan dari komponen yang

berhubungan yang mengumpulkan, memproses, menyimpan, dan menyalurkan

informasi untuk mendukung pembuatan keputusan dan pengendalian didalam

organisasi).

Dari pengertian mengenai sistem informasi diatas, maka dapat ditarik

kesimpulan bahwa sistem informasi adalah integrasi dari komponen-komponen yang

telah dianalisa dan diproses sehingga menghasilkan informasi yang kemudian

disebarkan untuk dapat membantu manajer dalam pengambilan keputusan. Selain

itu, sistem informasi yang dihasilkan harus dapat memenuhi kebutuhan informasi

yang disajikan secara menarik dan interaktif.

Menurut pendapat Mukthar yang dikutip oleh Gondodiyoto (2003, p.22) suatu

informasi yang berguna haruslah memiliki beberapa ciri-ciri atau karakteristik

berikut ini :

1. Reliable (dapat dipercaya).

Informasi haruslah bebas dari kesalahan dan haruslah akurat dalam

mempresentasikan suatu kejadian atau kegiatan dari suatu organisasi.

9

2. Relevan (cocok atau sesuai)

Informasi yang relevan harus memberikan arti kepada pembuat

keputusan. Informasi ini bisa mengurangi ketidakpastian dan bisa meningkatkan

nilai dari suatu kepastian.

3. Timely (tepat waktu)

Informasi yang disajikan tepat pada saat dibutuhkan dan bisa

mempengaruhi proses pengambilan keputusan.

4. Complete (lengkap)

Informasi yang disajikan termasuk didalamnya semua data-data yang

relevan dan tidak mengabaikan kepentingan yang diharapkan oleh pembuat

keputusan.

5. Understandable (dimengerti)

Informasi yang disajikan hendaknya dalam bentuk yang mudah dimengerti

oleh si pembuat keputusan.

Sistem Informasi Penjualan adalah suatu sistem informasi yang

mengorganisasikan serangkaian prosedur dan metode yang dirancang untuk

menghasilkan, menganalisa, menyebarkan dan memperoleh informasi guna

mendukung pengambilan keputusan mengenai penjualan.

(http://id.wikipedia.org/wiki/Sistem_Informasi, 29 September 2006 ).

2.2 Pengertian Audit Sistem Informasi

Audit sistem informasi merupakan bagian dari audit operasional, menurut

Weber (1999, p10), pengertiannya secara garis besar dapat diartikan sebagai proses

10

pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sebuah

sistem komputer telah menetapkan dan menerapkan sistem pengendalian yang

memadai, semua aktivitas dilindungi dengan baik atau tidak disalahgunakan serta

terjaminnya integritas data, keandalan, serta efektifitas dan efisien penyelenggaran

sistem informasi.

Gondodiyoto (2003, p151) berpendapat istilah EDP-Audit (electronic data

processing audit), atau komputer audit, kini lebih sering disebut dengan audit sistem

informasi (information system audit). Audit sistem informasi berbasis komputer

adalah proses pengumpulan dan penilaian bahan bukti audit untuk dapat menentukan

apakah sistem komputerisasi perusahaan telah menggunakan aset sistem informasi

secara tepat dan mampu mendukung penggunaan aset tersebut, memelihara

kebenaran dan integritas data dalam pencapaian tujuan secara efektif dan efisien.

Dari pengertian audit sistem informasi diatas, maka dapat disimpulkan audit

sistem informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk

dapat menentukan apakah sistem komputerisasi perusahaan telah menetapkan dan

menerapkan sistem pengendalian yang memadai, memelihara kebenaran dan

integritas data dalam pencapian tujuan secara efektif dan efesien.

2.2.1 Metode Audit

Menurut Weber (1999, p56-57) ada dua metode yang bisa dilakukan

oleh auditor dalam proses audit, yaitu :

1. Audit Around The Computer

Auditing around the computer terlibat dengan penerimaan pendapat

audit selama memeriksa dan mengevaluasi kontrol manajemen kemudian

11

input dan output hanya untuk sistem aplikasi. Berdasarkan kualitas

pemrosesan sistem aplikasi, pemrosesan sistem aplikasi tidak diperiksa

secara langsung. Selain itu, auditor memandang komputer sebagai black

box. Auditor hanya dapat dapat melakukan metode itu untuk

mendapatkan biaya termurah untuk melakukan audit. Keadaan dapat

dipulihkan kembali jika sistem aplikasi mempunyai tiga karakteristik

berikut:

1. Sistem harus sederhana dan berorientasi pada sistem batch. Pada

umumnya, sistem batch komputer merupakan suatu pengembangan

langsung dari sistem manual. Sistem batch itu harus mempunyai

kriteria sebagai berikut :

a. Resiko yang ada harus rendah. Resiko itu tidak dapat

dikelompokkan dengan subjek kesalahan material akibat

ketidakberesan dan ketidakefisienan dalam beroperasi.

b. Logika sistem harus tetap sasaran. Tidak ada rutinitas yang

dikembangkan untuk mengizinkan komputer untuk memproses

data.

c. Transaksi input dilakukan dengan sistem batch dan kontrol

dipelihara dengan metode tradisional.

d. Proses utama terdiri dari penyelesaian input data dan

memperbaharui file master secara terus-menerus.

e. Adanya jejak audit yang jelas. Laporan terperinci dipersiapkan

pada kunci pokok dalam sistem.

12

f. Jadwal pekerjaan relatif sangat stabil dan sistem jarang

dimodifikasi.

2. Sering kali keefektifan biaya dalam metode audit around the computer

pada saat aplikasi yang digunakan untuk keseragaman kemasan dalam

program software.

3. Auditor harus menggunakan metode audit around the computer pada

pengguna lebih tinggi daripada sistem kontrol komputer untuk

menjaga perawatan keintegrasian data dan mencapai tujuan

keefektifan dan keefesienan sistem. Biasanya, metode auditing

around the computer adalah pendekatan sederhana yang berhubungan

dengan audit dan dapat dipraktekkan oleh auditor yang mempunyai

pengetahuan teknik yang sedikit tentang komputer.

2. Audit Through The Computer

Untuk banyak bagian, auditor terlibat dalam metode auditing

through the computer harus digunakan dalam kasus proses logis dan

adanya kontrol di dalam sistem. Catatan dari sistem yang dibuat metode

auditing through the computer harus digunakan dalam kasus berikut ini :

a. Resiko yang ada pada sistem aplikasi sangat tinggi.

b. Input proses sistem aplikasi dalam volume besar dan output yang

dihasilkan dalam volume yang sangat besar dan luas. Pengecekan

langsung dari sistem input dan output sulit dikerjakan.

c. Bagian yang penting dari sistem kontrol internal ditambahkan dalam

sistem komputer.

13

d. Proses logis yang ditambahkan dalam sistem aplikasi adalah

kompleks.

e. Karena adanya pertimbangan keuntungan biaya, jarak yang banyak

dalam uji coba penampakkan audit adalah biasa dalam suatu sistem.

Menurut Bodnar (2001, p650-651) ada tiga metode yang bisa dilakukan

oleh auditor dalam proses audit, yaitu :

1. Auditing around the computer

Pada garis besarnya, suatu sistem akuntansi terdiri atas input,

proses, dan output. Dalam pendekatan around the computer, bagian

proses diabaikan. Sebagai gantinya, dokumen sumber yang menyediakan

input ke sistem dipilih dan diringkas secara manual sehingga input dapat

dibandingkan dengan output. Ketika batch diproses kedalam sistem, total

dikumpulkan untuk menerima dan menolak record. Auditor menekankan

pada pengendalian atas transaksi yang ditolak, koreksi terhadap transaksi,

dan kemudian meninjau kembali misi.

2. Auditing through the computer

Auditing through the computer mungkin didefinisikan sebagai

verifikasi dari pengendalian dalam sistem yang terkomputerisasi. Suatu

informasi audit sistem yang seksama mencakup pembuktian pengendalian

umum dan aplikasi dalam sistem yang terkomputerisasi. Lebih umum

lagi, audit sistem informasi individu akan diarahkan pada salah satu dari

area-area tersebut, biasanya pada suatu sistem aplikasi yang spesifik

seperti piutang dagang.

3. Auditing with the computer

14

Auditing with the computer adalah proses dari penggunaan

teknologi informasi dalam audit. Teknologi informasi digunakan untuk

melaksanakan beberapa kerja audit di mana cara lainnya dapat dilakukan

secara manual. Penggunaan teknologi informasi oleh auditor adalah tidak

lagi opsional. Hal tersebut penting. Kebanyakan data yang harus auditor

evaluasi dalam format elektronik. Adalah suatu tindakan yang sia-sia jika

mengkonversi data elektronik kedalam format kertas untuk tujuan audit.

Lagipula, audit itu sendiri tidak kebal terhadap tekanan yang kompetitif

untuk lebih produktif. Penggunaan dari teknologi informasi adalah

penting untuk meningkatkan efektivitas dan efisiensi dari audit.

2.2.2 Standar Audit

Menurut Gondodiyoto (2006, p230-238), COBIT (Control Objective Of

Information Technology ) adalah alat yang komprehensif untuk menciptakan

adanya IT Governance di perusahaan. CoBIT mempertemukan kebutuhan

beragam manajemen dengan menjembatani celah atau gap antara resiko bisnis,

kebutuhan kontrol dan masalah-masalah teknis IT. CoBIT dibuat oleh ISACF

dan IT Governance Institute, dan dipublikasikan oleh ISACA. CoBIT

merupakan framework 34 high-level control objectivites, dan selanjutnya

dirinci ke dalam 300 detail control objektivitise, yang dibutuhkan oleh auditor

dan manager.

CoBIT merupakan panduan yang paling lengkap dari praktek-praktek

terbaik untuk manajemen Teknologi Sistem Informasi yang mampu mencakup

4 (empat) domain :

15

1. Merencanakan dan Mengorganisasikan

Dalam hal ini mencakup pembahasan strategi untuk mengidentifikasi

TI sehingga dapat memberikan yang terbaik untuk pencapaian objektif

bisnis. Selanjutnya reaktivasi visi strategi perlu direncanakan,

dikomunikasi, dan diatur untuk perspektif yang berbeda.

2. Mengakusisi dan Mengimplementasi

Yaitu untuk merealisasi strategi TI, solusi TI yang perlu

diidentifikasi, dikembangkan, atau diperlukan sebagai implementasi dan

diintegrasikan kedalam proses bisnis.

3. Mengirimkan dan Mendukung Teknologi Informasi Sistem Informasi

Hal ini lebih dipusatkan pada penyerahan aktual dari syarat servis

dengan jarak dari semua operasi keamanan tradisional dan aspek urutan

untuk pelatihan.

4. Monitoring

Yaitu semua proses TI yang perlu dinilai secara regular agar kualitas

dan kelengkapannya berdasarkan pada syarat kontrol.

Kerangka CoBIT ini terdiri dari atas beberapa arahan (guidelines) Yakni :

a. Control Objectives : terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-

level control objectives) yang tercermin dalam 4 domain , yaitu : planning

& organization, acquisition & implementation, delivery & support, dan

monitoring.

b. Audit Guidelines : berisi sebanyak 318 tujuan-tujuan pengendalian yang

bersifat rinci (detailed contol objectives) untuk membantu para auditor

dalam memberikan management assurance dan/atau saran perbaikan.

16

c. Management Guidelines : berisi arahan, baik secara umum maupun

spesifik, mengenai apa saja yang mesti dilakukan.

Kriteria kerja CoBIT meliputi :

Efektifitas Untuk memperoleh informasi yang relevan dan berhubungan dengan

proses bisnis seperti penyampaian informasi dengan benar, konsisten,

dapat dipercaya dan tepat waktu.

Efisien Memfokuskan pada ketentuan informasi yang penting dari orang yang

tidak memiliki hak otorisasi

Kerahasiaan Memfokuskan proteksi terhadap informasi yang penting dari orang yang

tidak memiliki hak otorisasi

Integritas Berhubungan dengan keakuratan dan kelengkapan informasi sebagai

kebenaran yang sesuai dengan harapan dan nilai bisnis.

Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan dalam

proses bisnis yang sekarang dan yang akan datang.

Kelengkapan Sesuai Menurut hukum, peraturan dan rencana perjanjian untuk proses

bisnis.

Keakuratan

Informasi

Berhubungan dengan ketentuan kecocokan informasi untuk, manajemen

mengoperasikan entitas dan mengatur pelatihan keuangan dan

kelengkapan laporan pertanggung jawaban.

Tabel 2.1 Kriteria Kerja CoBIT

Sumber (Cobit Framework, 2003)

17

2.2.3 Jenis Audit

Menurut Cangemi (2003, p238), tipe audit dibagi menjadi 10, yaitu :

1. High – level review of procedures

Tinjauan ulang level tinggi merupakan tipe tinjauan ulang yang

khusus pada pengukuran penegasan umum dengan kebijakan

perusahaan dan dengan praktek bisnis. Tujuan tinjauan ulang ini

adalah menyediakan auditor dengan pengertian akan operasi dan

untuk menentukan pengujian detail alami yang mungkin diperlukan

dalam area tertentu.

2. Financial audit

Audit keuangan mempelajari posisi keuangan sekarang untuk

mengevaluasi presentasi posisi keuangan yang dilaporkan dalam

neraca, laporan pendapatan, dan laporan arus kas. Audit keuangan

keseluruhan pada operasi perusahaan yang signifikan dan bantuan yang

diberikan oleh auditor eksternal yang independen. Dalam beberapa

kasus, bagaimanapun juga audit keuangan secara keseluruhan mungkin

ditampilkan oleh auditor internal Sam Pole’s.

3. Audit manajerial / operasional

Audit operasional dapat didefinisikan sebagai perluasan pada

audit keuangan. Audit keuangan memberitahukan di mana entitas dan

di mana audit keuangan; mengawasi audit operasional untuk

menjawab pertanyaan mengapa entitas, di mana entitas, dan

bagaimana mendapatkannya. Dalam kebijakan ini, kegagalan audit

operasional kedalam kategori jasa manajemen dari mengevaluasi

18

empat fungsi manajemen : (1) perencanaan, (2) mengorganisasi, (3)

mengarahkan, dan (4) pengendalian.

4. Compliance audit

Audit penegasan mencakup dua perbedaan, berhubungan secara

erat, tipe dari masalah :

a. Alami dan lingkup transaksi yang bertentangan dengan penegasan

untuk dipastikan.

b. Tingkatan untuk kemampuan praktek, atau yang diinginkan,

untuk menentukan penegasan.

5. Contract audit

Audit kontrak didefinisikan sebagai tinjauan ulang dan evaluasi

dari kontrak dan hubungannya dengan transaksi keuangan. Jangka

waktu konstruksi dan kontrak seringkali digunakan secara bertukar

dalam profesi audit karena proyek konstruksi memerlukan kontrak.

Kontrak, bagaimanapun, menangani jarak yang dalam dari area

seperti perbaikan, pemeliharaan, penyewaan, dan konsultasi.

6. Desk review

Dalam desk review, auditor internal akan menangani

sekumpulan keuangan dan dokumentasi informasi lainnya dari yang

akan diaudit dan menunjukkan batasan prosedur. Dalam kebanyakan

kasus, semua prosedur akan ditunjukkan oleh kantor perusahaan dan

tidak pada lokasi yang diaudit.

19

7. Follow - up audits

Follow – up audits ditunjukkan 6 -12 bulan setelah audit utama

telah diselesaikan untuk menyakinkan bahwa rekomendasi audit yang

diterima sebelumnya telah menunjukkan audit yang signifikan.

8. Information system audits

Information system atau electronic data processing (EDP), audit

dilakukan terhadap aspek signifikan dalam lingkungan SI. Perusahaan

mungkin mempunyai beberapa lingkungan SI yang berbeda, seperti :

mainframe, mini-computer, micro-computer, LAN, WAN, electronic

data interchange, dan internet hosts. Auditor internal harus telah

mengidentifikasi unit audit untuk setiap lingkungan SI yang mungkin

dalam perusahaan.

9. E-commerce audits

E-commerce mempunyai pertimbangan khusus melebihi yang

diidentifikasi dalam sesi audit SI karena audit SI secara khusus

dibangun dalam sistem back office. E-commerce adalah sistem front

end. Audit terhadap e-commerce akan fokus dalam pengendalian,

akses, keamanan, kemampuan. Resiko paling tinggi dalam e-

commerce sekarang ini adalah virus, hacker, dan cracker, dan

aktivitas pengrusakan sistem.

10. International Audits

Internal audit adalah audit secara keseluruhan devisi dan anak

perusahaan khusus. Ini ditunjukkan dalam basis umum/atas

permintaan. Ruang lingkup dari tipe audit ini mencakup sesi

20

keuangan, sesi operasional, sesi sistem informasi, dan sesi

pengalamatan karakteristik unik dari kebiasaan pengalokasian dan

tanggungjawab dan urusan peraturan. Bergantung pada tingkat staf,

jarak, dan kemampuan, audit internal mungkin menjadi kandidat yang

baik untuk pemberdayaan.

2.2.4 Instrumen Audit

Menurut Weber(1999, p789-810), terdapat 3 teknik yang digunakan

auditor untuk mengumpulkan bukti audit: Interview,Questionaire, dan Control

Flowchart.

2.2.5 Tujuan Audit Sistem Informasi

Menurut Weber (1999, p11–12), tujuan audit sistem informasi meliputi :

1. Asset safeguarding objectives

Aset berupa hardware, software, personel, data file, sistem

dokumentasi, dan perlengkapannya merupakan harta yang harus dilindungi

dengan suatu sistem pengendalian internal yang baik. Hardware dapat rusak

karena perbuatan jahat, software dan data dapat dicuri. Karena harta ini

merupakan pusat maka pengamanan terhadap harta ini merupakan hal yang

utama.

2. Data integrity objectives

Data yang terpadu merupakan konsep utama pada EDP audit, data yang

cepat dan akurat akan memberikan informasi yang tepat bagi manajemen.

21

3. System effectiveness objectives

Pengolahan data secara efektif merupakan tujuan yang harus dicapai,

evaluasi terhadap efektivitas pengolahan data harus dilakukan. Agar dapat

mengetahui apakah informasi yang dihasilkan telah efektif atau belum

seorang auditor harus mengetahui karakter pemakai. Efektifitas yang

dicapai baru dapat diketahui setelah sistem berjalan beberapa lama,

manajemen audit untuk mengetahui apakah sistem telah berjalan sesuai

dengan tujuan yang telah ditetapkan.

4. System efficiency objectives

Sebuah sistem pemrosesan data yang efektif terjadi bila menggunakan

sumber data yang minimal untuk menghasilkan output yang diperlukan.

Sistem informasi menggunakan banyak sumber daya seperti hardware, alat

pendukungnya, software dan tenaga kerja, sumber daya ini langkah dan

sistem aplikasi yang lain biasanya bersaing menggunakan sumber daya itu.

2.2.6 Tahapan Audit Sistem Informasi

Menurut Weber (1999, p47-55), audit terdiri dari lima tahap sebagai

berikut :

1. Planning the audit

Selama tahap awal itu, auditor harus memutuskan level material

permulaan yang akan diaudit. Auditor juga harus membuat keputusan

akan resiko audit yang diinginkan. Level sifat resiko akan bervariasi

dalam setiap bagian dari audit.

22

2. Test of Controls

Tahap berfokus pada kontrol manajemen. Jika pengujian

menunjukkan bahwa kontrol manajemen tidak beroperasi sebagaimana

mestinya, baru setelah itu dilanjutkan dengan pengujian kontrol

aplikasi.

3. Test of Transaction

Auditor menggunakan tests of transaction untuk mengevaluasi

apakah kesalahan / proses yang tidak sesuai dengan ketentuan telah

mengarah pada kesalahan material informasi keuangan. Biasanya, test

of transaction meliputi menelusuri jurnal masukan sampai pada

dokumen sumber, memeriksa daftar harga, dan pengujian keakuratan

perhitungan.

4. Test of Balances or Overall Results

Auditor melakukan tests of balances or overall results untuk

mendapatkan bukti yang cukup untuk membuat dan menyampaikan

keputusan akhir dari kehilangan/kesalahan pernyataan laporan yang

muncul ketika fungsi sistem informasi gagal untuk menjaga aset,

menjaga integritas data, dan mencapai keefisienan dan keefektifan.

5. Completion of the Audit

Pada tahap akhir, auditor kemudian harus merumuskan sebuah

opini tentang kehilangan material dan keabsahan pernyataan laporan

muncul dan membuat sebuah laporan. Standar opini yang berlaku di

beberapa negara terdiri dari empat jenis opini sebagai berikut :

23

a. Disclaimer of Opinion

Setelah selesai melakukan audit, auditor tidak dapat

memberikan sebuah opini.

b. Adverse Opinion

Auditor menyimpulkan bahwa kehilangan material telah

muncul / laporan keuangan telah dinyatakan salah secara material.

c. Qualified Opinion

Auditor menyimpulkan bahwa kehilangan telah muncul /

kesalahan laporan secara material telah ada tetapi tidak besar /

material.

d. Unqualified Opinion

Auditor percaya bahwa tidak ada kehilangan material /

laporan yang salah.

Menurut Weber (1999,p48), tahapan audit system informasi digambarkan

dengan bentuk flowchart :

24

Mulai

persiapanpekerjaan

audit

mendapatkanpengertian daristruktur kontrol

menilai resikokontrol

ketergantunganpada kontrol?

tes kontrol

Yes

Penilaiankembali resiko

kontrol

Tes substantifyang diperluas

Masih bergantungpada kontrol ?

Meningkatkanketergantungan pada

kontrol?

No

No

Yes

Yes

Tes substantifterbatas

Pendapat auditform dan

mengeluarkanlaporan

No

Berhenti

Gambar 2.1 Flowchart tahapan Audit Sistem Informasi

25

2.3 Pengendalian Internal

Menurut Arens(2005, p270), internal control is control that related to the

reliability of financial reporting, is important to the auditor’s purposes.

(Pengendalian internal adalah pengendalian yang berhubungan dengan kehandalan

laporan keuangan, yang penting bagi tujuan auditor).

Menurut Whittington (2001, p241), internal control is comprehensive in that it

addresses the achievement of objectives in the areas of financial reporting,

operations, and compliance with laws and regulations. (Pengendalian internal adalah

keseluruhan dalam pencapaian tujuan dalam bagian laporan keuangan, operasi, dan

pemenuhan hukum dan peraturan).

Jadi, dapat diambil kesimpulan bahwa pengendalian internal adalah

pengendalian dalam pencapaian tujuan yang berhubungan dengan kehandalan

laporan keuangan, operasi, dan pemenuhan hukum dan peraturan.

Menurut Weber (1999,p49), struktur pengendalian internal terdiri dari lima

komponen yang berhubungan sebagai berikut :

a. Lingkungan Pengendalian

Elemen ini memperlihatkan bahwa hal yang terkandung pada pengendalian

terutama pada sistem akuntansi dan prosedur harus dijalankan.

b. Penilaian Resiko

Elemen ini mengidentifikasi dan menganalisis resiko yang dihadapi

organisasi dan cara resiko tersebut dikelola.

c. Aktivitas Pengendalian

Elemen ini memastikan bahwa setiap transaksi telah diotorisasi oleh yang

berwenang, telah ada pemisahan fungsi, dokumentasi dan pencatatan yang

26

memadai, harta dan catatan telah diamankan dan pengecekan oleh pihak

independen telah dilakukan serta penilaian terhadap pencatatan telah

dilaksanakan.

d. Informasi dan Komunikasi

Pada elemen ini informasi diidentifikasi, diambil dan diubah sepanjang

waktu dan menyediakan formulir untuk memperbolehkan karyawan mengubah

tanggungjawabnya.

e. Pengawasan

Elemen yang befungsi untuk memastikan pengendalian internal telah berjalan

dengan baik.

Dalam setiap pemeriksaan auditor harus memperoleh pemahaman yang

memadai atas masing-masing dari kelima unsur tersebut diatas untuk merencanakan

audit dengan cara melaksanakan prosedur untuk memahami rancangan kebijakan dan

prosedur yang relevan dengan perencanaan audit dan untuk menentukan apakah

rancangan tersebut dilaksanakan.

Hal tersebut sesuai dengan standar pekerja lapangan yang kedua yaitu :

Pemahaman yang memadai atas struktur pengendalian internal harus diperoleh untuk

merencanakan audit, menentukan sifat dari lingkup pengujian yang akan dilakukan.

Prosedur pengendalian menurut Romney dan Steinbart (2003, p201) yaitu :

1. Otorisasi yang benar atas transaksi dan aktivitas

Karyawan melakukan tugas dan membuat keputusan yang mempengaruhi

aset-aset perusahaan karena manajemen tidak mempunyai waktu dan sumber

daya untuk mengawasi setiap kegiatan dan keputusan yang dibuat. Mereka

membuat kebijakan bagi karyawan untuk mengikuti lalu memaksa mereka untuk

27

melakukan pekerjaan yang sesuai dan teratur. Pemaksaan ini disebut otorisasi.

Otorisasi sering didokumentasikan dengan menandatangani, memulai, atau

memasukkan kode otorisasi pada dokumen transaksi record.

2. Pemisahan atau pembagian tugas

Pengendalian internal yang baik mengharuskan seseorang karyawan tidak

diberikan terlalu banyak tanggung jawab.

3. Rancangan dan pemakaian dokumen yang baik dan benar

Penggunaan dan perancangan dokumen dan record yang benar membantu

untuk memastikan keakuratan dan kelengkapan record dari semua data transaksi

yang relevan.

4. Perlindungan atas aset dan record yang baik

Prosedur berikut ini melindungi aset dari pencurian, penggunaan dari pihak

yang tidak berwenang, dan pengrusakan, selain itu juga :

a. Mengawasi karyawan dan pemisahan tugas

b. Memelihara ketepatan record dari aset, termasuk informasi

c. Membatasi akses fisik pada aset

d. Memproteksi record dan dokumen-dokumen

e. Mengendalikan lingkungan

f. Membatasi akses ke ruang komputer, file komputer, dan informasi.

5. Pemeriksaan independen atas kinerja

Pemeriksaan internal untuk memastikan transaksi diproses secara akurat

merupakan elemen pengendalian yang penting. Pemeriksaan ini seharusnya

dilakukan secara independen karena biasanya lebih efektif bila dilakukan oleh

orang yang bukan bertanggungjawab pada bagian operasional tersebut.

28

Menurut Weber ( 1999, p38 ), sebagaimana dikutip oleh Gondodiyoto (2003,

p126-127 ), struktur pengendalian internal yang perlu dilakukan pada sistem berbasis

komputer sebagai berikut :

1. Pengendalian Umum

2. Pengendalian Aplikasi

2.3.1 Pengendalian Umum

Pengendalian yang berlaku umum, artinya ketentuan-ketentuan yang

berlaku dalam pengendalian tersebut, berlaku untuk seluruh kegiatan

komputerisasi di dalam pengendalian tersebut. Apabila tidak dilakukan

pengendalian ini ataupun pengendaliannya lemah maka berakibat negatif

terhadap pengendalian aplikasi.

Pengendalian umum terdiri dari :

1. Pengendalian Top Manajemen

Top manajemen harus yakin bahwa fungsi sistem informasi

dikendalikan dengan baik. Top manajemen bertanggungjawab terhadap

keputusan yang bijak untuk jangka waktu yang lama dalam bagaimana

sistem informasi akan digunakan didalam organisasi.

2. Pengendalian Manajemen Pengembangan Sistem

Manajemen pengembangan sistem bertanggungjawab terhadap

perancangan, penerapan, dan pemeliharaan sistem aplikasi.

3. Pengendalian Manajemen Pemrograman

Manajemen pemrograman bertanggungjawab terhadap cara-cara yang

digunakan untuk memimpin pengembangan/pembelian software yang

29

bermutu tinggi dimulai dari fase siklus hidup pengembangan program

sampai pada masalah pengendalian khusus yang timbul dari hubungan

antara aktivitas dengan sistem programer.

4. Pengendalian Manajemen Sumber Data

Secara bertahap setiap organisasi mengakui bahwa data merupakan

sumber daya yang kritis dan harus dikendalikan dengan baik.

Konsekuensinya, mereka mencari data untuk menangani masalah yang

timbul dan menangani sumber data.

5. Pengendalian Manajemen Keamanan

Administrator keamanan sistem informasi bertanggungjawab untuk

memastikan bahwa aset sistem informasi aman. Aset aman bila

kemungkinan kehilangan yang dapat timbul berada pada level yang dapat

diterima.

6. Pengendalian Manajemen Operasi

Manajemen operasi bertanggungjawab terhadap jalannya hardware

maupun software setiap hari sehingga sistem aplikasi produksi dapat

menjalankan tugasnya dan karyawan pengembangan dapat merancang,

mengaplikasi, dan memelihara aplikasi sistem.

7. Pengendalian Manajemen Jaminan Kualitas

Manajemen jaminan kualitas berkonsentrasi untuk memastikan

bahwa sistem informasi yang dihasilkan oleh fungsi sistem informasi

mencapai suatu standar kualitas yang dapat diterima, dan pengembangan,

implementasi, operasional, dan pemeliharaan terhadap sistem informasi

tunduk kepada standar kualitas yang telah diterapkan.

30

2.3.2 Pengendalian Aplikasi

Pengendalian Aplikasi dilakukan dengan tujuan untuk menentukan

apakah pengendalian internal dalam sistem yang terkomputerisasi pada aplikasi

komputer tertentu sudah memadai untuk memberikan jaminan data dicatat,

diolah, dan dilaporkan secara akurat, tepat waktu dan sesuai dengan kebutuhan

manajemen.

Pengendalian aplikasi dapat berupa :

1. Pengendalian Boundary

Weber ( 1999, p370-405 ), menyebutkan bahwa subsistem boundary

membangun hubungan antara yang akan menjadi pengguna sistem komputer

dan sistem komputer itu sendiri. Pengendalian dalam subsistem boundary

mempunyai tiga tujuan :

1. untuk memastikan bahwa pemakai komputer adalah orang yang memiliki

wewenang.

2. untuk memastikan bahwa identitas yang diberikan oleh pemakai adalah

benar.

3. untuk membatasi tindakan yang dapat dilakukan oleh pemakai untuk

menggunakan komputer ketika melakukan tindakan otorisasi.

Tipe pengendalian yang berhubungan dengan pengendalian subsistem –

boundary :

a. crytographic controls

Kontrol cryptographic dirancang untk mengamankan data pribadi

dan untuk menjaga modifikasi oleh orang yang tidak berwenang, cara ini

31

dilakukan dengan mengacak data sehingga tidak memiliki arti bagi orang

yang tidak dapat menguraikan data tersebut.

b. access controls

Jenis kontrol yang digunakan pada subsistem boundary adalah

kontrol akses. Kontrol akses melarang pemakaian komputer oleh orang

yang tidak berwenang, membatasi tindakan yang dapat dilakukan oleh

pemakai dan memastikan bahwa pemakai hanya memperoleh sistem

komputer yang asli.

c. personel identification numbers

PIN adalah teknik yang digunakan secara luas untuk

mengidentifikasi orang, sebuah PIN merupakan jenis password yang

sederhana, itu bisa merupakan nomor rahasia seseorang yang

berhubungan dengan orang tersebut, melayani memverifikasi keotentikan

orang. PIN digunakan oleh institusi keuangan seperti untuk kartu ATM,

kartu debit. Secara umum cara kerjanya adalah pemakai menggesek

kartunya pada sebuah alat dan mengisi PIN melalui PIN keypad.

d. digital signatures

Jika berita atau kontrak dibuat dalam bentuk formulir elektronik

maka tandatangan yang biasanya dilakukan pada kontrak biasa tidak

dapat dilakukan untuk mengantisipasi hal tersebut dibuatlah tandatangan

digital. Digital signature ini terdiri dari rangkaian 0 dan 1 yang terdapat

pada halaman.

32

e. plastic cards

Bila PIN dan digital signature digunakan untuk keperluan

pembuktian keaslian, kartu plastik digunakan untuk keperluan

identifikasi. Pengendalian disekitar kartu plastik, bagaimanapun unsur

penting dari keseluruhan latihan pengendalian boundary dalam beberapa

tipe dari sistem.

f. audit trial controls

Diketahui bahwa ada dua jenis jejak audit yang harus ada pada

setiap subsistem, yaitu :

1. jejak audit akuntansi untuk menjaga catatan setiap kejadian pada

subsistem.

2. jejak audit operasional untuk menjaga catatan pemakaian sumber daya

yang berhubungan dengan setiap kejadian pada subsistem.

g. existence controls

Jika subsistem pada boundary tidak berhasil, kemungkinan

pemakai sistem komputer tidak dapat mengadakan hubungan dengan

sistem. Kegagalan dapat terjadi pada setiap komponen subsistem, sebagai

contoh: sirkuit terminal dapat rusak, software akses kontrol dapat rusak,

dan lain-lain.

2. Pengendalian Input

Menurut Weber ( 1999, p420-456 ), komponen dalam subsistem input

bertanggungjawab untuk membawa data dan instruksi kedalam sistem

informasi. Data dapat diinput kedalam sistem informasi dengan berbagai

cara. Tipe metode input data yang digunakan dalam sistem informasi

33

mempengaruhi keamanan data, integritas data, efektifitas sistem, dan tujuan

efisiensi sistem. Tipe pengendalian yang berhubungan dengan pengendalian

input :

a. Data input methods

Mengingat bahwa cara yang dilakukan oleh auditor untuk

mengevaluasi kontrol terhadap sistem aplikasi adalah dengan menelusuri

jenis-jenis transaksi pada sistem maka untuk dapat melaksanakan tugas

itu dengan baik mereka harus mengerti bagaimana caranya sistem

tersebut bekerja terutama pada proses input data. Dengan cara memahami

metode input data yang digunakan pada aplikasi maka auditor dapat

mengembangkan cara pengendalian terhadap kekuatan maupun

kelemahan dari input subsistem tersebut.

b. Source document design

Beberapa dokumen data menggunakan dokumen sumber untuk

mencatat data yang akan dimasukkan pada komputer. Sumber dokumen

digunakan bila terdapat interval waktu antara waktu terjadinya data

dengan waktu input berbeda. Proses disain sumber data dimulai setelah

analisis terhadap sumber data yang berjalan dilakukan, apa saja data yang

akan direkam pada sumber data tersebut, bagaimana caranya data tersebut

direkam, siapa yang akan merekam data, bagaimana data tersebut

disiapkan dan dimasukkan ke komputer dan bagaimana dokumen tersebut

ditangani, disimpan dan diarsip.

34

c. Data entry screen design

Jika data dimasukkan melalui monitor, maka diperlukan disain

yang berkualitas terhadap layar tampilan masukkan data agar mengurangi

kemungkinan terjadinya kesalahan dan agar tercapai efisiensi dan

efektifitas masukkan data pada subsistem input.

d. Data code controls

Kode data memiliki dua tujuan, yaitu:

1. Sebagai identitas yang unik,

2. Untuk keperluan identifikasi.

Evaluasi terhadap kualitas dari sistem pengkodean data yang

digunakan pada aplikasi harus dilakukan untuk mengetahui dampaknya

terhadap integritas data, efektifitas dan efisiensi.

e. Check digits

Pada beberapa kasus kesalahan pengetikan data dapat berdampak

serius. Pengendalian yang dapat digunakan untuk menjaga terjadinya

kesalahan adalah dengan melakukan check digit. Check digit saat ini

digunakan pada banyak aplikasi untuk mendeteksi kesalahan, seperti pada

proses kartu kredit, proses rekening bank, dll.

f. Batch controls

Cara kontrol yang mudah dan efektif untuk melakukan

pengendalian terhadap masukan data adalah batch control. Batching

adalah proses pembentukan kelompok suatu transaksi yang memiliki

hubungan satu dengan yang lain.

35

g. Validation of data input

Data yang dimasukkan pada aplikasi harus segera divalidasi

setelah diinput.

h. Instruction input

Memastikan bahwa kualitas dari instruksi input pada aplikasi

sistem merupakan tujuan yang sulit dicapai daripada hanya memastikan

kualitas dari data input. Data masukan cenderung untuk mengikuti pola

yang telah terstandarisasi.

i. Validation of instruction input

Seperti pada input data, input instruksi juga harus divalidasi.

Auditor hanya perlu memberikan sedikit perhatian kepada validasi input

instruksi, ketika:

1. instruksi itu merupakan bagian dari paket software yang telah

digunakan secara luas

2. instruksi itu diinterpretasi melalui bahasa pemrograman tingkat

tinggi.

j. Audit trial control

Jejak audit pada subsistem input memelihara kronologis kejadian

data dari waktu ke waktu dan instruksi yang diterima serta yang

dimasukkan pada sistem aplikasi sampai pada waktu penentuan data

tersebut valid dan dapat dikirimkan kepada subsistem yang lain, yang

terdapat pada sistem aplikasi.

36

k. Existence control

Pengendalian yang ada terhadap proses data input subsistem

merupakan hal yang kritis. Jika file master sistem aplikasi rusak atau

dikorupsi, proses pemulihan harus dilakukan dengan menggunakan versi

sebelumnya dari master file dan proses input harus dilakukan lagi

terhadap data yang hilang.

3. Pengendalian Komunikasi

Menurut Weber ( 1999, p473), komponen dalam subsistem komunikasi,

bertanggung jawab untuk mentransfer data diantara semua subsistem lainnya

dan untuk mentransfer data atau menerima data dari sistem lainnya. Ada tiga

jenis subsistem komunikasi:

Pertama, sebagai data yang ditransfer melalui subsistem komunikasi.

Kedua, komponen software dan hardware dalam subsistem komunikasi dapat

gagal. Ketiga, subsistem komunikasi dapat ditujukan ke pasif dan aktif

serangan subversive. Keandalan komunikasi data dapat ditingkatkan dengan

memilih jalur komunikasi sendiri dibandingkan jalur umum. Menurut Weber

( 1999, p488-490) ada 4 jenis topologi jaringan yang digunakan dalam LAN :

a. Topologi bus : semua node dihubungkan dalam pararel ke jalur

komunikasi sendiri

b. Topologi tree : node dihubungkan ke jalur komunikasi bercabang yang

mana tidak terdapat loop tertutup.

c. Topologi ring : node dihubungkan ke jalur komunikasi yang mana

dikonfirmasikan sebagai loop tertutup.

37

d. Topologi star : node dalam jaringan dihubungkan dalam per point

konfigurasi ke central hub.

Menurut Weber (1999, p494-499) terdapat 7 jenis control yang

digunakan dalam ancaman subversive dalam subsistem komunikasi :

1. Link encryption

Link encryption memproteksi data pada saluran komunikasi yang

terhubung pada dua node di jaringan, node pengiriman data melakukan

encrypt data dan kemudian mengirimkan data encrypt tersebut ke node

penerima, node penerima melakukan proses decrypt, membaca alamat

tujuan dari data, menentukan saluran mana selanjutnya yang akan

melakukan pengiriman data dan melakukan encrypt data untuk kemudian

dikirimkan kepada node berikutnya

2. end to end encryption

End-to-end encryption memproteksi integritas data yang lewat

antara pengirim dan penerima.

3. stream ciphers

Ada dua jenis cipher yaitu block ciphers dan stream ciphers.

Dengan block ciphers, block karakter dalam ukuran yang tetap diubah

melalui constant-fixed- length key. Dengan menggunakan stream ciphers,

clear-text dikirim berdasarkan bit-by-bit dibawah kontrol dari stream key

bits.

38

4. error propagation codes

Pemakaian stream ciphers tidak dapat mencegah terjadinya

perubahan pesan. Untuk mengatasi kelemahan yang ada pada stream

ciphers maka error propagation code harus digunakan, kode yang

digunakan harus sensitif terhadap perintah yang diberikan kepada pesan

sehingga setiap perubahan dari block dapat dideteksi.

5. message authentication

Pada sistem pengiriman transfer uang melalui elektronik,

pengendalian yang digunakan adalah dengan melakukan identifikasi

perubahan pesan yang dikirim melalui message authentication code

(MAC).

6. message sequence number

Message sequence numbers digunakan untuk mendeteksi setiap

serangan terhadap pesan yang dikirim.

7. request – response mechanisms.

Request-response mechanisms digunakan untuk mengidentifikasi

serangan yang dilakukan oleh penyusup dengan tujuan agar pesan

pelayanan diabaikan oleh si pengirim dan penerima.

4. Pengendalian Proses

Menurut Weber ( 1999, p519), subsistem proses bertanggungjawab

untuk menghitung, mengurutkan, mengklarifikasi, meringkas, dan komponen

umum dalam subsistem proses adalah prosesor pusat di mana program

dieksekusi, memori di mana program diinstruksi dan data disimpan, sistem

39

operasi yang mengelola sumber daya sistem, dan program aplikasi yang

menjalankan instruksi untuk mencapai kebutuhan pengguna khusus. Menurut

Weber ( 1999, p520-548) tipe pengendalian yang berhubungan dengan

pengendalian proses :

a. processor controls

Central Processing Unit ( CPU ) adalah sumber daya terpenting

yang digunakan pada sistem komputer, CPU melaksanakan instruksi yang

diberikan oleh program yang diambil dari memori utama.

b. real memory controls

Real memory pada sistem komputer terdiri dari jumlah tetap

tempat penyimpanan utama di mana program atau data harus diletakkan

agar dapat dijalankan oleh prosesor pusat. Pengendalian terhadap real

memory dilakukan untuk mendeteksi dan memperbaiki error yang terjadi

pada cell memory dan untuk melindungi area memori dari akses ilegal

yang dilakukan oleh program lain.

c. virtual memory controls

Virtual memory ada bila ruang penyimpanan yang lebih besar

daripada ruang real memory yang tersedia. Untuk memperoleh hasil ini,

sebuah mekanisme harus dibuat agar letak virtual memory dapat

diletakkan pada real memory, ketika sebuah program dijalankan pada

lokasi virtual memory maka mekanisme tersebut akan menerjemahkannya

menjadi lokasi real memory.

40

d. operating system integrity

Sistem operasional adalah satu set program yang

diimplementasikan pada software, firmware atau hardware yang

membuat pemakaian sumber daya pada sistem komputer dapat dilakukan

bersama-sama. Sumber daya utama yang dapat di share adalah prosesor,

real memory, secondary memory dan peralatan input atau output. Untuk

meningkatkan kemampuan komputer maka sistem operasional harus

mengelola sumber daya tersebut sehingga selalu tersedia untuk dipakai.

e. application software controls

Pada subsistem proses, software aplikasi melakukan pekerjaan

menghitung, mensortir, mengklasifikasi dan merangkum data ke sebuah

sistem aplikasi. Aplikasi tersebut harus dapat melakukan validasi cek

terhadap kesalahan proses yang terjadi.

f. audit trial controls

Jejak audit pada subsistem proses menjaga agar kronologi

kejadian dari waktu data diterima dari input atau subsistem komunikasi

sampai waktu data tersebut dikirim ke database, komunikasi atau

subsistem output.

g. existence controls

Jenis kontrol yang harus ada pada pengendalian proses adalah

check-point atau restart facility yang merupakan backup sementara dan

pengendalian pemulihan kembali yang akan membuat sistem dapat

dipulihkan kembali bila terjadi kerusakan sementara dan terlokalisir.

41

5. Pengendalian Database

Menurut Weber ( 1999, p563-585), subsistem database menyediakan

fungsi-fungsi untuk mendefinisikan, membuat, memodifikasi, menghapus,

dan membaca data pada sistem informasi.

Tipe pengendalian yang berhubungan dengan pengendalian database:

a. Access Controls

Pengendalian akses dilakukan untuk menjaga akses oleh orang

yang tidak berwenang dan penggunaan data oleh orang yang tidak

bertanggungjawab. Pengendalian akses dilakukan pertama kali melalui

kebijakan keamanan untuk setiap subsistem dan kemudian baru dicari

mekanisme pengendalian akses yang akan digunakan untuk mendukung

kebijakan yang telah dipilih tersebut.

b. Integrity Controls

Sistem manajemen database yang baik akan melaksanakan

berbagai jenis integrity constraints (batasan) pada subsistem database.

Integrity constraints diadakan untuk menjaga keakuratan, kelengkapan,

keunikan dari pembangunan yang digunakan pada pendekatan model

konseptual atau model data yang digunakan untuk memperlihatkan

fenomena dunia nyata tentang data yang disimpan pada subsistem

database. Kekhususan jenis constraint yang disediakan oleh sistem

tergantung pada beberapa tingkatan dari pendekatan model konseptual

atau model data yang digunakan.

42

c. Application Software Controls

Integrity dari subsistem database tergantung kepada bagian dari

pengendalian yang dilakukan pada setiap aplikasi program yang

digunakan pada database.

d. Concurrency Controls

Tujuan utama dari concurrency controls adalah agar pemakai

database dapat menggunakan data yang sama bersama-sama. Berbagi

data dapat menghasilkan masalah yang harus ditangani oleh subsistem

database jika integritas data akan dilindungi.

e. Cryptographic Controls

Data yang disimpan di media portable seperti tape, disket dan

cartridges dapat diamankan memakai pengaman alat encryption. Data

di encrypt secara otomatis ketika direkam dan data otomatis di encrypt

setiap kali dibaca. Bila media penyimpanan hilang maka data tersebut

dapat dilihat orang pihak lain karena metode encrypt dan decrypt yang

digunakan bersifat umum.

f. File Handling Controls

Pengendalian penanganan data dilakukan untuk mencegah

terjadinya kerusakan karena bencana terhadap data pada media

penyimpanan, bencana tersebut dapat terjadi pada hardware, software

atau operator atau pemakai yang menggunakan media penyimpanan

tersebut.

43

g. Audit Trail Controls

Jejak audit pada subsistem database menjaga kronologi dari

kejadian yang terjadi pada database, pada banyak kasus satu set penuh

dari kejadian harus dicatat; dibuat, dimodifikasi, dihapus dan

pengambilan kembali.

h. Existence Controls

Existence control pada subsistem database harus memulihkan

kembali database yang rusak atau hilang tersebut, pemulihan kembali

dilakukan dengan menggunakan backup database. Proses perbaikan

terhadap data yang rusak atau hilang melibatkan dua hal yaitu strategi

backup dan strategi pemulihan. Semua strategi backup melibatkan

penjagaan berisi terkini dari database. Recovery strategi melibatkan dua

hal yaitu: pertama, database terkini harus dipulihkan kembali jika

diketahui databasenya rusak atau hilang, kedua, database sebelumnya

dapat dipulihkan kembali bila database terkini tidak benar.

6. Pengendalian Output

Menurut Weber ( 1999, p615-646), subsistem output menyediakan

fungsi-fungsi yang menentukan isi dari data yang akan disediakan bagi

pengguna, cara di mana data dapat diformat dan dipersembahkan bagi

pengguna, dan cara di mana data dapat diperbaiki untuk dan dikeluarkan

untuk pengguna.

44

Tipe pengendalian yang berhubungan dengan pengendalian output:

a. Inference Controls

Pengendalian model akses memperbolehkan atau menolak akses

terhadap item data berdasarkan nama dari data item, isi dari data item

atau beberapa karakteristik dari serangkaian data yang terdapat pada

data item, agar data yang tidak boleh diakses dapat diblok maka

timbullah apa yang disebut database statistikal.

b. Batch Output Production and Distribution Controls

Batch output adalah output yang dihasilkan pada beberapa

fasilitas operasional dan sesudah itu dikirim atau disimpan oleh

kustodian atau pemakai output tersebut. Output ini menggunakan

banyak formulir, contohnya, keluaran laporan pengendalian manajemen

berisi tabel, grafik, atau image. Pengendalian terhadap batch output

dilakukan dengan tujuan untuk memastikan bahwa laporan tersebut

akurat, lengkap dan tepat waktu yang hanya dikirim atau diserahkan

kepada pemakai yang berhak.

c. Batch Report Design Controls

Elemen penting untuk melihat pengendalian efektifitas

pelaksanaan terhadap produksi dan distribusi terhadap laporan keluaran

batch adalah dengan melihat kualitas dari disainnya. Disain laporan

yang baik akan membuat pemakai mudah untuk membaca output yang

dihasilkan.

45

d. Online Output Production and Distribution Controls

Pengendalian terhadap produksi dan distribusi atas output yang

dilakukan melalui online dilakukan secara garis lurus, tujuan utamanya

adalah untuk memastikan bahwa hanya bagian yang memiliki

wewenang saja dapat melihat output melalui online tersebut.

e. Audit Trail Controls

Pengendalian jejak audit pada subsistem output dilakukan untuk

menjaga kronologi kejadian yang terjadi dari saat output diterima

sampai pemakai melakukan penghapusan output tersebut karena sudah

tidak dipakai atau disimpan lagi.

f. Existence Controls

Output dapat hilang atau rusak karena berbagai alasan, seperti,

invoice hilang, online output terkirim pada alamat yang salah, output

terbakar karena kebakaran. Pada beberapa kasus pemulihan kembali

output mudah dilakukan tetapi pada kasus lain hal itu sulit bahkan

mustahil untuk dilakukan. Recovery terhadap subsistem output secara

akurat, lengkap dan tepat merupakan hal yang sangat membantu

kelangsungan hidup banyak organisasi.

2.4 Teori Penetapan Resiko

Menurut Maiwald ( 2003, p144), risk is the underlying concept that forms the

basis for what we calls “security”. Risk is the potential for loss that requires

46

protection. ( Resiko adalah konsep yang mendasari apa yang kita sebut dengan

“keamanan”. Resiko adalah potensi kehilangan perlindungan yang dibutuhkan.).

A vulnerability is a potential avenue of attack. ( Sifat rawan adalah pendekatan

potensial dari serangan ).

A threat is an action or event that might violate the security of an information

system environtment. ( Ancaman adalah tindakan atau peristiwa yang mungkin

melanggar keamanan lingkungan sistem informasi ).

Threat + Vulnerability = Risk

Risk is the combination of threat and vulnerability. ( Resiko adalah kombinasi

dari ancaman dan kerawanan ).

Resiko dapat didefinisikan dalam tiga tingkatan secara kualitatif:

1. Low (rendah)

Kerawanan menempati sebuah tingkat resiko dalam organisasi, walaupun

itu tidak diinginkan terjadi. Tindakan untuk memindahkan atau menghilangkan

kerawanan harus dilakukan jika mungkin, tetapi biaya dari tindakan ini

seharusnya berat bertentangan dengan penurunan kecil dalam resiko.

2. Medium (menengah)

Kerawanan menempati tingkat signifikan dari resiko untuk kerahasiaan,

integritas, kemampuan, dan/atau pelaporan dari sistem informasi organisasi, atau

segi fisik. Ada kemungkinan nyata bahwa ini mungkin terjadi. Tindakan untuk

menghilangkan kerawanan adalah kebijaksanaan.

47

3. High (tinggi)

Kerawanan menempati tingkat berbahaya untuk kerahasiaan, integritas,

kemampuan, dan/atau pelaporan dari sistem informasi organisasi, atau segi fisik.

Tindakan harus diambil secara cepat untuk menghilangkan kerawanan ini.

Low Medium High

1 2 3

Tabel 2.2 Tabel Penetapan Resiko