8

 

BAB 2

LANDASAN TEORI

2.1 Sistem Informasi

2.1.1 Pengertian Sistem

Menurut McLeod dan Schell (2004, p9), sistem adalah sekelompok

elemen-elemen data yang terintegrasi dengan maksud yang sama untuk mencapai

tujuan tertentu.

Menurut Romney dan Steinbert (2003, p2), system is a set of two or more

interrelated components that interact to achieve a goal.

Menurut Hall (2007, p611), sistem adalah kelompok yang terdiri atas dua

atau lebih komponen atau subsistem yang saling berhubungan, yang menjalankan

tujuan yang sama.

Dari beberapa pengertian sistem diatas, dapat disimpulkan bahwa sistem

adalah sekumpulan elemen atau komponen yang saling berinteraksi untuk

mencapai suatu tujuan yang sama.

2.1.2 Pengertian Informasi

Menurut Gondodiyoto dan Hendarti (2007, p82), informasi adalah data

yang telah diolah menjadi suatu bentuk yang sesuai dengan keinginan si

penerima. Data merupakan bahan yang diolah menjadi suatu bentuk yang lebih

berguna dan lebih mempunyai arti, sedangkan informasi adalah hasil pengolahan

data, sehingga bertambah kegunaannya dan dapat dipakai untuk tujuan tertentu

9

 

atau untuk analisis dan pengambilan keputusan. Biasanya informasi terdiri dari

data yang telah diproses, dipilih atau terpilih, dan disusun sesuai dengan

kebutuhan pemakai data, masalah, waktu dan fungsinya.

Menurut Romney dan Steinbert (2003, p9), information is data that have

been organized and processed to provide meaning.

Dari penjelasan diatas, dapat disimpulkan bahwa informasi adalah data

yang telah diproses dan memiliki arti bagi penggunanya.

2.1.3 Pengertian Sistem Informasi

Menurut O’Brien (2006, p11), sistem informasi dapat merupakan

kombinasi teratur apapun dari orang-orang, hardware, software, jaringan

komunikasi, dan sumber daya data yang mengumpulkan, mengubah dan

menyebarkan informasi dalam sebuah organisasi.

Menurut Moscove, Simkin dan Bagranoff (2001, p6), information system

is a set of interrelated subsystems that work together to collect, process, store,

transform, and distribute information for planning, decision making, and control.

Berdasarkan penjelasan tersebut dapat disimpulkan bahwa sistem

informasi adalah serangkaian komponen yang saling berinteraksi dan bekerja

sama untuk mengumpulkan, memproses, menyimpan, mengubah dan

menyebarkan informasi yang berguna bagi kegiatan yang berlangsung dalam

suatu organisasi.

10

 

2.2 Sistem Akuntansi Pembelian

Menurut Mulyadi (2001, p299), sistem akuntansi pembelian merupakan

sistem yang digunakan perusahaan untuk pengadaan barang yang diperlukan oleh

perusahaan.

2.2.1 Fungsi-Fungsi yang Terkait dalam Pembelian

Menurut Mulyadi (2001, p299), fungsi-fungsi yang terkait dalam sistem

pembelian kredit adalah :

1. Fungsi Gudang

Fungsi ini bertanggung jawab untuk mengajukan permintaan pembelian

sesuai dengan posisi persediaan yang ada di gudang dan untuk menyimpan

barang yang telah diterima oleh fungsi penerimaan.

2. Fungsi Pembelian

Fungsi ini bertanggung jawab untuk memperoleh informasi mengenai harga

barang, menentukan pemasok yang dipilih dalam pengadaan barang dan

mengeluarkan order pembelian kepada pemasok yang dipilih.

3. Fungsi Penerimaan

Fungsi ini bertanggung jawab untuk melakukan pemeriksaan terhadap jenis,

mutu dan kuantitas barang yang diterima dari pemasok guna menentukan

dapat atau tidaknya barang tersebut diterima oleh perusahaan.

4. Fungsi Akuntansi

Fungsi akuntansi yang terkait dalam transaksi pembelian adalah fungsi

pencatat utang dan fungsi pencatat persediaan. Fungsi ini bertanggung jawab

11

 

untuk mencatat transaksi pembelian ke dalam register bukti kas keluar dan

untuk menyelenggarakan arsip dokumen sumber (bukti kas keluar) yang

berfungsi sebagai catatan utang atau menyelengarakan kartu utang sebagai

buku pembantu utang.

2.2.2 Jaringan Prosedur yang Membentuk Sistem Pembelian

Menurut Mulyadi (2001, p301), jaringan prosedur yang membentuk

sistem pembelian adalah :

a. Prosedur permintaan pembelian

Dalam prosedur ini fungsi gudang mengajukan permintaan pembelian dalam

formulir surat permintaan pembelian kepada fungsi pembelian.

b. Prosedur permintaan penawaran harga dan pemilihan pemasok

Dalam prosedur ini fungsi pembelian mengirimkan surat permintaan

penawaran harga kepada para pemasok untuk memperoleh informasi

mengenai harga barang dan berbagai syarat pembelian yang lain, untuk

memungkinkan pemilihan pemasok yang akan ditunjuk sebagai pemasok

barang yang diperlukan perusahaan.

c. Prosedur order pembelian

Dalam prosedur ini fungsi pembelian mengirim surat order pembelian kepada

pemasok yang dipilih dan memberitahukan kepada unit-unit organisasi lain

dalam perusahaan mengenai order pembelian yang sudah dikeluarkan oleh

perusahaan.

12

 

d. Prosedur penerimaan barang

Dalam prosedur ini fungsi penerimaan melakukan pemeriksaan mengenai

jenis, kuantitas, dan mutu barang yang diterima dari pemasok, dan kemudian

membuat laporan penerimaan barang untuk menyatakan penerimaan barang

dari pemasok.

e. Prosedur pencatatan utang

Dalam prosedur ini fungsi akuntansi memeriksa dokumen-dokuman yang

berhubungan dengan pembelian dan menyelenggarakan pencatatan utang

atau mengarsipkan dokumen sumber sebagai catatan utang.

f. Prosedur distribusi pembelian

Prosedur ini meliputi distribusi rekening yang didebit dari transaksi

pembelian untuk kepentingan pembuatan laporan manajemen.

2.2.3 Dokumen Pembelian

Menurut Mulyadi (2001, p303), dokumen yang digunakan dalam sistem

persediaan barang sebagai berikut:

a. Surat Permintaan Pembelian

Dokumen ini merupakan formulir yang diisi oleh fungsi gudang atau fungsi

pemakai barang untuk meminta fungsi pembelian melakukan pembelian

dengan jenis, jumlah, dan mutu seperti yang tersebut dalam surat tersebut.

Biasanya dibuat dua lembar untuk setiap permintaan, satu lembar untuk

fungsi pembelian, dan tembusannya untuk arsip fungsi yang meminta barang.

13

 

b. Surat Permintaan Penawaran Harga

Dokumen ini digunakan untuk meminta penawaran harga bagi barang yang

pengadaannya tidak bersifat berulang kali terjadi yang menyangkut jumlah

rupiah pembelian yang besar.

c. Surat Order Pembelian

Dokumen ini digunakan untuk memesan barang kepada pemasok yang telah

dipilih.

d. Laporan Penerimaan Barang

Dokumen ini dibuat oleh fungsi penerimaan untuk menujukkan bahwa

barang-barang yang diterima pemasok telah memenuhi jenis, spesifikasi,

mutu, dan kuantitas seperti yang tercantum dalam surat order pembelian.

e. Surat Perubahan Order Pembelian

Kadangkala diperlukan perubahan terhadap isi surat order pembelian yang

sebelumnya telah diterbitkan. Perubahan tersebut dapat berupa perubahan

kuantitas barang, jadwal penyerahan barang, spesisifikasi, penggantian.

Perubahan tersebut diberitahukan kepada pemasok secara resmi dengan surat

perubahan order pembelian.

f. Bukti Kas Keluar

Dokumen ini dibuat oleh fungsi akuntansi untuk dasar pencatatan transaksi

pembelian juga berfungsi sebagai perintah pengeluaran kas untuk

pembayaran utang kepada pemasok dan yang sekaligus berfungsi sebagai

surat pemberitahuan kepada kreditur mengenai maksud pembayaran.

14

 

2.3 Audit Sistem Informasi

2.3.1 Pengertian Audit Sistem Informasi

Menurut Weber (1999, p10), audit sistem informasi adalah proses

pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sistem

komputer dapat melindungi aktiva-aktiva, menjaga integritas data, mencapai

tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien.

Menurut Gondodiyoto (2006, p385), audit sistem informasi berbasis

teknologi informasi adalah proses pengumpulan dan penilaian bahan bukti audit

untuk dapat menentukan apakah sistem informasi perusahaan telah menggunakan

sumber daya informasi secara tepat dan mampu mendukung pengamanan asset

tersebut, memelihara kebenaran dan integritas data dalam pencapaian tujuan

perusahaan secara efektif dan efisien.

Maka dapat disimpulkan audit sistem informasi adalah proses

mengumpulkan dan mengevaluasi bukti-bukti audit yang ditemukan sesuai

standar yang berlaku untuk mengetahui apakah sistem informasi dan sumber

daya yang terkait mengelola dan memelihara teknologi dan asset perusahaan

dengan baik serta apakah proses bisnis perusahaan berjalan sesuai dengan yang

seharusnya.

2.3.2 Tujuan dan Manfaat Audit Sistem Informasi

Menurut Weber (1999, p11), tujuan audit sistem informasi dibagi menjadi

4, yaitu :

15

 

1. Peningkatan keamanan asset (asset safeguarding objectives)

Asset informasi suatu perusahaan seperti hardware, software, SDM, file data,

dokumentasi sistem dan peralatan pendukung lainnya harus dijaga oleh suatu

sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan

terhadap asset perusahaan.

2. Peningkatan integritas data (data integrity objectives)

Integritas data merupakan salah satu konsep dasar dari suatu sistem

informasi, dimana setiap data memiliki atribut tertentu seperti kelengkapan

dan keakuratan. Jika integritas data tidak terpelihara dengan baik maka suatu

perusahaan akan menderita kerugian.

3. Peningkatan efektivitas sistem (system effectiveness objectives)

Efektivitas sistem informasi perusahaan memiliki peranan penting dalam

proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan

efektif apabila sistem tersebut telah sesuai dengan kebutuhan user.

4. Peningkatan efisiensi sistem (system efficiency objectives)

Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi

memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi

komputer menurun, maka pihak manajemen harus mengevaluasi apakah

efisiensi sistem masih memadai atau harus meningkatkan penggunaan

sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem

informasi dapat memenuhi kebutuhan user dengan sistem informasi yang

minimal.

16

 

2.3.3 Tahapan Audit Sistem Informasi

Menurut Hall (2007, p539), audit sistem informasi pada umumnya dibagi

dalam tiga tahap, yaitu :

1. Perencanaan Audit

Bagian utama dalam tahap ini adalah analisis resiko audit. Tujuan auditor

adalah mendapatkan informasi yang memadai tentang perusahaan agar dapat

merencanakan tahap-tahap audit lainnya. Teknik-teknik yang digunakan

untuk mengumpulkan bukti dalam tahap ini antara lain kuesioner,

wawancara, memeriksa dokumen sistem, dan observasi.

2. Uji Pengendalian

Tujuan tahap ini adalah untuk menentukan bahwa pengendalian internal yang

memadai telah diterapkan dan berfungsi dengan benar. Teknik pengumpulan

bukti yang digunakan dalam tahap ini meliputi teknik manual dan teknik

audit komputer khusus.

3. Pengujian Substantif

Tujuan tahap ini adalah untuk menentukan akurasi setiap akun dalam sampel

yang diambil dalam uji substantif. Dan berdasarkan temuan sampel, auditor

dapat mengambil kesimpulan mengenai hasil pengujian. Sebagian uji

substantif merupakan aktifitas fisik dan padat karya, seperti perhitungan

persediaan di gudang, dan verifikasi ada atau tidaknya sertifikat saham di

dalam lemari penyimpanan.

17

 

2.3.4 Metode Audit Sistem Informasi

Dalam melakukan audit sistem informasi, ada 3 metode yang dapat

digunakan oleh auditor, yaitu :

1. Audit Around The Computer

Menurut Gondodiyoto (2007, p451), dalam metode ini auditor tidak

perlu menguji pengendalian sistem informasi berbasis teknologi informasi,

melainkan cukup terhadap input serta output sistem aplikasi saja.

Kelemahan metode ini adalah :

a. Database biasanya memiliki data yang banyak dan sulit dilacak secara

manual.

b. Auditor tidak akan memahami operasional dalam sistem komputer.

c. Adanya pengabaian pada sistem pengolahan komputer sehingga sangat

rawan terjadi kesalahan potensial dalam sistem.

d. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit

menjadi tidak ada.

e. Tidak menyelesaikan maksud dan tujuan proses audit secara keseluruhan.

Sedangkan keuntungan metode audit around the komputer ini adalah:

a. Tidak ada resiko terhadap kemungkinan hancurnya data sesungguhnya.

b. Auditor hanya sedikit memerlukan tambahan pendidikan.

c. Umumnya mudah, sederhana dan dimengerti oleh semua orang.

d. Biaya yang terkait dengan pelaksanaannya kecil.

18

 

2. Audit Through The Computer

Menurut Gondodiyoto (2007, p453), dalam pendekatan ini, auditor

melakukan pemeriksaan langsung terhadap program-program dan file-file

komputer pada audit sistem informasi berbasis teknologi informasi. Auditor

menggunakan komputer (software bantu) atau dengan cek logika atau listing

program (desk test on logic or program source code) untuk menguji logika

program dalam rangka pengujian pengendalian yang ada pada komputer.

Tujuan dari metode ini adalah untuk meneliti apakah aplikasi yang

diaplikasikan sesuai dengan kondisi yang sesungguhnya.

Keuntungan metode ini adalah dapat meningkatkan kekuatan terhadap

pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan

kemampuan penguji yang dilakukan dapat diperluas sehingga tingkat

kepercayaan terhadap keandalan dari pengumpulan dan evaluasi dapat

ditingkatkan. Selain itu, dengan memeriksa secara langsung logika

pemrosesan dari sistem aplikasi dan perkiraan kemampuan sistem, dapat

menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa

yang akan datang.

Kelemahan dari metode ini adalah :

a. Biaya yang dibutuhkan relatif tinggi yang disebabkan oleh jumlah jam

kerja yang banyak untuk memahami struktur pengendalian intern dari

pelaksanaan sistem aplikasi.

b. Butuh keahlian teknik yang lebih mendalam untuk memahami cara kerja

sistem.

19

 

3. Auditing With the Computer

Menurut Gondodiyoto (2007, p455), metode auditing with the computer

adalah suatu pendekatan audit dengan bantuan komputer, dimana prosedur

auditnya dapat dilaksanakan dengan berbagai cara, yaitu:

a. Memproses atau melakukan pengujian langsung terhadap sistem

komputer client dalam pengujian pengendalian atau substantif.

b. Menggunakan komputer untuk melaksanakan tugas audit yang terpisah

dari sistem client, yaitu mengambil copy data atau file dan atau program

milik client untuk diuji dengan komputer lain.

c. Menggunakan komputer sebagai alat bantu dalam audit

Metode ini merupakan suatu pendekatan audit dengan menggunakan

komputer dan software untuk mengotomatisasi prosedur pelaksanaan

audit.

Dari ketiga metode diatas, yang lebih sering digunakan adalah metode

around the computer dan through the computer, karena biaya yang dibutuhkan

relatif lebih murah daripada metode with the computer.

2.3.5 Instrumen Audit Sistem Informasi

Menurut Gondodiyoto dan Hendarti (2006, p447), terdapat beberapa

instrumen audit yang bisa digunakan dalam pelaksanaan audit, yaitu :

20

 

1. Observasi

Observasi adalah cara memeriksa dengan menggunakan panca indera

terutama mata, yang dilakukan secara kontinyu selama waktu tertentu untuk

membuktikan sesuatu keadaan atau masalah.

2. Wawancara

Wawancara merupakan teknik pemeriksaan berupa tanya jawab yang

biasanya dilakukan secara lisan antara auditor dengan auditee untuk

memperoleh bahan bukti audit.

3. Kuesioner

Kuesioner merupakan teknik pengumpulan data yang dilakukan dengan cara

memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden

untuk dijawab.

4. Konfirmasi

Konfirmasi merupakan upaya untuk memperoleh informasi atau penegasan

dari sumber lain yang independen, baik secara lisan maupun tertulis dalam

rangka pembuktian pemeriksaan.

5. Inspeksi

Inspeksi merupakan cara memeriksa dengan panca indera terutama mata,

untuk memperoleh bukti atas suatu keadaan atau suatu masalah pada saat

tertentu.

21

 

6. Prosedur Analisis

Analisis artinya memecah atau menguraikan suatu keadaan atau masalah ke

dalam beberapa bagian atau elemen dan memisahkan bagian tersebut untuk

digabungkan dengan keseluruhan atau dibandingkan dengan yang lain.

7. Perbandingan

Perbandingan adalah usaha untuk mencari kesamaan dan perbedaan antara

dua atau lebih gejala atau keadaan.

2.3.6 Standar Audit Menurut ISACA

Mengacu pada ISACA, standar audit sistem informasi mendefinisikan

persyaratan – persyaratan yang wajib dipenuhi dalam pelaksanaan dan pelaporan

atas audit sistem informasi.

Berikut adalah standar audit sistem informasi yang diterapkan oleh

Information System Audit and Control Association (ISACA) :

1. Audit Charter

Bahwa audit charter harus disetujui oleh level organisasi yang tepat dan

harus memuat mengenai tujuan, tanggung jawab, otoritas, dan

pertanggungjawaban dari fungsi audit sistem informasi.

2. Independence

Memuat mengenai pentingnya independensi professional dan independensi

organisasi.

22

 

3. Professional Ethics and Standards

Bahwa auditor sistem informasi harus setia pada kode etik dan standar

profesionalisme yang ada dalam melaksanakan tugas auditnya.

4. Professional Competence

Bahwa auditor sistem informasi harus kompeten secara profesional dan selalu

memelihara kompetensi profesional yang dimilikinya tersebut dengan cara

mengikuti pendidikan dan pelatihan profesional secara berkelanjutan.

5. Planning

Berkaitan dengan perencanaan atas cakupan audit sistem informasi,

pengembangan dan pendokumentasian pendekatan audit berbasis resiko,

rencana audit, program audit beserta prosedur-prosedurnya.

6. Performance of Audit Work

Berkaitan dengan pengawasan terhadap staf audit sistem informasi,

pengumpulan bukti audit, dan pendokumentasian atas proses audit dalam

rangka mendukung temuan dan kesimpulan auditor sistem informasi.

7. Reporting

Berkaitan dengan rincian keterangan dalam laporan audit yang diperlukan,

penyediaan laporan audit yang dibuat pada akhir penyelesaian audit harus

berdasarkan bukti yang memadai, dan bahwa laporan ketika diterbitkan harus

ditandatangani, diberi tanggal, dan didistribusikan sesuai dengan persyaratan

yang tertuang pada surat perjanjian.

23

 

8. FolLow-Up Activities

Berkaitan dengan pengevaluasian atas informasi yang relevan untuk

mengetahui apakah tindakan yang semestinya telah diambil oleh pihak

manajemen dalam rangka menyikapi temuan dan rekomendasi dari auditor.

9. Irregularities and Illegal Acts

Berkaitan dengan pertimbangan dan prosedur-prosedur audit yang diperlukan

dalam melakukan penilaian atas adanya resiko tindakan yang tidak biasa dan

melanggar hukum; pentingnya surat representasi dari manajemen;

pengkomunikasian mengenai temuan yang diperoleh, dan juga dokumentasi

mengenai tindakan-tindakan tidak biasa dan melanggar hukum yang materil.

10. IT Governance

Berkaitan dengan penilaian fungsi sistem informasi yang harus sejalan

dengan misi, visi, tujuan, strategi perusahaan; penilaian terhadap hasil yang

dicapai dan keefektifan penggunaan sumber daya sistem informasi serta

kepatuhan terhadap hukum, kualitas informasi, dan persyaratan keamanan

yang ada.

11. Use of Risk Assessment in Audit Planning

Berkaitan dengan penggunaan teknik penilaian resiko yang tepat atas rencana

audit dan dalam penentuan prioritas untuk alokasi sumber daya audit sistem

informasi yang efektif.

24

 

12. Audit Materiality

Berkaitan dengan pertimbangan mengenai materialitas audit dan

hubungannya terhadap resiko audit; pertimbangan mengenai kelemahan

pengendalian yang berpengaruh secara materil dalam sistem informasi dan

pengungkapan mengenai hal tersebut pada laporan auditor.

13. Using the Work of Other Experts

Berkaitan dengan penggunaan pekerjaan dari pakar lainnya untuk keperluan

audit dan penilaian terhadap kompetensi, independensi, dan pengalaman dari

pakar tersebut.

14. Audit Evidence

Berkaitan dengan pengumpulan bukti audit yang memadai dan layak untuk

menarik kesimpulan yang wajar dan pengevaluasian atas kecukupan bukti

audit.

15. IT Controls

Berkaitan dengan pengevaluasian dan pemantauan atas pengendalian

teknologi informasi; dan pemberian masukan kepada pihak manajemen

mengenai perancangan, implementasi, operasi, dan peningkatan atas

pengendalian teknologi informasi yang ada.

16. E-Commerce

Berkaitan dengan pengevaluasian atas pengendalian-pengendalian yang

berlaku dan penilaian terhadap resiko yang ada dalam rangka menjamin

terkendalinya transaksi-transaksi e-commerce.

25

 

2.3.7 Matriks Penetapan Penilaian Resiko dan Pengendalian

Untuk melakukan penilaian terhadap bukti audit yang telah ditemukan,

auditor dapat menggunakan metode matriks penetapan penilaian resiko dan

pengendalian untuk merumuskan analisa terhadap bukti audit dan temuan agar

dapat mengevaluasi dan merumuskan serta menyimpulkan opini dan penilaian

terhadap sistem yang ada. Berikut adalah metode matriks penetapan dan

penilaian resiko berdasarkan teori Gondodiyoto (2007, p559) :

1. Matriks Penilaian resiko

Matriks penilaian resiko adalah suatu cara untuk menganalisa seberapa

besar resiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan cara

menganalisa pengaruh dan korelasi antara dampak yang ditimbulkan oleh

resiko dengan tingkat keterjadian dari resiko tersebut. Besarnya tingkat

dampak dan keterjadian suatu resiko dinyatakan sebagai berikut :

a. L atau Low diberi nilai 1

b. M atau Medium diberi nilai 2

c. H atau High diberi nilai 3

Kriteria hasil penilaian matriks resiko yaitu :

a. Resiko kecil (Low) nilainya berkisar antara 1 dan 2, hal ini dihasilkan dari

beberapa kondisi seperti dibawah ini :

1) Jika dampak Low (1) dan keterjadian Low (1), maka nilai resiko adalah

1

2) Jika dampak Low (1) dan keterjadian Medium (2), maka nilai resiko

adalah 2

26

 

3) Jika dampak Medium (2) dan keterjadian Low (1), maka nilai resiko

adalah 2. Artinya, nilai resiko dari dampak dan keterjadian adalah

kecil.

b. Resiko sedang (Medium) nilainya berkisar antara 3 dan 4, hal ini

dihasilkan dari beberapa kondisi dibawah ini :

1) Jika dampak Low (1) dan keterjadian High (3), maka nilai resiko

adalah 3

2) Jika dampak Medium (2) dan keterjadian Medium (2), maka nilai

resiko adalah 4

3) Jika dampak High (3) dan keterjadian Low (1), maka nilai resiko

adalah 3. Artinya, nilai resiko dari dampak dan desain adalah sedang.

c. Resiko tinggi (High) nilainya berkisar antara 6 dan 9. Hal ini dihasilkan

dari beberapa kondisi seperti dibawah ini :

1) Jika dampak Medium (2) dan keterjadian High (3), maka nilai resiko

adalah 6

2) Jika dampak High (3) dan keterjadian Medium (2), maka nilai resiko

adalah 6

3) Jika dampak High (3) dan keterjadian High (3), maka nilai resiko

adalah 9. Artinya, nilai resiko dari dampak dan keterjadian adalah

tinggi.

27

 

3 6 9

2 4 6

1 2 3

Gambar 2.1 Matriks Penilaian Resiko

Sumber : Gondodiyoto (Audit Sistem Informasi + pendekatan COBIT, 2007)

2. Matriks Penilaian Pengendalian

Matriks penilaian pengandalian adalah suatu cara untuk menganalisa

seberapa efektif dan efisiennya suatu pengendalian yang ada dalam

menghadapi suatu resiko atau ancaman. Hal ini dilakukan dengan

menganalisa pengaruh dan korelasi antara tingkat efektifitas pengendalian

dengan desain dari pengendalian tersebut. Besarnya tingkat efektifitas dan

desain suatu pengendalian dinyatakan sebagai berikut :

a. L atau Low diberi nilai 1

b. M atau Medium diberi nilai 2

c. H atau High diberi nilai 3

Kriteria hasil penilaian pengendalian yaitu :

a. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, hal ini

dihasilkan dari beberapa kondisi seperti dibawah ini :

3 H

2 M

1 L

0 L 1

M 2

H 3

L IKEHOOD

IMPACT

28

 

1) Jika efektifitas Low (1) dan desain Low (1), maka nilai pengendalian

adalah 1

2) Jika efektifitas Low (1) dan desain Medium (2), maka nilai

pengendalian adalah 2

3) Jika efektifitas Medium (2) dan desain Low (1), maka nilai

pengendalian adalah 2. Artinya, nilai pengendalian dari efektifitas dan

desain adalah kecil.

b. Pengendalian sedang (Medium) nilainya berkisar antara 3 dan 4, hal ini

dihasilkan dari beberapa kondisi dibawah ini :

1) Jika efektifitas Low (1) dan desain High (3), maka nilai pengendalian

adalah 3

2) Jika efektifitas Medium (2) dan desain Medium (2), maka nilai

pengendalian adalah 4

3) Jika efektifitas High (3) dan desain Low (1), maka nilai pengendalian

adalah 3. Artinya, nilai pengendalian dari efektifitas dan desain adalah

sedang.

3. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9. Hal ini

dihasilkan dari beberapa kondisi seperti dibawah ini :

a. Jika efektifitas Medium (2) dan desain High (3), maka nilai pengendalian

adalah 6

b. Jika efektifitas High (3) dan desain Medium (2), maka nilai pengendalian

adalah 6

29

 

c. Jika efektifitas High (3) dan desain High (3), maka nilai pengendalian

adalah 9. Artinya, nilai pengendalian dari efektifitas dan desain adalah

tinggi.

3 6 9

2 4 6

1 2 3

Gambar 2.2 Matriks Penilaian Pengendalian

Sumber : Gondodiyoto (Audit Sistem Informasi + pendekatan COBIT, 2007)

2.4 Sistem Pengendalian Internal

2.4.1 Pengertian Sistem Pengendalian Internal

Menurut Mulyadi (2001, p163), sistem pengendalian internal meliputi

struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk

menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi,

mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen. Definisi

ini menekankan tujuan yang hendak dicapai, dan bukan pada unsur-unsur yang

membentuk sistem tersebut.

Menurut Hall (2007, p605), sistem pengendalian internal adalah

kebijakan yang digunakan perusahaan untuk menjaga aktiva perusahaan,

3 H

2 M

1 L

0L 1

M 2

H 3

L IKEHOOD

IMPACT

30

 

memastikan pencatatan dan informasi akuntansi yang akurat dan handal,

mendorong efisiensi, dan memastikan ketaatannya dengan kebijakan yang telah

dibuat.

Dari penjelasan diatas, dapat disimpulkan bahwa sistem pengendalian

internal adalah suatu sistem yang dirancang oleh manajemen perusahaan untuk

melindungi asset perusahaan dan mengawasi serta mendukung kinerja

perusahaan untuk mencapai tujuannya dan untuk mengurangi resiko yang dapat

merugikan perusahaan.

Menurut Gondodiyoto dan Hendarti (2007, p125), pengendalian internal

bagi suatu perusahaan adalah merupakan suatu keharusan, terutama bagi

perusahaan yang sudah go public. Ada beberapa faktor yang menyebabkan

sistem pengendalian internal menjadi semakin penting, yaitu :

1. Besarnya biaya dan kerugian apabila data di dalam komputer hilang

2. Biaya yang harus dibayar bila mutu keputusan yang diambil buruk akibat

kesalahan dalam pengolahan data

3. Potensi kerugian apabila terjadi kesalahan/penyalahgunaan komputer

4. Nilai (investasi) yang tinggi dalam pengadaan maupun perawatan mesin

5. Nilai atau biaya pendidikan personil yang dikeluarkan tinggi

6. Biaya yang dikeluarkan tinggi apabila terjadi computer error

7. Perlunya dijaga privacy, mengingat di komputer tersimpan data rahasia

8. Agar perkembangan dan pertumbuhan komputerisasi dapat terkendali

31

 

2.4.2 Tujuan Sistem Pengendalian Internal

Menurut Mulyadi (2001, p178), tujuan pengendalian internal secara rinci

adalah sebagai berikut :

1. Menjaga kekayaan organisasi

2. Mengecek ketelitian dan keandalan data akuntansi

3. Mendorong efisiensi

4. Mendorong dipatuhinya kebijakan manajemen.

Menurut Gondodiyoto dan Hendarti (2007, p136), tujuan disusunnya

sistem pengendalian internal komputerisasi adalah untuk :

1. Meningkatkan pengamanan asset sistem informasi, baik yang bersifat logical

assets maupun physical assets.

2. Meningkatkan integritas data. Dengan adanya data yang benar dan

konsisten, laporan yang benar dapat dibuat.

3. Meningkatkan efektifitas sistem.

4. Meningkatkan efisiensi sistem

Suatu pengendalian internal yang baik dalam sebuah perusahaan akan

memberikan manfaat yang berarti bagi perusahaan tersebut, karena sistem

pengendalian internal :

1. Dapat memperkecil kesalahan-kesalahan dalam penyajian data akuntansi,

sehingga akan menghasilkan laporan yang benar.

2. Melindungi atau membatasi kemungkinan terjadinya kecurangan dan

penggelapan-penggelapan.

3. Kegiatan organisasi akan dapat dilaksanakan dengan efisien.

32

 

4. Mendorong dipatuhinya kebijakan pimpinan.

5. Tidak memerlukan detail audit dalam bentuk pengujian substantif atas bahan

bukti/data perusahaan yang cukup besar oleh akuntan publik. Karena jika

sistem pengendalian internal perusahaan cukup baik, pengujian dapat

dilakukan dengan teknik sampling.

2.4.3 Komponen Pengendalian Internal

Menurut Moscove, Simkin dan Bagranoff (2001, p213), pengendalian

internal terdiri dari lima komponen, yaitu

1. Control Environment

Faktor-faktor yang termasuk di dalam control environment antara lain (1)

integritas, nilai etika dan kompetensi pegawai perusahaan, (2) filosofi

manajemen dan gaya operasi, (3) cara manajemen memberikan wewenang

dan tanggung jawab kepada pegawainya, (4) perhatian dan arahan yang

diberikan Dewan Direksi.

2. Risk Assessment

Ketika merancang pengendalian bagi perusahaan, pertimbangan terhadap

faktor resiko harus diberikan melalui suatu proses yang dinamakan penilaian

resiko. Proses penilaian ini menandakan bahwa semua organisasi selalu

menghadapi resiko-resiko dalam mencapai kesuksesan.

3. Control Activities

Kebijakan dan prosedur yang membantu memastikan bahwa pengarahan

manajemen telah dijalankan adalah fokus dari kegiatan pengendalian.

33

 

4. Information and Communication

Informasi di sini mengacu pada sistem akuntansi, termasuk metode dan

pencatatan yang digunakan untuk mencatat, memproses, meringkas, dan

melaporkan transaksi perusahaan, dan juga merawat akuntabilitas terhadap

asset, hutang dan ekuitas perusahaan.

Komunikasi di sini mengacu pada penyediaan pemahaman peran serta

tanggung jawab para personel perusahaan yang menyinggung pengendalian

internal terhadap pelaporan finansial.

5. Monitoring

Proses menilai kualitas kinerja pengendalian internal dari waktu ke waktu.

Hal ini perlu dilakukan untuk mengetahui apakah operasi yang berjalan

dengan seharusnya dan apakah perlu dilakukan modifikasi. Monitoring

melibatkan evaluasi desain dan operasi pengendalian yang tepat waktu dan

pengajuan/penginisasian tindakan yang tepat ketika pengendalian spesifik

tidak dapat berfungsi dengan baik.

2.4.4 Jenis-Jenis Pengendalian Internal

Menurut Weber (1999, p67), ada 2 macam pengendalian internal, yaitu:

1. Pengendalian Manajemen

Pengendalian manajemen adalah sistem pengendalian internal komputer yang

berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi

secara menyeluruh. Yang termasuk pengendalian manajemen :

a. Pengendalian Top Manajemen (Top Level Management Control)

34

 

Mengendalikan peranan manajemen dalam perencanaan kepemimpinan

dan pengawasan fungsi sistem. Top manajemen harus bertanggung jawab

atas kelangsungan fungsi sistem dan keputusan jangka panjang tentang

bagaimana sistem informasi akan digunakan dalam organisasi.

b. Pengendalian Manajemen Sistem Informasi (Information System

Management Control)

Mengendalikan alternatif dari model proses pengembangan sistem

informasi sehingga dapat digunakan sebagai dasar pengumpulan dan

pengevaluasian bukti.

c. Pengendalian Manajemen Pengembangan Sistem (System Development

Management Control)

Mengendalikan tahapan utama dari daur hidup program dan pelaksanaan

dari tiap tahap.

d. Pengendalian Manajemen Sumber Data (Data Resources Management

Control)

Mengendalikan peranan dan fungsi dari data administrator atau database

administrator.

e. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance

Management Control)

Mengendalikan fungsi utama yang harus dilakukan oleh quality assurance

management untuk meyakinkan bahwa pengembangan, pelaksanaan dan

pengoperasian, dan pemeliharaan dari sistem informasi sesuai dengan

standar kualitas.

35

 

f. Pengendalian Manajemen Keamanan (Security Management Control)

Mengontrol fungsi utama dari Security Administrator dalam

mengidentifikasi ancaman utama terhadap fungsi sistem informasi dan

perancangan, pelaksanaan, pengoperasian, dan pemeliharaan terhadap

pengontrolan yang dapat mengurangi kemungkinan kehilangan dari

ancaman ini sampai tingkat yang dapat diterima. Ancaman utama

keamanan dapat disebabkan oleh alam dan manusia yang dikarenakan

oleh kelalaian atau kesengajaan, seperti :

1. Ancaman kebakaran

2. Ancaman banjir

3. Perubahan tegangan sumber energi

4. Kerusakan struktural

5. Polusi

6. Penyusup

7. Virus

8. Hacking

g. Pengendalian Manajemen Operasi (Operations Management Control)

Bertanggung jawab mengawasi penggunaan hardware dan software

sehari-hari sehingga sistem aplikasi dapat menyelesaikan pekerjaan

mereka dan staf pengembangan dapat merancang, mengimplementasi,

dan memelihara sistem aplikasi.

36

 

2. Pengendalian Aplikasi

Pengendalian aplikasi dilakukan dengan tujuan untuk menentukan apakah

pengendalian internal dalam sistem yang terkomputerisasi pada aplikasi

komputer tertentu sudah memadai untuk memberikan jaminan bahwa data

dicatat, diolah, dan dilaporkan secara akurat, tepat waktu, dan sesuai dengan

kebutuhan manajemen. Pengendalian aplikasi terdiri dari :

a. Pengendalian Boundary (Boundary Control)

Pengendalian boundary menentukan hubungan antara pemakai komputer

dengan sistem komputer itu sendiri. Ketika pemakai menggunakan

komputer, maka fungsi boundary berjalan.

Menurut Weber (1999, p368), pengendalian boundary adalah suatu

pengendalian yang memiliki tiga tujuan utama, yaitu :

1. Untuk memastikan bahwa pemakai komputer adalah orang yang

memiliki wewenang.

2. Untuk memastikan bahwa identitas yang diberikan sesuai dengan

pemakainya.

3. Untuk membatasi tindakan yang dapat dilakukan oleh pemakai untuk

menggunakan komputer ketika melakukan otorisasi.

b. Pengendalian Masukan (Input Control)

Menurut Weber (1999, p420), komponen pada subsistem input

bertanggung jawab untuk memasukkan data dan instruksi pada sistem

aplikasi. Kedua jenis input tersebut harus divalidasi terlebih dahulu,

sehingga jika ada kesalahan pada data yang dimasukkan dapat segera

37

 

diketahui dan dikontrol agar input yang dimasukkan akurat, lengkap, unik

dan tepat waktu.

c. Pengendalian Keluaran (Output Control)

Menurut Gondodiyoto (2003, p145), pengendalian keluaran adalah

pengendalian internal untuk mendeteksi jangan sampai informasi yang

disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau

didistribusikan kepada orang-orang yang tidak berhak.

Pengendalian keluaran, berupa :

1. Mencocokkan data output dengan total pengendalian yang

sebelumnya telah ditetapkan yang diperoleh dalam tahap input dari

siklus pemprosesan.

2. Mereview data output untuk melihat format yang tepat untuk masing-

masing pihak yang berwenang.

3. Mengendalikan data input yang ditolak oleh komputer selama

pemrosesan dan pendistribusian data yang ditolak itu ke personil yang

tepat.

4. Mendistribusikan laporan-laporan output ke departemen laporan tepat

pada waktunya.

2.4.5 Keterbatasan Sistem Pengendalian Internal

Menurut Gondodiyoto dan Hendarti (2007, p128), sistem pengendalian

internal memiliki beberapa kelemahan, antara lain :

38

 

1. Persekongkolan (kolusi)

Pengendalian internal mengusahakan agar persekongkolan dapat dihindari

sejauh mungkin, misalnya dengan cara mengharuskan giliran bertugas,

keharusan mengambil giliran cuti, dan sebagainya. Akan tetapi pengendalian

internal tidak dapat menjamin bahwa persekongkolan tidak terjadi.

2. Perubahan

Struktur pengendalian internal pada suatu organisasi harus diperbaharui

sesuai dengan perkembangan kondisi dan teknologi.

3. Kelemahan manusia

Banyak penyelewengan yang terjadi pada sistem pengendalian internal yang

secara teoritis dinilai sudah baik. Hal tersebut dapat terjadi karena lemahnya

pelaksanaan sistem pengendalian yang dilakukan oleh personil yang

bersangkutan. Oleh karena itu personil yang paham dan kompeten dalam

menjalankan sistem pengendalian internal merupakan salah satu unsur yang

penting.

4. Azas biaya-manfaat

Pengendalian juga harus mempertimbangkan biaya dan kegunaannya. Biaya

untuk mengendalikan hal-hal tertentu mungkin melebihi kegunaannya, atau

manfaat tidak sebanding dengan biaya yang dikeluarkan. Dalam

pengendalian internal, seringkali dihadapi dilema antara menyusun sistem

pengendalian yang komprehensif sedemikian rupa tetapi dengan biaya yang

relatif menjadi semakin mahal, atau seoptimal mungkin dengan resiko, biaya

dan waktu yang memadai.

39

 

2.5 Penetapan Resiko

2.5.1 Pengertian Resiko

Menurut Hall (2007, p201), resiko adalah kemungkinan kerugian atau

kerusakan yang dapat mengurangi atau meniadakan kemampuan perusahaan

untuk mencapai berbagai tujuannya.

Menurut Peltier (2001, p79), resiko adalah seseorang atau sesuatu yang

menyebabkan ancaman. Resiko dapat dibagi menjadi 3 tingkatan, yaitu:

1. High Vulnerability

Kelemahan yang sangat besar yang berada di dalam sistem atau rutinitas

operasi dan dimana dampak potensial pada bisnis adalah penting, untuk itu

harus ada pengendalian yang ditingkatkan.

2. Medium Vulnerability

Beberapa kelemahan yang ada pada sistem dan dimana dampak potensial

pada bisnis adalah penting, untuk itu akan ada pengendalian yang

ditingkatkan.

3. Low Vulnerability

Sistem telah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada

penambahan pengendalian yang diperlukan untuk mengurangi kelemahan

(vulnerability).

Dari penjelasan diatas, dapat disimpulkan resiko adalah kemungkinan

kerugian atau kerusakan yang dapat menyebabkan ancaman dalam hal

pencapaian tujuan.

40

 

2.5.2 Jenis-jenis Resiko Sistem Informasi

Menurut Rama dan Jones (2003, p113), resiko sistem informasi dapat

dibedakan ke dalam dua kategori :

1. Recording Risk

Resiko yang timbul karena sistem tidak menangkap atau merekam informasi

secara akurat ke dalam sistem informasi perusahaan. Kesalahan dalam

pencatatan ini dapat menimbulkan kerugian yang substansial.

2. Updating Risk

Resiko yang timbul karena sistem tidak dapat meng-update data secara benar

atau kesalahan dalam meng-update data di dalam database sistem.

2.5.3 Resiko Audit

Menurut Hall (2007, p541), resiko audit adalah probabilitas bahwa

seorang auditor akan memberikan opini yang sesungguhnya (bersih) tentang

laporan keuangan yang, pada kenyataannya, keliru secara material.

Menurut Hunton (2004, p49-50), resiko audit merupakan kombinasi dari

beberapa resiko, yaitu :

1. Inherent Risk (resiko inheren)

Inherent risk merupakan elemen resiko yang terjadi karena sifat atau kondisi

lingkungan dan kegiatan perusahaan.

41

 

2. Control Risk (resiko pengendalian)

Resiko yang timbul karena kemungkinan sistem pengendalian internal

perusahaan gagal atau tidak dapat mencegah atau mendeteksi kesalahan

dalam pencatatan data transaksi atau penyesuaian terhadap laporan keuangan.

3. Detection Risk (resiko deteksi)

Detection risk adalah resiko yang timbul karena auditor tidak dapat

mendeteksi kesalahan yang terdapat dalam sistem.