AUDIT SISTEM INFORMASI SEBAGAI UPAYA PENCAPAIAN SISTEM PENGENDALIAN INTERNAL PERUSAHAAAN Sripurwani Hariningsih, ST., M.Kom Dosen Program Studi Sistem Informasi Fakultas Ilmu Komputer Universitas Dian Nuswantoro Semarang [email protected] Abstract Persaingan bebas dan ketat di dunia industri hingga pendidikan, perkembangan Teknologi Informasi dan Komunikasi (ICT), peningkatan pengetahuan konsumen, dan karyawan perusahaan, mendorong pelaku usaha yang memproduksi barang ataupun jasa mulai memperhitungkan faktor-faktor yang mampu meningkatkan kualitas maupun kuantitas produksi untuk meningkatkan perolehan pendapatan/keuntungan, kepuasan layanan bagi konsumen, serta peningkatan kesejahteraan karyawan. Sistem manajemen kualitas mencakup elemen-elemen: tujuan (objectives), pelanggan (customers), hasil-hasil (outputs), proses-proses (processes), masukanmasukan (inputs), pemasok (suppliers), dan pengukuran untuk umpan-balik dan umpan-maju (measurements for feedback and feedforward). Sistem pengendalian internal yang efektif bukan merupakan jaminan akan kesuksesan bahkan kelangsungan hidup persahaan sekalipun. Sistem pengendalian internal berfungsi sebagai pengatur sumberdaya yang telah ada untuk dapat difungsikan secara maksimal guna memperoleh pengembalian (gains) yang maksimal. 1.Latar Belakang Mungkin kita pernah mendengar tentang sebuah perusahaan yang tumbuh dan berkembang dengan pesat, meraih banyak prestasi, keuntungan, memiliki banyak karyawan, dan pada saat berada di posisi puncak (top performance), tiba-tiba dinyatakan pailit karena tidak mampu membayar hutang atau gaji karyawan dengan layak hingga mem-PHK-kan karyawan, saat manajemen diaudit terbukti banyak melakukan penyimpangan-penyimpangan. Bila dilihat dari latar belakang pendidikan pengelola (manajemen), mereka bukanlah orang-orang yang tidak berpendidikan 1 atau baru dalam mengelola bisnis. Namun persaingan usaha, peningkatan kualitas produk, serta pelayanan yang excellent (unggul), menjadi tuntutan mutlak yang diinginkan konsumen ataupun mitra usaha agar tetap loyal dan percaya pada kualitas produk yang ditawarkan, serta percaya pada janji atau komitmen yang pernah disepakati. Sistem Pengendalian Intern (Meliputi struktur organisasi dan semua metode dan alat-alat yang dikoordinasikan yang digunakan di dalam perusahaan dengan tujuan untuk menjaga keamanan harta milik perusahaan, memeriksa ketelitian dan kebenaran data akuntansi, mendorong efisiensi, dan membantu mendorong dipatuhinya kebijakan manajemen yang telah ditetapkan. Dari definisi di atas dapat kita lihat bahwa tujuan adanya pengendalian intern : Menjaga kekayaan organisasi. Memeriksa ketelitian dan kebenaran data akuntansi. Mendorong efisiensi. Mendorong dipatuhinya kebijakan manajemen. Dilihat dari tujuan tersebut maka sistem pengendalian intern dapat dibagi menjadi dua yaitu Pengendalian Intern Akuntansi (Preventive Controls) dan Pengendalian Intern Administratif (Feedback Controls). Pengendalian Intern Akuntansi dibuat untuk mencegah terjadinya inefisiensi yang tujuannya adalah menjaga kekayaan perusahaan dan memeriksa keakuratan data akuntansi. Contoh : adanya pemisahan fungsi dan tanggung jawab antar unit organisasi. Pengendalian Administratif dibuat untuk mendorong dilakukannya efisiensi dan mendorong dipatuhinya kebijakkan manajemen. (dikerjakan setelah adanya pengendalian akuntansi) Contoh : pemeriksaan laporan untuk mencari penyimpangan yang ada, untuk kemudian diambil tindakan. 2. Landasan Teori 2.1. Sistem Pengandalian Internal Secara umum, Pengendalian Intern merupakan bagian dari masing-masing sistem yang dipergunakan sebagai prosedur dan pedoman pelaksanaan operasional perusahaan atau organisasi tertentu. 2 Sedangkan Sistem Pengendalian Intern merupakan kumpulan dari pengendalian intern yang terintegrasi, berhubungan dan saling mendukung satu dengan yang lainnya. Di lingkungan perusahaan, pengendalian intern didifinisikan sebagai suatu proses yang diberlakukan oleh pimpinan (dewan direksi) dan management secara keseluruhan, dirancang untuk memberi suatu keyakinan akan tercapainya tujuan perusahaan yang secara umum dibagi kedalam tiga kategori, yaitu : a) Ke-efektif-an dan efisiensi operasional perusahaan b) Pelaporan Keuangan yang handal c) Kepatuhan terhadap prosedur dan peraturan yang diberlakukan 2.2. Istilah-istilah penting dalam Pengendalian Intern Kondisi Terlaporkan (Reportable Condition) Istilah lainnya adalah Defisiensi Signifikan, kedua istilah ini dipergunakan dalam mendefinisikan suatu kondisi yang defisiensi secara signifikan di dalam rancangan atau operasional atas pengendalian intern yang mempengaruhi kemampuan perusahaan dalam melakukan pencatatan, proses, mengkompilasi dan melaporkan data keuangan yang konsisten dengan asersi manajemen di dalam laporan keuangan perusahaan. Defisiensi signifikan yang luas dapat mengakibatkan Kelemahan Material (Material Weakness). Kelemahan Material (Material Weakness) Didefinisikan sebagai kondisi yang terlaporkan dimana rancangan atau opersional dari salah satu atau lebih pengendalian intern-nya tidak mampu mengurangi atau menurunkan suatu resiko ringan atau salah penyajian yang disebabkan oleh kesalahan atau penggelapan yang jumlahnya relatif material kaitannya dengan laporan keuangan yang jika di audit akan dapat ditemukan, akan tetapi tidak terdeteksi dalam periode yang sama oleh pegawai dalam pelaksanaan pekerjaan secara normal. 3 Kompensasi Pengendalian (Compensating Control) Ada beberapa perusahaan yang karena skala usahanya memang termasuk kecil, mengakibatkan perusahaan tidak memungkinkan untuk melaksanakan pengendalian intern yang sederhana sekalipun (misalnya : pemisahan tugas atau fungsi). Adalah penting bagi manajemen untuk melakukan kompensasi terhadap bagian yang pengendaliannnya lemah atau tidak dapat berjalan untuk suatu kurun waktu tertentu. Dalam hal internal manajemen telah melakukan kompensasi untuk menutupi kelemahan pengendalian tersebut, internal auditor seharusnya tidak melaporkan kelemahan tersebut sebagai material weakness, bahkan reportable condition sekalipun, hendaknya disesuaikan dengan sekala perusahaan. 2.3. Tuntutan Konsumen (Pasar) Global Ada banyak perusahaan ataupun institusi yang membina kerjasama dengan perusahaan atau intitusi negara lain, dengan dasar (landasan kebijakan) kesepakatan internasional, seperti: a. Konvensi Internasional b. GATT, WTO, AFTA, EFTA, dll. Keunggulan Komparatif Diskriminatif Hak & Kedaulatan Nasional Keunggulan Kompetitif STANDARISASI Non-Diskriminatif Hak & Kedaulatan Internasional Gambar 1. hal yang diharapkan dari sebuah standarisasi 4 2.4. Globalisasi (persaingan global) Menuntut banyak perbaikan, jaminan kualitas layanan, kemampuan pengelolaan, agar menimbulkan kepercayaan publik terhadap produk (barang dan jasa) serta komitmen yang ditawarkan. Untuk memperoleh kepercayaan publik tersebut diperlukan ”strategi mutu”. mutu upaya manajemen P D A C waktu Gambar 2. upaya manajemen untuk mencapai mutu dengan pola PDCA 3. Pembahasan 3.1. Pola Sistem manajemen Mutu Sistem Manajemen Mutu Peningkatan Berkelanjutan P E L A N G G A N P E R S Y A R A T A N Tangungjawab Manajemen Manajemen Sumber Daya Pengukuran, Analysis, Perbaikan Realisasi Produk K E P U A S A N P E L A N G G A N Produk Gambar 3. Pola sistem manajemen mutu 5 3.2. 8 Prinsip Manajemen Mutu 1. Mengutamakan Pelanggan 2. Kepemimpinan 7. Pengambilan Keputusan Berdasarkan Fakta 3. Keterlibatan Karyawan 4. Pendekatan Proses 5. Pendekatan Sistem untuk Pengelolaan 6. Peningkatan Berkesinambungan 8. Hubungan saling menguntungkan dengan Pemasok Perencanaan Strategis Gambar 4. delapan prinsip manajemen mutu 3.3. Risiko Audit Adalah probabilitas bahwa seorang auditor akan menyerahkan opini unqualified (bersih) tentang laporan hasil audit yang ada pada kenyataannya. Kekeliruan pernyataan yang sifatnya material dapat disebabkan oleh kesalahan-kesalahan (error) dari para audit sendiri atau pada situasi-situasi yang tidak normal (irregularities) atau bahkan keduanya. Kesalahan merupakan kekeliruan yang tidak disengaja, situasi yang tidak normal adalah salah penafsiran yang disengaja 6 untuk melakukan kecurangan atau dengan sengaja menyesatkan para pengguna laporan. Tujuan auditor adalah meminimalkan risiko audit dengan melakukan tes kontrol dan tes substantif. 3.4. Langkah-langkah Membangun dan Mengembangkan Sistem Manajemen Kualitas Sistem manajemen kualitas (Quality Management System, QMS) adalah: “struktur organisasi, tanggungjawab, prosedur-prosedur, proses-proses, dan sumber daya - summer daya untuk penerapan manajemen kualitas”. Suatu sistem manajemen kualitas (QMS) merupakan sekumpulan prosedur terdokumentasi dan praktek-praktek standar untuk manajemen sistem yang bertujuan menjamin kesesuaian dari suatu proses dan produk (barang dan atau jasa) terhadap kebutuhan atau persyaratan tertentu. Kebutuhan atau persyararan itu ditentukan atau dispesifikasikan oleh pelanggan dan organisasi. Sistem manajemen kualitas mendefinisikan bagaimana organisasi menerapkan praktek-praktek manajemen kualitas secara konsisten untuk memenuhi kebutuhan pelanggan dan pasar. Terdapat beberapa karakterisrik umum dari sistem manajemen kualitas. Sistem manajemen kualitas mencakup suatu lingkup yang luas dari aktivitasaktivitas dalam organisasi modern. Kualitas dapat didefinisikan melalui lima pendekatan utama: (1) transcendent quality, yaitu suatu kondisi ideal menuju keunggulan, (2) product-based quality-, yaitu suatu atribut produk yang memenuhi kualitas, (3) user-based quality, yaitu kesesuaian atau ketepatan dalam penggunaan produk (barang dan/atau jasa), (4) manufacturing-based quality, yaitu persyaratan-persyaratan standar, dan kesesuaian terhadap (5) value-based quality, yaitu derajat keunggulan pada tingkat harga yang kompetitif. 7 Sistem manajemen kualitas berfokus pada konsistensi dari proses kerja. Hal ini sering mencakup beberapa tingkat dokumentasi terhadap standar-standar kerja. Sistem manajemen kualitas berlandaskan pada pencegahan kesalahan sehingga bersifat proaktif, bukan pada deteksi kesalahan yang bersifat reaktif. Patut diakui pula bahwa banyak sistem manajemen kualitas tidak akan efektif 100% pada pencegahan semata, sehingga sistem manajemen kualitas juga harus berlandaskan pada tindakan korektif terhadap masalah-masalah yang ditemukan. Dalam kaitan dengan hal ini, sistem manajernen kualitas merupakan suatu closed loop system yang mencakup deteksi, umpan balik, dan koreksi. Bagaimanapun proporsi terbesar (lebih dari 85%) harus diarahkan pada pencegahan kesalahan sejak tahap awal. Sistem manajemen kualitas mencakup elemen-elemen: tujuan (objectives), pelanggan (customers), hasil-hasil (outputs), prosesproses (processes), masukan-masukan (inputs), pemasok (suppliers), dan pengukuran untuk umpan-balik dan umpan-maju (measurements for feedback and feedforward). Dalam akronim bahasa Inggris dapat disingkat menjadi: SIPO-COM Suppliers, Inputs, Processes, Outputs, Customers, Objectives, and Measurements. Setiap lingkungan, pelaksanaan proses yang konsisten merupakan kunci untuk peningkatan terus-menerus yang efektif agar selalu memberikan produk (barang dan/atau jasa) yang memenuhi kebutuhan pelanggan dalam pasar global. Terdapat beberapa langkah untuk menerapkan suatu sistem manajemen kualitas (QMS). Uruturutan yang diberikan di sini hanya merupakan suatu petunjuk, yang dapat saja dilakukan bersamaan atau dalam susunan yang tidak harus berurutan, tergantung pada kultur dan kematangan organisasi, tetapi semua langkah ini harus diperhatikan secara serius dan konsisten. 8 3.5. Alasan Mengapa Audit Sistem Diperlukan Besarnya risiko yang mungkin muncul di suatu perusahaan membuat audit TI/SI sangat penting untuk dilakukan. Tidak dapat dipungkiri bahwa, saat ini, tingkat ketergantungan dunia usaha dan sektor usaha lainnya, termasuk badan-badan pemerintahan, terhadap teknologi informasi (TI) semakin lama semakin tinggi. Pemanfaatan TI di satu sisi dapat meningkatkan keunggulan kompetitif suatu organisasi, akan tetapi di sisi lain juga memungkinkan timbulnya risiko-risiko yang sebelumnya tidak pernah ada. Ron Weber, Dekan Fakultas Teknologi Informasi, Monash University , dalam salah satu bukunya: Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa audit TI/SI perlu dilakukan, antara lain: 1. Kerugian akibat kehilangan data Saat ini, data telah menjadi salah satu aset terpenting bagi suatu perusahaan. Bayangkan, jika anda pimpinan perusahaan yang sebagian besar penjualan yang anda raih dilakukan dengan cara kredit dimana para pembeli akan membayar tagihannya di kemudian hari. Untuk mencatat penjualan, anda menggunakan bantuan TI. Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan komputer yang anda miliki, misalnya, maka seluruh data tagihan 9 tersebut hilang. Kehilangan data tersebut mungkin saja akan mengakibatkan perusahaan anda tidak dapat melakukan penagihan kepada para pelanggan. Atau, kalaupun masih dapat dilakukan, waktu yang dibutuhkan menjadi sangat lama karena anda harus melakukan verifikasi manual atas dokumen penjualan yang anda miliki. 2. Kesalahan dalam pengambilan keputusan Banyak kalangan usaha yang saat ini telah menggunakan bantuan Decision Support System (DSS) untuk mengambil keputusankeputusan penting. Dalam bidang kedokteran, misalnya, keputusan dokter untuk melakukan tindakan operasi dapat saja ditentukan dengan menggunakan bantuan perangkat lunak tersebut. Dapat dibayangkan risiko yang mungkin dapat ditimbulkan apabila sang dokter salah memasukkan data pasien ke sistem TI yang digunakan. Taruhannya bukan lagi material, melainkan nyawa seseorang. 3. Risiko kebocoran data Data bagi sebagian besar sektor usaha merupakan sumber daya yang tidak ternilai harganya. Informasi mengenai pelanggan, misalnya, bisa jadi merupakan kekuatan daya saing suatu perusahaan. Bayangkan, anda seorang direktur suatu perusahaan telekomunikasi yang memiliki 5 juta pelanggan. Tanpa anda sadari, satu persatu pelanggan perusahaan anda telah beralih ke perusahaan pesaing. Setelah melalui proses audit, akhirnya diketahui bahwa data pelanggan perusahaan anda telah jatuh ke tangan perusahaan pesaing. Berdasarkan data tersebut, perusahaan pesaing kemudian menawarkan jasa yang sama dengan jasa yang anda tawarkan ke pelanggan yang sama, tetapi dengan biaya yang sedikit lebih rendah. Kebocoran data ini tidak saja berdampak terhadap kehilangan sejumlah pelanggan, akan tetapi lebih jauh lagi bisa mengganggu kelangsungan hidup perusahaan Anda. 10 4. Penyalahgunaan Komputer Alasan lain perlunya dilakukan audit TI adalah tingginya tingkat penyalahgunaan komputer. Pihak-pihak yang dapat melakukan kejahatan komputer sangat beraneka ragam. Kita mengenal adanya hackers dan crackers. Hackers merupakan orang yang dengan sengaja memasuki suatu sistem teknologi informasi secara tidak sah. Biasanya mereka melakukan aktivitas hacking untuk kebanggaan diri sendiri atau kelompoknnya, tanpa bermaksud merusak atau mengambil keuntungan atas tindakannya itu. Sedang, Crackers di sisi lain melakukan aktivitasnya dengan tujuan mengambil keuntungan sebanyak-banyaknya dari tindakannya tersebut, misalnya mengubah atau merusak atau, bahkan, menghancurkan sistem komputer. Kejahatan komputer juga bisa dilakukan oleh karyawan yang merasa tidak puas dengan kebijakan perusahaan, baik yang saat ini masih aktif bekerja di perusahaan yang bersangkutan maupun yang telah keluar. Sayangnya, tidak semua perusahaan siap mengantisipasi adanya risiko-risiko tersebut. Survei yang dilakukan oleh Ernst & Young (Global Information Security Survey 2003) menemukan bahwa 34% dari total perusahaan yang ada saat ini tidak memiliki mekanisme yang memadai untuk mendeteksi kemungkinanan adanya serangan terhadap sistem mereka. Lebih dari 33%, bahkan menyatakan bahwa mereka tidak memiliki kemampuan yang cukup untuk menindaklanjuti ancaman-ancaman yang mungkin timbul. 5. Kerugian akibat kesalahan proses perhitungan Seringkali, TI digunakan untuk melakukan perhitungan yang rumit. Salah satu alasan digunakannya TI adalah kemampuannya untuk 11 mengolah data secara cepat dan akurat (misalnya, penghitungan bunga bank). Penggunaan TI untuk mendukung proses penghitungan bunga bukannya tanpa risiko kesalahan. Risiko ini akan semakin besar, misalnya ketika bank tersebut baru saja berganti sistem dari sistem yang sebelumnya mereka gunakan. Tanpa adanya mekanisme pengembangan sistem yang memadai, mungkin saja terjadi kesalahan penghitungan atau, bahkan, fraud. Kesalahan yang ditimbulkan oleh sistem baru ini akan sulit terdeteksi tanpa adanya audit terhadap sistem tersebut. 6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar. Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991), tercatat bahwa 20% pengeluaran TI terbuang secara percuma, 30-40% proyek TI tidak mendatangkan keuntungan. Selan itu, sulit mengukur manfaat yang dapat diberikan TI. 4. Penutup 4.1. Kesimpulan 4.2. Saran Penting untuk dipahami bahwa : Sistem Pengendalian Intern yang efektif tidak memberikan jaminan absolut akan tercapainya tujuan perusahaan. Secara sederhananya dapat dikatakan bahwa sistem pengendalian tidak bisa mengubah manajer yang buruk menjadi bagus. Akan tetapi Sistem Pengendalian Intern yang handal dan efektif dapat memberikan informasi yang tepat bagi manajer maupun dewan direksi yang bagus untuk mengambil keputusan maupun kebijakan yang tepat untuk pencapaian tujuan perusahaan yang lebih efektif pula. 12 Sistem pengendalian internal yang efektif bukan merupakan jaminan akan kesuksesan bahkan kelangsungan hidup persahaan sekalipun. Sistem pengendalian internal berfungsi sebagai pengatur sumberdaya yang telah ada untuk dapat difungsikan secara maksimal guna memperoleh pengembalian (gains) yang maksimal pula dengan pendekatan perancangan yang menggunakan ASAS COST-BENEFIT. Suatu pengendalian intern bisa dikatakan efektif apabila ketiga kategori tujuan perusahaan tersebut dapat dicapai, yaitu dengan kondisi : a) Direksi dan manajemen mendapat pemahan akan arah pencapain tujuan perusahaan, dengan, meliputi pencapaian tujuan atau target perusahaan, termasuk juga kinerja, tingkat profitabilitas, dan keamanan sumberdaya (asset) perusahaan. b) Laporan Kuangan yang dipublikasikan adalah handal dan dapat dipercaya, yang meliputi laporan segmen maupun interim. c) Prosedur dan peraturan yang telah ditetapkan oleh perusahaan sudah taati dan dipatuhi dengan semestinya. Suatu sistem handal macam apapun selalu memiliki celah kelemahan. Sistem pengendalian internal pun bisa dimanfaatkan oleh personil tertentu untuk kepentingan pribadinya dengan mengeksploitasi kelemahannya. 13 DAFTAR PUSTAKA Bodnar & Hopwood, Sistem Informasi Akuntansi. Buku Dua EFANSYAH, NOOR. 2006. MODUL PELATIHAN ISO 9001:2000. FOCUS, JAKARTA Hall Singleton, Information Technology Auditing and Assurance, Buku 1, Salemba Empat. Hall Singleton, Information Technology Auditing and Assurance, Buku 2 Edisi 2, Salemba Empat. ISO 9001:2000 AND CONTINUAL QUALITY IMPROVEMENT J. David Hunger & Thomas L. Wheelen, Manajemen Strategis. Andi Offset, Yogyakarta James A. Hall, Sistem informasi Akuntansi, Salemba Empat. Krismiaji, Sistem informasi Akuntansi. Edisi ke-2. UPP AMP YKPN. Marshall B. Romey, Paul John Steinbart, Accounting Information System. Buku 1 Edisi 9. Salemba Empat. 14