BAB 2 LANDASAN TEORI 2.1 Sistem Informasi Akuntansi 2.1.1 Pengertian Sistem Informasi Akuntansi Menurut Bodnar dan Hopwood (2001, p.1), Sistem Informasi Akuntansi adalah kumpulan dari sumber daya, seperti manusia dan peralatan yang diatur untuk mengubah data keuangan dan data lainnya menjadi informasi. Menurut Jones dan Rama (2003, p.5), Sistem Informasi Akuntansi adalah subsistem dari MIS (Management Information System) yang menyediakan informasi akuntansi dan keuangan, sebaik informasi lainnya yang didapat dalam proses rutin dari transaksi akuntansi. Berdasarkan pengertian tersebut maka penulis berkesimpulan bahwa Sistem Informasi Akuntansi adalah kombinasi dari berbagai sumber daya yang dirancang untuk mengubah data keuangan menjadi informasi yang dibutuhkan oleh manajemen. 2.1.2 Tujuan Sistem Informasi Akuntansi Tujuan dan manfaat Sistem Informasi Akuntansi menurut Gondodiyoto dan Hendarti (2006, p.109-110) adalah sebagai berikut : 1. Untuk melakukan pencatatan transaksi dengan biaya klerikal seminimal mungkin dan menyediakan informasi (information value added mechanism) bagi pihak intern untuk pengelolaan kegiatan usaha (managers) serta para pihak terkait (stokeholder/stakeholder). 7 8 2. Untuk memperbaiki informasi yang dihasilkan oleh sistem yang sudah ada, baik mengenai mutu, ketepatan penyajian maupun struktur informasinya. 3. Untuk menerapkan sistem pengendalian intern, memperbaiki kinerja dan tingkat keandalan (reliability) informasi akuntansi dan untuk menyediakan catatan lengkap mengenai pertanggungjawaban (akuntabilitas). 4. Menjaga/meningkatkan perlindungan kekayaan perusahaan. 2.1.3 Siklus Proses Transaksi SIA Akuntan menemukan itu berguna untuk melihat proses bisnis perusahaan dalam cakupan dari siklus transaksi. Menurut Jones dan Rama (2003, p.4) ada tiga siklus transaksi utama, yaitu : 1. Siklus penerimaan (pembelian) adalah proses dari membeli dan membayar untuk barang dan jasa. 2. Siklus konversi adalah proses dari mentransfer sumber daya yang diperoleh dalam barang dan jasa. 3. Siklus pendapatan adalah proses dari menyediakan barang dan jasa ke pelanggan. 2.2 Sistem Pengendalian Intern 2.2.1 Pengertian Pengendalian Intern Menurut Alvin A. Arens, Randal J. Elder, Mark S. Beasly (2005, p.270), Sistem Pengendalian Internal berisi dari kebijakan dan prosedur yang 9 didesain untuk mendukung manajemen dengan perlindungan yang diterima oleh perusahaan untuk mencapai tujuannya. Menurut Romney dan Steinbart (2003, p.195), Pengendalian Internal adalah perencanaan dari organisasi dan metode-metode yang akurat dan terpercaya, mengembangkan dan memperbaiki keefisienan operasional dan mendorong ketaatan untuk menentukan kebijakan manajerial. Menurut Weber (1999, p.35), Pengendalian Intern adalah suatu sistem untuk mencegah, mendeteksi dan mengkoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung redudansi, tidak efektif dan tidak efisien. Berdasarkan pengertian di atas maka pengendalian dikelompokkan menjadi tiga bagian : 1. Preventive Control Pengendalian ini digunakan untuk mencegah masalah sebelum masalah tersebut muncul. 2. Detective Control Pengendalian ini digunakan untuk menemukan masalah yang berhubungan dengan pengendalian setelah masalah tersebut timbul. 3. Corrective Control Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan pada detective control. Pengendalian ini mencakup prosedur untuk menentukan penyebab masalah yang timbul, memperbaiki kesalahan atau kesulitan yang timbul, memodifikasi sistem proses. 10 Dengan demikian bisa mencegah kejadian yang sama di masa mendatang. 2.2.2 Tujuan Pengendalian Intern Tujuan pengendalian intern menurut Gondodiyoto dan Hendarti (2006, p.144) adalah pada hakekatnya untuk melindungi harta milik perusahaan, memeriksa kecermatan dan kehandalan data akuntansi, meningkatkan efisiensi usaha, dan mendorong ditaatinya kebijakan manajemen yang telah digariskan: 1. Menyajikan data yang dapat dipercaya 2. Mengamankan aktiva dan pembukuan 3. Meningkatkan efisiensi operasional 4. Mendorong pelaksanaan kebijaksanaan yang ada Menurut COSO yang dikutip dari buku Romney (2003, p.196) tujuan pengendalian intern adalah : a. Efektifitas dan efisiensi operasi. b. Laporan keuangan yang dapat dipercaya. c. Kepatuhan terhadap hukum dan peraturan yang ada. 2.2.3 Komponen Pengendalian Intern Pengendalian Intern menurut Weber (1999, p.49), terdiri dari lima komponen yang saling terintegrasi, antara lain : 1. Pengendalian Lingkungan (Control Environment) Komponen ini diwujudkan dalam cara pengoperasian, cara pembagian, wewenang dan tanggung jawab yang harus dilakukan, cara komite audit 11 berfungsi dan metode-metode yang digunakan untuk merencanakan dan memonitor kinerja. 2. Resiko Penugasan (Risk Assesment) Komponen ini untuk mengidentifikasi dan menganalisa resiko yang dihadapi oleh perusahaan dan cara-cara untuk menghadapi resiko tersebut. 3. Pengendalian Kegiatan (Control Activities) Komponen yang beroperasi untuk memastikan transaksi telah terotorisasi, adanya pembagian tugas, pemeliharaan terhadap dokumen dan record, perlindungan asset dan record, pengecekan kinerja, dan penilaian dari jumlah record yang terjadi. 4. Informasi dan Komunikasi (Information and Communication) Komponen dimana informasi digunakan untuk mengidentifikasi, mendapatkan, dan menukarkan data yang dibutuhkan untuk mengendalikan dan mengatur operasi perusahaan. 5. Pengawasan (Monitoring) Komponen yang memastikan pengendalian intern beroperasi secara dinamis. 2.2.4 Sistem Pengendalian Intern pada Sistem Berbasis Komputer Menurut Weber (1999, p.33), Pengendalian terdiri dari dua jenis yaitu, Pengendalian Manajemen (Management Control Framework) Pengendalian Aplikasi (Application Control Framework). dan 12 2.2.4.1 Pengendalian Manajemen (Management Control Framework) Pengendalian Manajemen dilakukan untuk menyakinkan bahwa pengembangan, pengimplementasian, pengoperasian, dan pemeliharaan sistem informasi telah diproses sesuai dengan perencanaan yang telah terkendali. Pengendalian ini berguna untuk menyediakan infrastuktur yang stabil sehingga sistem informasi yang dapat dibangun dapat dioperasikan dan dipelihara secara berkesinambungan. Subsistem dari pengendalian manajemen adalah sebagai berikut : 1. Pengendalian Manajemen Tingkat Puncak (Top Level Management Control) Menurut Weber (1999, p.39), Manajemen Puncak harus memastikan bahwa fungsi sistem informasi telah berjalan dengan baik, tanggung jawab mereka adalah untuk membuat keputusan jangka panjang terhadap bagaimana caranya pemakaian sistem informasi pada organisasinya. 2. Pengendalian Manajemen Pengembangan Sistem (System Development Management Control) Pengendalian Manajemen Pengembangan Sistem berfungsi untuk mengendalikan alternatif dari model proses pengembangan sistem informasi sehingga dapat digunakan sebagai dasar pengumpulan dan pengevaluasian bukti. Menurut Weber (1999, p.39), Manajemen Pengembangan Sistem bertanggung jawab untuk perancangan, 13 pengimplementasian, dan pemeliharaan sistem aplikasi. 3. Pengendalian Manajemen Pemrograman (Programing Management Control) Menurut Weber (1999, p.158), Pengendalian Manajemen Pemrograman berfungsi untuk mengendalikan tahapan utama dari daur hidup program dan pelaksanaan dari tiap tahap. Manajemen Pemrograman bertanggung jawab untuk pemrograman sistem baru, pemeliharaan sistem lama, dan menyediakan software yang mendukung sistem pada umumnya. 4. Pengendalian Manajemen Sumber Data (Data Resource Management Control) Menurut Weber (1999, p.207), Pengendalian Manajemen Sumber Data berfungsi untuk mengendalikan peranan dan fungsi dari data administrator atau database administrator. Manajemen Sumber Data bertanggung jawab untuk perancangan, perencanaan, dan persoalan pengendalian dalam hubungannya dengan pengguna data organisasi. 5. Pengendalian Manajemen Keamanan (Security Management Control) Bertanggung jawab untuk melakukan pengendalian terhadap akses dan keamanan fisik dari fungsi sistem informasi. Ada 2 tipe dari sistem informasi keamanan yaitu: a. Asset fisik yaitu : personal, hardware, fasilitas, 14 dokumentasi, dan supplies. b. Asset logikal yaitu : data/informasi dan software (sistem dan aplikasi). 6. Pengendalian Manajemen Operasional (Operations Management Control) Pengendalian Manajemen Operasional berfungsi untuk menyakinkan bahwa pengoperasian sehari-hari dari fungsi sistem informasi diawasi dengan baik. Menurut Weber (1999, p.289), Pengendalian Manajemen Operasional bertanggung jawab terhadap pengoperasian komputer, pengoperasian jaringan, persiapan, dan pengentrian data. 7. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance Management Control) Menurut Weber (1999, p.332-333), Pengendalian Manajemen Jaminan Kualitas berfungsi untuk meyakinkan bahwa pengembangan, pelaksanaan, pengoperasian, dan pemeliharaan dari sistem informasi sesuai dengan standar kualitas. Dalam ruang lingkup audit yang dilakukan, maka tekanannya adalah pada pengendalian manajemen yang menyangkut masalahmasalah mengenai : 1. Pengendalian Manajemen Keamanan (Security Management Control) Menurut Weber (1999, p.257-266), Pengendalian 15 Manajemen Keamanan secara garis besar bertanggung jawab dalam menjamin asset Sistem Informasi tetap aman. Pada bagian ini akan dibahas tentang ancaman terhadap sistem informasi dan cara penanganannya antara lain sebagai berikut: a. Kerusakan karena kebakaran (Fire Damage) Kebakaran adalah ancaman serius yang paling sering terhadap keamanan sistem informasi menyatakan bahwa berdasarkan laporan dari National Fire Protection Association diketahui bahwa rata-rata kebakaran yang terjadi di ruangan komputer di seluruh Amerika Serikat adalah setiap 10 menit. Beberapa cara untuk mengatasi ancaman kebakaran adalah sebagai berikut : 1) Alarm kebakaran yang manual maupun otomatis diletakkan pada tempat yang strategis. 2) Pemadam kebakaran diletakkan pada tempat yang strategis. 3) Bangunan tempat diletakkannya asset sistem informasi dibangun dengan konstruksi spesial yang tahan panas. 4) Tempat diletakkannya pemadam kebakaran dan arah keluar diberi tanda yang jelas sehingga memudahkan untuk melihat tanda tersebut. 5) Prosedur kebersihan yang baik dapat memastikan bahwa barang-barang yang mudah menyebabkan 16 kebakaran tidak berada di ruang sistem informasi. b. Kerusakan karena air (Water Damage) Kerusakan yang terjadi karena air dapat merupakan kelanjutan dari ancaman kebakaran, disamping terjadinya banjir. Beberapa cara penanganan terhadap water damage ini adalah : 1) Jika memungkinkan, plafon, dinding, lantai yang tahan air (waterproof). 2) Pastikan bahwa tersedia sistem drainase yang memadai. 3) Tempatkan alarm pada tempat yang strategis dimana harta sistem informasi berada. 4) Pada lokasi yang sering banjir, tempatkan harta sistem informasi pada bangunan yang tinggi. 5) Memiliki master switch untuk semua kran air. 6) Gunakan sistem dry-pipe automatic sprinkler yang dijalankan oleh alam dan api. 7) Tutup hardware dengan kain pengaman ketika tidak digunakan. c. Naik turunnya voltase listrik (Energy Variations) Naik turunnya voltase listrik juga merupakan ancaman terhadap bidang sistem informasi, hal ini dapat dicegah dengan menggunakan peralatan yang dapat menstabilkan 17 tegangan listrik seperti pemakaian UPS untuk setiap komputer dan peralatan sistem informasi lainnya. d. Kerusakan struktur (Structural Damage) Kerusakan struktur pada harta bagian Sistem Informasi dapat terjadi karena terjadinya gempa, angin ribut, salju, tanah longsor dan kecelakaan, seperti ditabrak truk, pesawat. e. Polusi (Pollution) Polusi dapat merusak disk drive, hard disk dan juga dapat mengakibatkan kebakaran. f. Gangguan dari orang yang tidak bertanggung jawab (Unauthorized Intrusion) Unauthorized Intrusion dapat terdiri dari 2 jenis, yaitu : 1) Secara fisik masuk ke perusahaan dan mengambil harta bagian sistem informasi atau melakukan pengrusakan. 2) Tidak masuk secara fisik ke perusahaan tetapi menggunakan cara lain seperti menggunakan receiver dan melakukan penyadapan. g. Viruses and Worm Virus adalah sebuah program yang memerlukan operating sistem komputer untuk masuk ke program lain, virus dapat terjangkit dengan mudah seperti lewat file dan email. h. Penggunaan yang salah terhadap software, data dan jasa 18 komputer (Misuse of Sofware, Data and Service) Perusahaan dapat menderita kerugian karena software, data dan pelayanan yang mereka miliki disalahgunakan. Menurut Weber (1999, p.266) ketika terjadi bencana masih terdapat memulihkan operasioanl dan mengurangi kerugian. Dalam situasi ini ada 2 pengendalian yang harus dilakukan adalah: a. Disaster Recovery Plan (perencanaan recovery bila terjadi bencana) 1) Emergency Plan, merupakan tindakan khusus yang akan dilakukan segera setelah terjadinya bencana. 2) Backup Plan, rencana backup berisi jangka waktu backup dilakukan, prosedur untuk dilakukan backup, letak perlengkapan backup, karyawan yang bertanggung jawab untuk melakukan kegiatan backup ini. 3) Recovery Plan, merupakan kelanjutan dari rencana backup karena recovery adalah kegiatan yang dilakukan agar sistem informasi dapat berjalan seperti biasanya. 4) Test Plan, merupakan komponen terakhir yang berfungsi untuk memastikan bahwa ketiga rencana diatas berjalan dengan baik. b. Insurance. 19 Terkadang asuransi dapat digunakan memperkecil kerugian yang timbul ketika bencana terjadi. 2. Pengendalian Manajemen Operasional (Operations Management Controls) Menurut Weber (1999, p.292-319), secara garis besar Pengendalian Manajemen Operasional bertanggung jawab pada: a. Pengoperasian komputer Kontrol terhadap operasional komputer merupakan aktivitas harian, terdapat 3 kontrol yaitu: 1) Kontrol operasional (Operations Controls) Kontrol operasional ini dilakukan untuk mendukung jalannya program komputer sebagai contoh program harus dijalankan dan dimatikan, media penyimpanan harus tersedia, formulir harus disediakan printer dan informasi yang dihasilkan harus dikirimkan ke pemakai informasi. 2) Kontrol jadwal (Scheduling Controls) Kontrol jadwal dilakukan untuk memastikan bahwa komputer digunakan untuk kegiatan yang seharusnya dan menggunakan sumber daya yang efisien. 3) Kontrol pemeliharaan (Maintenance Controls) Kegiatan pemeliharaan terhadap hardware komputer merupakan tindakan efektif yang harus dilakukan pada 20 kerusakan hardware dapat dicegah. b. Jaringan operasional (Network Operations) Manajer operasional bertanggung jawab untuk menjalankan operasional setiap hari pada area yang luas maupun lokal area pada perusahaan itu. Untuk melaksanakan tanggung jawabnya mereka harus memulai dan mengakhiri kegiatan jaringan dan memonitor kinerja jaringan. Kontrol terhadap jaringan dibagi menjadi 2 bagian yaitu : 1) Wide Area Network Controls Alat bantu penting yang dapat digunakan oleh operator untuk mengelola wide area network adalah network control terminal. 2) Local Area Network Controls Sebuah server memainkan peranan penting untuk mendukung mekanise kontrol akses data pada lokal area network. Dari sudut pandang operasional operating sistem yang terletak pada file server membuat staf operasional dapat mengelola operasional jaringan jangka panjang menjadi lebih baik. c. Persiapan data dan pengentrian (Data Preparation and Entry) Secara umum, semua sumber data untuk aplikasi sistem dikirim ke bagian persiapan data untuk diketik dan di 21 verifikasi sebelum dimasukan ke dalam sistem komputer. Kegiatan ini biasanya dilakukan oleh operator komputer yang sudah biasa memasukkan data ke komputer. d. Pengendalian produksi (Production Control) Kontrol terhadap pekerjaan operator komputer terdiri dari 5 tugas yaitu : 1) Menerima dan mengirim input dan output 2) Menjadwal pekerjaan 3) Melakukan perjanjian jasa pelayanan 4) Menetapkan harga 5) Memperoleh tambahan pemakaian komputer e. Perpustakaan file (File library) Fungsi file library pada bagian operasional adalah bertanggungjawab untuk mengelola manajemen penyimpan data. f. Dokumentasi dan program library (Documentation and Program Library) Berbagai jenis dokumentasi diperlukan untuk mendukung fungsi sistem informasi pada suatu organisasi, perencanaan strategik dan operasional, dokumentasi sistem aplikasi, dokumentasi aplikasi program, dokumentasi sistem software dan utility, dokumentasi database, manual operasional, dan manual standar. Manajemen dokumentasi sistem informasi sulit dilakukan 22 karena alasan dibawah ini : 1) Tanggung jawab dokumentasi sering tidak jelas. 2) Dokumentasi dapat berupa berbagai bentuk dan pada berbagai tempat. 3) Perbedaan jenis industri dan penyebaran dokumentasi membuat dokumentasi menjadi sulit. g. Bagian pendukung teknis (Help Desk) Fungsi bagian ini pada bagian operasional terdiri dari dua, yaitu membantu pemakai akhir untuk mendapatkan hardware dan software, serta menyediakan dukungan teknis untuk membantu mengatasi masalah. h. Perencanaan kapasitas dan pengawasan kinerja (Capacity Planning and Performance Monitoring) Dengan menggunakan perhitungan statistik monitoring kinerja, manajer operasional harus membuat tiga keputusan, yaitu : 1) Mereka harus mengevaluasi apakah profil kinerja memperlihatkan adanya kegiatan oleh bagian yang tidak berwenang terjadi. 2) Mereka harus memastikan bahwa kinerja sistem dapat diterima oleh pemakai. 3) Hardware dan software yang diperlukan harus tersedia. i. Manajemen operasional dari luar organisasi (Management 23 of outsourced operations) Saat ini banyak organisasi yang memberikan pelaksanaan fungsi sistem informasinya kepada pihak luar organisasi (outsource), alasan utama mereka melakukan itu adalah agar mereka bisa lebih fokus pada bisnisnya dalam menghadapi tantangan bisnis yang semakin kompetitif sekarang ini. 2.2.4.2 Pengendalian Aplikasi (Application Control) Menurut Messier, Glover, dan Prawitt (2006, p.249) Pengendalian Aplikasi merupakan pemrosesan yang spesifik dari aplikasi komputer dan bagian dari program komputer yang digunakan dalam sistem akuntansi (seperti; pendapatan atau pembelian) Pengendalian Aplikasi terdiri dari : 1. Pengendalian Batasan (Boundary Control) Menurut Weber (1999, p.368), Pengendalian Boundary adalah suatu pengendalian yang memiliki tiga tujuan utama, yaitu : a. Untuk memastikan bahwa pemakai komputer adalah orang yang memiliki wewenang. b. Untuk memastikan bahwa identitas yang diberikan oleh pemakai adalah benar. c. Untuk membatasi tindakan yang dapat dilakukan oleh 24 pemakai untuk menggunakan komputer ketika melakukan tindakan otorisasi. Menurut Weber (1999, p.378) bahwa pengendalian akses membatasi penggunaan sumber daya sistem komputer hanya kepada user yang mendapatkan otorisasi, membatasi user yang mendapat otorisasi dalam mendapatkan sumber daya yang otentik. Personal Identification Number (PIN) merupakan jenis sederhana dari password, bisa merupakan nomor rahasia perorangan, untuk memastikan keaslian perorangan. Terdapat tiga metode penggenerasian PIN (Weber, 1999, p.392), yaitu : a. Derived PIN Metode ini menggunakan nomor account pelanggan sebagai nomor account tersebut diubah dengan menggunakan cryptographic key untuk menghasilkan PIN dan kriteria panjang PIN. Keuntungan utama dari metode ini adalah PIN ini tidak perlu disimpan, ketika user mengisi nomor PIN ini maka PIN yang dibuat berdasarkan nomor account ini akan divalidasi sehingga PIN dapat dipakai. Kelemahannya adalah harus diberikan nomor account baru bila konsumen lupa nomor PINnya. b. Random PIN Metode ini ditentukan dengan cara mengacak angka sesuai 25 dengan kriteria panjang PIN. Keuntungan metode ini adalah PIN tidak terhubung dengan nomor account, sehingga dapat diganti tanpa merubah nomor account. Kelemahannya adalah nomor PIN ini harus disimpan pada database pembuat PIN, sehingga harus diamankan dari pihak yang tidak berwenang. c. Customers selected PIN Metode ini memungkinkan pelanggan memilih PIN mereka sendiri. Keuntungan metode ini adalah mereka dapat memilih sendiri PIN yang memudahkan mereka untuk mengingatnya, tetapi hal ini juga merupakan kelemahan karena biasanya user sering memilih nomor yang berhubungan dengan mereka seperti tanggal lahir, nama pasangan, dan PIN ini juga harus disimpan dalam database. Ada 2 cara yang dapat digunakan untuk melakukan validasi PIN pada saat dimasukkan, yaitu : a. Local PIN Validation Validasi PIN lokal dapat dilakukan ketika online maupun offline. Pada cara online, validasi terjadi pada komputer institusi, terminal mengirim PIN ke host komputer untuk keperluan verifikasi. b. Interchange PIN Validation Pada lingkungan interchange, prinsip utama adalah PIN 26 harus divalidasi oleh institusi yang menerbitkannya dan bukan oleh institusi yang memperolehnya. 2. Pengendalian Masukan (Input Control) Menurut Messier, Glover, dan Prawitt (2006, p.251), Pengendalian Input harus menyakinkan bahwa : a. Semua transaksi dicatat dalam sistem aplikasi. b. Transaksi yang terjadi dicatat hanya satu kali agar tidak terjadi duplikasi transaksi. c. Transaksi yang ditolak diidentifikasi, dikoreksi, dan dimasukkan kembali ke dalam sistem. Ada tiga cara dalam menangkap (capture) data pada sistem informasi, diantarannya (a). dengan dokumen sumber, (b). mengentri langsung data, (c). dengan kombinasi dari keduanya. Menurut Weber (1999, p.420), komponen pada subsistem input bertanggung jawab dalam mengirimkan data dan instruksi ke dalam sistem aplikasi dimana kedua tipe input tersebut haruslah divalidasi, selain itu banyaknya kesalahan yang terdeteksi harus dikendalikan sehingga input yang dihasilkan akurat, lengkap, unik, dan tepat waktu. Cara input data dapat dilakukan dengan menggunakan metode yaitu, keyboarding, direct reading, dan direct entry. Dengan cara memahami metode input data yang digunakan pada aplikasi maka auditor dapat mengembangkan cara 27 kontrol terhadap kekuatan dan kelemahan dari subsistem input. Ada 4 jenis sistem pengkodean yang harus dimengerti oleh auditor agar mereka dapat mencapai tujuannya dalam menganalisis kode, yaitu : a. Serial Codes Sistem kode serial menggunakan angka atau huruf yang berurutan untuk sebuah entity. Keuntungan utama dari penggunaan serial code ini adalah kemudahan untuk menambah kode baru dan masih berurutan. Kelemahan sistem ini adalah karena kodenya serial dan tidak memiliki sesuatu yang membantu untuk mengingat makan sulit untuk dapat mengingat kode ini. b. Block Sequence Codes Block sequence codes menggunakan blok angka untuk menentukan kategori partikular dari entity. Atribut utama dari masing-masing kategori entity harus dipilih dan nomor blok harus diberikan untuk setiap nilai dari atribut. c. Hierarchical Codes Hierarchical codes memerlukan satu set atribut pilihan dari entity yang akan diberi kode dan pemlihan tersebut berdasarkan kepentingan. Nilai kode itu adalah kombinasi dari nilai kode setiap atribut entity. d. Association Codes 28 Pada association codes, atribut dari entity yang akan diberi kode dipilih dan kode yang unik diberikan kepada setiap atribut. Kode tersebut dapat berupa angka, huruf atau kombinasi angka dan huruf. Cara kontrol yang mudah dan efektif untuk melakukan kontrol terhadap entry data adalah batch control. Batching adalah proses pembentukan group suatu transaksi yang memiliki hubungan satu dengan yang lain. Terdapat 2 jenis batches, yaitu : a. Physical Batches, adalah pengelompokkan transaksi pada unit fisiknya, sebagai contoh sumber dokumen yang diperoleh dari pos dikumpulkan dalam satu batches. b. Logical Batches, adalah proses pengelompokkan transaksi dilakukan berdasarkan logika, sebagai contoh klerk yang berbeda menggunakan terminal yang sama untuk memasukkan transaksi pada sistem aplikasi. Data yang dimasukkan pada aplikasi harus segera divalidasi setelah di-input. Ada 4 jenis data input validasi yang harus dicek ketika data dimasukkan pada terminal, yaitu: a. Field Check Dengan field check, validasi test yang dilakukan terhadap field tidak tergantung pada field lain dalam input record atau input record lainnya. b. Record Check 29 Dengan record check, validasi test yang dilakukan pada field tergantung pada hubungan logika field itu dengan field yang lain pada record. c. Batch Check Dengan batch check, validasi test melakukan pengujian apakah karakteristik dari batch record yang dimasukkan sama dengan karakteristik yang telah ditetapkan pada batch. d. File Check Dengan file check, validasi test melakukan pengujian apakah karakteristik pada file yang digunakan selama entry data adalah sama dengan karakteristik data pada file. 3. Pengendalian Proses (Processing Control) Menurut Gondodiyoto dan Hendarti (2006, p.353), Pengendalian Proses adalah pengendalian intern untuk mendeteksi jangan sampai data khususnya data yang sesungguhnya sudah valid menjadi error karena adanya kesalahan proses. Tujuan pengendalian ini adalah untuk mencegah agar tidak terjadi kesalahan-kesalahan selama proses pengolahan data. Pengendalian proses merupakan bentuk pengendalian yang diterapkan setelah data berada pada sistem aplikasi komputer. 4. Pengendalian Keluaran (Output Control) Pengendalian keluaran menurut Gondodiyoto dan Hendarti 30 (2006, p.363-364), merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat, lengkap dan digunakan sebagaimana mestinya. Yang termasuk pengendalian keluaran antara lain ialah : a. Rekonsiliasi keluaran dan masukan dan pengolahan Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran dari sistem dengan dokumen asal. a. Penelahaan dan pengujian hasil-hasil pengolahan Pengendalian ini dilakukan dengan cara melakukan penelahaan, pemeriksaan dan pengujian terhadap hasilhasil pengolahan dari sistem. Proses penelahaan dan pengujian ini biasanya dilakukan oleh atasan langsung dari pegawai. b. Pendistribusian keluaran Pengendalian ini didesain untuk memastikan bahwa keluaran didistribusikan kepada pihak yang berhak, dilakukan secara tepat waktu dan hanya keluaran yang diperlukan saja yang didistribusikan. Menurut Weber (p.619-624), ada jenis inference control yang dapat dilakukan untuk mencegah adanya kompromi, yaitu: a. Kontrol pembatasan (Restriction Controls) Kontrol ini merupakan satu rangkaian tanggapan yang 31 diberikan kepada pemakai untuk memberikan proteksi terhadap data tentang individu yang datanya ada pada database. b. Kontrol gangguan (Pertubation Controls) Kontrol ini menggunakan beberapa jenis gangguan terhadap perhitungan statistik yang dibuat berdasarkan record yang diambil dari database. Auditor harus memperhatikan 3 hal yang berhubungan dengan pelaksanaan program pembuatan laporan, yaitu : a. Hanya orang yang memiliki wewenang saja dapat menjalankan program ini, dengan penggunaan PIN, password, dll. b. Wewenang yang diberikan kepada orang yang dapat menjalankan perintah, pembuatan laporan harus sesuai dengan kebutuhan mereka akan laporan tersebut. c. Program pembuatan laporan yang menghasilkan laporan dalam jumlah banyak harus memiliki fasilitas checkpoint atau restart. Kontrol terhadap pencetakan laporan memiliki 3 tujuan, yaitu : a. Untuk memastikan bahwa laporan dicetak oleh printer yang benar. b. Untuk mencegah pihak yang tidak berwenang melihat data sensitif yang terkandung pada laporan tersebut. 32 c. Untuk memastikan bahwa kontrol yang tepat telah dilakukan pada proses pencetakan laporan. 5. Pengendalian Komunikasi (Communication Control) Menurut Weber (1999, p.474), Pengendalian Komunikasi digunakan untuk mengendalikan pendistribusian pembukaan komunikasi subsistem, komponen fisik, kesalahan jalur komunikasi, aliran dan hubungan, pengendalian topologi, pengendalian akses hubungan, pengendalian atas ancaman subversip, pengendalian internetworking, dan pengendalian arsitektur komunikasi. 6. Pengendalian Database (Database Control) Menurut Weber (1999, p.564), subsistem database berfungsi untuk mendefinisi, menciptakan, mengubah, menghapus dan membaca data pada sistem informasi. Subsistem database secara bertahap juga digunakan untuk menyimpan : (a) data desain obyek, (b) image, grafik audio dan video yang dapat mendukung aplikasi multimedia. 2.2.5 Penetapan Resiko Menurut Peltier (2001, p.1), resiko didefinisikan sebagai seseorang atau sesuatu yang menyebabkan ancaman. Menurut Peltier (2001, p.79), resiko dibagi menjadi 3 tingkatan yaitu: 1. High Vulnerability Kelemahan yang sangat besar yang berada didalam sistem atau rutinitas 33 operasi dan dimana dampak potensial pada bisnis adalah penting, untuk itu harus ada pengendalian yang ditingkatkan. 2. Medium Vulnerability Beberapa kelemahan yang ada pada sistem dan dimana dampak potensial pada bisnis adalah penting, untuk itu akan ada pengendalian yang perlu ditingkatkan. 3. Low Vulnerability Sistem telah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada penambahan pengendalian yang diperlukan untuk mengurangi kelemahan (vulnerability). Dari ketiga tingkatan resiko tersebut dibagi lagi menjadi 3 dampak resiko, yaitu : 1. Severe impact (high) Memungkinkan untuk perusahaan keluar dari bisnis atau kerusakan yang parah dari kemungkinan bisnis dan perkembangan perusahaannya. 2. Significant impact (medium) Akan mengakibatkan kerusakan yang berarti dan biaya yang dikeluarkan juga cukup besar sehingga perusahaan akan berjuang untuk mempertahankan. 3. Minor impact (low) Tipe dari operasional memberi pengaruh yang kuat pada satu harapan untuk dapat mengatur sebagian dari kehidupan bisnis yang biasa. 34 2.3 Audit Sistem Informasi 2.3.1 Pengertian Audit Sistem Informasi Menurut Weber (1999, p.10), Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sistem komputer dapat mengamankan asset, memelihara data, mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien. Menurut Arens dan Loebbecke (2003, p.1) untuk melaksanakan audit, diperlukan informasi yang dapat diverifikasi dan sejumlah standar atau kriteria yang dapat digunakan sebagai pegangan pengevaluasian informasi tersebut. Supaya dapat diverifikasi, informasi harus dapat diukur. Jadi dapat disimpulkan bahwa Audit Sistem Informasi adalah suatu proses pengevaluasian yang dilakukan sesuai dengan berbagai standar, panduan dan tujuan untuk membantu suatu organisasi dalam meyakinkan bahwa teknologi informasi dan sistem bisnis yang dimilikinya telah efisien, dilindungi dan dikendalikan secara memadai. 2.3.2 Metode Audit Sistem Informasi Ada 3 metode Audit Sistem Informasi yang dapat dilakukan oleh auditor, sebagai berikut : 1. Audit Around the Computer Weber (1999, p.56) berpendapat bahwa Audit Around the Computer merupakan audit terhadap suatu penyelenggaraan sistem informasi yang berbasis komputer, tanpa menggunakan kemampuan peralatan 35 komputer itu sendiri. Metode ini merupakan suatu pendekatan dengan memberlakukan komputer sebagai black box, maksudnya metode ini tidak menguji langkah-langkah proses secara langsung, tetapi hanya berfokus pada masukan dan keluaran dari sistem komputer. Biasanya audit around the computer merupakan pendekatan yang lebih sederhana untuk melakukan proses audit sistem informasi dan dilakukan oleh auditor yang memiliki pengetahuan yang minim tentang komputer. Kelemahan dari metode audit around the computer adalah : a. Database biasanya dalam jumlah data yang banyak dan sulit untuk dilacak secara manual. b. Auditor tidak akan memahami operasional didalam sistem komputer. c. Adanya pengabaian pada sistem pengolahan komputer sehingga sangat rawan adanya kesalahan potensial di dalam sistem. d. Kemampuaan komputer sebagai fasilitas penunjang pelaksanaan audit menjadi tidak ada. e. Tidak menyelesaikan maksud dan tujuan proses audit secara keseluruhan. Keuntungan dari metode Audit Around The Computer adalah : a. Tidak ada resiko terhadap kemungkinan hancurnya sesungguhnya. b. Auditor hanya sedikit memerlukan tambahan pendidikan. data 36 c. Umumnya mudah, sederhana, dan dimengerti oleh semua orang. d. Biaya yang terkait dalam pelaksanaannya kecil. 2. Audit Through the Computer Menurut Weber (1999, p.57) pada umumnya para auditor sekarang ini terlibat dalam Audit Through the Computer. Dimana Auditor menggunakan komputer untuk menguji : (1) logika proses dan pengendalian yang ada saat ini pada sistem, (2) produksi record oleh sistem. Metode ini merupakan suatu pendekatan yang berorientasi pada komputer dengan membuka black box dan secara langsung berfokus pada operasi pemprosesan dalam sistem komputer. Dengan asumsi bahwa apabila sistem pemrosesan mempunyai pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak akan terlewat untuk dideteksi. Sebagai akibatnya keluaran tidak dapat diterima. Tujuan dari audit through the computer ini adalah untuk meneliti apakah aplikasi yang dioperasikan sesuai dengan kondisi yang sesungguhnya. Audit Through the Computer dapat juga dilakukan untuk meneliti kelengkapan dan kebenaran akurasi dan validasi database atau penelitian software datanya. Keuntungan utama dari pendekatan ini adalah dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan pengujian yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap kehandalan dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan, selain itu 37 dengan memeriksa secara langsung logika pemrosesan dari sistem aplikasi dan diperkirakan kemampuan sistem dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang. Kelemahan dari audit ini diantaranya yaitu : a. Biaya yang dibutuhkan relatif tinggi yang disebabkan jumlah jam kerja yang banyak untuk dapat lebih memahami struktur pengendalian intern dari pelaksanaan sistem aplikasi. b. Butuh keahlian teknik yang lebih mendalam untuk memahami cara kerja sistem. 3. Audit With the Computer Dalam pemeriksaan dengan komputer (Audit With the Computer) atau audit dibantu komputer (Computer Assisted) terdapat beberapa cara yang dapat digunakan oleh auditor dalam melaksanakan prosedur audit : a. Memproses atau melakukan pengujian dengan sistem komputer klien itu sendiri sebagai bagian dari pengujian pengendalian atau subtantif. b. Menggunakan komputer untuk melaksanakan tugas audit yang terpisah dari catatan klien, yaitu mengambil copy data, file atau program milik klien untuk diuji dengan komputer lain (di kantor auditor). c. Menggunakan menyangkut : komputer sebagai alat bantu dalam audit, 38 1) Dalam pengujian program, file atau data yang dipergunakan dan dimiliki oleh perusahaan (sebagai software bantu audit). 2) Menggunakan komputer untuk dukungan kegiatan audit, misalnya untuk administrasi dan surat-menyurat, pembuatan table atau jadwal, untuk sampling dan berbagai kegiatan office automation lainnya. Metode ini merupakan suatu pendekatan audit dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. 2.3.3 Tahapan Audit Sistem Informasi Menurut Weber (1999, pp. 47-54) ada beberapa tahap di dalam audit sistem informasi yaitu sebagai berikut : 1. Perencanaan Audit (Planning the Audit) Perencanaan merupakan tahap awal dari kegiatan audit. Pada tahap ini auditor harus menentukan tingkat preliminary material untuk audit mengenai pengendalian internal yang digunakan dalam organisasi. Bagi auditor eksternal hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staf audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien, mengerti tentang masalah hukum klien dan melakukan analisa terhadap prosedur yang ada untuk mengerti tentang bisnis klien dan mengidentifikasi resiko audit. Bagi auditor internal hal ini berarti mengetahui tujuan dilakukannya audit, 39 menghasilkan latar belakang informasi, menugaskan staf yang tepat dan mengidentifikasi resiko. 2. Pengujian Pengendalian (Test of Control) Auditor melakukan pengujian pengendalian ketika mereka menilai bahwa pengendalian resiko berada pada level kurang dari maksimum. Mereka mengandalkan pengendalian sebagai dasar untuk mengurangi biaya testing (pengujian). Sampai pada tahap ini, auditor tidak mengetahui apakah identifikasi pengendalian telah berjalan dengan efektif. Oleh karena itu pengujian terhadap pengendalian diperlukan evaluasi yang spesifik terhadap materi pengendalian. 3. Pengujian Transaksi (Test of Transactions) Auditor menggunakan pengujian terhadap transaksi untuk mengevaluasi apakah kesalahan atau proses yang tidak biasa terjadi pada transaksi, yang mengakibatkan kesalahan pencatatan yang material pada laporan keuangan. 4. Pengujian saldo atau hasil keseluruhan (Tests of Balance or Overall Results) Auditor mencari untuk mendapatkan bukti yang cukup untuk membuat keputusan akhir tingkat kesalahan atau salah penyajian yang telah terjadi atau mungkin terjadi. 5. Penyelesaian Audit (Completion of the Audit) Auditor memberikan opini apakah ada kesalahan material atau salah penyajian yang telah atau mungkin terjadi. 40 Dalam buku Weber (1999, p.48) tahapan audit sistem informasi digambarkan dalam bentuk flowchart sebagai berikut : Gambar 2.1 Tahapan Audit Sistem Informasi Sumber : Weber (1999, p 48) 41 2.3.4 Standar Audit 2.3.4.1 Standar Audit Sistem Informasi (SASI) Standar Audit Sistem Informasi (SASI) IASII diresmikan oleh Rapat Anggota IASII tahun 2006 pada tanggal 25 Februari 2006 pukul 11.00 WIB bertempat di Jakarta. SASI IASII berlaku bagi seluruh Anggota IASII (sesuai AD/ART IASII) yang melaksanakan kegiatan Audit Sistem Informasi. Standar ini mulai berlaku efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan sebelum tanggal tersebut. S-1 Penugasan Audit S-1.1 Tanggung Jawab, Wewenang dan Akuntabilitas Tanggung jawab, wewenang, dan akuntabilitas dari auditor sistem informasi harus dinyatakan dengan jelas secara formal dan tertulis dalam piagam atau surat tugas audit sistem informasi serta disetujui secara bersama oleh auditor sistem informasi dan pemberi tugas. S-2 Independensi & Obyektifitas S-2.1 Independensi Dalam berbagai hal yang berkaitan dengan audit sistem informasi, auditor sistem informasi harus menjaga independensinya, baik secara faktual 42 maupun penampilan, dari organisasi atau hal yang diaudit. S-2.2 Obyektifitas Auditor sistem informasi harus menjaga obyektifitasnya dalam merencanakan, melaksanakan dan melaporkan audit sistem informasi. S-3 Profesionalisme & Kompetensi S-3.1 Profesionalisme Auditor sistem informasi harus memenuhi berbagai standar audit yang berlaku serta menerapkan kecermatan dan ketrampilan profesionalnya dalam merencanakan, melaksanakan, dan melaporkan audit sistem informasi. S-3.2 Kompetensi Auditor sistem informasi, secara kolektif, harus memiliki atau memperoleh pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi. S-3.3 Pendidikan Profesi Berkelanjutan Auditor sistem informasi harus meningkatkan pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem pendidikan profesi berkelanjutan. S-4 Perencanaan informasi melalui 43 S-4.1 Perencanaan Audit Auditor sistem informasi harus merencanakan audit sistem informasi dengan baik agar dapat mencapai tujuan audit serta memenuhi standar audit yang berlaku. S-5 Pelaksanaan S-5.1 Pengawasan Staf audit sistem informasi harus disupervisi dengan baik untuk memberikan keyakinan yang memadai bahwa tujuan audit sistem informasi dapat tercapai dan standar audit yang berlaku dapat dipenuhi. S-5.2 Bukti-bukti Audit Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus memperoleh bukti-bukti audit yang cukup, dapat diandalkan dan bermanfaat untuk mencapai tujuan audit sistem informasi secara efektif. S-5.3 Kertas Kerja Audit Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus mendokumentasikan secara sistematis seluruh bukti-bukti audit yang diperoleh serta analisis yang dilakukannya. S-6 Pelaporan S-6.1 Laporan Audit 44 Setelah menyelesaikan pelaksanaan audit sistem informasi, auditor sistem informasi harus memberikan suatu laporan audit sistem informasi dalam bentuk yang memadai kepada pihak-pihak yang berhak menerima. S-7 Tindak Lanjut S-7.1 Pemantauan Tindak Lanjut Auditor sistem informasi harus meminta dan mengevaluasi informasi yang dipandang perlu sehubungan dengan rekomendasi audit temuan, yang kesimpulan terkait dari dan audit sebelumnya untuk menentukan apakah tindak lanjut yang layak telah dilaksanakan dengan tepat waktu. 2.3.4.2 Standar COBIT Standar audit yang digunakan untuk mengaudit sistem informasi adalah dengan menggunakan COBIT (Control Objectives for Information and Related Technology). Menurut Gondodiyoto dan Hendarti (2006, p237), COBIT adalah kombinasi dari prinsip-prinsip yang telah ditanamkan dan dikenal sebagai acuan model (seperti : COSO), dan disejajarkan dengan standar industri (seperti : ITIL, CMM, BS7799, ISO9000). COBIT juga dilengkapi dengan IT balanced. 45 Berdasarkan COBIT 4.0, COBIT mendefinisikan aktivitas IT didalam model proses umum diikuti 4 domain yaitu : 1. Perencanaan dan Organisasi (Plan and Organise) Dalam hal ini mencakup pembahasan strategi untuk mengidentifikasikan TI sehingga dapat memberikan yang terbaik untuk pencapaian objective bisnis. Selanjutnya realisasi visi strategis perlu direncanakan, dikomunikasikan, dan diatur untuk perspektif yang berbeda. 2. Perolehan dan Implementasi (Acquire and Implementation) Yaitu untuk merealisasi strategi IT, solusi IT yang perlu diidentifikasi, dikembangkan, atau diperlukan sebagai implementasi dan diintegrasikan ke dalam proses bisnis. AI2 Acquire and Maintain Application Software (p.78) AI2.10 Application Software Maintenance Mengembangkan strategi dan perencanaan untuk memelihara dan meningkatkan aplikasi software. 3. Penyerahan dan Pendukung (Delivery and Support) Hal ini lebih dipusatkan pada penyerahan aktual dari syarat pelayanan dengan jarak dari semua operasi keamanan tradisional dan aspek urutan untuk pelatihan. DS13 Manage Operation (p.152) DS13.1 Operation Procedures and Instruction 46 Mendefinisikan, mengimplementasikan dan memelihara standar untuk operasional TI dan menjamin staf operasional terbiasa dengan semua tugas operasionalnya. DS13.2 Job Scheduling Mengorganisasikan atau mengatur penjadwalan pekerjaan, proses dan tugas ke dalam urutan yang efisien dari standar job schedule. DS13.5 Preventive Maintenance for Hardware Mendefinisikan dan mengimplementasikan prosedur untuk menjamin perawatan infrastruktur secara rutin untuk mengurangi dampak kerusakan atau penurunan daya kerja hardware. 4. Monitoring Yaitu semua proses TI yang perlu dinilai secara regular agar kualitas dan kelengkapannya berdasarkan pada syarat kontrol. Berdasarkan COBIT 4.0, Kriteria informasi untuk mencapai tujuan bisnis meliputi : 1. Efektifitas Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu. 2. Efisiensi Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal. 47 3. Kerahasiaan Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi. 4. Integritas Berhubungan dengan keakuratan dan kelengkapan informasi dengan kebenaran yang sesuai dengan harapan dan nilai bisnis. 5. Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang. 6. Kelengkapan Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis. 7. Keakuratan Informasi Informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggungjawaban. Menurut COBIT 4.0 (p.17-18), proses COBIT IT melindungi pengendalian umum IT tetapi tidak pada pengendalian aplikasi karena merupakan tanggung jawab dari pemilik proses bisnis dan digambarkan sebelumnya dimana diintegrasikan didalam proses bisnisnya. Beberapa rekomendasi standar berhubungan dengan Pengendalian Aplikasi : COBIT yang 48 1. Pengendalian Batasan AC17 Otentifikasi dan Integritas Otentifikasi dan integritas informasi yang berasal dari luar perusahaan, diterima dengan telepon, voicemail, dokumen, fax atau email, semuanya diperiksa kembali sebelum diambil tindakan yang kritikal. AC18 Perlindungan terhadap Sensitifitas Informasi selama Pengiriman Perlindungan yang cukup memadai terhadap akses yang tidak terotorisasi, modifikasi, pendistribusian yang salah dari informasi yang sensitif yang tersedia selama pengiriman. 2. Pengendalian Data Input AC6 Prosedur Otorisasi Data Input Prosedur menjamin bahwa untuk menampilkan data input hanya dapat dilakukan oleh anggota staf yang berwenang. AC7 Akurasi, Kelengkapan dan Pemeriksaan yang Terotorisasi Transaksi data yang dimasukkan untuk diproses mewakili berbagai pengendalian untuk memeriksa akurasi, kelengkapan dan valid. Prosedur menjamin juga bahwa data yang di-input adalah valid dan diubah sebisa mungkin seperti dokumen aslinya. 49 AC8 Penanganan Kesalahan Data Input Prosedur untuk mengoreksi dan mengumpulkan kembali data yang salah di-input ke tempat yang benar dan dikoreksi kembali. 3 Pengendalian Data Output. AC12 Penanganan dan Penyimpanan Output Penanganan dan penyimpanan output dari aplikasi IT yang diikuti pengertian mempertimbangkan dari peraturan prosedur dan kerahasiaan dan keamanan. AC13 Pendistribusian Output Prosedur pendistribusian dari output didefinisikan, dikomunikasikan dan dikoreksi kembali. AC14 Keseimbangan dan Rekonsiliasi Output Output secara rutin diseimbangkan dengan total pengendalian yang relevan. Jejak audit memudahkan jejak dari transaksi diproses dan rekonsiliasi dari data yang terganggu. AC15 Pemeriksaan Kembali Output dan Penanganan Kesalahan Prosedur menjamin penguna yang tersedia dan relevan menampilkan ketepatan dari laporan output. Prosedur juga ditempatkan untuk mengidentifikasi dan mengatasi dari kesalahan yang terdapat pada output. 50 AC16 Ketentuan Keamanan untuk Laporan Output Prosedur ini menjamin bahwa keamanan dari laporan output dijaga bagi distribusi laporan yang tertunda. 2.3.4.3 Standar International ISO (The International Organization for Standardization) dan IEC (International Electrotechnical Commission) 1. Security Policy Manajemen seharusnya membuat kebijakan yang jelas dan mendemonstrasikannya, berkomitmen dan memelihara kebijakan informasi dalam organisasi. (p.1) 2. Physical and Environmental Security Peralatan seharusnya dilindungi secara fisik dari ancaman keamanan dan ancaman alamiah. (p.13). 3. Equipment Security Peralatan harus dilindungi oleh keamanan yang kuat dengan penghalang keamanan dan pengendalian yang kuat. (p.16) 2.3.4.4 Standar Sarbanes-Oxley 1. Develop and Maintain Policies and Procedures Perusahaan harus membuat prosedur dan diikuti dengan otentifikasi oleh semua karyawan mendukung/menjamin validitas transaksi. (p.60) 2. Manage Data untuk 51 Prosedur dan kebijakan untuk penanganan, distribusi dan penyimpanan dan hasil laporan output. (p.74) 3. Manage Operation a. Manajemen harus menjaga informasi terutama yang sensitif, dalam bentuk fisik ataupun logik yang disimpan maupun selama pemindahan terhadap akses yang tidak sah maupun yang sah. (p.74) b. Manajemen harus membuat dan mendokumentasikan prosedur untuk operasi IT termasuk pengaturan, penjadwalan, dan pengontrolan. (p.76) c. Input, proses, dan output dari sistem harus diperiksa secara independen untuk menjamin kelengkapan dan ketepatan. (p.77) 4. Ensure System Security a. Perusahaan harus memiliki kerangka dari standar keamanan yang harus dibuat untuk mendukung tujuan dari kebijakan keamanan. (p.68) b. Perusahaan harus membuat prosedur untuk perawatan efektifitas dari otentifikasi dan mekanisme akses (p.69) 2.3.5 Instrumen Audit Menurut Gondodiyoto dan Hendarti (2006, p.447) terdapat berbagai instrumen audit yang bisa diterapkan dalam pelaksanaan audit, instrumen audit tersebut antara lain : 52 1. Observasi (Pengamatan) Observasi adalah cara memeriksa dengan menggunakan panca indera terutama mata, yang dilakukan secara kontinyu selama waktu tertentu untuk membuktikan sesuatu keadaan atau masalah. Teknik observasi akan membantu memperjelas pengertian pemeriksa mengenai kegiatankegiatan yang diperiksa. 2. Wawancara Wawancara merupakan teknik pemeriksaan berupa tanya jawab secara lisan antara auditor dengan auditee untuk memperoleh bahan bukti audit. Wawancara dapat dilakukan secara lisan maupun tulisan. 3. Kuesioner Kuesioner terbagi menjadi 2 bagian antara lain kuesioner terbuka dan kuesioner tertutup. Kuesioner terbuka adalah teknik pengumpulan fakta dengan format jawaban tertulis yang lebih bersifat umum. Sedangkan kuesioner tertutup adalah teknik yang bermanfaat untuk mengumpulkan jawaban pertanyaan dari sejumlah besar responden. 4. Konfirmasi Konfirmasi merupakan upaya untuk memperoleh informasi atau penegasan dari sumber lain yang independen, baik secara lisan maupun tertulis dalam rangka pembuktian pemeriksaan. 5. Inspeksi Inspeksi merupakan cara memeriksa dengan memakai panca indera terutama mata, untuk memperoleh bukti atas suatu keadaan atau suatu masalah pada saat tertentu. 53 6. Prosedur Analisis Analisis artinya memecah atau menguraikan suatu keadaan atau masalah ke dalam beberapa bagian atau elemen dan memisahkan bagian tersebut untuk digabungkan dengan keseluruhan atau dibandingkan dengan yang lain. 7. Perbandingan Perbandingan adalah usaha untuk mencari kesamaan dan perbedaan antara dua atau lebih gejala atau keadaan. 2.4 Sistem Informasi Penjualan 2.4.1 Pengertian Sistem Informasi Penjualan Menurut Mulyadi (2001, p.202), kegiatan penjualan barang dan jasa dapat dibedakan menjadi 2 dua jenis, yaitu : 1. Kegiatan penjualan kredit Dalam transaksi penjualan kredit, jika order dari pelanggan telah dipenuhi dengan pengiriman barang atau penyerahan jasa, untuk jangka waktu tertentu perusahaan memiliki piutang kepada pelanggannya. Kegiatan penjualan secara kredit ini ditangani oleh perusahaan melalui sistem penjualan kredit. 2. Kegiatan penjualan tunai Dalam transaksi penjualan tunai, barang atau jasa baru diserahkan oleh perusahaan kepada pembeli jika perusahaan telah menerima kas dari pembeli. Kegiatan penjualan secara tunai ini ditangani oleh perusahaan melalui sistem penjualan tunai. 54 Menurut Romney (2003, p359), siklus pendapatan adalah seperangkat atau kumpulan aktivitas bisnis dan operasi proses informasi terkait yang diasosiasikan dengan penyediaan barang dan jasa kepada pelanggan dan pengumpulan kas dalam pembayaran terhadap transaksi penjualan Berdasarkan penjelasan diatas maka disimpulkan bahwa Sistem Informasi Penjualan adalah suatu sistem informasi yang mengorganisasikan serangkaian prosedur dan metode yang dirancang untuk menghasilkan, menganalisa, menyebarkan dan memperoleh informasi guna mendukung pengambilan keputusan mengenai penjualan. 2.4.2 Prosedur Penjualan Kredit Menurut Mulyadi (2001, p.210), Penjualan Kredit dilaksanakan oleh perusahaan dengan cara mengirimkan barang sesuai dengan order yang diterima dari pembeli dan untuk jangka waktu tertentu perusahaan mempunyai tagihan kepada pembeli tersebut. Menurut Mulyadi (2001, p.219), jarigan prosedur yang membentuk sistem penjualan kredit adalah sebagai berikut : 1. Prosedur Order Penjualan Dalam prosedur ini, fungsi penjualan menerima order dari pembeli dan menambahkan informasi penting pada surat order dari pembeli. Fungsi penjualan kemudian membuat surat order pengiriman dan mengirimkannya kepada berbagai fungsi lain yang memungkinkan fungsi tersebut memberikan kontribusi dalam melayani order dari pembeli. 55 2. Prosedur Persetujuan Kredit Dalam prosedur ini, fungsi penjualan meminta persetujuan kredit kepada pembeli tertentu dari fungsi kredit. 3. Prosedur Pengiriman Dalam prosedur ini, fungsi pengiriman mengirimkan barang kepada pembeli sesuai dengan informasi yang tercantum dalam surat order pengiriman yang diterima dari fungsi pengiriman. 4. Prosedur Penagihan Dalam prosedur ini, fungsi penagihan membuat fakur penjualan dan mengirimkannya kepada pembeli. Dalam metode tertentu faktur penjualan dibuat oleh fungsi penjualan sebagai tembusan pada waktu bagian ini membuat surat order pengiriman. 5. Prosedur Pencatatan Piutang Dalam prosedur ini, fungsi akuntansi mencatat tembusan faktur penjualan ke dalam kartu piutang atau dalam metode pencatatan tertentu mengarsipkan dokumen tembusan menurut abjad yang berfungsi sebagai catatan piutang. 6. Prosedur Distribusi Penjualan Dalam prosedur ini, fungsi akuntansi mendistribusikan data penjualan menurut informasi yang diperlukan oleh manajemen. 7. Prosedur Pencatatan Harga Pokok Penjualan Dalam prosedur ini, fungsi akuntansi mencatat secara periodik total harga pokok produk yang dijual dalam periode akuntansi tertentu. Menurut pendapat Mulyadi (2001, p.211), fungsi yang terkait dalam 56 sistem penjualan kredit adalah sebagai berikut : 1. Fungsi Penjualan Fungsi ini bertanggung jawab untuk menerima surat order dari pembeli, mengedit order dari pelanggan untuk menambahkan informasi yang belum ada pada surat order tersebut (seperti spesifikasi barang dan rute pengiriman), meminta otorisasi kredit, menentukan tanggal pengiriman, dan dari gudang mana barang akan dikirim, serta mengisi surat order pengiriman. 2. Fungsi Kredit Fungsi ini bertanggung jawab untuk meneliti status kredit pelanggan dan memberikan otorisasi pemberian kredit kepada pelanggan. Sebelum order dari pelanggan dipenuhi, harus terlebih dahulu diperoleh otorisasi penjualan kredit dari fungsi kredit. Pengecekan status kredit perlu dilakukan sebelum fungsi penjualan mengisi surat order penjualan. 3. Fungsi Gudang Fungsi ini bertanggung jawab untuk menyimpan barang dan menyiapkan barang yang dipesan oleh pelanggan, serta menyerahkan barang ke fungsi pengiriman. 4. Fungsi Pengiriman Fungsi ini bertanggung jawab untuk menyerahkan barang atas dasar surat order pengiriman yang diterimanya dari fungsi penjualan. Selain itu bertanggung jawab untuk menjamin bahwa tidak ada barang yang keluar dari perusahaan tanpa ada otorisasi dari yang berwenang. 5. Fungsi Penagihan 57 Fungsi ini bertanggung jawab untuk membuat dan mengirimkan faktur penjualan kepada pelanggan, serta menyediakan copy faktur bagi kepentingan catatan transaksi penjualan oleh fungsi akuntansi. 6. Fungsi Akuntansi Fungsi ini bertanggung jawab untuk mencatat piutang dari transaksi penjualan kredit, membuat dan mengirimkan pernyataan piutang kepada para debitur, serta membuat laporan penjualan. Selain itu bertanggung jawab untuk mencatat harga pokok persediaan yang dijual ke dalam persediaan. 2.4.3 Piutang Menurut Mulyadi (2001, p.85), mendefinisikan piutang adalah klaim kepada pihak lain atau uang, barang atau jasa yang dapat diterima dalam jangka waktu satu tahun atau dalam satu siklus kegiatan perusahaan. Catatan akuntansi yang digunakan berdasarkan Mulyadi (2001, p.260) untuk mencatat transaksi yang menyangkut piutang adalah : 1. Jurnal penjualan Dalam prosedur pencatatan piutang, catatan ini digunakan untuk mencatat timbulnya piutang dari transaksi penjualan kredit. 2. Jurnal Retur Penjualan Dalam prosedur pencatatan piutang, catatan akuntansi digunakan untuk mencatat berkurangnya piutang dari transaksi retur penjualan. 3. Jurnal Umum 58 Dalam prosedur pencatatan piutang, catatan akuntansi ini digunakan untuk mencatat berkurangnya piutang dari transaksi penghapusan piutang yang tidak lagi dapat ditagih. 4. Jurnal Penerimaan Kas Dalam prosedur pencatatan piutang, catatan akuntansi digunakan untuk memcatat berkurangnya piutang dari transaksi penerimaan kas dari debitur. 5. Kartu Piutang Catatan akuntansi ini digunakan untuk mencatat mutasi dan saldo piutang kepada setiap debitur.