6 BAB 2 LANDASAN TEORI 2.1 Pengertian Sistem Informasi Secara

advertisement
BAB 2
LANDASAN TEORI
2.1 Pengertian Sistem Informasi Secara Umum
Menurut O’Brien (2003, p7), an information system can be any organized
combination of people, hardware, software, communications networks, and data
resources that collects, transforms, and disseminates information in an organization.
Sebuah sistem informasi dapat berupa suatu kombinasi orang, perangkat keras,
perangkat lunak, jaringan komunikasi dan sumber data yang terorganisasi, dimana
kombinasi tersebut yang mengumpulkan, mengubah dan menyebarkan informasi
dalam sebuah organisasi. Menurut Laudon (2004, p8), Information systems can be
defined technically as a set of interrelated components that collect (or retrieve),
process, store and distribute information to support decision making and control in
organization. Sistem informasi dapat didefinisikan secara teknikal sebagai
sekumpulan
komponen
yang
saling
berhubungan
yang
mengumpulkan
(mendapatkan), memproses, menyimpan dan mendistribusikan informasi untuk
mendukung pengambilan keputusan dan pengendalian dalam organisasi. Sistem
informasi dapat disimpulkan sebagai sekumpulan komponen berupa manusia,
perangkat keras, perangkat lunak, jaringan komunikasi dan sumber data yang
terorganisasi yang saling berhubungan untuk mengumpulkan dan memproses data
menjadi informasi yang dibutuhkan untuk pengambilan keputusan yang mendukung
kegiatan operasional perusahaan.
6
7
2.2 Pengertian Gaji Secara Umum
2.2.1 Pengertian Gaji
Menurut Hasibuan (2001, p118), gaji adalah balas jasa yang dibayar
secara periodik kepada karyawan tetap serta mempunyai jaminan yang pasti.
Maksudnya, gaji akan tetap dibayarkan walaupun pekerja tersebut tidak masuk
kerja. Menurut Rivai (2005, p379), gaji adalah balas jasa dalam bentuk uang
yang diterima karyawan sebagai konsekuensi dari statusnya sebagai seorang
karyawan yang memberikan kontribusi dalam mencapai tujuan perusahaan.
Mulyadi (2001, p373) mengemukakan bahwa gaji umumnya merupakan
pembayaran atas penyerahan jasa yang dilakukan oleh karyawan yang
mempunyai jenjang jabatan manajer, umumnya gaji dibayarkan secara tetap
per bulan. Jadi dapat disimpulkan bahwa gaji merupakan sejumlah uang yang
dibayarkan secara periodik kepada karyawan atas hasil usaha atau jasa yang
diberikan karyawan kepada perusahaan.
2.2.2 Jaringan Prosedur yang Membentuk Sistem Penggajian
Menurut Mulyadi (2001, p385), sistem penggajian terdiri dari jaringan
prosedur berikut ini:
1. Prosedur pencatatan waktu hadir.
2. Prosedur pembuatan daftar gaji.
3. Prosedur distribusi biaya gaji.
4. Prosedur pembuatan bukti kas keluar.
5. Prosedur pembayaran gaji.
8
2.2.3 Fungsi yang Terkait
Menurut Mulyadi (2001, pp382-384), fungsi yang terkait dalam sistem
akuntansi penggajian adalah sebagai berikut:
1. Fungsi Kepegawaian
Fungsi ini bertanggungjawab untuk mencari karyawan baru, menyeleksi
calon karyawan, memutuskan penempatan karyawan baru, membuat surat
keputusan tarif gaji karyawan, kenaikan pangkat dan golongan gaji, mutasi
karyawan, dan pemberhentian karyawan.
2. Fungsi Pencatat Waktu
Fungsi ini bertanggungjawab untuk menyelenggarakan catatan waktu hadir
bagi semua karyawan perusahaan. Sistem pengendalian internal yang baik
mensyaratkan fungsi pencatatan waktu hadir karyawan tidak boleh
dilaksanakan oleh fungsi operasi atau fungsi pembuat daftar gaji.
3. Fungsi Pembuat Daftar Gaji
Fungsi ini bertanggungjawab untuk membuat daftar gaji yang berisi
penghasilan bruto yang menjadi hak dan berbagai potongan yang menjadi
beban setiap karyawan selama jangka waktu pembayaran gaji. Daftar gaji
diserahkan oleh fungsi pembuat daftar gaji kepada fungsi akuntansi guna
pembuatan bukti kas keluar yang dipakai sebagai dasar untuk pembayaran
gaji kepada karyawan.
4. Fungsi Akuntansi
Fungsi akuntansi bertanggungjawab untuk mencatat kewajiban yang timbul
dalam hubungannya dengan pembayaran gaji karyawan (misalnya hutang
gaji karyawan, hutang pajak, hutang dana pensiun).
9
5. Fungsi Keuangan
Fungsi keuangan bertanggungjawab untuk mengisi cek guna pembayaran
gaji dan menguangkan cek tersebut ke bank. Uang tunai tersebut kemudian
dimasukkan dalam amplop gaji setiap karyawan, untuk selanjutnya
dibagikan kepada karyawan yang berhak.
2.2.4 Dokumen yang Digunakan
Menurut Mulyadi (2001, pp374-379), dokumen yang digunakan dalam
sistem akuntansi penggajian adalah:
1. Dokumen Pendukung Perubahan Gaji
Dokumen-dokumen
ini
umumnya
dikeluarkan
oleh
fungsi
kepegawaian berupa surat-surat keputusan yang bersangkutan dengan
karyawan, seperti misalnya surat keputusan pengangkatan karyawan
baru, kenaikan pangkat, perubahan tarif gaji, penurunan pangkat,
pemberhentian sementara dari pekerjaan (skorsing), pemindahan.
Tembusan dokumen-dokumen ini dikirimkan ke fungsi pembuat
daftar gaji untuk kepentingan pembuatan daftar gaji.
2. Kartu Jam Hadir
Dokumen ini digunakan oleh fungsi pencatat waktu untuk mencatat
jam hadir setiap karyawan di perusahaan. Catatan jam hadir karyawan
ini dapat berupa daftar hadir biasa, dapat pula berbentuk kartu hadir
yang diisi dengan mesin pencatat waktu.
3. Kartu Jam Kerja
Dokumen ini digunakan untuk mencatat waktu yang dikonsumsi oleh
10
tenaga kerja langsung pabrik guna mengerjakan pesanan tertentu.
Dokumen ini diisi oleh mandor pabrik dan diserahkan ke fungsi pembuat
daftar gaji untuk kemudian dibandingkan dengan kartu jam hadir,
sebelum digunakan untuk distribusi biaya upah langsung kepada setiap
jenis produk atau pesanan. Catatan waktu kerja ini hanya diperlukan
dalam perusahaan yang produksinya berdasarkan pesanan.
4. Daftar Gaji
Dokumen ini berisi jumlah gaji bruto setiap karyawan, dikurangi
potongan-potongan berupa PPh pasal 21, hutang karyawan, iuran
untuk organisasi karyawan.
5. Rekap Daftar Gaji
Dokumen ini merupakan ringkasan gaji per departemen yang dibuat
berdasarkan daftar gaji.
6. Surat Pernyataan Gaji
Dokumen ini dibuat oleh fungsi pembuat daftar gaji bersamaan
dengan pembuatan daftar gaji atau dalam kegiatan yang terpisah dari
pembuatan daftar gaji. Dokumen ini dibuat sebagai catatan bagi setiap
karyawan mengenai rincian gaji yang diterima setiap karyawan
beserta berbagai potongan yang menjadi beban setiap karyawan.
7. Amplop Gaji
Uang gaji karyawan diserahkan kepada setiap karyawan dalam
amplop gaji. Pada halaman muka amplop gaji setiap karyawan ini
berisi informasi mengenai nama karyawan, nomor identifikasi
11
karyawan dan jumlah gaji bersih yang diterima karyawan dalam bulan
tertentu.
8. Bukti Kas Keluar
Dokumen ini merupakan perintah pengeluaran uang yang dibuat oleh
fungsi akuntansi kepada fungsi keuangan, berdasarkan informasi
dalam daftar gaji yang diterima dari fungsi pembuat daftar gaji.
2.2.5 Catatan Akuntansi yang Digunakan
Menurut Mulyadi (2001, p382), catatan akuntansi yang digunakan dalam
pencatatan gaji adalah:
1. Jurnal Umum
Dalam pencatatan gaji, jurnal umum digunakan untuk mencatat distribusi
biaya tenaga kerja ke setiap departemen dalam perusahaan.
2. Kartu Harga Pokok Produk
Catatan ini digunakan untuk mencatat upah tenaga kerja langsung yang
dikeluarkan untuk pesanan tertentu.
3. Kartu Biaya
Catatan ini digunakan untuk mencatat biaya tenaga kerja tidak langsung
dan tenaga kerja nonproduksi setiap departemen dalam perusahaan.
4. Kartu Penghasilan Karyawan
Catatan ini digunakan untuk mencatat penghasilan dan berbagai
potongannya yang diterima oleh setiap karyawan. Informasi dalam kartu
penghasilan ini digunakan sebagai dasar penghitungan PPh pasal 21 yang
menjadi beban setiap karyawan. Di samping itu kartu penghasilan
12
karyawan ini digunakan sebagai tanda terima gaji karyawan dengan
ditandatanganinya kartu tersebut oleh karyawan yang bersangkutan.
Dengan tanda tangan pada kartu penghasilan karyawan ini, setiap karyawan
hanya mengetahui gaji sendiri sehingga rahasia penghasilan karyawan
tertentu tidak diketahui oleh karyawan yang lain.
2.3 Pengertian Sistem Informasi Penggajian
Sistem Informasi Penggajian merupakan salah satu bagian/subsistem dari sistem
informasi sumber daya manusia (SISDM). Menurut McLeod (2001, p525), Sistem
Informasi Sumber Daya Manusia (SISDM) atau Human Resources Information
System (HRIS) adalah suatu sistem yang digunakan untuk mengumpulkan dan
memelihara data yang menjelaskan sumber daya manusia, mengubah data tersebut
menjadi informasi dan melaporkan informasi itu kepada user. Jadi, Sistem Informasi
Penggajian dapat disimpulkan sebagai subsistem atau bagian dari SISDM yang
secara khusus mengumpulkan, memelihara dan mengubah data penggajian menjadi
suatu informasi penggajian serta mendistribusikan informasi tersebut kepada
pemakai dalam organisasi.
2.4 Pengertian Audit Sistem Informasi Secara Umum
2.4.1 Pengertian Audit Sistem Informasi
Menurut Weber (1999, p10), information systems auditing is the process
of collecting and evaluating evidence to determine whether a computer system
safeguards assets, maintaines data integrity, allows organizational goals to be
achieved effectively, and uses resources efficiently. Audit sistem informasi
13
merupakan suatu proses pengumpulan dan pengevaluasian bukti-bukti untuk
menentukan apakah suatu sistem komputer dapat melindungi aset, memelihara
integritas data, memungkinkan tujuan perusahaan dapat dicapai dengan efektif
dan menggunakan sumber daya dengan efisien. Menurut Romney dan Steinbart
(2003, p703), information systems audit reviews the general and application
controls of an Accounting Information System to access its compliance with
internal control policies and procedures and its effectiveness in safeguarding
assets. Audit sistem informasi mereview pengendalian umum dan pengendalian
aplikasi dari sistem informasi akuntansi untuk menilai ketaatan sistem terhadap
kebijakan dan prosedur pengendalian internal serta efektifitas dalam
melindungi aset. Jadi, audit sistem informasi dapat disimpulkan menjadi suatu
proses yang meliputi kegiatan pengumpulan dan pengevaluasian data dan
informasi yang diperoleh untuk menilai ketaatan sistem komputer terhadap
kebijakan dan prosedur pengendalian internal dalam melindungi aset,
meningkatkan integritas serta meningkatkan efektifitas dan efisiensi sistem.
2.4.2 Perlunya Kontrol dan Audit Sistem Informasi
Menurut Weber (1999, pp5-10) faktor yang mendorong pentingnya
kontrol dan audit sistem informasi adalah:
1. Biaya perusahaan yang timbul karena kehilangan data (Organizational
costs of data loss).
2. Biaya yang timbul karena kesalahan dalam pengambilan keputusan (Costs
of incorrect decision making).
14
3. Biaya yang timbul karena penyalahgunaan komputer (Costs of computer
abuse).
4. Nilai dari hardware, software dan personel (Value of hardware, software,
personnel).
5. Biaya yang besar akibat kerusakan komputer (High costs of computer
error).
6. Perlunya melakukan perlindungan terhadap privasi (Maintenance of
privacy).
7. Perlunya
pengendalian
terhadap
perubahan
penggunaan
komputer
(Controlled evolution of computer use).
2.4.3 Tujuan Audit Sistem Informasi
Menurut Weber yang telah dikutip oleh Gondodiyoto (2003, pp152-153),
tujuan audit sistem informasi dapat disimpulkan secara garis besar menjadi
empat tahap yaitu meningkatkan aset-aset perusahaan, meningkatkan integritas
data, meningkatkan efektivitas sistem dan meningkatkan efisiensi sistem yang
dapat dijabarkan sebagai berikut:
1. Meningkatkan aset-aset perusahaan
Aset informasi suatu perusahaan seperti perangkat keras (hardware),
perangkat lunak (software), sumber daya manusia, data (file) harus dijaga
oleh suatu sistem pengendalian internal yang baik agar tidak terjadi
penyalahgunaan aset perusahaan. Dengan demikian, sistem pengamanan
aset perusahaan merupakan suatu hal yang sangat penting dan harus
dipenuhi oleh perusahaan.
15
2. Meningkatkan integritas data
Integritas data (data integrity) adalah salah satu konsep dasar sistem
informasi. Data memiliki atribut-atribut tertentu seperti: kelengkapan,
kebenaran dan keakuratan. Jika integritas data tidak terpelihara, maka suatu
perusahaan tidak akan lagi memiliki hasil atau laporan yang benar bahkan
perusahaan dapat menderita kerugian.
3. Meningkatkan efektivitas sistem
Efektivitas sistem informasi perusahaan memiliki peranan penting dalam
proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan
efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user
(pengguna).
4. Meningkatkan efisiensi sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi
memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi
komputer menurun maka pihak manajemen harus mengevaluasi apakah
efisiensi sistem masih memadai atau harus menambah sumber daya
manusia, karena suatu sistem dapat dikatakan efisien jika sistem informasi
dapat memenuhi kebutuhan user dengan sumber daya manusia yang
minimal.
2.4.4 Tahapan-tahapan Audit Sistem Informasi
Menurut Weber (1999, pp47-55), tahapan-tahapan audit sistem informasi
terdiri dari perencanaan audit, pengujian atas pengendalian, pengujian atas
transaksi, pengujian atas saldo atau hasil keseluruhan, dan penyelesaian atas
16
audit yang dijabarkan sebagai berikut:
1. Perencanaan Audit (Planning the Audit)
Perencanaan merupakan tahap pertama dalam audit. Bagi seorang
auditor eksternal, hal ini berarti menyelidiki dari awal atau melanjutkan
yang ada untuk menentukan apakah perjanjian audit dapat diterima,
menugaskan staf audit yang sesuai, memperoleh surat penugasan,
memperoleh informasi mengenai latar belakang klien, memahami
kewajiban hukum klien, dan mengusahakan tinjauan prosedur analitis
untuk memahami bisnis klien dengan lebih baik dan mengidentifikasi area
yang beresiko dalam audit tersebut. Sedangkan bagi auditor internal, hal ini
berarti memahami tujuan yang harus dipenuhi dalam audit, memperoleh
informasi
latar
belakang,
menugaskan
staf
yang
sesuai
dan
mengidentifikasi area yang beresiko.
2. Pengujian atas Pengendalian (Test of Controls)
Tahap ini biasanya dimulai dengan memfokuskan pada pengendalian
manajemen. Apabila pengujian menunjukkan hasil yang tidak sesuai
dengan yang diharapkan, maka hal tersebut berarti pengendalian
manajemen
tidak
berjalan
sebagaimana
mestinya.
Bila
auditor
menemukan kelemahan serius pada pengendalian manajemen, mereka
akan menyatakan pernyataan tidak wajar atau melakukan pengujian
substantif atas transaksi dan saldo atau terhadap hasil keseluruhan.
3. Pengujian atas Transaksi (Test of Transactions)
Dari suatu perspektif bukti, auditor menggunakan pengujian atas
transaksi untuk menilai apakah terdapat kesalahan atau terjadi pemrosesan
17
transaksi tidak beraturan yang telah mendorong suatu pernyataan tidak
material atas informasi keuangan. Pengujian atas transaksi meliputi
pengecekan ayat jurnal dari dokumen sumber, menguji nilai kekayaan dan
ketepatan komputasi. Dari perspektif operasional, auditor menggunakan
pengujian atas transaksi untuk mengevaluasi apakah transaksi atau kejadian
telah ditangani dengan efektif dan efisien.
Jika hasil dari pengujian atas transaksi menunjukkan bahwa
kehilangan material telah terjadi atau mungkin terjadi atau bahwa informasi
keuangan telah atau mungkin secara material disampaikan dengan salah,
pengujian substantif atas saldo atau hasil keseluruhan akan diperluas.
Auditor dapat menggunakan perluasan pengujian saldo atau hasil
keseluruhan untuk memperoleh perkiraan yang lebih baik atas kehilangan
atau pernyataan salah yang telah terjadi atau mungkin terjadi.
4. Pengujian atas Saldo atau Hasil Keseluruhan (Tests of Balances or Overall
Results)
Auditor melakukan pengujian atas saldo atau hasil keseluruhan untuk
memperoleh bukti yang cukup untuk membuat penilaian akhir pada tingkat
kehilangan atau pernyataan keuangan yang salah yang terjadi ketika fungsi
sistem informasi gagal melindungi aset, memelihara integritas data dan
mencapai sistem yang efektif dan efisien.
Untuk memahami pendekatan dalam tahap ini, hal-hal yang harus
dipertimbangkan adalah mengenai pengamanan data dan integritas data.
Beberapa pengujian substantif atas saldo digunakan sebagai konfirmasi
penerimaan, perhitungan fisik barang, dan menghitung kembali penyusutan
18
aktiva tetap.
5. Penyelesaian atas Audit (Completion of The Audit)
Dalam tahap terakhir audit ini, auditor eksternal melakukan beberapa
pengujian tambahan untuk mengumpulkan bukti untuk penutup. Auditor
kemudian harus membuat pernyataan mengenai kehilangan yang material
ataupun mengenai pernyataan yang salah terhadap transaksi yang telah
terjadi dan dinyatakan dalam laporan.
2.4.5 Pendekatan (Metode) Audit Sistem Informasi
Menurut Gondodiyoto (2003, pp155-159), terdapat tiga pendekatan audit
yang berkaitan dengan komputer yaitu audit disekitar komputer, audit melalui
komputer, dan audit dengan komputer yang dijabarkan sebagai berikut:
1. Audit disekitar komputer (audit around the computer)
Dalam pendekatan audit disekitar komputer, auditor dapat
melangkah pada perumusan pendapat hanya dengan menelaah struktur
pengendalian dan melaksanakan pengujian transaksi dan prosedur
verifikasi saldo perkiraan dengan cara sama seperti pada sistem manual
(bukan sistem informasi berbasis komputer). Auditor tidak perlu menguji
pengendalian sistem informasi berbasis komputer klien (yaitu terhadap file
program/data di dalam komputer), melainkan cukup terhadap input dan
output sistem aplikasi saja. Dari penilaian terhadap kualitas dan kesesuaian
antara input dan output sistem aplikasi ini, auditor dapat mengambil
kesimpulan tentang kualitas pemrosesan data yang dilakukan klien
(meskipun proses/program komputer tidak diperiksa).
19
Selain masalah pengetahuan auditor mengenai aspek teknis
komputer atau keterbatasan lain, metode audit disekitar komputer tersebut
cocok untuk dilaksanakan pada situasi berikut ini:
a. Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin),
artinya masih kasat mata dan terlihat secara visual.
b. Dokumen-dokumen disimpan dalam file dengan cara yang mudah
ditemukan.
c. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah
menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan
sebaliknya.
d. Sistem komputer yang diterapkan masih sederhana.
e. Sistem komputer yang diterapkan masih menggunakan software yang
umum digunakan dan telah diakui, serta digunakan secara masal.
Keunggulan metode audit disekitar komputer adalah:
a. Pelaksanaan audit lebih sederhana.
b. Auditor dapat memiliki pengetahuan minimal dibidang komputer dapat
dilatih dengan mudah untuk melaksanakan audit.
Kelemahan metode audit disekitar komputer adalah jika lingkungan
berubah kemungkinan sistem itu akan berubah dan perlu penyesuaian
sistem atau program-programnya, bahkan mungkin struktur data/file
sehingga auditor tidak dapat menilai/menelaah apakah sistem masih
berjalan dengan baik.
20
2. Audit melalui komputer (audit through the computer)
Dalam pendekatan audit melalui komputer (audit through the
computer) auditor melakukan pemeriksaan langsung terhadap programprogram dan file komputer pada audit sistem informasi berbasis komputer.
Auditor menggunakan komputer (software bantu) atau dengan cek logika
atau listing program (desk test on logic or program source code) untuk
menguji logika program dalam rangka pengujian, pengendalian yang ada
dalam komputer.
Pendekatan audit melalui komputer cocok dalam kondisi:
a. Sistem aplikasi komputer memproses input yang cukup besar dan
menghasilkan output yang cukup besar juga sehingga memperluas audit
untuk meneliti keabsahannya.
b. Bagian penting dari struktur pengendalian internal terdapat di dalam
komputerisasi yang digunakan.
c. Sistem logika komputer sangat komplek dan memiliki banyak fasilitas
pendukung.
d. Adanya jurang yang besar dalam melaksanakan audit secara visual,
sehingga memerlukan pertimbangan antara biaya dan manfaatnya.
Keunggulan pendekatan audit melalui komputer adalah:
a. Auditor memperoleh kemampuan yang besar dan efektif dalam
melakukan pengujian terhadap sistem komputer.
b. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.
c. Auditor dapat menilai kemampuan sistem komputer tersebut untuk
menghadapi perubahan lingkungan.
21
Kelemahan pendekatan audit melalui komputer adalah memerlukan biaya
yang besar dan tenaga yang terampil.
3. Audit dengan komputer (audit with the computer)
Dalam pendekatan audit dengan komputer (audit with the computer)
atau audit berbantuan komputer (computer assisted audit) terdapat
beberapa cara yang dapat digunakan oleh auditor dalam melaksanakan
prosedur audit:
1) Memproses/melakukan pengujian dengan sistem komputer klien itu
sendiri sebagai bagian dari pengujian pengendalian/substantif.
2) Menggunakan komputer untuk melaksanakan tugas audit yang terpisah
dari catatan klien, yaitu mengambil copy data/file dan atau program
milik klien untuk dites dengan komputer lain (di kantor auditor).
3) Menggunakan komputer sebagai alat bantu dalam audit, menyangkut:
a. Dalam pengujian program dan atau file/data yang digunakan dan
dimiliki oleh perusahaan (sebagai software bantu audit).
b. Menggunakan komputer untuk dukungan kegiatan audit, misalnya
untuk administrasi dan surat menyurat, pembuatan tabel/jadwal,
untuk sampling dan berbagai kegiatan office automation lainnya.
Kelemahan utama sistem audit dengan komputer adalah upaya dan biaya
pengembangan relatif besar.
22
2.5 Pengertian Sistem Pengendalian Internal Secara Umum
2.5.1 Pengertian Sistem Pengendalian Internal
Menurut
Mulyadi
(1998,
pp171-172)
mengemukakan,
”Sistem
Pengendalian Internal adalah suatu proses yang dijalankan oleh dewan
komisaris, manajemen dan personel lain, yang didesain untuk memberikan
keyakinan memadai tentang pencapaian tiga golongan tujuan yaitu keandalan
pelaporan keuangan, kepatuhan terhadap hukum dan peraturan yang berlaku
serta efektifitas dan efisiensi operasi. Menurut Arens dan Loebbecke yang
diterjemahkan oleh Amir Abadi Jusuf (1996, p258) mengemukakan, “Sistem
Pengendalian internal adalah suatu sistem yang terdiri dari kebijakan-kebijakan
dan prosedur-prosedur yang dirancang untuk memberikan manajemen
keyakinan memadai bahwa tujuan dan sasaran yang penting bagi satuan usaha
dapat dicapai.” Jadi Sistem Pengendalian Internal dapat disimpulkan menjadi
suatu prosedur yang dijalankan oleh seluruh struktur organisasi di dalam
perusahaan untuk mendorong dipatuhinya kebijakan manajemen sehingga
dapat meningkatkan efektifitas dan efisiensi operasional di perusahaan,
meningkatkan kehandalan data dan menjaga keamanan aset perusahaan.
2.5.2 Unsur Sistem Pengendalian Internal
Menurut Mulyadi (2001, pp164-172), unsur pokok sistem pengendalian
internal adalah struktur organisasi yang memisahkan tanggungjawab
fungsional secara tegas; sistem wewenang dan prosedur pencatatan yang
memberikan perlindungan yang cukup terhadap kekayaan, utang, pendapatan
dan biaya; praktik yang sehat dalam melaksanakan tugas dan fungsi setiap unit
23
organisasi; karyawan yang mutunya sesuai dengan tanggungjawabnya yang
dapat dijabarkan sebagai berikut:
1. Struktur Organisasi yang Memisahkan Tanggungjawab Fungsional secara
Tegas
Struktur organisasi merupakan kerangka pembagian tanggungjawab
fungsional kepada unit-unit organisasi yang dibentuk untuk melaksanakan
kegiatan-kegiatan pokok perusahaan.
Pembagian tanggungjawab fungsional dalam organisasi didasarkan pada
prinsip-prinsip berikut ini :
a. Harus dipisahkan fungsi-fungsi operasi dan penyimpanan dari fungsi
akuntansi.
b. Suatu fungsi tidak boleh diberi tanggungjawab penuh untuk
melaksanakan semua tahap suatu transaksi.
2. Sistem
Wewenang
dan
Prosedur
Pencatatan
yang
Memberikan
Perlindungan yang Cukup Terhadap Kekayaan, Utang, Pendapatan dan
Biaya
Dalam organisasi, setiap transaksi hanya terjadi atas dasar otorisasi dari
pejabat yang memiliki wewenang untuk menyetujui terjadinya transaksi
tersebut. Oleh karena itu, dalam organisasi harus dibuat sistem yang
mengatur pembagian wewenang untuk otorisasi atas terlaksananya setiap
transaksi.
Dengan demikian sistem otorisasi akan menjamin dihasilkannya dokumen
pembukuan yang dapat dipercaya, sehingga akan menjadi masukan yang
dapat dipercaya bagi proses akuntansi.
24
3. Praktik yang Sehat dalam Melaksanakan Tugas dan Fungsi Setiap Unit
Organisasi
Pembagian tanggungjawab fungsional dan sistem wewenang dan prosedur
pencatatan yang telah ditetapkan tidak akan terlaksana dengan baik jika
tidak diciptakan cara-cara untuk menjamin praktik yang sehat dalam
pelaksanaannya. Adapun cara-cara yang umumnya ditempuh oleh
perusahaan dalam menciptakan praktik yang sehat adalah :
a. Penggunaan formulir bernomor urut tercetak yang pemakaiannya harus
dipertanggungjawabkan oleh yang berwenang.
b. Pemeriksaan mendadak (surprised audit).
c. Setiap transaksi tidak boleh dilaksanakan dari awal sampai akhir oleh
satu orang atau satu unit organisasi, tanpa ada campur tangan dari orang
atau unit organisasi lain.
d. Perputaran jabatan (job rotation).
e. Keharusan pengambilan cuti bagi karyawan yang berhak.
f. Secara
periodik
diadakan
pencocokan
fisik
kekayaan
dengan
catatannya.
g. Pembentukan unit organisasi yang bertugas untuk mengecek efektivitas
unsur-unsur pengendalian internal yang lain.
4. Karyawan yang Mutunya Sesuai dengan Tanggungjawabnya
Diantara empat unsur pokok pengendalian internal tersebut di atas, unsur
mutu karyawan merupakan unsur sistem pengendalian internal yang paling
penting. Jika perusahaan memiliki karyawan yang kompeten dan jujur,
unsur pengendalian yang lain dapat dikurangi sampai batas minimum, dan
25
perusahaan tetap mampu menghasilkan pertanggungjawaban keuangan
yang dapat diandalkan.
2.5.3 Jenis-jenis Pengendalian Internal
Menurut Weber (1999, pp67-648), pengendalian internal berbasis
komputer terbagi menjadi dua:
2.5.3.1 Pengendalian Manajemen (Management Control)
Pengendalian manajemen (Management Control) adalah sistem
pengendalian internal komputer yang berlaku umum meliputi seluruh
kegiatan komputerisasi sebuah organisasi secara menyeluruh. Apabila
tidak dilakukan pengendalian ini atau pengendaliannya lemah, maka
dapat berakibat negatif terhadap aplikasi (kegiatan komputerisasi
tertentu). Pimpinan organisasi yang berwenang menentukan struktur
pengendalian. Dan dalam prakteknya pimpinan dapat mendelegasikan
kepada kepala unit komputer atau Chief of Information Officer (CIO).
Pengendalian manajemen terdiri dari pengendalian top manajemen,
pengendalian
manajemen
pengendalian
manajemen
program,
pengembangan
pengendalian
manajemen
keamanan,
sistem,
manajemen
pengendalian
sumber
pengendalian
data,
manajemen
operasional dan pengendalian manajemen jaminan kualitas yang
dijabarkan sebagai berikut:
a. Pengendalian Top Manajemen (Top Management Controls)
Pengendalian top manajemen berfungsi untuk mengontrol peranan
26
manajemen dalam perencanaan kepemimpinan dan pengawasan
fungsi sistem. Top manajemen bertanggungjawab terutama pada
keputusan jangka panjang.
b. Pengendalian
Manajemen
Pengembangan
Sistem
(System
Development Management Controls)
Pengendalian manajemen pengembangan sistem berfungsi untuk
mengontrol alternatif dari model proses pengembangan sistem
informasi sehingga dapat dipergunakan sebagai dasar pengumpulan
dan pengevaluasian bukti. Manajemen pengembangan sistem
bertanggungjawab untuk perancangan, pengimplementasian dan
pemeliharaan sistem aplikasi.
c. Pengendalian Manajemen Program (Programming Management
Controls)
Pengendalian
manajemen
pemrograman
berfungsi
untuk
mengontrol tahapan utama dari daur hidup program dan
pelaksanaan dari tiap tahap. Manajemen pemrograman bertanggungjawab untuk pemrograman sistem baru, pemeliharaan
sistem lama dan menyediakan software yang mendukung sistem
pada umumnya.
d. Pengendalian
Manajemen
Sumber
Data
(Data
Resource
Management Controls)
Pengendalian manajemen sumber data berfungsi untuk mengontrol
peranan dan fungsi dari data administrator atau database
administrator. Manajemen sumber data bertanggungjawab untuk
27
perancangan, perencanaan dan masalah kontrol dalam hubungannya
dengan pengguna data organisasi.
e. Pengendalian Manajemen Keamanan (Security Administration
Management Controls)
Pengendalian internal terhadap manajemen keamanan (security
management controls) dimaksudkan untuk menjamin agar aset
sistem informasi tetap aman. Aset sistem informasi mencakup aset
fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak
berwujud (aset logikal, misalnya data/informasi dan program
aplikasi komputer).
f. Pengendalian Manajemen Operasional (Operations Management
Controls)
Pengendalian manajemen operasional berfungsi untuk meyakinkan
bahwa pengoperasian sehari-hari dari fungsi sistem informasi
diawasi dengan baik. Pengendalian manajemen operasional
bertanggungjawab terhadap hal-hal sebagai berikut:
1. Operasional Komputer (Computer Operation)
2. Operasional Jaringan (Network Operation)
3. Persiapan dan Pengentrian Data (Preparation and Entry Data)
4. Pengendalian Produksi (Production Control)
g. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance
Management Controls)
Kebijakan tentang quality assurance ini menyangkut masalah
kepedulian dan komitmen pimpinan terhadap aspek mutu atau
28
kualitas jasa informasi yang mereka berikan kepada para
penggunanya. Pembangunan komputerisasi yang baik, berkaitan
dengan segala hal yang mencakup kegiatan pengembangan sistem,
implementasi, pengoperasian dan perawatan sistem aplikasi, apakah
kegiatan-kegiatan tersebut sungguh-sungguh telah dilakukan sesuai
dengan kaidah standar yang telah ditetapkan dan apakah informasi
yang akan dihasilkan dapat mencapai tujuan serta sasaran hasil yang
dikehendaki.
Menurut Gondodiyoto (2003, pp127-129), terdapat satu penambahan
teori pada pengendalian umum yaitu:
h. Pengendalian Manajemen Sistem Informasi (Information System
Management Controls)
Manajemen pada fungsi atau unit sistem informasi mempunyai
tugas
untuk
pengorganisasian
melakukan
fungsi
(organizing),
perencanaan
pengarahan
(planning),
(actuating),
dan
pengendalian (controlling) yang biasanya disingkat menjadi POAC.
2.5.3.1.1Pengendalian Manajemen Keamanan (Security Management
Controls)
Menurut Weber (1999, pp 257-266) dapat disimpulkan bahwa
pengendalian manajemen keamanan bertanggungjawab atas
keamanan aset sistem informasi.
Ancaman utama terhadap keamanan aset sistem informasi,
29
antara lain :
1. Ancaman kebakaran
Kebakaran merupakan ancaman serius terhadap keamanan
sistem informasi yang paling sering terjadi.
Beberapa cara untuk mengatasi ancaman kebakaran antara
lain:
a. Memiliki alarm kebakaran otomatis dan manual yang
diletakkan pada tempat yang strategis dan di mana asetaset sistem informasi berada.
b. Memiliki tabung kebakaran yang diletakkan pada lokasi
yang mudah dijangkau.
c. Memiliki pintu atau tangga darurat yang ditandai dengan
jelas dan dapat digunakan dengan mudah oleh karyawan.
d. Prosedur pemeliharaan gedung yang baik menjamin
tingkat polusi rendah di sekitar aset sistem informasi
yang bernilai tinggi. Contoh : Ruang komputer
dibersihkan secara teratur dan kertas untuk printer
diletakkan di ruang yang terpisah.
2. Ancaman banjir
Beberapa pelaksanaan pengamanan untuk ancaman banjir :
a. Jika memungkinkan memiliki atap, dinding dan lantai
yang tahan air.
b. Menempatkan alarm pada tempat yang strategis di mana
material aset sistem informasi diletakkan.
30
c. Menempatkan aset sistem informasi pada tempat yang
tinggi.
d. Menutup peralatan hardware dengan bahan yang tahan
air ketika tidak digunakan.
3. Perubahan tegangan sumber energi
Untuk mengantisipasi perubahan tegangan sumber energi
dapat menggunakan peralatan yang menstabilkan tegangan
listrik seperti stabilizer ataupun UPS yang mampu
mengatasi tegangan listrik yang naik turun.
4. Kerusakan struktural
Kerusakan struktural terhadap aset sistem informasi dapat
terjadi karena adanya gempa, angin dan salju.
Pengamanan yang dapat dilakukan untuk mengantisipasi
kerusakan
struktural
yaitu
dengan
memilih
lokasi
perusahaan yang jarang terjadi gempa dan angin ribut.
5. Polusi
Beberapa pelaksanaan pengamanan untuk mengatasi polusi:
a. Membersihkan ruangan kantor secara rutin sehingga
kantor bebas dari debu.
b. Melarang
karyawan
membawa
atau
minuman di dekat peralatan komputer.
c. Mengosongkan tong sampah secara rutin.
meletakkan
31
6. Penyusup
Pelaksanaan pengamanan untuk mengantisipasi penyusup
dapat
dilakukan
dengan
penempatan
penjaga
dan
penggunaan alarm.
7. Virus dan Worm
Pelaksanaan pengamanan untuk mengantisipasi virus:
a. Tindakan preventif, seperti menginstall anti virus dan
mengupdate secara rutin, menscan file yang akan
digunakan.
b. Tindakan detektif, melakukan scan secara rutin.
c. Tindakan korektif, memastikan back-up data bebas dari
virus dengan menggunakan anti virus terhadap file yang
terinfeksi.
8. Penggunaan yang salah terhadap software, data dan jasa
komputer.
Perusahaan dapat menderita kerugian karena software, data
dan jasa pelayanan yang mereka miliki disalahgunakan.
9. Hacking
Beberapa pelaksanaan pengamanan untuk mengantisipasi
hacking :
a. Penggunaan
kontrol
logikal
seperti
penggunaan
password yang sulit untuk ditebak.
b. Memonitor sistem yang digunakan secara teratur.
32
Kemungkinan terjadinya bencana tetap ada, oleh karena itu
pengendalian akhir yang dapat dilakukan untuk mengurangi
kerugian atas ancaman keamanan adalah dengan melakukan :
a. Rencana pemulihan apabila terjadi bencana
Rencana pemulihan ini terdiri dari empat bagian yaitu:
1. Rencana darurat (Emergency plan)
Rencana darurat (Emergency plan) merupakan tindakan
khusus yang akan dilakukan segera setelah terjadinya
bencana.
2. Rencana back-up (Back-up plan)
Rencana
back-up
berisi
jangka
waktu
back-up
dilakukan, prosedur untuk melakukan back-up, letak
perlengkapan back-up dan karyawan yang bertanggungjawab untuk melakukan kegiatan back-up ini.
3. Rencana pemulihan (Recovery plan)
Rencana pemulihan merupakan kelanjutan dari rencana
back-up karena rencana ini adalah kegiatan yang
dilakukan agar sistem informasi dapat berjalan seperti
biasa.
4. Rencana pengujian (Test plan)
Rencana pengujian berfungsi untuk memastikan bahwa
ketiga rencana diatas yaitu rencana darurat, rencana
back-up, dan rencana pemulihan dapat berjalan dengan
baik.
33
b. Asuransi
Asuransi
dapat
digunakan
untuk
mengurangi
biaya
kerusakan yang terjadi akibat bencana. Perusahaan dapat
mengasuransikan bangunan, peralatan, file/data dan suratsurat berharga.
2.5.3.1.2 Pengendalian
Manajemen
Operasional
(Operations
Management Controls)
Menurut Weber (1999, pp288-320), pengendalian manajemen
operasional bertanggungjawab terhadap hal-hal sebagai berikut:
1. Operasional Komputer (Computer Operations)
Tipe pengendalian yang harus dilakukan:
a. Menentukan
operator
fungsi-fungsi
komputer
yang
maupun
harus
fasilitas
dilakukan
operasional
otomatis.
b. Menentukan
penjadwalan
kerja
pada
pemakaian
hardware/software.
c. Menentukan perawatan terhadap hardware agar dapat
berjalan dengan baik.
d. Pengendalian perangkat keras berupa hardware controls.
2. Operasional Jaringan (Network Operations)
Pengendalian yang dilakukan adalah seperti memonitor dan
memelihara jaringan dan pencegahan terhadap akses oleh
pihak yang tidak berwenang.
34
3. Persiapan dan Pengentrian Data (Preparation and Entry
Data)
Secara umum, semua data untuk aplikasi sistem dikirim ke
bagian persiapan data untuk diketik dan diverifikasi sebelum
dimasukkan ke dalam sistem komputer. Fasilitas-fasilitas
yang ada harus dirancang untuk memiliki kecepatan dan
keakuratan data serta telah dilakukan pelatihan terhadap
pengentri data.
4. Pengendalian Produksi (Production Control)
Fungsi yang harus dilakukan untuk pengendalian produksi
adalah:
a. Penerimaan dan pengiriman input dan output.
b. Penjadwalan kerja.
c. Manajemen pelayanan.
d. Penetapan harga.
e. Peningkatan pemakaian komputer.
2.5.3.2 Pengendalian Aplikasi (Application Controls)
Pengendalian khusus atau pengendalian aplikasi (application
controls) adalah sistem pengendalian internal komputer yang berkaitan
dengan pekerjaan atau kegiatan tertentu yang telah ditentukan (setiap
aplikasi
berbeda
karakteristik
dan
kebutuhan
pengendaliannya).
Pengendalian aplikasi terdiri dari pengendalian batasan sistem aplikasi,
pengendalian masukan, pengendalian proses, pengendalian keluaran,
35
pengendalian database, dan pengendalian komunikasi yang dapat
dijabarkan sebagai berikut:
1. Pengendalian batasan sistem aplikasi (boundary controls)
Mengendalikan sifat dan fungsi pengendalian akses, penggunaan
pengkodean dalam pengendalian akses, nomor identifikasi personal
(PIN), digital signatures dan plastic cards.
Tujuan dari pengendalian batasan sistem aplikasi adalah:
a) Untuk menetapkan identitas dan otoritas user terhadap sistem
komputer.
b) Untuk menetapkan identitas dan kebenaran sumber informasi
yang akan digunakan user.
c) Untuk membatasi kegiatan user dalam mendapat sumber
informasi berdasarkan kewenangan.
Jenis-jenis pengendalian dalam subsistem batasan, yaitu:
a) Pengendalian Kriptografi
Kriptografi merupakan sistem untuk mentransformasikan data
menjadi kode (cryptograms) sehingga tidak memiliki arti bagi
yang tidak memiliki sistem untuk mengubah kembali data
tersebut. Tujuannya untuk menjaga kerahasiaan informasi dengan
mengacak data.
Terdapat tiga teknik kriptografi yaitu :
1. Transposition ciphers
Transposition ciphers menggunakan beberapa aturan untuk
mengubah karakter menjadi rangkaian kata. Penggunaan
36
teknik ini adalah untuk mengamankan data dari pemakai
biasa, jika integritas data merupakan hal yang sangat penting
maka sebaiknya tidak menggunakan metode ini.
2. Substitution ciphers
Substitution ciphers tetap mempertahankan posisi karakter
yang ada pada pesan tetapi menyembunyikan identitas
karakter yang asli dengan cara menggunakan karakter
pengganti sesuai dengan aturan yang telah ditetapkan.
3. Product ciphers
Product ciphers menggunakan gabungan antara metode
transposition dan substitution dengan tingkat kesulitan yang
lebih tinggi untuk dipecahkan.
b) Pengendalian Akses
Pengendalian akses berfungsi untuk membatasi penggunaan
sumber daya sistem komputer, membatasi dan memastikan user
untuk mendapatkan sumber daya yang mereka butuhkan.
Langkah-langkah umum untuk menunjang fungsi tersebut, yaitu:
1) Mengesahkan user yang telah mengidentifikasikan dirinya ke
sistem.
2) Mengesahkan sumber daya yang diminta oleh user.
3) Membatasi aktivitas yang dilakukan oleh user terhadap
sistem.
37
Fungsi Mekanisme Pengendalian Akses
Mekanisme pengendalian akses memproses permintaan user
melalui tiga tahap yaitu:
1) User mengidentifikasikan dirinya untuk mengidentifikasikan
bahwa user sungguh-sungguh melakukan permintaan terhadap
sistem.
2) User mengautentifikasikan dirinya, begitu juga dengan
mekanisme.
3) User meminta sumber daya khusus dan menjelaskan tindakan
yang akan mereka lakukan terhadap sumber daya khusus
tersebut.
User X
Name, Account
number
Access
control
mechanism
User X
Identified user
Identification data
Authentication data
Authorization data
a. Identification Process
Access
control
User X
Remembered Information
mechanism Valid/Invalid
Possessed objects
user
Personal characteristics
b. Authentication Process
User X
Identification data
Authentication data
Authorization data
38
User X
User X
Access
control
Object resources
mechanism
Action requests
Permitted/Denied
actions
Identification data
Authentication data
Authorization data
c. Authorization Process
Gambar 2.1 Identification, Authentication and Authorization Process
Sumber: Information System Control and Audit (Weber, 1999)
(1) Identifikasi dan Autentikasi
User mengidentifikasi dirinya pada mekanisme pengendalian
akses dengan memberi informasi seperti nama atau nomor
rekening. Informasi tersebut memungkinkan mekanisme untuk
menentukan bahwa data yang masuk sesuai dengan informasi
pada file autentikasi.
Terdapat tiga bagian yang dapat diisi oleh user untuk
informasi autentikasi yaitu:
Pembagian informasi
Informasi
yang Nama, tanggal lahir, no.account,
mudah diingat
Benda-benda
Contoh
password, PIN
yang Badge, finger ring, kunci kartu
dimiliki
Karakteristik pribadi
S
Sidik jari, suara, ukuran tangan,
tanda tangan, pola retina
39
Setiap
bagian
memiliki
kelemahan
masing-masing.
Permasalahan pada bagian informasi yang mudah diingat user
adalah lupa, akibatnya kebanyakan user memilih informasi
yang mudah ditebak atau mencatatnya disuatu tempat yang
kurang aman.
Beberapa masalah sehubungan dengan password dapat dilihat
pada tabel 2.1
1
Untuk
mengingat
password,
biasanya
user
mencatatnya di dekat komputernya
2
User memilih password yang mudah untuk ditebak,
seperti nama keluarga atau bulan kelahiran
3
User tidak mengganti password pada jangka waktu
yang lama
4
User kurang menyadari pentingnya password
5
User memberitahu passwordnya kepada teman atau
teman kerjanya
6
Beberapa mekanisme pengendalian akses meminta
user untuk mengingat beberapa password
7
Beberapa mekanisme pengendalian akses tidak
menyimpan password dengan menggunakan enkripsi
8
Password tidak diganti ketika user keluar dari
organisasi
40
9
Password ditransmisikan melalui jalur komunikasi
dalam bentuk cleartext
Tabel 2.1 Permasalahan pada Password
Sumber: Information System Control and Audit,
Weber (1999, p381)
The U.S. National Bureau of Standards (1985) dan the U.S.
Department of Defense (1985) sebagaimana dikutip oleh
Weber (1999, p382) mengusulkan langkah-langkah untuk
mengatur password.
Prinsip mengatur password dengan baik dapat dilihat pada
tabel 2.2
1
Jumlah password yang ada seharusnya dapat diterima
oleh mekanisme pengendalian akses
2
Mekanisme pengendalian akses tidak menyetujui
apabila panjang password kurang dari minimum
3
Mekanisme pengendalian akses tidak memperbolehkan
user menggunakan password yang kata-katanya mudah
dicari di kamus
4
User
diharuskan
periodik
mengganti
passwordnya
secara
41
5
User tidak diperbolehkan menggunakan kembali
password yang usianya lebih dari 12 bulan
6
Password harus dienkripsi ketika akan disimpan atau
ditransmisikan
7
User harus diberi penjelasan mengenai pentingnya
keamanan password, prosedur yang dapat digunakan
untuk memilih password yang aman, dan prosedur
untuk menjaga keamanan password
8
Password harus segera diganti apabila terdapat indikasi
bahwa password telah dikompromikan
9
Mekanisme pengendalian akses membatasi user untuk
memasukkan password yang salah
Tabel 2.2 Prinsip-prinsip Mengatur Password
Sumber: Information System Control and Audit,
Weber (1999, p382)
Contoh identifikasi dan autentikasi yang dapat dilakukan oleh
user ketika mengakses sistem diantaranya, yaitu:
a. Personal Identification Number (PIN)
PIN adalah suatu informasi yang mudah diingat dan
digunakan untuk mengautentikasi user pada sistem
transfer data elektronik.
b. Plastic Card
Plastic card dimaksudkan untuk mengidentifkasikan
42
setiap individu yang akan menggunakan sistem komputer.
c. Password
Menurut
sumber
yang
dikutip
dari
website
(www.mfgquote.com/resources_web_terms_P.cfm)
yang
diakses pada 16 September 2005 pukul 08.00 WIB,
password is a secret series of characters that enables a
user to access a file, computer or program. On multi-user
systems, each user must enter a password before the
computer will respond to commands. The password helps
ensure that unauthorized users do not access the
computer. Ideally, the password should be something that
nobody could guess.
Password adalah sekumpulan karakter rahasia yang
memungkinkan user
untuk mengakses suatu file,
komputer maupun program. Pada sistem multi-user,
masing-masing pengguna harus memasukkan password
sebelum komputer dapat meresponi perintah yang
diberikan oleh user. Password memastikan bahwa user
yang tidak memiliki otoritas, tidak dapat mengakses
komputer. Sebaiknya password adalah karakter yang tidak
diduga oleh orang lain.
(2) Sumber Daya Objek
Sumber daya yang digunakan oleh user untuk bekerja
pada sistem informasi berbasiskan komputer dapat dibagi
43
menjadi empat, yaitu:
Klasifikasi Sumber Daya
Contoh
Hardware
Terminal, printer, processor,
disk, jalur komunikasi
Software
Program
sistem
aplikasi,
generalisasi software sistem
Komoditi
Kecepatan processor, tempat
penyimpanan
Data
File,
grup,
data
item
(termasuk gambar dan suara)
Setiap sumber daya harus diberi nama karena secara
umum mekanisme pengendalian akses harus menyesuaikannya dengan permintaan user.
(3) Action Privileges (Hak Istimewa)
Action Privileges diberikan kepada user berdasarkan pada
tingkatan kewenangan user dan jenis sumber daya yang
akan digunakan.
Kebijakan Pengendalian Akses
Mekanisme pengendalian akses digunakan untuk menghasilkan
kebijakan pengendalian akses, yaitu:
44
1) Discretionary Access Control
Apabila sebuah organisasi menggunakan jenis ini, user
diizinkan untuk menentukan kepada siapakah mekanisme
pengendalian akses memberikan akses atas filenya. Dengan
demikian user dapat memilih apakah digunakan sendiri atau
akan berbagi dengan user lainnya.
2) Mandatory Access Control
Pada jenis ini baik user maupun sumber daya menggunakan
keamanan atribut yang tetap. Mekanisme pengendalian akses
menggunakan atribut tersebut untuk menentukan user
manakah yang dapat mengakses sumber daya tertentu. Hanya
system administrator yang dapat mengubah keamanan atribut
user dan sumber daya.
3) Audit Trail
Audit trail merekam semua kejadian yang berhubungan
dengan boundary system. Audit trail dapat digunakan untuk
menganalisa suatu kesalahan, selain itu dapat dijadikan bukti
ketidakefisienan dan ketidakefektifan penggunaan sumber
daya.
2. Pengendalian masukan (input controls)
Menurut Weber (1999, pp420-450) komponen pada subsistem
masukan bertanggungjawab dalam mengirimkan data dan instruksi ke
dalam sistem aplikasi dimana kedua tipe input tersebut haruslah
45
divalidasi, selain itu banyaknya kesalahan yang terdeteksi harus
dikontrol sehingga input yang dihasilkan akurat, lengkap, unik, dan
tepat waktu.
Pengendalian
masukan
sangat
diperlukan
karena
input
merupakan salah satu tahap dalam sistem komputerisasi yang paling
mengandung resiko. Resiko yang dihadapi misalnya:
a) Data transaksi yang ditulis oleh pelaku transaksi salah (error).
b) Kesalahan pengisian dengan kesengajaan disalahkan.
c) Penulisan tidak jelas sehingga dibaca salah oleh orang lain.
Komponen pengendalian masukan ada delapan, yaitu mencakup:
1. Metode Data Input
Gambar 2.2 Input Methods
Sumber: Information System Control and Audit (Weber, 1999)
2. Perancangan Dokumen Sumber
Menurut sudut pandang pengendalian, perancangan dokumen
sumber yang baik memiliki beberapa tujuan:
a. Mengurangi kemungkinan perekaman data yang error.
b. Meningkatkan kecepatan perekaman data.
46
c. Mengendalikan alur kerja.
d. Memfasilitasi pemasukan data ke dalam sistem komputer.
e. Dapat meningkatkan kecepatan dan keakuratan pembacaan
data.
f. Memfasilitasi pengecekan referensi berikutnya.
3. Perancangan Data Layar Entry
Jika data dimasukkan ke sistem melalui monitor, rancangan layar
dengan kualitas tinggi sangat penting untuk meminimumkan error
input dan mencapai keefektifan dan keefisiensian subsistem
masukan. Auditor harus melakukan penilaian terhadap layout
rancangan input pada layar komputer agar dapat membuat
penilaian terhadap efektifitas dan efisiensi subsistem input ini.
4. Pengendalian Kode Data
Tujuan kode data yang unik yaitu untuk mengidentifikasi entitas
sebagai anggota dalam grup atau set, dan lebih rapi dalam
menyusun informasi yang dapat mempengaruhi tujuan integritas
data, keefektifan serta keefisiensian.
Tipe-tipe dari sistem pengkodean adalah serial codes, block
sequence codes, hierarchical codes, association codes yang dapat
dijabarkan sebagai berikut:
a. Serial codes
Memberikan urutan nomor atau alfabet sebagai suatu obyek,
terlepas dari kelompok obyek tersebut. Maka, dapat dikatakan
bahwa serial codes secara unik mengidentifikasi suatu obyek.
47
b. Block sequence codes
Pengkodean dengan block sequence memberikan satu blok
dari nomor-nomor sebagai suatu kategori khusus dari sebuah
obyek.
c. Hierarchical codes
Hierarchical codes membutuhkan pemeliharaan serangkaian
nilai kelompok dari suatu obyek yang akan dikodekan dan
diurutkan berdasarkan tingkat kepentingannya.
d. Assosiation codes
Dengan assosiation codes, kelompok dari obyek yang akan
diberi kode dipilih, dan kode yang unik diberikan untuk
masing-masing nilai dari kelompok tersebut. Kode tersebut
dapat berupa numerik, alfabet, atau alfanumerik.
5. Cek Digit
Cek digit digunakan dalam banyak aplikasi untuk mendeteksi
kesalahan sebagai contoh: pengecekan pada tiket pesawat, proses
kartu kredit dan proses rekening bank.
6. Pengendalian Batch
Batching merupakan proses pengelompokkan transaksi bersamasama yang menghasilkan beberapa jenis hubungan antara yang
satu dengan lainnya. Ada dua jenis batch yang digunakan yaitu
batch fisik dan batch logis. Physical batches merupakan
pengelompokkan
berdasarkan
unit
fisik.
Logical
batches
merupakan grup transaksi yang dikelompokkan berdasarkan
48
logika.
7. Validasi Input Data
Data yang dimasukkan pada aplikasi harus segera divalidasi
setelah diinput. Jenis pengecekan validasi input data yaitu Field
Checks, Record Checks, Batch Checks dan File Checks.
8. Instruksi Input
Dalam memasukkan instruksi ke dalam sistem aplikasi sering
terjadi kesalahan karena adanya instruksi yang bermacam-macam
dan kompleks. Karena itu perlu menampilkan pesan kesalahan.
Pesan kesalahan yang ditampilkan harus dikomunikasikan pada
user dengan lengkap dan jelas.
3. Pengendalian proses (process controls)
Pengendalian proses dilaksanakan setelah memasuki sistem dan
program-program
aplikasi
mengolah
data.
Pengendalian
ini
dimaksudkan untuk memperoleh jaminan yang memadai bahwa:
a. Transaksi diolah sebagaimana mestinya oleh komputer.
b. Transaksi tidak hilang, ditambahkan, digandakan ataupun diubah
tidak semestinya.
c. Transaksi yang keliru ditolak, dikoreksi dan jika perlu
dimasukkan kembali secara tepat waktu.
4. Pengendalian keluaran (output controls)
Menurut Weber (1999, p615), subsistem output menyediakan
49
fungsi yang menentukan isi dari data yang akan didistribusikan
kepada user, cara-cara data dibentuk dan ditampilkan ke user dan
cara-cara data dipersiapkan dan dikirimkan ke user.
Komponen utama dari sistem output adalah software dan
personil yang menentukan isi, bentuk dan jangka waktu dari data
yang disediakan bagi user dan peralatan hardware yang digunakan
untuk menyalurkan data output yang telah terbentuk ke user (seperti
printer dan monitor).
Pengendalian keluaran digunakan untuk memastikan bahwa data yang
diproses tidak mengalami perubahan yang tidak sah oleh personil
yang mengoperasi komputer dan memastikan hanya personil yang
berwenang saja yang menerima output.
Pengendalian keluaran yang dapat dilakukan berupa :
a. Mencocokkan data output dengan data input yang diperoleh
dalam siklus pemrosesan.
b. Mereview data output untuk melihat format yang tepat.
c. Mengendalikan data input yang ditolak oleh komputer selama
pemrosesan dan mendistribusikan data yang ditolak tersebut ke
personil yang tepat.
d. Mendistribusikan laporan-laporan output ke departemen pemakai
tepat pada waktunya.
5. Pengendalian database (database controls)
Subsistem database berfungsi untuk mendefinisikan, membuat,
50
membaca, mengubah dan menghapus data pada sistem informasi.
Selain itu, subsistem database menyimpan data-data yang akan
digunakan
bersama-sama
oleh
pemakai
database
sehingga
pengendalian database sangat diperlukan untuk menjaga integritas
data dalam database.
6. Pengendalian komunikasi (communication controls)
Subsistem komunikasi bertanggungjawab untuk mengirim data ke
seluruh sistem lainnya dalam suatu sistem dan untuk mengirim data
dari sistem lainnya. Dalam hal ini pengendalian komunikasi bertujuan
untuk mengurangi kerugian dari kegagalan pada komponenkomponen subsistem dari kegiatan yang disengaja dengan tujuan
untuk merusak kebenaran dan rahasia data yang sedang dikirim
melalui komponen-komponen tersebut.
2.6 Pengertian Diagram Arus Data (DFD)
Menurut McLeod (2001, p316), diagram arus data (data flow diagram), atau
DFD, adalah suatu gambaran grafis dari suatu sistem yang menggunakan sejumlah
bentuk-bentuk simbol untuk menggambarkan bagaimana data mengalir melalui suatu
proses yang saling berkaitan. Menurut Weber (1999, p149), DFD is a pictorial
representation of the flow of data through a system. DFD adalah suatu gambar yang
mewakili arus data melalui suatu sistem. Jadi DFD dapat disimpulkan sebagai salah
satu alat yang digunakan untuk mempresentasikan aliran data dalam suatu sistem
melalui gambar-gambar.
Download