7 BAB 2 LANDASAN TEORI 2.1 Audit Sistem Informasi 2.1.1
advertisement
BAB 2 LANDAS AN TEORI 2.1 Audit Sistem Informasi 2.1.1 Pengertian Sistem Definisi sistem menurut M ulyadi (2001,p1) merupakan sekelompok unsur yang erat berhubungan satu dengan yang lainnya, yang berfungsi bersama-sama untuk mencapai tujuan tertentu. 2.1.2 Pengertian Informasi Secara umum informasi adalah data yang sudah diolah menjadi suatu bentuk lain yang lebih berguna yaitu pengetahuan atau keterangan yang ditujukan bagi penerima dalam pengambilan keputusan, baik masa sekarang atau yang akan datang. 2.1.3 Pengertian Sistem Informasi Definisi sistem informasi menurut James O’Brien yang diterjemahkan oleh Dewi Fitriasari dan Deny Arnos Kwary (2005,p5), Sistem informasi dapat merupakan kombinasi teratur apa pun dari orang-orang, harware, software, jaringan, komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi. 7 8 2.1.4 Jenis jenis audit Jenis-jenis audit menurut Arens, Elder, dan Beasly (2006,p15) : 1. Operational audit evaluates the efficiency and efectiveness of any part of an organization’s operating procedures and methods. At the completion of any operation of an operational audit, management normally expects reccomendations for improving operations. In operational audit the reviews are not limited to accounting. They can include the evaluation of organizational structure, computer operations, production methods, marketting, and any other area in which the auditor is qualified. 2. Compliance audit is conducted to determine whether the auditee is following specific procedures, rules, or regulations set by some higher authority. A compliance audit for a private business could include : a. Determining wheteher accounting personnel are following the procedures prescribed by the company controller. b. Reviewing wage rates for compliance with minimum wage, laws or, c. Examining contractual aggrements with bankers and other lenders to be sure the company is complying with legal requirements. 3. Financial statement audit is conducted to determine whether the overall financial statements are stated in accordance with specified criteria. Normally the criteria are GAAP,, athough it is 9 common to conduct audits of financial statements prepared using the cash basis or some other basis of accounting appropiate for the organization. Pernyataan di atas diterjemahkan sebagai berikut : 1. Audit operasional mengevaluasi efektivitas dan effisiensi dari setiap bagian prosedur dan metode operasional perusahaan. Dalam setiap pelaksanaan audit operasional, management biasanya mengharapkan rekomendasi untuk meningkatkan kinerja perusahaan. Dalam audit operasional reviews tidak dibatasi dalam lingkup accounting. Dapat termasuk didalamnya evaluasi dari struktur organisasi, operasi komputer, metode produksi, marketting, dan wilayah lain dimana auditor memenuhi syarat untuk melakukan audit. 2. Audit Ketaatan dibuat untuk mememukan apakah pihak yang akan diaudit mengikuti beberapa prosedur, aturan, atau relgulasi yang telah ditetapkan oleh otoritas yang lebih tinggi kedudukannya. Compliance audit untuk bisnis privat mencakup: a. menemukan apakah personel accounting mengikuti aturan yang telah ditetapkan oleh perusahaan. b. mereview tingkat penghasilan sesuai dengan upah minimum yang ditetapkan undang.undang. c. memeriksa kontrak perusahaan dengan bank atau kreditur lainnya untuk memastikan perusahaan tersebut memenuhi persyaratan hukum yang berlaku. 10 3. Financial statement audit dilakukan untuk menemukan apakah seluruh laporan keuangan dilaporkan sesuai dengan kriteria-kriteria yang telah ditetapkan sebelumnya. Biasanya kriteria yang dipakai adalah GAAP. M eskipun dalam mengaudit laporan keuangan biasanya menggunakan basis kas atau basis lain yang merupakan aplikasi accounting dalam suatu organisasi. 2.1.5 Pengertian Audit Sistem Informasi M enurut Weber (1999,p10), Information Sys tem Auditing is the process of collecting and evaluating evidence to determine whether a computer systems safeguards assets, maintains data integrity , allows organizational goals to be achieves effectively and uses resources efficiently. Dengan kata lain, Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sistem komputer telah memenuhi tujuan untuk mengamankan asset perusahaan, menjaga integritas data dan meningkatkan efektivitas serta mendorong efisiensi dalam penggunaan sumber daya. 2.1.6 Tujuan Audit Sistem Informasi M enurut Weber (1999, p11) tujuan dari audit sistem informasi lebih ditekankan pada beberapa aspek penting, yaitu pemeriksaan dilakukan untuk dapat menilai keempat tujuan dibawah ini, yaitu: 11 1. Assets safeguarding objectives The information system asstes of an organization include hardware, software, facilities, people (knowledge), data files, system documentation, and supplies. Like all asstes, they must be protected by a system of internal control. 2. Data integrity objectives Data integrity is a fundamental concept in information systsem auditting. It is a state implying data has certain attributes ; completeness, soundness, purity, and veracity. If data integrity is not maintained, an organization no longer has a true representation of itsefl or of events. 3. System effectiveness objectives An effective information system accomplishes its objectives. Evaluating effectivenesss implies knowledge of user needs/ to evaluate whether a system reports information in a way that facilitates decision making by its users, auditors ports information in a way that facilitates decision making by its users, auditors must know the characteristic of users and the decision making environment. 4. System efficiency objectives An efficient information system uses minimum resources to achieve its required objectives. Information system consume various resources: machine time, peripherals, system software, and labor. These 12 resources are sarce, and different application systems usuually complete for their use. Pernyataan di atas diterjemahkan sebagai berikut : 1. Pengamanan Aset Asset sistem informasi suatu organisasi termasuk hardware, software, fasilitas, sumber daya manusia (skill), informasi, dokumentasi dan persediaan. Semua asset tersebut harus dilindungi dengan sistem pengendalia internal. 2. M enjaga integritas Data Integritas data dalah konsep fundamental di dalam audit sistem informasi. Ini mengemukakan bahwa data mempunyai atribut-atribut tertentu : kelengkapan, keaslian, kejujuran. Jika integritas data tidak di pertahankan maka sebuah organisasi tidak mempunyai gambarang atas keadaan perusahaan yang sebenarnya. 3. Efektifitas Sistem Sistem informasi yang effektif mebantu mencapai tujuan perusahaan. M engevaluasi efektivitas atas kebutuhan user/ untuk mengevaluasi apakah laporan yang diberikan dapat mempermudah dalam proses pengambilan keputusan oleh orang yang menggunakannya. Auditor sisstem informasi harus menemukan cara untuk memudahkan user sistem tersebut dalam mengambil keputusan. Auditor harus mengetahui karakteristik user dan lingkungan pengambilan keputusan tersebut. 13 4. Efisiensi Sistem Sistem informasi yang effisien menggunakan sumber daya yang terbatas untuk mencapai tujuannya. Sistem informasi mempergunakan beberapa sumber daya yaitu : mesin, waktu, perlengkapan, software, dan user. Sumber daya tersebut penting, dan aplikasi berbeda biasanya melengkapi untuk kebutuhan user. 2.1.7 Tahapan Audit Sistem Informasi M enurut Weber (1999, p47) ada 5 (lima) tahap dalam Audit Sistem Informasi yaitu: 1. Planning the audit Planning is the first phase of an audit. For an external auditor, this means investigating new and continuing clients to determine whether the audit engagement should be accepted, assigning appropiate staff to the audit, obtaining an engagement letter, obtaining background information on the client, understanding the client’s legal obligation and undertaking analytical review procedures to understand the client’s business better and identify areas of risk in the audit. 2. Test of controls Auditors test controls when they asess the control risk for an assertion at less the maximum level. They rely on controls as a basis for reducing more costly testing. At this stage in the audit, however, auditors do not know whether the control identified operate 14 effectively. Test of control, therefore, evaluate whether specific, material controls are, in fact, reliable. 3. Test of transaction From an attest perspective, recall auditors use tests of transaction to evaluate whether errorneous or irregular processing of a transaction has led to a material misstatement of financial information. Typical attest test of transaction include tracing journal entries to their source documents, examining price files for propriety, and testing computational accuracy. 4. Test of balances or overall results Auditor conduct test of balances or overall results to obtain sufficient evidence for making a final judgement on the extent of looses or account misstatement that occur when the information system function fails to safeguard assets, maintain data integrity, and archieve system effectiveness and efficiency. 5. Completion of the audit In the final pashe of the audit, etxernal auditors undertake severals additional tests to bring the collection of evidence to a close.they must than formulate an opinion about whether material looses or account misstatement have occured and issue a report. The proffesionals standards in many countries require one of four types of opinion be issued; a. Disclaimer of oppinion: on the basis of the audit work conducted, the auditor is unable to reach an opinion. 15 b. Adverse opinion: the auditor concludes the material losses have occured or that the financial statements are materiality mistated. c. Qualified opinion : the auditor concludess that material losses have occured or that the financial statements are misstated but that the amoubnts are not material. d. Unqualified opinion. : the auditor belives that no material losses or account mistatement have occured. Pernyataan di atas diterjemahkan sebagai berikut : 1. Perencanaan Audit (Planning the audit) Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini berarti melakukan investigasi terhadap klien untuk mengetahui apakah penugasan audit (audit engagement) dapat diterima, menempatkan staf audit, mendapatkan surat penugasan, mendapatkan informasi mengenai latar belakang klien, memahami informasi mengenai kewajiban hukum klien dan melakukan analisa terhadap prosedur yang ada untuk memahami bisnis klien dan mengidentifikasi area-area yang berisiko. Pada tahap ini auditor juga harus memahami pengendalian intern organisasi lalu menentukan tingkat risiko pengendalian yang berhubungan dengan setiap segmen audit. 16 2. Pengujian Pengendalian (Tests of controls) Auditor melakukan test of controls ketika mereka menilai bahwa tingkat risiko pengendalian berada pada level kurang dari maksimum (pengendalian masih dapat dipercaya). Test of controls diarahkan kepada efektifitas pengendalian perusahaan, baik dalam rancangan maupun operasinya (pelaksanaannya). Tahap ini diawali dengan fokus pada pengendalian manajemen (management controls), jika pengendalian manajemen dinilai beroperasi secara tidak handal, maka auditor hanya akan melakukan sedikit pengujian pada pengendalian aplikasi (application controls). Namun jika auditor menemukan kelemahan yang serius pada pengendalian manajemen maka auditor akan memberikan opini tidak wajar (adverse opinion) terhadap pengendalian yang ada di dalam perusahaan atau melakukan pengujian substantif (substantive test) atas transaksi dan pengujian keseimbangan dan hasil keseluruhan (balances or overall result). Jika auditor menyatakan pengendalian manajemen telah beroperasi secara memadai, maka auditor akan melakukan evaluasi terhadap kehandalan pengendalian aplikasi dengan menelusuri jenis-jenis materialitas dari transaksi melalui masing-masing pengendalian yang dijalankan pada subsistem pengendalian aplikasi. 3. Pengujian Transaksi (Tests of transaction) Auditor menggunakan pengujian ini untuk mengevaluasi apakah kesalahan atau pemrosesan yang keliru terhadap transaksi telah mengarah pada kesalahan yang material pada pernyataan laporan 17 keuangan. Pengujian pembuktian ini mencakup penelusuran terhadap jurnal hingga ke dokumen sumbernya, menguji kebenaran data, dan menguji akurasi perhitungan. Jika hasil pengujian transaksi mengindikasikan terjadi kehilangan atau kesalahan pencatatan yang material maka auditor dapat mengembangkan tingkat pengujiannya dengan melakukan test of balances or overall result untuk mendapatkan estimasi yang lebih baik terhadap kehilangan / kesalahan pencatatan. 4. Tests of balances or overall results Auditor melakukan pengujian ini untuk memperoleh bukti yang cukup dalam membuat penilaian akhir (final judgement) mengenai tingkat kehilangan atau kesalahan pencatatan yang terjadi ketika fungsi sistem informasi gagal melindungi aset, memelihara integritas data, mencapai efektifitas dan efisiensi sistem informasi. 5. Completion of the audit Tahap ini merupakan tahap akhir dari tahapan audit sistem informasi. Pada tahap ini auditor merumuskan opininya terhadap kehilangan material dan kesalahan pencatatan yang terjadi sekaligus membuat rekomendasi untuk manajemen yang nantinya disajikan pada laporan audit. 18 2.1.8 S tandar Audit M enurut Information System Audit and Control Association (ISACA), Standar Audit adalah sebagai berikut : S1 Audit Charter The purpose, responsibility, authority and accountability of the information systems audit function or information systems audit assignments should be appropriately documented in an audit charter or engagement letter. S2 Independence 03 Profesional Independence In all matters related to the audit, the IS auditor should be independent of the auditee in both attitude and appearance. 04 Organiational Independence The IS audit function should be independent of the area or activity being reviewed to permit objective completion of the audit assignment. S3 Proffesional Ethics and Standards 03 Code of professional Ethics The IS auditor should adhere to the ISACA Code of Professional Ethics. 04 Due Profesional Care The IS auditor should exercise due professional care, including observance of applicable professional auditing standards. 19 S4 Competence 03 The IS auditor should be professionally competent, having the skills and knowledge to conduct the audit assignment. 04 The IS auditor should maintain professional competence through appropriate continuing professional education and training. S5 Planning 03 The IS auditor should plan the information systems audit coverage to address the audit objectives and comply with applicable laws and professional auditing standards. 04 The IS auditor should develop and document a risk-based audit approach. 05 The IS auditor should develop and document an audit plan detailing the nature and objectives, timing and extent, and resources required. 06 The IS auditor should develop an audit program and procedures. S6 Performance of Audit Work 03 Supervision-IS audit staff should be supervised to provide reasonable assurance that audit objectives are accomplished and applicable professional auditing standards are met. 04 Evidence-During the course of the audit, the IS auditor should obtain sufficient, reliable and relevant evidence to achieve the audit objectives. The audit findings and conclusions are to be supported by appropriate analysis and interpretation of this evidence. 05 Documentation-The audit process should be documented, 20 describing the audit work and the audit evidence that supports the IS auditor's findings and conclusions. S7 Reporting 03 The IS auditor should provide a report, in an appropriate form, upon completion of the audit. The report should identify the organisation, the intended recipients and any restrictions on circulation. 04 The audit report should state the scope, objectives, period of coverage and the nature, timing and extent of the audit work performed. 05 The report should state the findings, conclusions and recommendations and any reservations, qualifications or limitations in scope that the IS auditor has with respect to the audit. 06 The IS auditor should have sufficient and appropriate audit evidence to support the results reported. 07 When issued, the IS auditor's report should be signed, dated and distributed according to the terms of the audit charter or engagement letter. S8 Follow Up Activities 03 After the reporting of findings and recommendations, the IS auditor should request and evaluate relevant information to conclude whether appropriate action has been taken by management in a timely manner. 21 S9 Irregularities and Illegal Acts 03 In planning and performing the audit to reduce audit risk to a low level, the IS auditor should consider the risk of irregularities and illegal acts. 04 The IS auditor should maintain an attitude of professional skepticism during the audit, recognising the possibility that material misstatements due to irregularities and illegal acts could exist, irrespective of his/her evaluation of the risk of irregularities and illegal acts. 05 The IS auditor should obtain an understanding of the organisation and its environment, including internal controls. 06 The IS auditor should obtain sufficient and appropriate audit evidence to determine whether management or others within the organisation have knowledge of any actual, suspected or alleged irregularities and illegal acts. 07 When performing audit procedures to obtain an understanding of the organisation and its environment, the IS auditor should consider unusual or unexpected relationships that may indicate a risk of material misstatements due to irregularities and illegal acts. 08 The IS auditor should design and perform procedures to test the appropriateness of internal control and the risk of management override of controls. 22 09 When the IS auditor identifies a misstatement, the IS auditor should assess whether such a misstatement may be indicative of an irregularity or illegal act. If there is such an indication, the IS auditor should consider the implications in relation to other aspects of the audit and in particular the representations of management. 10 The IS auditor should obtain written representations from management at least annually or more often depending on the audit engagement 11 If the IS auditor has identified a material irregularity or illegal act, or obtains information that a material irregularity or illegal act may exist, the IS auditor should communicate these matters to the appropriate level of management in a timely manner. 12 If the IS auditor has identified a material irregularity or illegal act involving management or employees who have significant roles in internal control, the IS auditor should communicate these matters in a timely manner to those charged with governance. 13 The IS auditor should advise the appropriate level of management and those charged with governance of material weaknesses in the design and implementation of internal control to prevent and detect irregularities and illegal acts that may have come to the IS auditor’s attention during the audit. 14 If the IS auditor encounters exceptional circumstances that affect the IS auditor’s ability to continue performing the audit because of a material misstatement or illegal act, the IS auditor should 23 consider the legal and professional responsibilities applicable in the circumstances, including whether there is a requirement for the IS auditor to report to those who entered into the engagement or in some cases those charged with governance or regulatory authoritiesor consider withdrawing from the engagement. 15 The IS auditor should document all communications, planning, results, evaluations and conclusions relating to material irregularities and illegal acts that have been reported to management, those charged with governance, regulators and others. S10 IT Governance 03 The IS auditor should review and assess whether the IS function aligns with the organisation’s mission, vision, values, objectives and strategies. 04 The IS auditor should review whether the IS function has a clear statement about the performance expected by the business (effectiveness and efficiency) and assess its achievement. 05 The IS auditor should review and assess the effectiveness of IS resource and performance management processes. 06 The IS auditor should review and assess compliance with legal, environmental and information quality, and fiduciary and security requirements. 07 A risk-based approach should be used by the IS auditor to evaluate the IS function. 24 08 The IS auditor should review and assess the control environment of the organisation. 09 The IS auditor should review and assess the risks that may adversely effect the IS environment. S11 Use of Risk Assessment in Audit Planning 03 The IS auditor should use an appropriate risk assessment technique or approach in developing the overall IS audit plan and in determining priorities for the effective allocation of IS audit resources. 04 When planning individual reviews, the IS auditor should identify and assess risks relevant to the area under review. S12 Audit Materiality 03 The IS auditor should consider audit materiality and its relationship to audit risk while determining the nature, timing and extent of audit procedures. 04 While planning for audit, the IS auditor should consider potential weakness or absence of controls and whether such weakness or absence of control could result into significant deficiency or a material weakness in the information system. 05 The IS auditor should consider the cumulative effect of minor control deficiencies or weaknesses and absence of controls to translate into significant deficiency or material weakness in the information system. 25 06 The report of the IS auditor should disclose ineffective controls or absence of controls and the significance of the control deficiencies and possibility of these weaknesses resulting in a significant deficiency or material weakness. S13 Using the Work of Other Experts 03 The IS auditor should, where appropriate, consider using the work of other experts for the audit. 04 The IS auditor should assess and be satisfied with the professional qualifications, competencies, relevant experience, resources, independence and quality control processes of other experts, prior to engagement. 05 The IS auditor should assess, review and evaluate the work of other experts as part of the audit and conclude the extent of use and reliance on expert’s work. 06 The IS auditor should determine and conclude whether the work of other experts is adequate and complete to enable the IS auditor to conclude on the current audit objectives. Such conclusion should be clearly documented. 07 The IS auditor should apply additional test procedures to gain sufficient and appropriate audit evidence in circumstances where the work of other experts does not provide sufficient and appropriate audit evidence. 26 08 The IS auditor should provide appropriate audit opinion and include scope limitation where required evidence is not obtained through additional test procedures. S14 Audit Evidence 03 The IS auditor should obtain sufficient and appropriate audit evidence to draw reasonable conclusions on which to base the audit results. 04 The IS auditor should evaluate the sufficiency of audit evidence obtained during the audit. S15 IT Controls 03 The IS auditor should evaluate and monitor IT controls that are an integral part of the internal control environment of the organisation. 04 The IS auditor should assist management by providing advice regarding the design, implementation, operation and improvement of IT controls. S16 E-commerce 03 The IS auditor should evaluate applicable controls and assess risk when reviewing e-commerce environments to ensure that ecommerce transactions are properly controlled. 27 Standar-standar di atas diterjemahkan sebagai berikut : S1 Audit Charter Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit system informasi atau penilaian audit system harus didokumentasikan dalam audit charter atau engagement letter. S2 Independence 03 Professional independen : Dalam setiap hal yang berkaitan dengan audit, auditor SI harus independent terhadap pihak yang akan diaudit. 04 Organizational independen: Fungsi audit SI harus independent dalam wilayah atau aktivitas yang sedang direview untuk menyelesaikan audit. S3 Proffesional Ethics and Standards 03 Auditor SI harus menjaga kempetensi professional melalui pelatihan dan pembelajaran professional secara berkelanjutan. 04 Auditor si harus secara professional mampu, mempunyai keahlian dan kemampuan untuk melakukan tugas audit. S4 Competence 03 Auditor Si harus menjaga profesionalitas, mencakup ketaatan yang berlaku dalam standar audit professional. 04 Auditor Si harus mematuhi ISACA Code of Professional Ethics. S5 Planning 03 Auditor SI harus merencanakan perencanaan audit sistem informasi 28 untuk menempatkan tujuan audit dan untuk melengkapi hukum dan standar auditing profesional yang berlaku. 04 Auditor SI harus mengembangkan dan mendokumentasikan sebuah pendekatan audit berbasis risiko. 05 Auditor SI harus mengembangkan dan mendokumentasikan rencana audit dengan rincian sifat dan tujuan, waktu dan luas, dan sumber daya yang diperlukan. 06 Auditor SI harus mengembangkan program audit dan prosedur. S6 Performance of Audit Work 03 Pengawasan - Staff audit SI harus diawasi untuk dapat menjaminan bahwa tujuan audit yang dijalankan dan standar profesional auditing dapat terpenuhi. 04 Bukti - Selama audit, auditor SI harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan dari suatu audit. Temuan audit dan kesimpulan harus didukung oleh analisis dan interpretasi yang tepat melalui bukti ini. 05 Dokumentasi - proses audit harus didokumentasikan, menggambarkan pekerjaan dan bukti audit yang mendukung temuan dan kesimpulan auditor sistem informasi. S7 Reporting 03 Auditor SI harus memberikan laporan dalam bentuk yang tepat, setelah selesainya audit. Laporan harus mengidentifikasikan sebuah organisasi, yang dimaksudkan penerima dan semua larangan pada sirkulasi. 29 04 Laporan Audit harus berupa lingkup, tujuan, periode audit, jangka waktu dan luasnya pekerjaan audit yang dilakukan. 05 Laporan harus menyatakan temuan, kesimpulan dan rekomendasi dan setiap layanan atau kualifikasi yang diberikan auditor terhadap tugas audit yang dijalankan. 06 Auditor SI harus mempunyai bukti-bukti audit yang cukup dan tepat untuk mendukung hasil yang dilaporkan. 07 Ketika diterbitkan, laporan auditor SI harus ditandatangani, tertanggal dan didistribusikan sesuai dengan ketentuan audit charter atau surat engagement. S8 Follow Up Activities 03 Setelah melaporkan temuan dan rekomendasi, auditor SI harus meminta dan mengevaluasi informasi yang relevan untuk menyimpulkan apakah tindakan yang telah diambil oleh manajemen telah sesuai rencana dan pada jangka waktu yang tepat. S9 Irregularities and Illegal Acts 03 Dalam merencanakan dan melakukan audit untuk memperkecil resiko audit ke tingkat yang rendah, Auditor IS harus mempertimbangkan resiko penyimpangan dan tindakan illegal. 04 Auditor SI harus menjaga sikap skeptis professional dalam melakukan audit, mempertimangkan kemungkinan kesalahan akibat penyimpangan dan tindakan illegal yang muncul, 05 Auditor si harus memiliki pemahaman mengenai organisasi dan lingkungannya, meliputi control internal. 30 06 Auditor Si harus memiliki bukti audit yang cukup dan sesuai untuk menentukan apakah management atau pihak lain dalam organisasi mempunyai pengetahuan mengenai adanya dugaan penyimpangan dan tindakan illegal 07 Ketika melakukan prosedur audit untuk memperoleh pengertian mengenai organisasi dan lingkungannya. Auditor Si harus mempertimbangkan hubungan yang tidak wajar, yang mengindikasikan resiko terjadinya penyimpangan dan tindakan illegal. 08 Auditor SI harus mendesign dan melakukan prosedur untuk menguji kelayakan internal control dan resiko management mengesampingkan control. 09 Ketika auditor SI menemukan kesalahan, auditor SI harus menilai apakah kesalahan tersebut merupaka indikasi dari penyimpangan dan tindakan illegal. Jika ada indikasi terjadinya penyimpangan, auditor si harus mempertimbangkan implikasi dalam kaitannya dengan aspek audit lainnya dan terutama representasi management. 10 Auditor SI harus memperoleh representasi tertulis dari management setidaknya secara berkala atau lebih sering tergantung perjanjian audit. 31 11 Jika auditor SI telah menemukan penyimpangan atau tindakan ilegal atau menemukan informasi yang membuktkan terjadinya penyimpangan dan tindakan illegal. Auditor SI harus menyampaikan masalah ini kepada level management yang sesuai secepatnya. 12 Jika auditor SI telah menemukan penyimpangan atau tindakan ilegal yang mencakup management atau karyawan yang mempunyai peran yang besar dalam internal control, auditor SI harus menyampaikan masalah ini secepatnya kepada pihak yang berwenang dengan pemerintahan. 13 Auditor SI harus menyarankan management dan pihak berwenang mengenai kelemahan dalam design dan implementasi control internal untuk mencegah dan mendeteksi penyimpangan dan tindakan illegal yang akan menyita perhatian auditor. 14 Jika auditor si menemukan keadaan luar biasa yang memperngaruhi kemampuan auditor dalam melanjutkan audit karena kesalahan atau tindakan illegal, auditor harus mempertimbangkan tanggung jawab legal dan professional dalam keadaan tersebut. M encakup apakah ada keharusan bagi auditor si untuk melaporkan seseorang yang muncul dalam perjanjian tersebut atau dalam beberapa kasus mereka yang berwenang dengan pemerintahan atau menarik diri dari keterlibatannya. 32 15 Auditor SI harus mendokumentasikan setiap komunikasi, perencanaan, hasil, evaluasi, dan kesimplan terkait penyimpangan dan tindakan illegal yang telah dilaporkan kepada pihak management, mereka yang berwenang, regulator, dan yang lainnya. S10 IT Governance 03 Auditor SI harus mereview dan menilai apakah fungsi si sejalan dengan visi, misi, nilai, tujuan, dan strategi organisasi. 04 Auditor SI harus mereview apakah fungsi SI mempunyai pernyataan yang jelas mengenai kinerja yang diharapkan (efektivitas dan efisiensi) dan menilai pencapaiannya. 05 Auditor SI harus mereview dan menilai evektivitas sumber daya SI dan proses kinerja management. 06 Auditor SI harus mereview dan menilai kepatuhan terhadap hukum, lingkungan dan kualitas informasi , dan persyarata keamanan. 07 Pendekatan berbasis resiko harus digunakan oleh auditor SI untuk mengevaluasi fungsi SI. 08 Auditor SI harus mereview dan menilai kontrol lingkungan dari organisasi. 09 Auditor si harus mereview dan menilai resiko yang mungkin mempengaruhi lingkungan SI. S11 Use of Risk Assessment in Audit Planning 03 Auditor Si harus menggunakan teknik penilaian resiko yang sesuai 33 atau pendekatan dalam mengembangkan perencanaan audit secara keseluruhan dan dalam menentukan prioritas dari efektivitas pengalokasian sumber daya audit SI. 04 Ketika merencanakan review individual, auditor Si harus mengidentifikasi dan menilai resiko yang relevant yang mencakup area yang sedang direview. S12 Audit Materiality 03 Auditor SI harus mempertimbangkan materiality audit dan hubungannya dengan resiko audit ketika menentukan sifat, waktu, dan cakupan prosedur audit. 04 Ketika merencanakan audit, auditor SI harus mempertimbangkan kelemahan potensial atau tidakadanya control dan apakah kelemahan atau tidak adanya control dapat membuat kerugian signifikan atau kelemahan material dalam system informasi. 05 Auditor SI harus mempertimbangkan efek kumulatif dari kelemahan atau tidak adanya control untuk memperkirakan kerugian signifikan atau kelemahan materian dalam system informasi. 06 Laporan audit Si harus mengungkapkan ketidakefektifan control atau tidak adanya control dan kekurangan control signifikan dan kemungkinan dari kelemahan ini menghasilkan kerugian signifikan dan kelemahan material. S13 Using the Work of Other Experts 03 Auditor SI harus, dimana tepat, mempertimbangkan untuk 34 menggunakan karya para ahli lainnya untuk audit. 04 Auditor SI harus menilai dan merasa puas dengan kualifikasi profesional, kompetensi, pengalaman yang relevan, sumber daya, kemandirian dan pengendalian mutu proses ahli lain, sebelum pertunangan. 05 Auditor SI harus menilai, meninjau dan mengevaluasi kerja ahli lain sebagai bagian dari audit dan menyimpulkan tingkat penggunaan dan ketergantungan pada pekerjaan para ahli. 06 Auditor SI harus menentukan dan menyimpulkan apakah karya para ahli lain telah memadai dan lengkap untuk memberikan hak kepada auditor SI untuk menyimpulkan tujuan audit saat ini. Kesimpulan seperti itu harus secara jelas didokumentasikan. 07 Auditor SI harus menerapkan prosedur pengujian tambahan yang memadai untuk memperoleh bukti audit yang tepat di mana pekerjaan ahli lain tidak cukup untuk memberi bukti-bukti audit yang tepat. 08 Auditor SI harus memberikan opini audit yang sesuai dan mencakup ruang lingkup di mana bukti yang diperlukan tidak diperoleh melalui prosedur tes tambahan. S14 Audit Evidence 03 Auditor SI harus mendapatkan bukti-bukti audit yang cukup dan tepat untuk menarik kesimpulan yang masuk akal yang berdasarkan pada hasil audit. 35 04 Auditor SI harus mengevaluasi kecukupan bukti audit yang diperoleh selama proses audit. S15 IT Controls 03 Auditor SI harus mengevaluasi dan memonitor pengendalian IT yang merupakan bagian integral dari lingkungan pengendalian internal organisasi. 04 Auditor SI harus membantu manajemen dengan memberikan saran \ mengenai rancangan, pelaksanaan, operasi dan peningkatan pengendalian IT. S16 E-commerce 03 Auditor SI harus mengevaluasi pengedalian yang berlaku dan menilai risiko ketika meninjau lingkungan e-commerce untuk memastikan bahwa transaksi e-commerce berjalan dengan baik. 2.1.9 Prosedur Audit S istem Informasi M enurut Weber (1999, p45) ada 5 (lima) prosedur dalam Audit Sistem Informasi yaitu: 1. Procedures to obtain an understanding of control, inquiries : inquiries, inspection, and observation can be used to gain an understanding of what controls supposedly exixt, how well they have been designed, and whether they have been placed in operation. 2. Tests of control : inquiries, inspection, observation, and reperformance of control procedures can be ussed to evaluate wheteher control are operating effectively. 36 3. Substantive test of detail of transaction : these test are designed to detect dollar errors or irregularities in transaction that would affect the financeial statements. 4. Substantive test of detail of account balance : these test focus on the ending general ledger balances in the balance sheet and income statement. 5. Analytical review procedures these test focus on relationship among data items with the objective of identifying areas that require further audit work. Pernyataan di atas diterjemahkan sebagai berikut : 1. Prosedur untuk mendapatkan pemahaman tentang kontrol, pertanyaan : pertanyaan, inspeksi, dan observasi dapat digunakan untuk mendapatkan pemahaman mengenai bagaimana kontrol seharusnya bekerja, seberapa baik kontrol tersebut didesain, dan dimana kontrol tersebut digunakan dalam perusahaan. 2. Pengujian terhadap kontrol : pertanyaan, inspeksi, observasi, dan prosedur kontrol dapat digunakan untuk mengevaluasi apakah kontrol berjalan secara efektif. 3. Pengujian substantif terhadap detail transaksi : pengujian ini didesain untuk mendeteksi kesalahan atau hal-hal yang tidak wajar dalam transaksi yang dapat mempengaruhi laporan keuangan. 4. Pengujian substantif dari detail neraca : pengujian ini difokuskan keseimbangan jurnal umum di dalam neraca dan laporan keuangan. 37 5. Prosedur review analisis : pengujian ini difokuskan pada hubungan antara data dengan tujuan mengidentifikasi area yang membutuhkan proses audit lebih lanjut. 2.1.10 Teknik dan Praktek Audit S istem Informasi M enurut Gondodiyoto dan Hendarti (2006, p447) terdapat berbagai teknik pemeriksaan yang bisa diterapkan dalam melaksanakan audit. Teknikteknik pemeriksaan tersebut sering disebut dengan istilah instrumen audit. Berikut ini adalah contoh-contoh instrumen audit yang dapat digunakan pada saat pelaksanaan audit : 1. Observasi (Observation) Observasi adalah cara memeriksa dengan menggunakan panca indera terutama mata, yang dilakukan secara berkelanjutan selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah. 2. Wawancara (Interview) Wawancara merupakan teknik pemeriksaan berupa tanya-jawab secara lisan antara auditor dengan auditee untuk memperoleh bahan bukti audit. Tanya-jawab dapat dilakukan secara lisan (wawancara) atau tertulis. 3. Kuesioner (Questionaire) Teknik ini merupakan teknik pemeriksaan yang mudah dan praktis karena tertulis. Dengan metode ini, responden ditentukan, kemudian dikirim surat pengantar beserta daftar pertanyaan (Questionaire) 38 tentang hal-hal yang ditanyakan dengan pedoman pengisian dan tanggal jawab yang ditentukan. 4. Inspeksi fisik (physical inspection) Inspeksi merupakan cara memeriksa dengan memakai panca indera terutama mata, untuk memperoleh bukti atas suatu keadaan atau suatu masalah pada saat tertentu. Inspeksi merupakan usaha pemeriksa untuk memperoleh bukti-bukti secara langsung di tempat dimana keadaan atau masalah ingin dibuktikan. 5. Prosedur analisis Analisis artinya memecah atau menguraikan suatu keadaan atau masalah ke dalam beberapa bagian atau elemen dan memisahkan bagian tersebut untuk digabungkan dengan keseluruhan atau dibandingkan dengan yang lain. Dengan analisis pemeriksa dapat melihat hubungan penting antara satu unsur dengan unsur lainnya. 6. Penelaahan dokumen Pada teknik ini dilakukan penelaahan pada dokumen yang tersedia pada suatu organisasi, seperti bagan arus, bagan organisasi, manual program, manual operasi, manual referensi, notulen rapat, surat perjanjian, dan catatan-catatan historis lainnya. Jika mungkin, dokumen-dokumen penting harus ditelaah sebelum wawancara. Dokumentasi yang bermanfaat adalah diagram (flowchart / Bagan Alir) dan DFD (data flow diagram / diagram arus data). DFD menekankan pada hubungan arus data dan pemrosesan. DFD sangat sederhana dan mudah digunakan. 39 2.2. Sistem Pengendalian Intern 2.2.1 Pengertian Sistem Pengendalian Intern M enurut Weber (1999,p35), “A control is a system that prevents, detects, or correct unlawful events”. Pengendalian adalah suatu sistem untuk mencegah, mendeteksi, dan mengkoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah. M enurut M ulyadi (2001,p165), Sistem Pengendalian Intern meliputi struktur organisasi, prosedur pencatatan, tugas dan fungsi organisasi dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan kehandalan data akuntansi, mendorong efisiensi dan dipatuhinya kebijakan manajemen. 2.2.2 Alasan Perlunya Sistem Pengendalian Intern M enurut Gondiyoto, Sanyoto (2009,p136), pada sistem informasi berbasis TI, system controls menjadi semakin penting alasannya ialah antara lain : 1. Besarnya biaya dan kerugian kalau sampai data komputer hilang. 2. “Biaya yang harus dibayar” bila sampai mutu keputusan buruk akibat pengolahan data yang salah (informasi untuk bahan pengambilan keputusan salah). 3. Potensi kerugian kalau terjadi kesalahan/ penyalahgunaan komputer. 4. Nilai (investasi ) yang tinggi dalam pengadaan maupun perawatan mesin (hardware & software). 40 5. Nilai atau biaya yang tinggi yang dikeluarkan untuk pendidikan personil. 6. Biaya yang tinggi bila terjadi computer errors. 7. Perlunya dijaga privacy, mengingat di komputer tersimpan data rahasia. 8. Agar perkembangan dan pertumbukan komputerisasi dapat terkendali (controlled evaluation of computer used). 2.2.3 Tujuan dan Keuntungan Sistem Pengendalian Intern M enurut Gondiyoto (2009,p146), strong internal control tidak hanya berkaitan dengan akuntansi (financial audits dan reliabel financial reports). Sound internal control system juga terkait dengan corporate strategis, dan memberi peluang auditor intern untuk memberi sumbangan dalam pencapaian tujuan perusahaan. Tersedianya informasi yang relevan, reliable, dan tepat waktu memberikan knowledge dalam rangka effective decision-making. Selain untuk corporate objectives, pengendalian intern juga untuk melindungi assets dan untuk komunikasi. Oleh karena itu dilihat dari manajemen tujuan dedesainnya sistem pengendalian intern khusus (atau tambahan) bagi sistem berbasis komputer adalah untuk membantu manajemen dalam mencapai tujuan kontrol internal menyeluruh, termasuk kegiatan manual, mekanis, maupun yang terkait dengan Teknologi Informasi. Tujuan dirancangnya sistem pengendalian intern yang sudah mencakup ruang lingkup yang lebih luas pada hakekatnya adalah : 41 1. Pencatatan, pengolahan data dan penyajian informasi yang dapat dipercaya. 2. M engamankan aktiva perusahaan. 3. M eningkatkan efektivitas dan efisiensi operasional. 4. M endorong pelaksanaan ken=bijaksanaan dan peraturan (hukum) yang ada. Secara lebih khusus lagi terkait dengan teknologi informasi, tujuan disusunnya sistem kontrol atau pengendalian intern komputerisasi adalah untuk: 1. M eningkatkan pengamanan (improve safeguards) assets sistem informasi (data / catatan akuntansi (accountung records) yang bersifat logical assets, maupun physical assets seperti hardware, infrastructure, dan sebagainya). 2. M eningkatkan integritas data (improve data integrity) sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar. 3. M eningkatkan efektifitas sitem (improve system effectiveness). 4. M eningkatkan effisiensi sistem (improve efisiensi sistem). Ada 5 (lima) keuntungan dari sebuah pengendalian intern, yaitu : 1. Dapat memperkecil kesalahan-kesalahan dalam penyajian data akuntansi, sehingga akan menghasilkan laporan yang benar. 2. M elindungi atau membantasi kemungkinan terjadinya kecurangan dan penggelapan-penggelapan. 3. Kegiatan organisasi akan dapat dilaksanakan dengan effisien. 42 4. M endorong dipatuhinya kebijakan pimpinan. 5. Tidak memerlukan detail audit dalam bentuk pengujian substantif atas bahan bukti / data perusahaan yang cukup besar oleh akuntan publik. 2.2.4 Control Objectives for Information and related Technology (COBIT) COBIT menurut Gondiyoto (2009,p181) merupakan a set of best practice (framework) bagi pengelolaan teknologi informasi (IT management). COBIT disusun oleh the IT Governance Institute (ITGI) dan Information System Audit and Control Asosiation (ISACA), tepatnya Information System Audit an Control Foundation’s (ISACF). COBIT adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalahmasalah teknis IT. COBIT bermanfaat bagi auditor karena merupakan tekhnik yang dapat membantu dalam identifikasi IT controls Issues. COBIT berguna bagi para IT user karenan memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manager memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya, menyusun strategic IT plan, menentukan Information Architecture, dan keputusan atas procurement mesin. Disamping itu dengan keterandalan sistem informasi yang ada pada perusahaannnya diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada. 43 2.2.5 Kriteria Kinerja COBIT M enurut Gondiyoto (2009,p164), COBIT dapat dikategorikan menjadi 7 (tujuh) criteria, yakni : Efektifitas Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu. Effisiensi M emfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal Kerahasiaan M emfokuskan proteksi terhadap informasi yang penting dari orang yang mempunyai hak otorisasi. Integritas Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis. Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang. Kepatuhan Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis. Keakuratan Berhubungan dengan ketentuan kecocokan informasi untuk Informasi manajemen mengoperasikan entitasndan mengatur pelatihan keuangan dan kelengkapan laporan pertanggung jawaban. Tabel 2.1 Kriteria Kinerja COBIT 44 2.2.6 COBIT Framework M enurut Gondiyoto (2009,p166), COBIT mendefinisikan control objectives sebagai “statement of the desired result, or purpose to be archieved by implementing control procedures in a particular control objectives”. COBIT framework terdiri dari 34 high level control objectives, dan selanjutnya dirinci ke dalam 215 detail control objectives yang dikelompokan dalam 4 domains : plan and organize, aquire and implement, deliver and support, and monitor and evaluate. 1. Perencanaan dan organisasi Yaitu mencakup pembahasan tentang identifikasi dan strategi investasi IT yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategis perlu direncanakan, dikomunikasikan, dan diatur pelaksanaannya. 2. Perolehan dan implementasi Yaitu untuk merealisasi strategi TI, pelu diatur kebutuhan TI, diidentifikasikan, dikembangkan, atau diimplementasikan secara terpadu dalam proses binsis perusahaan. 3. Penyerahan dan pendukung Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan operasional bisnis (Tingkat jasa layanan TI aktual atau service level) dan aspek urutan (prioritas implementasi dan untuk pelatihannya). 4. M onitoring 45 Yaitu semua Proses TI yang pelu dinilai secara berkala agar kualitas dan tujuan dukungan TI tercapai, dan kelengkapannya berdasarkan pada syarat kontrol internal yang baik. Empat domain pada COBIT framework tersebut selanjutnya dirinci menjadi 34 high-level control objectives : COBIT domain 1. Plan High Level Objectives and organize PO1 Define a Strategic IT Plan and direction PO2 Define the Information Architecture PO3 Determine Technological Direction PO4 Define the IT Processes, Organization and Relationships PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction PO7 Manage IT Human Resources PO8 Manage Quality PO9 Assess and Manage IT Risks PO10 Manage Projects 2. Aquire implement and AI1 Identify Automated Solutions AI2 Acquire and Maintain Application Software AI3 Acquire and Maintain Infrastructure AI4 Enable Operation and Use Technology 46 AI5 Procure IT Resources AI6 Manage Changes AI7 Install and Accredit Solutions and Changes 3. Deliver and support DS1 Define and Manage Service Levels DS2 Manage Third-party Services DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data DS12 Manage the Physical Environment DS13 Manage Operations 4. Monitor evaluate and M E1 Monitor and Evaluate IT Processes M E2 Monitor and Evaluate Internal Control M E3 Ensure Regulatory Compliance M E4 Provide IT Governance Tabel 2.2 Control Objectives pada COBIT 47 2.2.7 Pengendalian Manajemen M enurut Weber (1999,p67), management controls are important components of this overall internal control structure. 1. Top Management Controls Discusses top management’s role in planning, organizing, leading, and controlling the information system function. 2. System development management controls Provide a contingency perspective on models of the information system development process that auditors can use as a basis for evidence collection and evaluation. 3. Programming management controls Discuss the major phases in the program lifecycle and the important controls that should be excersised in each phase. 4. Data resource management control Discusses the roles of the data administrator and the database administrator and the control that should be excersised over the functions they perform. 5. Security management controls Discuss the major function performed by security administrators to identify major threats to the information systems function and to design, implement, operate, and maintain controls that reduce expected losses from these threats to an acceptable level. 6. Operations management controls 48 Discuss the major function performed by operations management to ensure the day to day operations of the information systems function are well controlled. 7. Quality assurance management control. Discuss the major functions that quality assurance management should perform to ensure that the development, implementation , operation, and maintenance of informations system confirm to quality standards.” Diterjemahkan sebagai berikut : Pengendalian manajemen (management controls) ialah sistem pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. 1. Pengendalian Top M anajemen (Top Management Controls) M engendalikan peranan manajemen dalam perencanaan kepemimpinan dan pengawasan fungsi sistem. 2. Pengendalian M anajemen Pengembangan Sistem (System Development Management Controls) M engendalikan alternatif dari model proses pengembangan sistem informasi sehingga dapat digunakan sebagai dasar pengumpulan dan pengevaluasian bukti. 49 3. Pengendalian M anajemen Pemrograman (Programming Management Controls) M engendalikan tahapan utama dari daur hidup program dan pelaksanaan dari tiap tahap. 4. Pengendalian M anajemen Sumber Data (Data Resources Management Controls) M engendalikan peranan dan fungsi dari data administrator atau database administrator. 5. Pengendalian M anajemen Keamanan (Security Administration Management Controls) M engendalikan fungsi utama dari security administrator dalam mengidentifikasi ancaman utama terhadap fungsi sistem informasi dan perancangan, pelaksanaan, pengoperasian dan pemeliharaan terhadap pengawasan yang dapat mengurangi kemungkinan kehilangan dari ancaman ini sampai pada tingkat yang dapat diterima. 6. Pengendalian M anajemen Operasi (Operation Management Controls) M engendalikan fungsi utama dari manajemen operasional untuk meyakinkan bahwa pengoperasian sehari-hari dari fungsi sistem informasi diawasi dengan baik. 7. Pengendalian M anajemen Jaminan Kualitas (Quality Assurance Management Controls) M engendalikan fungsi utama yang harus dilakukan oleh Quality Assurance M anagement meyakinkan bahwa pengembangan, 50 pelaksanaan, pengoperasian dan pemeliharaan dari sistem informasi sesuai standar kualitas. 2.2.8 Pengendalian Aplikasi M enurut Gondodiyoto (2009,p260), kontrol aplikasi terbagi atas 3 (tiga), yaitu : 1. Input Controls Input controls harus fokus pada menjaga integrity data entry dan kelengkapan (completeness and existence/occurrence, artinya tidak ada data missing, sebaiknya jangan ada data fiktif). Kontrol ini didesain untuk menjaga agar data yang diinput ke sistem komputerisasi valid, akurat, dan lengkap, dengan sistem batch maupun direct. Proses yang melibatkan manusia mengandung potensi error. Berikut ini hal-hal yang perlu mendapat perhatian: a. Source document controls b. Data coding controls c. Batch controls d. Validation controls e. Input error correction controls 2. Processing Controls Processing controls adalah tahap yang sangat penting dan menyangkut the computer processing steps inside the system, dan karena itu auditornya harus seseorang yang paham (sebaiknya CIA / CISA). 51 Hal-hal yang perlu diperhatikan antara lain: a. Run-to-run controls (during posting) b. Audit trail Controls c. Logic testing (formula, dan sebagainya) d. Authenticity tests, untuk memverivikasi bahwa akses ke sistem authentic e. Accuracy tests, untuk menjaga agar akurasi mekanis cermat f. Completeness tests, bahwa data yang diolah lengkap g. Redudancy tests, bahwa tidak terdapat duplikasi data h. Access tests, untuk menjaga agar akses hanya oleh authorized users i. Audit trail tests, sistem aplikasi menyediakan an adequate audit trail j. Rounding error tests, untuk menjaga perhitungan/pembulatannya tidak salah. 3. Output Controls Output controls didesain untuk menjaga agar keluaran yang dihasilkan oleh sistem komputerisasi tidak hilang/dibaca oleh orang yang tidak berhak atau tidak tepat sasaran, tidak akurat, tidak tepat waktu, tidak terjaga privasinya. Berikut ini hal-hal yang perlu diperhatikan: a. Batch sistem output controls b. Output spooling controls c. Print program controls d. Bursting controls e. Waste controls f. Data control group controls 52 g. Report distribution controls h. End user controls i. Real-time systems output controls 2.2.9 Penetapan Penilaian Resiko M enurut M cLeod dan Schell (2004,p214), langkah langkah dalam menentukan resiko dapat dibagi ke dalam 4 kategori: 1. Identify business assets to be protected from risks 2. Recognize the risks 3. Determine the level of impact on the firm should the risks materialize 4. Analyze the vulnerability of the firm. At the completion of risk analysis, the findings should be documented in risk analysiiis report. Content of this report should include information such as the following for each risk: 1. A description of the risk 2. Source of the risk 3. Severity of the risk 4. Control that are being applied to the risk 5. The owners of the risk 6. Recomended action to adress the risk 7. Recomended time frame for adressing the risk. Dengan kata lain, artinya : 1. mengidentifikasi aset perusahaan agar terlindungi dari resiko. 53 2. mengenali resiko. 3. menentukan dampak dari resiko tersebut terhadap perusahaan. 4. menganalisa kerentanan perusahaan. Setelah selesai dalam menganalisis resiko, hasil temuan harus didokumentasikan dalam laporan analisis resiko. Isi dari laporan tersebut harus mencakup informasi untuk setiap resiko yang dapat muncul: 1. gambaran resiko 2. sumber resiko 3. tingkat resiko 4. kontrol yang sedang diterapkan dalam pengendalian resiko 5. owner resiko 6. rekomendasi langkah untuk mengatasi resiko 7. rekomendasi jenjang waktu untuk mengatasi resiko. 2.3 Evaluasi Sistem Informasi Persediaan 2.3.1 Pengertian Persediaan M enurut Standar Akuntansi Keuangan (P SAK No. 14, hal 14.1 – IAI, 2004) : “Persediaan adalah aktiva : (a) Tersedia untuk dijual dalam kegiatan usaha normal; (b) Dalam proses produksi dan atau dalm perjalanan; atau (c) Dalam bentuk bahan atau perlengkapan (supplies) untuk digunakan dalam proses produksi atau pemberian jasa.” Definisi persediaan menurut M ulyadi (2001,p1) adalah barang yang dibeli untuk tujuan dijual kembali. 54 M enurut Stice, Stice, dan Skousen (2004,p653), kata persediaan ditujukan untuk barang-barang yang tersedia untuk dijual dalam kegiatan bisnis normal, dan dalam kasus perusahaan manufaktur, maka kata ini ditujukan untuk barang dalam proses produksi atau yang ditempatkan dalam kegiatan produksi. 2.3.2 Jenis Persediaan M enurut Stice, Stice, dan Skousen (2004,p654), jenis-jenis persediaan terbagi atas : Bahan baku (raw materials), barang dalam proses (work in process), dan barang jadi (finished goods) untuk dijual ditujukan untuk persediaan di perusahaan manufaktur. M enurut M ulyadi (2001,p553), persediaan dapat terdiri dari 5 bentuk : 1. Persediaan Produk Jadi 2. Persediaan Produk dalam Proses 3. Persediaan Bahan Baku 4. Persediaan Bahan Penolong 5. Persediaan Suku Cadang 2.3.3 Evaluasi Persediaan pada Sistem Berbasis Komputer Volume data yang banyak dalam pengelolaan persediaan dan banyaknya variasi penyajian informasi untuk keperluan manajemen menyebabkan sangat baik untuk mengaplikasikan komputer dalam sistem persediaan. Penggunaan komputer yaitu data entry terminal atau database system secara intensif akan memberikan pengendalian tepat waktu terhadap persediaan. Pengelolaan dan pengendalian persediaan merupakan bagian dari sistem 55 pengelolaan perusahaan. Kemajuan yang tercapai dalam pengelolaan data melalui komputer memungkinkan penggunaan teknik yang lebih rumit. Banyak program komputer yang tersedia yang dengan mudah dapat dipergunakan untuk memenuhi kebutuhan khusus dari perusahaan tertentu juga telah dikembangkan berbagai paket program untuk sistem persediaan perusahaan tertentu. Dalam pengembangan sebagian besar sistem persediaan yang dipergunakan adalah sistem database. Database tersebut akan mencakup banyak informasi sebagai berikut : 1. Data pelanggan M eliputi alamat, posisi kredit, banyaknya order, produk-produk yang lazim dan informasi lain. 2. Persediaan M eliputi uraian kode barang, kuantitas yang tersedia, dan pada jadwal yang mana, lama penyimpanan, lokasi penyimpanan dalam gudang, dan lain-lain. 3. Perencanaan produksi M eliputi daftar uraian barang untuk setiap jenis produk yang dihasilkan, standar waktu dan jadwal serta urutan operasi. 4. Pengendalian kualitas Yaitu pengujian yang diperlukan, hasil menurut pengalaman dan dasar pengujiannya. 5. Catatan dan data historis Yaitu memelihara sejarah tentang produksi penjualan, tingkat 56 persediaan dan data mengenai semua transaksi persediaan. 6. Laporan Yaitu catatan mengenai semua laporan yang diterbitkan dan tindakan yang telah diambil. 2.3.4 Prosedur Sistem Informasi Persediaan M enurut M ulyadi (2001,p559), ada 9 prosedur yang bersangkutan dengan sistem persediaan, yaitu : 1. Prosedur pencatatan produk jadi. Dalam prosedur ini dicatat harga pokok produk, jadi yang didebitkan ke dalam rekening Persediaan Produk Jadi dan dikreditkan ke dalam rekening Barang Dalam Proses. 2. Prosedur pencatatan harga pokok produk jadi yang dijual. Prosedur ini merupakan salah satu prosedur dalam sistem penjualan disamping prosedur lainnya, seperti : prosedur order penjualan, prosedur persetujuan kredit, prosedur pengiriman barang, prosedur penagihan, prosedur pencatatan piutang. 3. Prosedur pencatatan harga pokok produk jadi yang diterima kembali dari pembeli. Jika produk jadi yang telah dijual dikembalikan oleh pembeli, maka transaksi retur penjualan ini akan mempengaruhi persediaan produk jadi, yaitu menambah kualitas produk jadi dalam kartu gudang yang diselenggarakan oleh bagian gudang dan menambah kuantitas dan 57 harga pokok produk jadi yang dicatat oleh bagian kartu persediaan dalam kartu persediaan produk jadi. 4. Prosedur pencatatan tambahan dan penyesuaian kembali harga pokok persediaan produk dalam proses. Pencatatan produk dalam proses umumnya dilakukan oleh perusahaan pada akhir periode, pada saat dibuat laporan keuangan bulanan dan laporan keuangan tahunan. 5. Prosedur pencatatan harga pokok persediaan yang dibeli. Prosedur ini merupakan salah satu prosedur yang membentuk sistem pembelian. Dalam prosedur ini dicatat harga pokok persediaan yang dibeli. 6. Prosedur pencatatan harga pokok persediaan yang dikembalikan kepada pemasok. Jika persediaan yang telah dibeli dikembalikan kepada pemasok, maka transaksi retur pembelian ini akan mempengaruhi persediaan yang bersangkutan, yaitu mengurangi kuantitas persediaan dalam kartu gudang yang diselenggarakan oleh bagian gudang dan mempengaruhi kuantitas dan harga pokok persediaan yang dicatat oleh bagian kartu persediaan dalam kartu persediaan yang bersangkutan. 7. Prosedur permintaan dan pengeluaran barang gudang. Prosedur ini merupakan salah satu prosedur yang membentuk sistem akuntansi biaya produksi. Dalam prosedur ini dicatat harga pokok persediaan bahan baku, bahan penolong, bahan habis pakai pabrik, 58 dan suku cadang yang dipakai dalam kegiatan produksi dan kegiatan non-produksi. 8. Prosedur pencatatan tambahan harga pokok persediaan karena pengembalian barang gudang. Transaksi pengembalian barang gudang mempengaruhi biaya dan menambah persediaan barang di gudang. 9. Sistem perhitungan fisik persediaan. Dalam sistem akuntansi persediaan dengan metode mutasi persediaan, dibagian kartu persediaan diselenggarakan catatan akuntansi berupa kartu persediaan yang digunakan untuk mencatat mutasi tiap jenis persediaan yang disimpan di bagian gudang. 2.3.5 Hal yang Perlu Diperiksa Dalam Melakukan Audit Pada S istem Informasi Persediaan M enurut Gondodiyoto (2009,p280), ada 7 (tujuh) hal yang perlu diperiksa dalam melakukan audit sistem informasi persediaan, yakni : 1. Pemeriksaan fisik secara periodik. 2. Jumlah barang on hand, in transit, in storage, or on consignment dicatat dengan benar. 3. Penerimaan,mutasi, dan sebagainya dicatat dengan benar dan tepat waktu. 4. Aktivitas produksi dan harga pokok secara cermat dan cepat dicatat dan dilaporkan. 5. Penilaian persediaan sesuai standar akuntansi keuangan. 59 6. Kelebihan fisik persediaan (di atas catatan), barang rusak. Produk gagal dicatat sesuai aturan. 7. Nilai akhir persediaan dicatat dengan benar dan sesuai standar akuntansi keuangan. 2.3.6 Fungsi yang terkait a. Panitia penghitungan fisik persediaan. Panitia ini terdiri dari: • Pemegang kartu penghitungan fisik yang bertugas untuk menyimpan dan mendistribusikan kartu penghitungan fisik kepada para penghitung, melaksanakan perbandingan hasil penghitungan fisik persediaan yang telah dilaksanakan oleh penghitung dan pengecek, mencatat hasil penghitungan fisik persediaan dalam daftar hasil penghitungan fisik. • Penghitung yang bertugas melaksanakan penghitungan pertama terhadap persediaan dan mencatat hasil penghitungan tersebut kedalam bagian ketiga kartu penghitungan fisik dan menyobeknya untuk diserahkan kepada pemegang kartu penghitungan fisik. • Pengecek bertugas untuk melaksanakan penghitungan kedua terhadap persediaan yang telah dihitung oleh penghitung dan mencatatnya dalam bagian kedua kartu persediaan fisik serta menyobeknya untuk diserahkan pada pemegang kartu penghitungan fisik. 60 b. Fungsi akuntansi Fungsi ini bertanggung jawab mencantumkan harga pokok satuan persediaan yang dihitung kedalam daftar hasil penghitungan fisik, mengkalikan kuantitas dan harga pokok per satuan yang tercantum dalam daftar hasil penghitungan fisik, mencantumkan harga pokok total dalam daftar hasil penghitungan fisik, melaksanakan penyesuaian terhadap kartu persediaan berdasar data hasil penghitungan fisik persediaan, membuat bukti memorial untuk mencatat penyesuaian data persediaan dalam jurnal umum berdasar hasil penghitungan fisik persediaan. c. Fungsi gudang Bertanggung jawab untuk melaksanakan penyesuaian data jumlah persediaan yang dicatat dalam kartu gudang berdasar hasil penghitungan fisik persediaan. 2.3.7 Dokumen yang digunakan a. Bukti kas keluar Bukti kas keluar yang dilampiri dengan laporan penerimaan barang, surat order pembelian, dan faktur dari pemasok dipakai sebagai dokumen sumber dalam pencatatan harga pokok persediaan yang dibeli dalam register bukti kas keluar, bukti kas keluar juga dipakai sebagai dasar pencatatan tambahan kuantitas dan harga pokok persediaan kedalam kartu persedian. 61 b. M emo debit yang diterima dari bagian pembelian Digunakan oleh bagian kartu persediaan untuk mencatat jumlah dan harga pokok persediaan yang dikembalikan kepada pemasok kedalam kartu gudang. c. Bukti permintaan dan pengeluaran barang gudang Bukti ini digunakan oleh bagian gudang untuk mencatat pengurangan persediaan karena pemakaian intern, digunakan juga oleh bagian kartu persediaan untuk mencatat berkurangnya jumlah dan harga pokok persediaan, digunakan juga sebagai dokumen sumber dalam pencatatan pemakaian persediaan kedalam jurnal pemakaian bahan baku atau jurnal umum. d. Bukti pengembalian barang gudang Bukti ini digunakan oleh bagian gudang untuk mencatat tambahan jumlah persediaan kedalam kartu gudang, digunakan juga oleh bagian kartu persediaan untuk mencatat tambahan jumlah dan harga pokok persediaan kedalam kartu persediaan, untuk mencatat berkurangnya biaya kedalam kartu biaya dan untuk mencatat pengembalian barang gudang tersebut kedalam jurnal umum. 2.3.8 Informasi yang Diperlukan a. Laporan penerimaan barang Laporan penerimaan barang digunakan oleh bagian gudang sebagai dasar pencatatan tambahan kuantitas barang dari pembelian kedalam kartu gudang. 62 b. Laporan pengiriman barang Digunakan oleh bagian gudang untuk mencatat jumlah persediaan yang dikirimkam kembali kepada pemasok kedalam kartu gudang. c. Laporan Stock Opname Laporan perhitungan barang pada awal dan akhir periode yang dihitung, cara ini merupakan ketentuan yang harus dilakukan oleh manajemen untuk menentukan jumlah persediaan akhir. 2.3.9 Metode Pencatatan Persediaan M enurut M ulyadi (2001,p556), ada dua macam metode pencatatan persediaan : 1. M etode M utasi Persediaan (Perpetual Inventory Method) Dalam metode mutasi persediaan, setiap mutasi persediaan dicatata dalam kartu persediaan. M etode ini cocok digunakan dalam penentuan biaya bahan baku dalam perusahaan yang harga pokok produknya dikumpulkan dengan metode harga pokok pesanan. 2. M etode Persediaan Fisik (Physical Inventory Method) Dalam metode persediaan fisik, hanya tambahan persediaan dari pembelian saja yang dicatat, sedangkan mutasi berkurangnya persediaan karena pemakaian tidak dicatat dalam kartu persediaan. M etode ini cocok digunakan dalam penentuan biaya bahan baku dalam perusahaan yang harga pokok produknya dikumpulkan dengan metode harga pokok proses. 63 2.3.10 Metode Penilaian Persediaan M enurut Stice, Stice, dan Skousen (2004,p666), metode penilaian persediaan terdiri dari tiga, yaitu : 1. M etode FIFO (First In First Out) M etode First In First Out didasarkan pada asumsi bahwa unit yang terjual adalah unit yang lebih dulu masuk. FIFO dapat dianggap sebagai sebuah pendekatan yang logis dan realistis terhadap arus biaya ketika penggunaan metode identifikasi khusus adalah tidak memungkinkan atau tidak praktis. FIFO mengasumsikan bahwa arus biaya yang mendekati pararel dengan arus fisik dari barang yang terjual. 2. M etode LIFO (Last In First Out) M etode Last In First Out didasarkan pada asumsi bahwa barang yang paling barulah yang terjual. LIFO sering kali dikritik dari sudut pandang teoritis. M etode ini tidak cocok dengan arus barang yang terjadi dalam sebuah perusahaan. 3. M etode Rata-rata (Average) M etode biaya rata-rata membebankan biaya rata-rata membebankan biaya rata-rata yang sama ke tiap unit. M etode ini didasarkan pada asumsi bahwa barang yang terjual seharusnya dibebankan dengan biaya rata-rata, yaitu rata- rata tertimbang dari jumlah unit yang dibeli pada tiap harga.