BAB 2 LANDASAN TEORI 2.1. Evaluasi 2.1.1. Pengertian Evaluasi Menurut Bastian, Indra (2007: 58), komponen kunci dari penilaian kinerja organisasi adalah evaluasi efisien dan efektivitas program. Evaluasi ini akan memberikan data mengenai apakah masing-masing program akan dilanjutkan atau tidak, mempertahankan program tersebut pada tingkat yang ada, memperluas atau mengubah arah program tersebut, memasarkannya secara agresif atau tidak, dan seterusnya. Sebagian besar evaluasi program difokuskan pada hasil dan proses atau metode. Sementara evaluasi atas hasil program tersebut memperlihatkan apakah suatu proyek mencapai hasil yang direncanakan atau tidak. Evaluasi proses memperlihatkan kepada pengelola organisasi proyek internal, baik kinerja staf maupun tingkat proyek mana yang berhasil diimplementasikan. Adapun menurut Wongso, Darmanto, Ariowibowo, Dicky Rizky, Satya (2011: 2), evaluasi merupakan kegiatan yang terencana dilakukan secara berkesinambungan. Evaluasi bukan hanya merupakan kegiatan akhir atau penutup dari suatu sistem tertentu, melainkan merupakan kegiatan yang dilakukan pada permulaan, selama sistem berlangsung dan pada akhir sistem setelah sistem itu selesai. 2.2. Sistem Informasi 2.2.1. Pengertian Sistem Informasi Menurut Gondodiyoto, S (2007: 112) “sistem informasi dapat didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarkis tertentu, dan bertujuan untuk mengolah data menjadi informasi”. Adapun Menurut O’Brien (2008: 7) mendefinisikan, “Information system can be any organized combination of people, hardware, software, communication networks, and data resource that collect, transform, disseminates information in an organization”. Dengan demikian “sistem informasi adalah suatu kesatuan yang terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer dan sumber daya data yang mengumpulkan, menstransformasikan dan mendistribusikan informasi di dalam suatu organisasi”. Adapun menurut Julyandi, Nurmasari, Juni (2012: 2), sistem dan informasi dirangkai menjadi sebuah kata mempunyai pengertian yaitu suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan. Sistem informasi juga dapat didefenisikan sebagai gabungan dari berbagai sistem yang saling terkait dengan menggunakan basis data dan sumber daya secara bersama-sama. Dapat disimpulkan bahwa, sistem informasi adalah satu kesatuan yang terdiri dari elemen atau sumber daya dan jaringan kompuer yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarkis tertentu yang mengumpulkan, mentrasformasikan dan mendistribusikan informasi dalam suatu organisasi, bersifat manajerial dan menyediakan laporan-laporan yang diperlukan terhadap pihak luar tertentu. 2.2.2. Komponen Sistem Informasi Menurut Kusrini, Koniyo Andri (2007: 9), dalam suatu sistem informasi terdapat komponen – komponen sebagai berikut : 1. Perangkat keras (hardware), mencakup berbagai peranti fisik seperti komputer dan printer. 2. Perangkat lunak (software) atau program, yaitu sekumpulan intruksi yang memungkinkan perangkat keras memproses data. 3. Prosedur, yaitu sekumpulan aturan yang dipakai untuk mewujudkan pemrosesan data dan pembangkitan keluaran yang dikehendaki. 4. Orang, yaitu semua pihak yang bertanggung jawab dalam pengembangan sistem informasi, pemrosesan dan penggunaan keluaran sistem informasi. 5. Basis data (database), yaitu sekumpulan table, hubungan dan lain – lain yang berkaitan dengan penyimpanan data. 6. Jaringan komputer dan komunikasi data, yaitu sistem penghubung yang memungkinkan sumber (resources) dipakai secara bersama atau diakses oleh sejumlah pemakai. 2.2.3. Tujuan Sistem Informasi Menurut Gondodiyoto, S (2007: 124) terdapat 3 tujuan utama dari sistem informasi, yaitu : 1. Untuk mendukung fungsi kepengurusan (stewarship) manajemen. Kepengurusan merujuk ketanggungjawab manajer untuk mengatur sumber daya perusahaan secara benar. Sistem informasi menyediakan informasi tentang kegunaaan sumber daya ke pemakai eksternal melalui laporan keuangan tradisional dan laporan-laporan yang diminta lainnya. Secara internal, pihak manajemen menerima informasi kepengurusan dari berbagai laporan pertanggungjawaban. 2. Untuk mendukung pengambilan keputusan manajemen. Sistem informasi memberikan para manajer informasi mereka perlukan untuk melakukan tanggung jawab pengambilan keputusan. 3. Untuk mendukung kegiatan operasi perusahaan hari demi hari. Sistem informasi menyediakan informasi bagi personel operasi untuk membantu mereka melakukan tugas mereka setiap hari secara efektif dan efisien. 2.3. Sistem Informasi Akutansi 2.3.1. Pengertian Sistem Informasi Akuntansi Menurut Gondodiyoto, S (2007: 107) sistem informasi akuntansi adalah struktur yang menyatu dalam suatu entitas, yang menggunakan sumber daya fisik dan komponen lain, untuk merubah data transaksi keuangan/akuntansi menjadi informasi akuntansi dengan tujuan untuk memenuhi kebutuhan informasi bagi para pengguna atau pemakai (users). Adapun menurut Soudani, Siamak Nejadhosseini (2012), sistem informasi akuntansi adalah seluruh komponen terkait yang disatukan untuk mengumpulkan informasi, data mentah atau data biasa dan mengubah mereka menjadi data keuangan untuk tujuan pelaporan kepada pengambil keputusan. Serta menurut Efendi, Mukhammad Yusuf (2010: 30), sistem informasi akuntansi (SIA) adalah suatu komponen organisasi yang mengumpulkan, mengklasifikasikan, mengelolah, menganalisa, dan mengkomunikasikan informasi finansial dan pengambilan keputusan yang relevan kepada pihak diluar perusahaan (eksternal) dan pihak didalam perusahaan (internal). 2.3.2. Tujuan Sistem Informasi Akuntansi Menurut Sunarko, Jane Dorothy (2011: 37), menyatakan bahwa penyusunan sistem informasi akuntansi untuk suatu perusahaan mempunyai beberapa tujuan yang harus dipertimbangkan. Tujuan utama sistem informasi akuntansi adalah : 1. Untuk meningkatkan kualitas informasi, yaitu informasi yang tepat guna (relevance), lengkap dan terpercaya (akurat). Dengan kata lain sistem informasi akuntansi harus dengan cepat dan tepat mampu memberikan informasi yang diperlukan. 2. Untuk meningkatkan kualitas internal check atau pengendalian intern, yaitu sistem pengendalian yang diperlukan untuk mengamankan kekayaan perusahaan. Ini berarti bahwa sistem akuntansi yang disusun harus juga mengandung kegiatan pengendalian intern. 3. Untuk dapat menekan biaya-biaya tata usaha, ini berarti bahwa biaya tata usaha untuk sistem akuntansi harus seefisien mungkin dan harus jauh lebih murah dari manfaat yang akan diperoleh dari penyusunan sistem akuntansi. 2.3.3. Siklus-siklus Transaksi Sistem Informasi Akuntansi Menurut Kusrini, Koniyo Andri (2007: 11), sistem informasi akuntansi memiliki beberapa sistem bagian (sub-system) yang berupa siklus akuntansi. Siklus akuntansi menunjukan prosedur akuntansi, mulai dari sumber data sampai ke proses pencatatan/pengolahan akuntansinya. Berikut ini adalah pembagian dari siklus akuntansi : 1. Revenue Cycle Siklus pendapatan merupakan prosedur pendapatan yang dimulai dari bagian penjualan otorisasi kredit, pengambilan barang, penerimaan barang, penagihan sampai dengan penerimaan kas. 2. Expenditure Cycle Siklus pengeluaran merupakan prosedur pengeluaran yang dimulai dari proses pembelian sampai ke proses pembayaran. 3. Conversion cycle Siklus konversi merupakan siklus produksi, dimulai dari bahan mentah sampai barang jadi. 4. Human Resource Management Cycle Siklus manajemen sumber daya manusia merupakan siklus yang melibatkan proses penggajian pada karyawan. 5. General Ledger and Reporting Siklus ini berupa prosedur pencatatan dan perekaman ke jurnal dan buku besar dan pencetakan laporan keuangan yang datanya diambil dari buku besar. 2.3.4. Komponen Sistem Informasi Akuntansi Menurut Kusrini, Koniyo Andri (2007: 10), komponen-komponen yang terdapat dalam sistem informasi akuntansi adalah sebagai berikut : 1. Orang-orang yang mengoperasikan sistem tersebut. 2. Prosedur-prosedur, baik manual maupun yang terotomatisasi, yang dilibatkan dalam pengumpulan, pemprosesan dan penyimpanan data aktivitas-aktivitas organisasi. 3. Data tentang proses-proses bisnis. 4. Software yang dipakai untuk memproses data organisasi. 5. Infrastruktur teknologi informasi. 2.3.5. Karakteristik Sistem Informasi Akuntansi Menurut Gondodiyoto, S (2007: 123), karakteristik sistem informasi akuntansi ada 10 yaitu : 1) SIA bersifat mandatory, diwajibkan oleh aturan legal sebagai pelaksanaan prinsip akuntabilitas dan stewardship dari para pengurus perusahaan (direksi) kepada stakeholder. 2) SIA digunakan oleh internal maupun eksternal perusahaan. 3) SIA digunakan oleh seluruh unit dan seluruh strata manajemen, bahkan RUPS menggunakan bahan rapat dari SIA. 4) SIA mengolah data transaksi akuntansi. 5) SIA memberikan masukan - masukan, menjadi salah satu komponen penting input bagi SIM. 6) SIA dianggap lebih independen, karena disusun oleh unit netral,bukan yang langsung terlibat. 7) Berfokus pada data historis (sebagai pertanggung jawaban direksi atas kinerja tahun lalu dilihat dari aspek keuangan). Kinerja dapat diukur dengan perspektif yang lebih luas, misalnya dengan balance score card. 8) Karena bersifat pertanggungjawaban, data SIA dapat disajikan secara rinci bila perlu persatuan moneter terkecil. 9) Laporan akuntansi yang dihasilkan SIA diatur dengan aturan legal, baik aturan BAPEPAM, otoritas bursa saham, serta standar akuntansi keuangan. 10) SIA merupakan implementasi dari system pengendalian intern organisasi, pada subset CBIS lain tidak harus sebagai implementasi pengendalian intern. 2.4. Sistem Pengendalian Internal (Internal Controls) 2.4.1. Pengertian Sistem Pengendalian Internal Menurut Gondodiyoto, S (2007: 250), sistem pengendalian internal pada hakikatnya adalah suatu mekanisme yang di desain untuk menjaga (preventive), mendeteksi (detective), dan memberikan mekanisme pembetulan (corrective) terhadap potensi / kemungkinan terjadinya kesalahan (kekeliruan, kelalaian, error) maupun penyalahgunaan (kecurangan, fraud). Serta menurut Webber, Ron (1999: 35), pengendalian adalah suatu sistem untuk mencegah, mendeteksi dan mengoreksi kejadian yang timbul saat transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung radudansi, tidak efektif dan tidak efisien. Adapun menurut Dasaratha, V.Rama & Frederick, L.Jones (2009: 132), dalam buku yang berjudul Sistem Informasi Akuntansi bahwa pengendalian internal (internal control) adalah suatu proses yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang dirancang untuk organisasi mencapai suatu tujuan atau objektif tertentu dengan efektivitas dan efisiensi. Jadi dapat disimpulkan bahwa sistem pengendalian internal adalah suatu mekanisme yang digunakan untuk menjaga, mendeteksi dan memberikan mekanisme pembetulan terhadap serangkaian pemrosesan transaksi yang tidak terotorisasi secara sah dan tidak lengkap guna mencapai suatu tujuan tertentu dengan efektif dan efisien. 2.4.2. Tujuan Pengendalian Internal Menurut Gondodiyoto, S (2007: 260), tujuan disusunnya system control atau pengendalian internal komputerisasi adalah untuk : 1. Meningkatkan pengamanan (improve safeguard) aset sistem informasi (data/catatan akuntansi (accounting record) yang bersifat logical assets, maupun physical assets seperti hardware, infrastructures, dan sebagainya.) 2. Meningkatkan integritas data (improve data integrity), sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar. 3. Meningkatkan efektifitas sistem (improve system effectiveness). 4. Meningkatkan efisiensi sistem (improve system efficiency). Menurut Nafisah (2010: 116), menyatakan bahwa suatu perusahaan akan berhasil dengan baik apabila dari setiap perusahaan itu telah ditetapkan dan direncanakan oleh semua anggota yang ikut terlibat dalam suatu perusahaan baik tujuan maupun komponan-komponen yang mempengaruhi kegiatan tersebut. Adapun tujuan pengendalian intern menurut AICPA sebagai berikut: 1. Melindungi harta kekayaan perusahaan. 2. Meningkatkan akurasi informasi yang dihasilkan oleh sistem informasi yang dijalankan oleh perusahaan. 3. Meningkatkan efisiensi kinerja perusahaan sehingga dalam berbagai kegiatan dapat dilakukan penghematan. 4. Meningkatkan kepatuhan terhadap kebijakan manajemen Menurut pengertian diatas dapat diuraikan sebagai berikut : 1. Melindungi harta kekayaan perusahaan. Kekayaan perusahaan dapat berupa kekayaan yang berwujud maupun kekayaan yang tidak berwujud. Kekayaan sangat diperlukan untuk menjalankan kegiatan perusahaan. 2. Meningkatkan akurasi informasi yang dihasilkan oleh sistem informasi yang dijalankan oleh perusahaan. Informasi menjadi dasar pembuatan keputusan. Apabila informasi salah, keputusan yang diambil baik oleh manajemen maupun pihak lain dapat salah. 3. Meningkatkan efisiensi kinerja perusahaan sehingga dalam berbagai kegiatan dapat dilakukan penghematan. Efisiensi merupakan suatu perbandingan antara besarnya pengorbanan dan hasil yang diperoleh. 4. Meningkatkan kepatuhan terhadap kebijakan manajemen. Secara berkala manajemen telah menetapkan tujuan yang akan dicapai oleh perusahaan dan tujuan tersebut hanya dapat dicapai apabila semua pihak dalam perusahaan bekerja sama dengan baik. Jika dilihat dari uraian di atas mengungkapkan bahwa tujuan pengendalian intern merupakan faktor yang sangat penting dalam sebuah perusahaan juga mendukung manajemen dan pelaksanaannya, sehingga perusahaan dapat berjalan dengan semestinya dalam rangka mencapai tujuan yang telah ditetapkan. 2.4.3. Komponen Pengendalian Internal Menurut Gondodiyoto, S (2007: 478), komponen sistem pengendalian internal yaitu : 1. Pemisahan tugas atau fungsi (separation of duties). 2. Pembagian wewenang dan tanggung jawab (delegation of autaority and responsibility). 3. Pegawai yang terlatih atau cakap dan dapat dipercaya (competent and trustworthy personnel). 4. Otorisasi (system of authorization). 5. Pencatatan dan dokumentasi yang memadai (adequate document and records). 6. Control antara catatan dengan harta secara fisik yang ada (physical control user assets and records). 7. Pengawasan manajemen yang memadai (adequate management supervision). 8. Pemeriksaan terhadap kinerja oleh pihak luar organisasi (Independent checks on performance). 9. Rekonsiliasi catatan dengan fisik atau harta yang sesungguhnya ada (comparing recorded accountability with assets). Menurut Committee of sponsoring organization (COSO), menyebutkan bahwa sistem pengendalian internal terdiri dari lima komponen. Kelima komponen tersebut berasal dari para menajemen dalam menjalankan bisnisnya, dan terintegrasi dengan proses manajemen. Kelima komponen tersebut adalah: a. Lingkungan pengendalian Lingkungan pengendalian menentukan "warna" dari sebuah perusahaan, memberikan pengaruh kesadaran akan pengendalian kepada orangorang di dalam perusahaan. b. Penaksiran Risiko (Risk Assessment) Setiap entitas dalam melaksanakan aktivitas akan menghadapi berbagai risiko, baik internal maupun eksternal yang harus diperhitungkan terkait dalam pencapaian tujuan sehingga membentuk suatu basis penetapan bagaimana risiko tersebut seharusnya dikelola. c. Aktifitas pengawasan (control Activities) Aktivitas pengawasan meliputi kebijakan dan prosedur yang menunjang arahan dari manajemen untuk diikuti. Kebijakan dan prosedur tersebut memungkinkan diambilnya tindakan dengan mempertimbangkan risiko yang terdapat pada seluruh jenjang dan Didalamnya termasuk berbagai jenis fungsi dalam organisasi. otorisasi dan verifikasi, rekonsiliasi, evaluasi kinerja dan pengaman harta serta pemisahan tugas. d. Informasi dan Komunikasi (Information and Communication) Informasi yang relevan perlu diidentifikasi, dicatat dan dikomunikasikan. Dalam bentuk dan waktu yang tepat, sehingga pelaksanaan tanggung jawab yang baik oleh anggota organisasi. Sistem informasi menghasilkan laporan tentang kegiatan operasional dan keuangan, serta ketaatan terhadap peraturan yang berlaku dalam rangka melaksanakan dan mengendalikan pelaksanaan tugas. e. Pemantauan (monitoring) Pemantauan adalah suatu proses yang mengevaluasi kualitas kinerja sistem pengendalian intern pada saat kegiatan berlangsung. Proses ini diselenggarakan melalui aktivitas pemantauan yang berkesinambungan dan melalui audit intern atau melalui kedua-duanya. 2.4.4. Pengendalian Umum (General Control) Menurut Weber, Ron (1999: 256), pengendalian umum dibagi menjadi : a. Pengendalian Manajemen Puncak (Top Management Controls). b. Pengendalian Manajemen Sistem Pengembangan (Systems Development Management Controls). c. Pengendalian Manajemen Pemrograman (Programming Management Controls). d. Pengendalian Manajemen Sumber Data (Data Resource Management Controls). e. Pengendalian Manajemen Keamanan (Security Management Controls). f. Pengendalian Manajemen Operasional (Operations Management Controls). g. Jaminan Kualitas Manajemen (Quality Assurance Management). 2.4.4.1. Pengendalian Manajemen Operasional Menurut Weber (1999: 292), secara keseluruhan Pengendalian Manajemen Operasional bertanggung jawab terhadap hal-hal sebagai berikut: 1. Pengoperasian Komputer (Computer Operation) Tipe pengendalian yang harus dilakukan adalah : a. Menetapkan fungsi yang sebaiknya dilakukan operator atau fasilitas operasi otomatis. b. Menetapkan bagaimana penjadwalan kerja pada pemakaian hardware atau software. c. Menentukan perawatan terhadap hardware agar dapat berfungsi dengan baik. 2. Pengoperasian jaringan (Network Operation) Manajer Operasional bertanggung jawab terhadap kegiatan operasional dari WAN (Wide Area Network) dan LAN (Local Area Network) yang digunakan oleh organisasi setiap hari. Untuk menjalankan kewajiban ini, mereka harus mengendalikan operasi jaringan dan mengawasi performa saluran komunikasi, perangkat jaringan dan program jaringan dan file. 3. Persiapan dan Pengentrian Data (Preparation and Entry Data) Manajemen operasi harus memastikan kegiatan entri data dari dokumen sumber sudah dirancang dengan baik. Selain itu, manajemen operasi harus memastikan adanya backup untuk setiap data yang diinput, persiapan data dan perangkat entri data. Data yang dimasukkan langsung ke sistem komputer (tanpa ada dokumen sumber) harus di backup sebagai bagian dari sistem backup file. 4. Pengendalian Produksi (Production Control) 5 fungsi utama pengendalian produksi adalah : a. Penerimaan dan pengiriman input dan output b. Penjadwalan kerja c. Manajemen service-level agreement dengan user d. Pengawasan pengeluaran biaya e. Akuisisi komputer 5. File Library Fungsi file library di dalam area operasional adalah bertanggung jawab terhadap manajemen media penyimpanan yang bersifat machine-readable milik organisasi. Pengelolaan media penyimpanan removable melibatkan 4 fungsi: a. Media penyimpanan disimpan di tempat yang aman b. Media penyimpanan hanya boleh digunakan oleh orang yang berwenang c. Media penyimpanan harus dipelihara agar tetap berfungsi dengan baik. d. Media penyimpanan harus ditetakan ditempat yang sesuai 6. Documentation and Program Library Staf dokumentasi memiliki tanggung jawab untuk mengelola dokumentasi yang mendukung fungsi sistem informasi, antara lain: a. Memastikan dokumentasi disimpan dengan aman. b. Memastikan bahwa hanya staff berwenang yang memiliki akses terhadap dokumentasi. c. Memastikan bahwa dokumentasi selalu up to date. d. Memastikan ketersediaan back-up tambahan untuk dokumentasi. 7. Help Desk / Technical Support Help Desk / Technical Support memiliki dua tanggung jawab utama: a. Membantu end user untuk menggunakan hardware dan software, seperti microcomputer, spreadsheet, database management, dan local area networks. b. Menyediakan technical support untuk sistem produksi dengan dilengkapi suatu penyelesaian masalah. 8. Capacity Planning and Performance Monitoring Tujuan utama dari fungsi sistem informasi ini adalah untuk mencapai tujuan dari pengguna sistem informasi dengan biaya seminimal mungkin. Dalam memantau statistik kinerja, manajer operasional harus mengambil 3 keputusan: a. Menentukan apakah kinerja profil kinerja mengindikasikan adanya kegitan ilegal yang mungkin terjadi. b. Menetukan apakah kinerja sistem sudah sesuai dengan kebutuhan user. c. Menentukan beberapa sumber daya hardware dan software yang mungkin dibutuhkan. 9. Management of Outsourced Operations Manajaemen operasional harus fokus pada 4 tipe pengendalian dalam memantau kontrak outsourcing: a. Evaluasi berkelanjutan terhadap siklus keuangan vendor outsourcing. b. Memastikan kepatuhan terhadap syarat dan ketentuan di dalam kontrak outsourcing . c. Memastikan kehandalan pengendalian dari operasional sebuah vendor outsourcing yang sedang berlangsung. d. Menegakan prosedur pemulihan bencana dengan vendor outsourcing. 2.4.4.2. Pengendalian Manajemen Keamanan Menurut Gondodiyoto, S (2007: 345), pengendalian internal terhadap manajemen keamanan (security management controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak berwujud (non – fisik, misalnya data/ informasi, dan program aplikasi komputer). Terdapat beberapa unsur dalam pengendalian manajemen keamanan, pengendalian manajemen keamanan pada dasarnya terdiri dari: 1. Kebijakan keamanan IT (IT Security Policy). 2. Beberapa aspek serangan potensial. 3. Mitos – mitos seputar keamanan komputer. 4. Kebijakan pengamanan komputer. 5. Personil dan kebijakan keamanan komputer. 2.4.5. Pengendalian Aplikasi Menurut Gondodiyoto,S (2007: 372), pengendalian aplikasi (application control) adalah sistem pengendalian internal (intern control) pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan/ kegiatan/ aplikasi tertentu (setiap aplikasi memiliki karakteristik dan kebutuhan pengendalian yang berbeda). Terdapat beberapa unsur dalam pengendalian aplikasi, pengendalian aplikasi pada dasarnya terdiri dari: 1. Pengendalian batas sistem (boundary controls). 2. Pengendalian masukan (input controls). 3. Pengendalian proses pengolahan data (process controls). 4. Pengendalian keluaran (output controls). 5. Pengendalian file/ database (file/ database controls). 6. Pengendalian komunikasi aplikasi (communication controls). 2.4.5.1. Pengendalian Batasan Sistem (Boundary Controls) Menurut Gondodiyoto, S (2007: 374), yang dimaksud boundary adalah interface antara pengguna (users) dengan sistem berbasis teknologi informasi. Tujuan utama boundary controls adalah antara lain : a. Untuk mengenal identitas dan otentik (authentic) / tidaknya user / pemakai sistem, artinya suatu sistem yang didesain dengan baik seharusnya dapat mengidentifikasi dengan tepat siapa user tersebut, dan apakah identitas diri yang dipakainya otentik. b. Untuk menjaga agar sumber daya informasi digunakan oleh user dengan cara yang ditetapkan. 2.4.5.2. Pengendalian Masukan (Input Controls) Menurut Gondodiyoto, S (2007: 377), pengendalian masukan (input controls) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan pengendalian aplikasi yang penting, karena input yang salah akan menyebabkan output juga keliru. Mekanisme masuknya data input ke sistem dapat dikategorikan ke dalam dua cara, yaitu : a. Batch System (Delayed Processing Systems) Pada sistem pengolahan data secara batch processing system, tiap transaksi (misalnya formulir sensus, kartu coblosan pemilihan umum, atau answer sheet ujian calon mahasiswa) dibundel dalam jumlah lembar tertentu untuk direkam. Demikian pula sistem batch dalam siklus akuntansi keuangan (book – keeping untuk mencatat transaksi ke dalam jurnal, posting ke buku besar dan buku pembantu, serta pengolahan untuk menghasilkan laporan keuangan) dilakukan tidak pada saat transaksi itu terjadi. Sistem pengolahan data lebih bersifat back office system, yaitu semata-mata untuk mengolah data dokumen-dokumen akuntansi yang transaksinya sudah lewat (yang lalu). Jadi pengolahan datanya tertunda (delayed processing). Pada sistem batch ini orientasi utamanya adalah sistem pengolahan data (dahulu disebut sistem pengolahan data elektronik, electronic data processing, EDP). Data input yang akan dimasukkan ke sistem informasi berbasis teknologi pada hakikatnya dapat dikelompokan dalam tiga tahapan, yaitu: 1. data capture (penangkapan data, pengisian dokumen sumber atau source document), 2. data preparation (penyiapan data untuk di entry), serta 3. data entry (pemasukkan data) merupakan proses merekam atau memasukkan data ke komputer, suatu proses mengubah data ke dalam bentuk yang dapat dibaca oleh mesin (machine readable form). b. On-line Transaction Processing System (pada umumnya bersifat real-time system) Cara pemrosesan data input yang lain yang lebih lazim pada saat ini adalah dengan on-line transaction processing system. Pada sistem tersebut data masukan dientri dengan workstation/ terminal atau jenis input device seperti ATM (Automatic Teller Machine) dan point of sales (POS). Meskipun online dikaitkan dengan real time system, artinya updating data di komputer bersamaan dengan terjadinya transaksi. 2.4.5.3. Pengendalian Keluaran (Output Controls) Menurut Gondodiyoto, S (2007: 382), pengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat, lengkap, dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls) ini didesain untuk menjamin agar output / informasi dapat disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang – orang yang berhak (para pengguna) secara cepat dan tepat waktu. Yang termasuk pengendalian keluaran antara lain adalah : a. Rekonsiliasi Keluaran dengan Masukan dan Pengolahan. Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran dari sistem dengan dokumen asal. b. Penelaahan dan Pengujian Hasil – Hasil Pengolahan. Pengendalian ini dilakukan dengan cara melakukan penelaahan, pemeriksaan dan pengujian terhadap hasil – hasil pengolahan dari sistem. Proses penelaahan dan pengujian ini biasanya dilakukan oleh atasan langsung pegawai. c. Pendistribusian Keluaran. Pengendalian ini didesain untuk memastikan bahwa keluaran didistribusikan kepada pihak yang berhak, dilakukan secara tepat waktu dan hanya keluaran yang diperlukan saja yang didistribusikan. 2.4.6. Standart Audit: IT Audit Guideline ISACA G15 Audit Planning 1. Keterkaitan dengan standart Standar S5 perencanaan menyatakan bahwa IT audit dan jaminan professional harus merencanakan informasi sistem audit cakupan untuk mengatasi tujuan audit dan untuk mematuhi undang-undang yang berlaku dan standar audit professional, pengembangan serta dokumentasi : a. Pendekatan berbasis risiko audit b. Audit rencana rincian bahwa sifat dan tujuan, waktu dan batas, tujuan, dan sumber daya yang diperlukan c. Program audit dan rencana yang merinci sifat, waktu dan tingkat prosedur audit diperlukan untuk menyelasaikan audit. 2. Preliminary Engagemenet Activities Tujuan diadakannya aktivitas ini untuk memastikan IT audit jaminan professional dapat memperkirakan kejadian atau keadaan yang dapat memberi efek terhadap kemampuan rencana dan penampilannya serta mengurangi risiko audit ke level yang rendah. Aktivitas IT audit dan jaminan professional menjalankan prosedur terlepas dari hubungan klien dan hubungan audit spesifik. 3. Planning Strategi Audit perlu dijalankan dalam langkah yang efektif. Perenanaan yang bagus dapat membantu penyelesaian masalah yang terjadi di area tertentu, penentuan area yang bermasalah, penentuan potensi masalah, serta penentuan penyelesaian masalah dalam jangka waktu yang jelas. 4. Dokumentasi Adanya lembar dokumentasi dalam setiap rencana audit dalam bentuk tampilan 2.5. Audit Sistem Informasi 2.5.1. Pengertian Audit Sistem Informasi Menurut Gondodiyoto, S (2007: 443), audit sistem informasi dimaksudkan untuk mengevaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis (business processes) perusahaan (kebutuhan pengguna, user needs) untuk mengetahui apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif, efisien dan ekonomis, memiliki mekanisme kepengamanan asset, serta menjamin integritas data yang memadai. Information systems audit reviews the general and application controls of an accounting information system (AIS) to assess its compliance with internal control policies and procedures and its effectiveness in safeguarding assets. Audit sistem informasi merupakan mereview pengendalian umum dan pengendalian aplikasi dari sistem informasi akuntansi untuk menilai ketaatan sistem terhadap kebijakan dan prosedur pengendalian internal serta efektifitas dalam melindungi asset. Jadi dapat disimpulkan bahwa audit sistem informasi merupakan suatu proses pengevaluasian terhadap sistem informasi berdasarkan prosedur pengendalian bisnis perusahaan yang telah ditetapkan, untuk menentukan apakah sistem informasi dapat mendukung tercapainya tujuan organisasi secara efektif dan efisien yang memberikan manfaat bagi perusahaan secara maksimal. 2.5.2. Tujuan Audit Sistem Informasi Tujuan audit sistem informasi menurut Weber, Ron (1999: 11) dapat disimpulkan secara garis besar terbagi menjadi empat tahap, yaitu: 1. Meningkatkan keamanan asset-asset perusahaan Aset informasi suatu perusahaan seperti hardware, software, sumber data, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan asset perusahaan. 2. Menjaga intergritas data Integritas data adalah suatu konsep dasar informasi. 3. Efektifitas sistem Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. 4. Efisiensi sistem Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai. 2.5.3. Pendekatan Audit Sistem Informasi Menurut Weber, Ron (1999: 55), metode audit antara lain : 1. Auditing around the computer merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai black box, maksudnya metode ini tidak menguji langkah-langkah proses secara langsung, tetapi hanya berfokus pada input dan output dari sistem komputer. Diasumsikan bahwa jika input benar akan diwujudkan pada output, sehingga pemrosesan juga benar dan tidak melakukan pengecekan terhadap pemrosesan komputer secara langsung. Pendekatan ini mengandung beberapa kelemahan, antara lain : a. Umumnya database mencakup jumlah data yang banyak dan suka di telusuri secara manual. b. Tidak menciptakan saran bagi auditor untuk mengayati dan mendalami lebih mantap tentang komputer. c. Cara ini mengabaikan pengendalian sistem dalam pengolahan komputer itu sendiri, sehingga rawan terhadap adanya kelemahan dan kesalahan potensial didalamnya. d. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan audit menjadi sia-sia. e. Tidak dapat mencakup keseluruhan maksud dan tujuan penyelenggaraan audit. 2. Auditing through the computer Merupakan suatu pendekatan audit yang berorientasi pada komputer dengan membuka black box, dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer. Dengan asumsi bahwa apabila pemrosesan mempunyai pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak akan terlewat untuk dideteksi, sebagai akibat dari keluaran dapat diterima. Keuntungan utama pada pendekatan ini adalah dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif dimana ruang lingkup dan kemampuan dari pengujian yang dilakukan dapat diperluas sehingga tinggkat kepercayaan terhadap keandalan dari pengumpulan dan pengevaluasian bukti dapat di tingkatkan. Selain itu dengan memeriksa secara langsung logika pemrosesan dari sistem aplikasi, dapat diperkirakan kemampuan sistem dalam menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang. Kelemahan dari pendekatan ini adalah sebagai berikut : a. Biaya yang dibutuhkan relative tinggi yang disebabkan jumlah jam kerja yang banyak untuk dapat lebih memahami struktur kontrol internal dari pelaksanaan sistem aplikasi. b. Butuh banyak keahlian teknis yang lebih mendalam untuk memahami cara kerja. 3. Auditing with computer Pendekatan ini dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini merupakan cara audit yang sangat bermanfaat, khususnya dalam pengujian substantive atas file dan record perusahaan. Software audit yang digunakan merupakan program komputer auditor untuk membantu dalam pengujian dan evaluasi kehandalan data, file dan record perusahaan. Keunggulan pendekatan ini adalah : a. Merupakan program komputer yang diproses untuk membantu pengujian pengendalian sistem komputer klien itu sendiri. b. Dapat melaksanakan tugas audit yang terpisah dari catatan klien, yaitu dengan mengambil copy data atau file untuk dites dengan komputer lain. 2.5.4. Langkah – langkah Audit Sistem Informasi Menurut Weber, Ron (1999: 47), langkah-langkah untuk melakukan kegiatan audit terdiri dari : 1. Planning the audit Perencanaan merupakan fase pertama dari kegiatan audit, bagi eksternal auditor hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staff audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien, mengerti tentang masalah hukum klien dan melakukan analisa terhadap prosedur yang ada untuk mengerti tentang bisnis klien dan mengidentifikasi risiko audit. 2. Test the controls Auditor melakukan test controls ketika mereka menilai bahwa control risiko berada pada level kurang dari maksimum, mereka mengandalkan control sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor tidak mengetahui apakah identifikasi control telah berjalan dengan efektif, test terhadap control oleh karena itu diperlukan evaluasi yang spesifik terhadap materi control. 3. Test the transactions Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah kesalahan atau proses yang tidak bisa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan yang material pada laporan keuangan. Test transaksi ini termasuk menelusuri atau trace jurnal dari sumber dokumen, memeriksa file berharga dan mengecek keakuratan perhitungan. Pemakaian komputer sangat membantu pekerjaan ini dan auditor harus menggunakan software audit umum untuk mengecek apakah bunga yang dibayar kepada bank telah sesuai perhitungannya. 4. Test the balances or overall results Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus diperhatikan adalah tujuan pengamanan harta dan data integrity. Beberapa jenis substantive test terhadap saldo yang digunakan adalah konfimasi piutang, perhitungan ulang penyusutan aktiva tetap. 5. Completion of the audit Pada fase akhir audit, eksternal audit akan membuat hasil laporan. Terdapat 4 opini yang dapat diberikan terhadap hasil audit oleh eksternal audit, yaitu : a. Disclaimer of opinion (tidak memberikan pendapat), auditor tidak akan memberikan opini. b. Adverse opinion (pendapat tidak wajar), auditor berpendapat bahwa terdapat banyak kesalahan. c. Qualified opinion (wajar dengan pengecualian), auditor berpendapat bahwa terjadi beberapa kesalahan tetapi nilainya tidak material. d. Unqualified opinion (wajar tanpa pengecualian), auditor berpendapat bahwa tidak terjadi kesalahan atau misstatement. 2.6. Risiko 2.6.1. Jenis-Jenis Risiko Menurut Gondodiyoto, S (2007: 259), dari berbagai sudut pandang, risiko dapat dibedakan dalam beberapa jenis : 1. Risiko Bisnis (Business Risk) Risiko bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern maupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi (business goals objectives). a. Risiko ekstern (risk from external environment) misalnya perubahan kondisi perekonomian, tingkat kurs yang berubah mendadak, dan munculnya pesaing baru yang mempunyai potensi pesaing tinggi. b. Risiko yang berasal dari internal misalnya permasalahan kepegawaian, risiko-risiko yang berkaitan dengan peralatan atau mesin, risiko keputusan yang tidak tepat dan kecurangan manajemen (management fraud). 2. Risiko Bawaan (Inherent Risks) Risiko bawaan ialah potensi kesalahan atau penyelahgunaan yang melekat pada suatu kegiatan, jika tidak ada pengendalian intern. 3. Risiko Pengendalian (Control Risks) Risiko pengendalian ialah masih adanya risiko meskipun sudah ada pengendalian. 4. Risiko Deteksi (Detection Risks) Risiko deteksi adalah risiko yang terjadi karean prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya eror yang cukup materialitas atau adanya kemungkinan fraud. Risiko deteksi mungkin dapat terjadi karena auditor ternyata dalam prosedur auditnya tidak dapat mendeteksi terjadinya existing control failure (sistem pengendalian intern yang ada ternyata tidak berjalan baik) 5. Risiko Audit (Audit Risks) Risiko audit adalah risiko hasil pemeriksaaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya. Risiko audit sesungguhnya merupakan gabunga antara inherent risks, control risks, dan detection risks 2.6.2. Teknik Penilaian Risiko dan Pengendalian Menurut Griffiths, David M (2007: 18), setelah memperoleh bukti audit yang cukup beserta temuannya dengan menggunkan instrumen pengumpulan bukti ,audit dilanjutkan dengan menggunakan matriks penilaian risiko guna merumuskan dan mempertajam analisa terhadap bukti evaluasi dan temuan agar dapat merumuskan dan menyimpulkan opini dengan melakukan perbandingan dan penilaian terhadap tingkat risiko dan pengendalian yang ada. Matriks penilaian risiko adalah suatu cara untuk menganalisa seberapa besar risiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan cara menganalisa risiko yang ada (inherent rsik) dan risiko setelah adanya pengendalian (residual risk). 2.6.3. Matrik Penilaian Risiko Menurut Griffiths, David M (2007: 20), matrik penilian risiko adalah metode analisis dengan menghitung aspek tingkat risiko (Dampak) dan tingkat terjadinya risiko tersebut, dengan nilai L (low) = -1, M (medium) = -2, H (high) = -3. Teknik perhitungan dalam matrik penilain risiko menggunakan fungsi perkalian antara dampak dengan nilai terjadinya. Kriteria penilaian dalam matrik pengendalian terdiri dari : 1. Risiko kecil (low) nilainya berkisar antaran -1 dan -2, seperti : a. Jika dampak low (-1) dan terjadinya low (-1), maka nilai risiko adalah -1. Artinya, nilai risiko dari dampak dan terjadinya adalah kecil. b. Jika dampak low (-1) dan terjadinya medium (-2), maka nilai risiko adalah -2. Artinya, nilai risiko dari dampak dan terjadinya adalah kecil. c. Jika dampak medium (-2) dan terjadinya low (-1), maka nilai risiko adalah -2. Artinya, nilai risiko dari dampak dan terjadinya adalah kecil. 2. Risiko sedang (medium) nilainya berkisar antara -3 dan -4, seperti : a. Jika dampak low (-1) dan terjadinya high (-3), maka nilai risiko adalah -3. Artinya, nilai risiko dari dampak dan terjadinya adalah sedang. b. Jika Jika dampak medium (-2) dan terjadi nya medium (-2), maka nilai risiko adalah -4. Artinya, nilai risiko dari dampak dan terjadinya adalah sedang. c. Jika Jika dampak high (-3) dan terjadinya low (-1), maka nilai risiko adalah -3. Artinya, nilai risiko dari dampak dan terjadinya adalah sedang. 3. Risiko tinggi (high) nilainya berkisar antara -6 dan -9, seperti : a. Jika dampak medium (-2) dan terjadinya high (-3), maka nilai risiko adalah -6. Artinya, nilai risiko dari dampak dan terjadinya adalah tinggi. b. Jika dampak high (-3) dan terjadi nya medium (-2), maka nilai risiko adalah -6. Artinya, nilai risiko dari dampak dan terjadinya adalah tinggi. c. Jika dampak high (-3) dan terjadi nya high (-3), maka nilai risiko adalah -6. Artinya, nilai risiko dari dampak dan terjadinya adalah tinggi. 2.6.4. Matrik Penilaian Pengendalian Menurut Griffiths, David M (2007: 23), matrik penilaian pengendalian adalah metode analisis desain (Rancangan) dan tingkat efektifitas pengendalian intern. Biasanya tingkat efektifitas dan design (Rancangan) dinyatakan dengan nilai L (low) =1, M (medium) =2 dan H (high) = 3 Teknik menggunakan perhitungan fungsi dalam perkalian matrik antara penilaian efektifitas pengendalian dengan design (rancangan). Kriteria penilaian dalam matrik pengendalian terdiri dari : 1. Pengendalian kecil( low) nilainya berkisar antara 1 dan 2, seperti : a. Jika efektifitasnya low (1) dan terjadinya low (1), maka nilai pengendaliannya adalah 1. Artinya, nilai pengendalian dari efektifitas dan design adalah kecil. b. Jika efektifitasnya low (1) dan terjadinya medium (2), maka nilai pengendaliannya adalah 2. Artinya, nilai pengendalian dari efektifitas dan design adalah kecil. c. Jika efektifitasnya medium (2) dan terjadinya low (1), maka nilai pengendaliannya adalah 2. Artinya, nilai pengendalian dari efektifitas dan design adalah kecil. 2. Pengendalian sedang( medium) nilainya berkisar antara 3 dan 4, seperti: a. Jika efektifitasnya low (1) dan terjadinya high (3), maka nilai pengendaliannya adalah 3. Artinya, nilai pengendalian dari efektifitas dan design adalah sedang. b. Jika efektifitasnya medium (2) dan terjadinya medium (2), maka nilai pengendaliannya adalah 6. Artinya, nilai pengendalian dari efektifitas dan design adalah sedang. c. Jika efektifitasnya high (3) dan terjadinya low (1), maka nilai pengendaliannya adalah 3. Artinya, nilai pengendalian dari efektifitas dan design adalah sedang. 3. Pengendalian tinggi( high) nilainya berkisar antara 6 dan 9, seperti : a. Jika efektifitasnya medium (2) dan terjadinya high (3), maka nilai pengendaliannya adalah 6. Artinya, nilai pengendalian dari efektifitas dan design adalah tinggi. b. Jika efektifitasnya high (3) dan terjadinya medium (2), maka nilai pengendaliannya adalah 6. Artinya, nilai pengendalian dari efektifitas dan design adalah tinggi. c. Jika efektifitasnya high (3) dan terjadinya high (3), maka nilai pengendaliannya adalah 9. Artinya, nilai pengendalian dari efektifitas dan design adalah tinggi. Penetapan tingkat efektifitas antara risiko dan pengendalian adalah sebagai berikut : 1. Jika jumalah penilaian risiko dan pengendalian adalah 0, maka tingkat pengendalian dan risiko adalah standar. Artinya setiap risiko yang terjadi dapat ditanggulangi oleh pengendalian yang ada. 2. Jika jumlah penilaian risiko dan pengendaliannya adalah positif, maka tingkat pengendalian dan risiko adalah baik. Tapi jika nilai pengendaliannya terlalu tinggi dibanding dengan risiko, maka kemungkinanan akan terjadi kelebihan pengendalian (overcontrol) yang menyebabkan terjadinya pemborosan dalam operasional. 3. Jika jumlah penilaian risiko dan pengendaliannya adalah negatif, maka tingkat pengendalian dan risiko adalah buruk. Sehingga perlu dilakukan peningkatan terhadap pengendalian karena risiko yang dihadapi besar.