BAB 2 LANDASAN TEORI 2.1. Evaluasi 2.1.1. Pengertian Evaluasi

advertisement
BAB 2
LANDASAN TEORI
2.1. Evaluasi
2.1.1. Pengertian Evaluasi
Menurut Bastian, Indra (2007: 58), komponen kunci dari penilaian
kinerja organisasi adalah evaluasi efisien dan efektivitas program. Evaluasi
ini akan memberikan data mengenai apakah masing-masing program akan
dilanjutkan atau tidak, mempertahankan program tersebut pada tingkat yang
ada, memperluas atau mengubah arah program tersebut, memasarkannya
secara agresif atau tidak, dan seterusnya. Sebagian besar evaluasi program
difokuskan pada hasil dan proses atau metode. Sementara evaluasi atas hasil
program tersebut memperlihatkan apakah suatu proyek mencapai hasil yang
direncanakan atau tidak. Evaluasi proses memperlihatkan kepada pengelola
organisasi proyek internal, baik kinerja staf maupun tingkat proyek mana
yang berhasil diimplementasikan. Adapun menurut Wongso, Darmanto,
Ariowibowo, Dicky Rizky, Satya (2011: 2), evaluasi merupakan kegiatan
yang terencana dilakukan secara berkesinambungan. Evaluasi bukan hanya
merupakan kegiatan akhir atau penutup dari suatu sistem tertentu, melainkan
merupakan kegiatan yang dilakukan pada permulaan, selama sistem
berlangsung dan pada akhir sistem setelah sistem itu selesai.
2.2. Sistem Informasi
2.2.1. Pengertian Sistem Informasi
Menurut Gondodiyoto, S (2007: 112) “sistem informasi dapat
didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan
jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam
suatu hubungan hierarkis tertentu, dan bertujuan untuk mengolah data
menjadi informasi”. Adapun Menurut O’Brien (2008: 7) mendefinisikan,
“Information system can be any organized combination of people,
hardware, software, communication networks, and data resource that
collect, transform, disseminates information in an organization”. Dengan
demikian “sistem informasi adalah suatu kesatuan yang terdiri dari
manusia (brainware), perangkat keras (hardware), perangkat lunak
(software), jaringan komputer dan sumber daya data yang mengumpulkan,
menstransformasikan dan mendistribusikan informasi di dalam suatu
organisasi”. Adapun menurut Julyandi, Nurmasari, Juni (2012: 2), sistem
dan informasi dirangkai menjadi sebuah kata mempunyai pengertian yaitu
suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan
pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan
kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu
dengan laporan-laporan yang diperlukan. Sistem informasi juga dapat
didefenisikan sebagai gabungan dari berbagai sistem yang saling terkait
dengan menggunakan basis data dan sumber daya secara bersama-sama.
Dapat disimpulkan bahwa, sistem informasi adalah satu kesatuan
yang terdiri dari elemen atau sumber daya dan jaringan kompuer yang
saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan
hierarkis
tertentu
yang
mengumpulkan,
mentrasformasikan
dan
mendistribusikan informasi dalam suatu organisasi, bersifat manajerial dan
menyediakan laporan-laporan yang diperlukan terhadap pihak luar
tertentu.
2.2.2. Komponen Sistem Informasi
Menurut Kusrini, Koniyo Andri (2007: 9), dalam suatu sistem
informasi terdapat komponen – komponen sebagai berikut :
1. Perangkat keras (hardware), mencakup berbagai peranti fisik seperti
komputer dan printer.
2. Perangkat lunak (software) atau program, yaitu sekumpulan intruksi
yang memungkinkan perangkat keras memproses data.
3. Prosedur, yaitu sekumpulan aturan yang dipakai untuk mewujudkan
pemrosesan data dan pembangkitan keluaran yang dikehendaki.
4. Orang,
yaitu
semua
pihak
yang
bertanggung
jawab
dalam
pengembangan sistem informasi, pemrosesan dan penggunaan
keluaran sistem informasi.
5. Basis data (database), yaitu sekumpulan table, hubungan dan lain –
lain yang berkaitan dengan penyimpanan data.
6. Jaringan komputer dan komunikasi data, yaitu sistem penghubung
yang memungkinkan sumber (resources) dipakai secara bersama atau
diakses oleh sejumlah pemakai.
2.2.3. Tujuan Sistem Informasi
Menurut Gondodiyoto, S (2007: 124) terdapat 3 tujuan utama dari
sistem informasi, yaitu :
1. Untuk mendukung fungsi kepengurusan (stewarship) manajemen.
Kepengurusan merujuk ketanggungjawab manajer untuk mengatur
sumber daya perusahaan secara benar. Sistem informasi menyediakan
informasi tentang kegunaaan sumber daya ke pemakai eksternal
melalui laporan keuangan tradisional dan laporan-laporan yang diminta
lainnya. Secara internal, pihak manajemen menerima informasi
kepengurusan dari berbagai laporan pertanggungjawaban.
2. Untuk mendukung pengambilan keputusan manajemen.
Sistem informasi memberikan para manajer informasi mereka perlukan
untuk melakukan tanggung jawab pengambilan keputusan.
3. Untuk mendukung kegiatan operasi perusahaan hari demi hari.
Sistem informasi menyediakan informasi bagi personel operasi untuk
membantu mereka melakukan tugas mereka setiap hari secara efektif
dan efisien.
2.3. Sistem Informasi Akutansi
2.3.1. Pengertian Sistem Informasi Akuntansi
Menurut Gondodiyoto, S (2007: 107) sistem informasi akuntansi
adalah struktur yang menyatu dalam suatu entitas, yang menggunakan
sumber daya fisik dan komponen lain, untuk merubah data transaksi
keuangan/akuntansi menjadi informasi akuntansi dengan tujuan untuk
memenuhi kebutuhan informasi bagi para pengguna atau pemakai (users).
Adapun menurut Soudani, Siamak Nejadhosseini (2012), sistem informasi
akuntansi adalah seluruh komponen terkait yang disatukan untuk
mengumpulkan informasi, data mentah atau data biasa dan mengubah
mereka menjadi data keuangan untuk tujuan pelaporan kepada pengambil
keputusan. Serta menurut Efendi, Mukhammad Yusuf (2010: 30), sistem
informasi akuntansi (SIA) adalah suatu komponen organisasi yang
mengumpulkan,
mengklasifikasikan,
mengelolah,
menganalisa,
dan
mengkomunikasikan informasi finansial dan pengambilan keputusan yang
relevan kepada pihak diluar perusahaan (eksternal) dan pihak didalam
perusahaan (internal).
2.3.2. Tujuan Sistem Informasi Akuntansi
Menurut Sunarko, Jane Dorothy (2011: 37), menyatakan bahwa
penyusunan sistem informasi akuntansi untuk suatu perusahaan mempunyai
beberapa tujuan yang harus dipertimbangkan. Tujuan utama sistem
informasi akuntansi adalah :
1. Untuk meningkatkan kualitas informasi, yaitu informasi yang tepat guna
(relevance), lengkap dan terpercaya (akurat). Dengan kata lain sistem
informasi akuntansi harus dengan cepat dan tepat mampu memberikan
informasi yang diperlukan.
2. Untuk meningkatkan kualitas internal check atau pengendalian intern,
yaitu sistem pengendalian yang diperlukan untuk mengamankan
kekayaan perusahaan. Ini berarti bahwa sistem akuntansi yang disusun
harus juga mengandung kegiatan pengendalian intern.
3. Untuk dapat menekan biaya-biaya tata usaha, ini berarti bahwa biaya tata
usaha untuk sistem akuntansi harus seefisien mungkin dan harus jauh
lebih murah dari manfaat yang akan diperoleh dari penyusunan sistem
akuntansi.
2.3.3. Siklus-siklus Transaksi Sistem Informasi Akuntansi
Menurut Kusrini, Koniyo Andri (2007: 11), sistem informasi
akuntansi memiliki beberapa sistem bagian (sub-system) yang berupa siklus
akuntansi. Siklus akuntansi menunjukan prosedur akuntansi, mulai dari
sumber data sampai ke proses pencatatan/pengolahan akuntansinya. Berikut
ini adalah pembagian dari siklus akuntansi :
1. Revenue Cycle
Siklus pendapatan merupakan prosedur pendapatan yang dimulai dari
bagian penjualan otorisasi kredit, pengambilan barang, penerimaan
barang, penagihan sampai dengan penerimaan kas.
2. Expenditure Cycle
Siklus pengeluaran merupakan prosedur pengeluaran yang dimulai dari
proses pembelian sampai ke proses pembayaran.
3. Conversion cycle
Siklus konversi merupakan siklus produksi, dimulai dari bahan mentah
sampai barang jadi.
4. Human Resource Management Cycle
Siklus manajemen sumber daya manusia merupakan siklus yang
melibatkan proses penggajian pada karyawan.
5. General Ledger and Reporting
Siklus ini berupa prosedur pencatatan dan perekaman ke jurnal dan
buku besar dan pencetakan laporan keuangan yang datanya diambil dari
buku besar.
2.3.4. Komponen Sistem Informasi Akuntansi
Menurut Kusrini, Koniyo Andri (2007: 10), komponen-komponen
yang terdapat dalam sistem informasi akuntansi adalah sebagai berikut :
1. Orang-orang yang mengoperasikan sistem tersebut.
2. Prosedur-prosedur, baik manual maupun yang terotomatisasi, yang
dilibatkan dalam pengumpulan, pemprosesan dan penyimpanan data
aktivitas-aktivitas organisasi.
3. Data tentang proses-proses bisnis.
4. Software yang dipakai untuk memproses data organisasi.
5. Infrastruktur teknologi informasi.
2.3.5. Karakteristik Sistem Informasi Akuntansi
Menurut Gondodiyoto, S (2007: 123), karakteristik sistem informasi
akuntansi ada 10 yaitu :
1) SIA bersifat mandatory, diwajibkan oleh aturan legal sebagai
pelaksanaan prinsip akuntabilitas dan stewardship dari para pengurus
perusahaan (direksi) kepada stakeholder.
2) SIA digunakan oleh internal maupun eksternal perusahaan.
3) SIA digunakan oleh seluruh unit dan seluruh strata manajemen, bahkan
RUPS menggunakan bahan rapat dari SIA.
4) SIA mengolah data transaksi akuntansi.
5) SIA memberikan masukan - masukan, menjadi salah satu komponen
penting input bagi SIM.
6) SIA dianggap lebih independen, karena disusun oleh unit netral,bukan
yang langsung terlibat.
7) Berfokus pada data historis (sebagai pertanggung jawaban direksi atas
kinerja tahun lalu dilihat dari aspek keuangan). Kinerja dapat diukur
dengan perspektif yang lebih luas, misalnya dengan balance score
card.
8) Karena bersifat pertanggungjawaban, data SIA dapat disajikan secara
rinci bila perlu persatuan moneter terkecil.
9) Laporan akuntansi yang dihasilkan SIA diatur dengan aturan legal, baik
aturan BAPEPAM, otoritas bursa saham, serta standar akuntansi
keuangan.
10) SIA merupakan implementasi dari system pengendalian intern
organisasi, pada subset CBIS lain tidak harus sebagai implementasi
pengendalian intern.
2.4. Sistem Pengendalian Internal (Internal Controls)
2.4.1. Pengertian Sistem Pengendalian Internal
Menurut Gondodiyoto, S (2007: 250), sistem pengendalian internal
pada hakikatnya adalah suatu mekanisme yang di desain untuk menjaga
(preventive),
mendeteksi
(detective),
dan
memberikan mekanisme
pembetulan (corrective) terhadap potensi / kemungkinan terjadinya
kesalahan
(kekeliruan,
kelalaian,
error)
maupun
penyalahgunaan
(kecurangan, fraud). Serta menurut Webber, Ron (1999: 35), pengendalian
adalah suatu sistem untuk mencegah, mendeteksi dan mengoreksi kejadian
yang timbul saat transaksi dari serangkaian pemrosesan yang tidak
terotorisasi secara sah, tidak akurat, tidak lengkap, mengandung radudansi,
tidak efektif dan tidak efisien. Adapun menurut Dasaratha, V.Rama &
Frederick, L.Jones (2009: 132), dalam buku yang berjudul Sistem
Informasi Akuntansi bahwa pengendalian internal (internal control) adalah
suatu proses yang dipengaruhi oleh sumber daya manusia dan sistem
teknologi informasi yang dirancang untuk
organisasi mencapai suatu
tujuan atau objektif tertentu dengan efektivitas dan efisiensi.
Jadi dapat disimpulkan bahwa sistem pengendalian internal adalah
suatu mekanisme yang digunakan untuk menjaga, mendeteksi dan
memberikan mekanisme pembetulan terhadap serangkaian pemrosesan
transaksi yang tidak terotorisasi secara sah dan tidak lengkap guna
mencapai suatu tujuan tertentu dengan efektif dan efisien.
2.4.2. Tujuan Pengendalian Internal
Menurut Gondodiyoto, S (2007: 260), tujuan disusunnya system
control atau pengendalian internal komputerisasi adalah untuk :
1. Meningkatkan pengamanan (improve safeguard) aset sistem informasi
(data/catatan akuntansi (accounting record) yang bersifat logical assets,
maupun physical assets seperti hardware, infrastructures, dan
sebagainya.)
2. Meningkatkan integritas data (improve data integrity), sehingga dengan
data yang benar dan konsisten akan dapat dibuat laporan yang benar.
3. Meningkatkan efektifitas sistem (improve system effectiveness).
4. Meningkatkan efisiensi sistem (improve system efficiency).
Menurut Nafisah (2010: 116), menyatakan bahwa suatu perusahaan
akan berhasil dengan baik apabila dari setiap perusahaan itu telah
ditetapkan dan direncanakan oleh semua anggota yang ikut terlibat dalam
suatu perusahaan baik tujuan maupun komponan-komponen yang
mempengaruhi kegiatan tersebut.
Adapun tujuan pengendalian intern menurut AICPA sebagai berikut:
1. Melindungi harta kekayaan perusahaan.
2. Meningkatkan akurasi informasi yang dihasilkan oleh sistem informasi
yang dijalankan oleh perusahaan.
3. Meningkatkan efisiensi kinerja perusahaan sehingga dalam berbagai
kegiatan dapat dilakukan penghematan.
4. Meningkatkan kepatuhan terhadap kebijakan manajemen
Menurut pengertian diatas dapat diuraikan sebagai berikut :
1. Melindungi harta kekayaan perusahaan. Kekayaan perusahaan dapat
berupa kekayaan yang berwujud maupun kekayaan yang tidak berwujud.
Kekayaan sangat diperlukan untuk menjalankan kegiatan perusahaan.
2. Meningkatkan akurasi informasi yang dihasilkan oleh sistem informasi
yang dijalankan oleh perusahaan. Informasi menjadi dasar pembuatan
keputusan. Apabila informasi salah, keputusan yang diambil baik oleh
manajemen maupun pihak lain dapat salah.
3. Meningkatkan efisiensi kinerja perusahaan sehingga dalam berbagai
kegiatan dapat dilakukan penghematan. Efisiensi merupakan suatu
perbandingan antara besarnya pengorbanan dan hasil yang diperoleh.
4. Meningkatkan kepatuhan terhadap kebijakan manajemen. Secara berkala
manajemen telah menetapkan tujuan yang akan dicapai oleh perusahaan
dan tujuan tersebut hanya dapat dicapai apabila semua pihak dalam
perusahaan bekerja sama dengan baik.
Jika dilihat dari uraian di atas mengungkapkan bahwa tujuan
pengendalian intern merupakan faktor yang sangat penting dalam sebuah
perusahaan juga mendukung manajemen dan pelaksanaannya, sehingga
perusahaan dapat berjalan dengan semestinya dalam rangka mencapai
tujuan yang telah ditetapkan.
2.4.3. Komponen Pengendalian Internal
Menurut
Gondodiyoto,
S
(2007:
478),
komponen
sistem
pengendalian internal yaitu :
1. Pemisahan tugas atau fungsi (separation of duties).
2. Pembagian wewenang dan tanggung jawab (delegation of autaority and
responsibility).
3. Pegawai yang terlatih atau cakap dan dapat dipercaya (competent and
trustworthy personnel).
4. Otorisasi (system of authorization).
5. Pencatatan dan dokumentasi yang memadai (adequate document and
records).
6. Control antara catatan dengan harta secara fisik yang ada (physical
control user assets and records).
7. Pengawasan
manajemen
yang memadai
(adequate
management
supervision).
8. Pemeriksaan terhadap kinerja oleh pihak luar organisasi (Independent
checks on performance).
9. Rekonsiliasi catatan dengan fisik atau harta yang sesungguhnya ada
(comparing recorded accountability with assets).
Menurut
Committee
of
sponsoring
organization
(COSO),
menyebutkan bahwa sistem pengendalian internal terdiri dari lima
komponen. Kelima komponen tersebut berasal dari para menajemen dalam
menjalankan bisnisnya, dan terintegrasi dengan proses manajemen. Kelima
komponen tersebut adalah:
a. Lingkungan pengendalian
Lingkungan pengendalian menentukan "warna" dari sebuah perusahaan,
memberikan pengaruh kesadaran akan pengendalian kepada orangorang di dalam perusahaan.
b. Penaksiran Risiko (Risk Assessment)
Setiap entitas dalam melaksanakan aktivitas akan menghadapi berbagai
risiko, baik internal maupun eksternal yang harus diperhitungkan terkait
dalam pencapaian tujuan sehingga membentuk suatu basis penetapan
bagaimana risiko tersebut seharusnya dikelola.
c. Aktifitas pengawasan (control Activities)
Aktivitas pengawasan meliputi kebijakan dan prosedur yang menunjang
arahan dari manajemen untuk diikuti. Kebijakan dan prosedur tersebut
memungkinkan diambilnya tindakan dengan mempertimbangkan risiko
yang terdapat pada seluruh jenjang dan
Didalamnya
termasuk
berbagai
jenis
fungsi dalam organisasi.
otorisasi
dan
verifikasi,
rekonsiliasi, evaluasi kinerja dan pengaman harta serta pemisahan
tugas.
d. Informasi dan Komunikasi (Information and Communication)
Informasi
yang
relevan
perlu
diidentifikasi,
dicatat
dan
dikomunikasikan. Dalam bentuk dan waktu yang tepat, sehingga
pelaksanaan tanggung jawab yang baik oleh anggota organisasi. Sistem
informasi menghasilkan laporan tentang kegiatan operasional dan
keuangan, serta ketaatan terhadap peraturan yang berlaku dalam rangka
melaksanakan dan mengendalikan pelaksanaan tugas.
e. Pemantauan (monitoring)
Pemantauan adalah suatu proses yang mengevaluasi kualitas kinerja
sistem pengendalian intern pada saat kegiatan berlangsung. Proses ini
diselenggarakan melalui aktivitas pemantauan yang berkesinambungan
dan melalui audit intern atau melalui kedua-duanya.
2.4.4. Pengendalian Umum (General Control)
Menurut Weber, Ron (1999: 256), pengendalian umum dibagi
menjadi :
a. Pengendalian Manajemen Puncak (Top Management Controls).
b. Pengendalian Manajemen Sistem Pengembangan (Systems Development
Management Controls).
c. Pengendalian Manajemen Pemrograman (Programming Management
Controls).
d. Pengendalian Manajemen Sumber Data (Data Resource Management
Controls).
e. Pengendalian Manajemen Keamanan (Security Management Controls).
f. Pengendalian
Manajemen
Operasional
(Operations
Management
Controls).
g. Jaminan Kualitas Manajemen (Quality Assurance Management).
2.4.4.1. Pengendalian Manajemen Operasional
Menurut
Weber
(1999:
292),
secara
keseluruhan
Pengendalian Manajemen Operasional bertanggung jawab terhadap
hal-hal sebagai berikut:
1. Pengoperasian Komputer (Computer Operation)
Tipe pengendalian yang harus dilakukan adalah :
a. Menetapkan fungsi yang sebaiknya dilakukan operator atau
fasilitas operasi otomatis.
b. Menetapkan bagaimana penjadwalan kerja pada pemakaian
hardware atau software.
c. Menentukan perawatan terhadap hardware agar dapat
berfungsi dengan baik.
2. Pengoperasian jaringan (Network Operation)
Manajer Operasional bertanggung jawab terhadap kegiatan
operasional dari WAN (Wide Area Network) dan LAN (Local
Area Network) yang digunakan oleh organisasi setiap hari.
Untuk
menjalankan
kewajiban
ini,
mereka
harus
mengendalikan operasi jaringan dan mengawasi performa
saluran komunikasi, perangkat jaringan dan program jaringan
dan file.
3. Persiapan dan Pengentrian Data (Preparation and Entry Data)
Manajemen operasi harus memastikan kegiatan entri data dari
dokumen sumber sudah dirancang dengan baik. Selain itu,
manajemen operasi harus memastikan adanya backup untuk
setiap data yang diinput, persiapan data dan perangkat entri
data. Data yang dimasukkan langsung ke sistem komputer
(tanpa ada dokumen sumber) harus di backup sebagai bagian
dari sistem backup file.
4. Pengendalian Produksi (Production Control)
5 fungsi utama pengendalian produksi adalah :
a. Penerimaan dan pengiriman input dan output
b. Penjadwalan kerja
c. Manajemen service-level agreement dengan user
d. Pengawasan pengeluaran biaya
e. Akuisisi komputer
5. File Library
Fungsi file library di dalam area operasional adalah bertanggung
jawab terhadap manajemen media penyimpanan yang bersifat
machine-readable
milik
organisasi.
Pengelolaan
media
penyimpanan removable melibatkan 4 fungsi:
a. Media penyimpanan disimpan di tempat yang aman
b. Media penyimpanan hanya boleh digunakan oleh orang yang
berwenang
c. Media penyimpanan harus dipelihara agar tetap berfungsi
dengan baik.
d. Media penyimpanan harus ditetakan ditempat yang sesuai
6. Documentation and Program Library
Staf dokumentasi memiliki tanggung jawab untuk mengelola
dokumentasi yang mendukung fungsi sistem informasi, antara
lain:
a.
Memastikan dokumentasi disimpan dengan aman.
b.
Memastikan
bahwa hanya staff berwenang yang
memiliki akses terhadap dokumentasi.
c.
Memastikan bahwa dokumentasi selalu up to date.
d.
Memastikan ketersediaan back-up tambahan untuk
dokumentasi.
7. Help Desk / Technical Support
Help Desk / Technical Support memiliki dua tanggung jawab
utama:
a. Membantu end user untuk menggunakan hardware dan
software, seperti microcomputer, spreadsheet, database
management, dan local area networks.
b. Menyediakan technical support untuk sistem produksi
dengan dilengkapi suatu penyelesaian masalah.
8. Capacity Planning and Performance Monitoring
Tujuan utama dari fungsi sistem informasi ini adalah untuk
mencapai tujuan dari pengguna sistem informasi dengan biaya
seminimal mungkin. Dalam memantau statistik kinerja, manajer
operasional harus mengambil 3 keputusan:
a. Menentukan apakah kinerja profil kinerja mengindikasikan
adanya kegitan ilegal yang mungkin terjadi.
b. Menetukan apakah kinerja sistem sudah sesuai dengan
kebutuhan user.
c. Menentukan beberapa sumber daya hardware dan software
yang mungkin dibutuhkan.
9. Management of Outsourced Operations
Manajaemen operasional harus fokus pada 4 tipe pengendalian
dalam memantau kontrak outsourcing:
a. Evaluasi berkelanjutan terhadap siklus keuangan vendor
outsourcing.
b. Memastikan kepatuhan
terhadap syarat dan ketentuan di
dalam kontrak outsourcing .
c. Memastikan kehandalan pengendalian dari operasional
sebuah vendor outsourcing yang sedang berlangsung.
d. Menegakan prosedur pemulihan bencana dengan vendor
outsourcing.
2.4.4.2. Pengendalian Manajemen Keamanan
Menurut Gondodiyoto, S (2007: 345), pengendalian internal
terhadap manajemen keamanan (security management controls)
dimaksudkan untuk menjamin agar aset sistem informasi tetap
aman. Aset sumber daya informasi mencakup fisik (perangkat
mesin dan fasilitas penunjangnya) serta aset tak berwujud (non –
fisik, misalnya data/ informasi, dan program aplikasi komputer).
Terdapat
beberapa
unsur
dalam
pengendalian
manajemen
keamanan, pengendalian manajemen keamanan pada dasarnya
terdiri dari:
1. Kebijakan keamanan IT (IT Security Policy).
2. Beberapa aspek serangan potensial.
3.
Mitos – mitos seputar keamanan komputer.
4. Kebijakan pengamanan komputer.
5. Personil dan kebijakan keamanan komputer.
2.4.5. Pengendalian Aplikasi
Menurut
Gondodiyoto,S
(2007:
372),
pengendalian
aplikasi
(application control) adalah sistem pengendalian internal (intern control)
pada sistem informasi berbasis teknologi informasi yang berkaitan dengan
pekerjaan/ kegiatan/ aplikasi tertentu (setiap aplikasi memiliki karakteristik
dan kebutuhan pengendalian yang berbeda).
Terdapat beberapa unsur dalam pengendalian aplikasi, pengendalian
aplikasi pada dasarnya terdiri dari:
1. Pengendalian batas sistem (boundary controls).
2. Pengendalian masukan (input controls).
3. Pengendalian proses pengolahan data (process controls).
4. Pengendalian keluaran (output controls).
5. Pengendalian file/ database (file/ database controls).
6. Pengendalian komunikasi aplikasi (communication controls).
2.4.5.1. Pengendalian Batasan Sistem (Boundary Controls)
Menurut Gondodiyoto, S (2007: 374), yang dimaksud
boundary adalah interface antara pengguna (users) dengan sistem
berbasis teknologi informasi. Tujuan utama boundary controls
adalah antara lain :
a. Untuk mengenal identitas dan otentik (authentic) / tidaknya user
/ pemakai sistem, artinya suatu sistem yang didesain dengan
baik seharusnya dapat mengidentifikasi dengan tepat siapa
user tersebut, dan apakah identitas diri yang dipakainya
otentik.
b.
Untuk menjaga agar sumber daya informasi digunakan oleh
user dengan cara yang ditetapkan.
2.4.5.2. Pengendalian Masukan (Input Controls)
Menurut Gondodiyoto, S (2007: 377), pengendalian masukan
(input controls) dirancang dengan tujuan untuk mendapat
keyakinan bahwa data transaksi input adalah valid, lengkap, serta
bebas dari kesalahan dan penyalahgunaan. Input controls ini
merupakan pengendalian aplikasi yang penting, karena input yang
salah akan menyebabkan output juga keliru.
Mekanisme masuknya data input ke sistem dapat dikategorikan ke
dalam dua cara, yaitu :
a. Batch System (Delayed Processing Systems)
Pada sistem pengolahan data secara batch processing system,
tiap transaksi (misalnya formulir sensus, kartu coblosan
pemilihan umum, atau answer sheet ujian calon mahasiswa)
dibundel dalam jumlah lembar tertentu untuk direkam.
Demikian pula sistem batch dalam siklus akuntansi keuangan
(book – keeping untuk mencatat transaksi ke dalam jurnal,
posting ke buku besar dan buku pembantu, serta pengolahan
untuk menghasilkan laporan keuangan) dilakukan tidak pada
saat transaksi itu terjadi. Sistem pengolahan data lebih bersifat
back office system, yaitu semata-mata untuk mengolah data
dokumen-dokumen akuntansi yang transaksinya sudah lewat
(yang lalu). Jadi pengolahan datanya tertunda (delayed
processing). Pada sistem batch ini orientasi utamanya adalah
sistem pengolahan data (dahulu disebut sistem pengolahan
data elektronik, electronic data processing, EDP). Data input
yang akan dimasukkan ke sistem informasi berbasis teknologi
pada hakikatnya dapat dikelompokan dalam tiga tahapan,
yaitu: 1. data capture (penangkapan data, pengisian dokumen
sumber
atau
source
document),
2.
data
preparation
(penyiapan data untuk di entry), serta 3. data entry
(pemasukkan
data)
merupakan
proses
merekam
atau
memasukkan data ke komputer, suatu proses mengubah data
ke dalam bentuk yang dapat dibaca oleh mesin (machine
readable form).
b.
On-line Transaction Processing System (pada umumnya
bersifat real-time system)
Cara pemrosesan data input yang lain yang lebih lazim pada
saat ini adalah dengan on-line transaction processing system.
Pada sistem tersebut data masukan dientri dengan workstation/
terminal atau jenis input device seperti ATM (Automatic
Teller Machine) dan point of sales (POS). Meskipun online
dikaitkan dengan real time system, artinya updating data di
komputer bersamaan dengan terjadinya transaksi.
2.4.5.3. Pengendalian Keluaran (Output Controls)
Menurut Gondodiyoto, S (2007: 382), pengendalian keluaran
merupakan pengendalian yang dilakukan untuk menjaga output
sistem agar akurat, lengkap, dan digunakan sebagaimana mestinya.
Pengendalian keluaran (output controls) ini didesain untuk
menjamin agar output / informasi dapat disajikan secara akurat,
lengkap, mutakhir, dan didistribusikan kepada orang – orang yang
berhak (para pengguna) secara cepat dan tepat waktu. Yang
termasuk pengendalian keluaran antara lain adalah :
a.
Rekonsiliasi Keluaran dengan Masukan dan Pengolahan.
Rekonsiliasi keluaran dilakukan dengan cara membandingkan
hasil keluaran dari sistem dengan dokumen asal.
b.
Penelaahan dan Pengujian Hasil – Hasil Pengolahan.
Pengendalian
ini
dilakukan
dengan
cara
melakukan
penelaahan, pemeriksaan dan pengujian terhadap hasil – hasil
pengolahan dari sistem. Proses penelaahan dan pengujian ini
biasanya dilakukan oleh atasan langsung pegawai.
c. Pendistribusian Keluaran.
Pengendalian ini didesain untuk memastikan bahwa keluaran
didistribusikan kepada pihak yang berhak, dilakukan secara
tepat waktu dan hanya keluaran yang diperlukan saja yang
didistribusikan.
2.4.6. Standart Audit: IT Audit Guideline ISACA
G15 Audit Planning
1. Keterkaitan dengan standart
Standar S5 perencanaan menyatakan bahwa IT audit dan jaminan
professional harus merencanakan informasi sistem audit cakupan
untuk mengatasi tujuan audit dan untuk mematuhi undang-undang
yang berlaku dan standar audit professional, pengembangan serta
dokumentasi :
a.
Pendekatan berbasis risiko audit
b.
Audit rencana rincian bahwa sifat dan tujuan, waktu dan batas,
tujuan, dan sumber daya yang diperlukan
c.
Program audit dan rencana yang merinci sifat, waktu dan tingkat
prosedur audit diperlukan untuk menyelasaikan audit.
2. Preliminary Engagemenet Activities
Tujuan diadakannya aktivitas ini untuk memastikan IT audit jaminan
professional dapat memperkirakan kejadian atau keadaan yang dapat
memberi efek terhadap kemampuan rencana dan penampilannya serta
mengurangi risiko audit ke level yang rendah.
Aktivitas IT audit dan jaminan professional menjalankan prosedur
terlepas dari hubungan klien dan hubungan audit spesifik.
3. Planning
Strategi Audit perlu dijalankan dalam langkah yang efektif.
Perenanaan yang bagus dapat membantu penyelesaian masalah yang
terjadi di area tertentu, penentuan area yang bermasalah, penentuan
potensi masalah, serta penentuan penyelesaian masalah dalam jangka
waktu yang jelas.
4. Dokumentasi
Adanya lembar dokumentasi dalam setiap rencana audit dalam bentuk
tampilan
2.5. Audit Sistem Informasi
2.5.1. Pengertian Audit Sistem Informasi
Menurut Gondodiyoto, S (2007: 443), audit sistem informasi
dimaksudkan untuk mengevaluasi tingkat kesesuaian antara sistem
informasi dengan prosedur bisnis (business processes) perusahaan
(kebutuhan pengguna, user needs) untuk mengetahui apakah suatu sistem
informasi telah didesain dan diimplementasikan secara efektif, efisien dan
ekonomis, memiliki mekanisme kepengamanan asset, serta menjamin
integritas data yang memadai.
Information systems audit reviews the general and application
controls of an accounting information system (AIS) to assess its
compliance with internal control policies and procedures and its
effectiveness in safeguarding assets. Audit sistem informasi merupakan
mereview pengendalian umum dan pengendalian aplikasi dari sistem
informasi akuntansi untuk menilai ketaatan sistem terhadap kebijakan dan
prosedur pengendalian internal serta efektifitas dalam melindungi asset.
Jadi dapat disimpulkan bahwa audit sistem informasi merupakan
suatu proses pengevaluasian terhadap sistem informasi berdasarkan
prosedur pengendalian bisnis perusahaan yang telah ditetapkan, untuk
menentukan apakah sistem informasi dapat mendukung tercapainya tujuan
organisasi secara efektif dan efisien yang memberikan manfaat bagi
perusahaan secara maksimal.
2.5.2. Tujuan Audit Sistem Informasi
Tujuan audit sistem informasi menurut Weber, Ron (1999: 11) dapat
disimpulkan secara garis besar terbagi menjadi empat tahap, yaitu:
1. Meningkatkan keamanan asset-asset perusahaan
Aset informasi suatu perusahaan seperti hardware, software, sumber
data, file data harus dijaga oleh suatu sistem pengendalian intern yang
baik agar tidak terjadi penyalahgunaan asset perusahaan.
2. Menjaga intergritas data
Integritas data adalah suatu konsep dasar informasi.
3. Efektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting
dalam proses pengambilan keputusan.
4. Efisiensi sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak
lagi memiliki kapasitas yang memadai.
2.5.3. Pendekatan Audit Sistem Informasi
Menurut Weber, Ron (1999: 55), metode audit antara lain :
1. Auditing around the computer merupakan suatu pendekatan audit
dengan memperlakukan komputer sebagai black box, maksudnya
metode ini tidak menguji langkah-langkah proses secara langsung,
tetapi hanya berfokus pada input dan output dari sistem komputer.
Diasumsikan bahwa jika input benar akan diwujudkan pada output,
sehingga pemrosesan juga benar dan tidak melakukan pengecekan
terhadap pemrosesan komputer secara langsung.
Pendekatan ini mengandung beberapa kelemahan, antara lain :
a. Umumnya database mencakup jumlah data yang banyak dan suka
di telusuri secara manual.
b. Tidak menciptakan saran bagi auditor untuk mengayati dan
mendalami lebih mantap tentang komputer.
c. Cara ini mengabaikan pengendalian sistem dalam pengolahan
komputer itu sendiri, sehingga rawan terhadap adanya kelemahan
dan kesalahan potensial didalamnya.
d. Kemampuan komputer sebagai fasilitas penunjang pelaksanaan
audit menjadi sia-sia.
e. Tidak
dapat
mencakup
keseluruhan
maksud
dan
tujuan
penyelenggaraan audit.
2. Auditing through the computer
Merupakan suatu pendekatan audit yang berorientasi pada komputer
dengan membuka black box, dan secara langsung berfokus pada
operasi pemrosesan dalam sistem komputer. Dengan asumsi bahwa
apabila pemrosesan mempunyai pengendalian yang memadai, maka
kesalahan dan penyalahgunaan tidak akan terlewat untuk dideteksi,
sebagai akibat dari keluaran dapat diterima. Keuntungan utama pada
pendekatan ini adalah dapat meningkatkan kekuatan terhadap
pengujian sistem aplikasi secara efektif dimana ruang lingkup dan
kemampuan dari pengujian yang dilakukan dapat diperluas sehingga
tinggkat kepercayaan terhadap keandalan dari pengumpulan dan
pengevaluasian bukti dapat di tingkatkan. Selain itu dengan memeriksa
secara langsung logika pemrosesan dari sistem aplikasi, dapat
diperkirakan kemampuan sistem dalam menangani perubahan dan
kemungkinan kehilangan yang terjadi pada masa yang akan datang.
Kelemahan dari pendekatan ini adalah sebagai berikut :
a.
Biaya yang dibutuhkan relative tinggi yang disebabkan jumlah
jam kerja yang banyak untuk dapat lebih memahami struktur
kontrol internal dari pelaksanaan sistem aplikasi.
b.
Butuh banyak keahlian teknis yang lebih mendalam untuk
memahami cara kerja.
3. Auditing with computer
Pendekatan ini dilakukan dengan menggunakan komputer dan software
untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini
merupakan cara audit yang sangat bermanfaat, khususnya dalam
pengujian substantive atas file dan record perusahaan. Software audit
yang digunakan merupakan program komputer auditor untuk membantu
dalam pengujian dan evaluasi kehandalan data, file dan record
perusahaan.
Keunggulan pendekatan ini adalah :
a.
Merupakan program komputer yang diproses untuk membantu
pengujian pengendalian sistem komputer klien itu sendiri.
b.
Dapat melaksanakan tugas audit yang terpisah dari catatan klien,
yaitu dengan mengambil copy data atau file untuk dites dengan
komputer lain.
2.5.4. Langkah – langkah Audit Sistem Informasi
Menurut Weber, Ron (1999: 47), langkah-langkah untuk melakukan
kegiatan audit terdiri dari :
1. Planning the audit
Perencanaan merupakan fase pertama dari kegiatan audit, bagi
eksternal auditor hal ini artinya adalah melakukan investigasi terhadap
klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima,
menempatkan staff audit, menghasilkan perjanjian audit, menghasilkan
informasi latar belakang klien, mengerti tentang masalah hukum klien
dan melakukan analisa terhadap prosedur yang ada untuk mengerti
tentang bisnis klien dan mengidentifikasi risiko audit.
2. Test the controls
Auditor melakukan test controls ketika mereka menilai bahwa control
risiko berada pada level kurang dari maksimum, mereka mengandalkan
control sebagai dasar untuk mengurangi biaya testing. Sampai pada
fase ini auditor tidak mengetahui apakah identifikasi control telah
berjalan dengan efektif, test terhadap control oleh karena itu
diperlukan evaluasi yang spesifik terhadap materi control.
3. Test the transactions
Auditor menggunakan test terhadap transaksi untuk mengevaluasi
apakah kesalahan atau proses yang tidak bisa terjadi pada transaksi
yang mengakibatkan kesalahan pencatatan yang material pada laporan
keuangan. Test transaksi ini termasuk menelusuri atau trace jurnal dari
sumber dokumen, memeriksa file berharga dan mengecek keakuratan
perhitungan. Pemakaian komputer sangat membantu pekerjaan ini dan
auditor harus menggunakan software audit umum untuk mengecek
apakah bunga yang dibayar kepada bank telah sesuai perhitungannya.
4. Test the balances or overall results
Untuk mengetahui pendekatan yang digunakan pada fase ini, yang
harus diperhatikan adalah tujuan pengamanan harta dan data integrity.
Beberapa jenis substantive test terhadap saldo yang digunakan adalah
konfimasi piutang, perhitungan ulang penyusutan aktiva tetap.
5. Completion of the audit
Pada fase akhir audit, eksternal audit akan membuat hasil laporan.
Terdapat 4 opini yang dapat diberikan terhadap hasil audit oleh
eksternal audit, yaitu :
a. Disclaimer of opinion (tidak memberikan pendapat), auditor tidak
akan memberikan opini.
b. Adverse opinion (pendapat tidak wajar), auditor berpendapat
bahwa terdapat banyak kesalahan.
c. Qualified
opinion
(wajar
dengan
pengecualian),
auditor
berpendapat bahwa terjadi beberapa kesalahan tetapi nilainya tidak
material.
d. Unqualified
opinion
(wajar
tanpa
pengecualian),
auditor
berpendapat bahwa tidak terjadi kesalahan atau misstatement.
2.6. Risiko
2.6.1. Jenis-Jenis Risiko
Menurut Gondodiyoto, S (2007: 259), dari berbagai sudut pandang,
risiko dapat dibedakan dalam beberapa jenis :
1. Risiko Bisnis (Business Risk)
Risiko bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor
intern maupun ekstern yang berakibat kemungkinan tidak tercapainya
tujuan organisasi (business goals objectives).
a. Risiko ekstern (risk from external environment) misalnya
perubahan kondisi perekonomian, tingkat kurs yang berubah
mendadak, dan munculnya pesaing baru yang mempunyai potensi
pesaing tinggi.
b. Risiko
yang berasal
dari internal
misalnya permasalahan
kepegawaian, risiko-risiko yang berkaitan dengan peralatan atau
mesin, risiko keputusan yang tidak tepat dan kecurangan
manajemen (management fraud).
2. Risiko Bawaan (Inherent Risks)
Risiko bawaan ialah potensi kesalahan atau penyelahgunaan yang
melekat pada suatu kegiatan, jika tidak ada pengendalian intern.
3. Risiko Pengendalian (Control Risks)
Risiko pengendalian ialah masih adanya risiko meskipun sudah ada
pengendalian.
4. Risiko Deteksi (Detection Risks)
Risiko deteksi adalah risiko yang terjadi karean prosedur audit yang
dilakukan mungkin tidak dapat mendeteksi adanya eror yang cukup
materialitas atau adanya kemungkinan fraud. Risiko deteksi mungkin
dapat terjadi karena auditor ternyata dalam prosedur auditnya tidak
dapat
mendeteksi
terjadinya
existing
control
failure
(sistem
pengendalian intern yang ada ternyata tidak berjalan baik)
5. Risiko Audit (Audit Risks)
Risiko audit adalah risiko hasil pemeriksaaan auditor ternyata belum
dapat mencerminkan keadaan yang sesungguhnya. Risiko audit
sesungguhnya merupakan gabunga antara inherent risks, control risks,
dan detection risks
2.6.2. Teknik Penilaian Risiko dan Pengendalian
Menurut Griffiths, David M (2007: 18), setelah memperoleh bukti
audit yang cukup beserta temuannya dengan menggunkan instrumen
pengumpulan bukti ,audit dilanjutkan dengan menggunakan matriks
penilaian risiko guna merumuskan dan mempertajam analisa terhadap
bukti evaluasi dan temuan agar dapat merumuskan dan menyimpulkan
opini dengan melakukan perbandingan dan penilaian terhadap tingkat
risiko dan pengendalian yang ada.
Matriks penilaian risiko adalah suatu cara untuk menganalisa seberapa
besar risiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan
cara menganalisa risiko yang ada (inherent rsik) dan risiko setelah adanya
pengendalian (residual risk).
2.6.3. Matrik Penilaian Risiko
Menurut Griffiths, David M (2007: 20), matrik penilian risiko adalah
metode analisis dengan menghitung aspek tingkat risiko (Dampak) dan
tingkat terjadinya risiko tersebut, dengan nilai L (low) = -1, M (medium) =
-2, H (high) = -3.
Teknik perhitungan dalam matrik penilain risiko menggunakan
fungsi perkalian antara dampak dengan nilai terjadinya. Kriteria penilaian
dalam matrik pengendalian terdiri dari :
1. Risiko kecil (low) nilainya berkisar antaran -1 dan -2, seperti :
a. Jika dampak low (-1) dan terjadinya low (-1), maka nilai risiko
adalah -1. Artinya, nilai risiko dari dampak dan terjadinya adalah
kecil.
b. Jika dampak low (-1) dan terjadinya medium (-2), maka nilai risiko
adalah -2. Artinya, nilai risiko dari dampak dan terjadinya adalah
kecil.
c. Jika dampak medium (-2) dan terjadinya low (-1), maka nilai risiko
adalah -2. Artinya, nilai risiko dari dampak dan terjadinya adalah
kecil.
2. Risiko sedang (medium) nilainya berkisar antara -3 dan -4, seperti :
a. Jika dampak low (-1) dan terjadinya high (-3), maka nilai risiko
adalah -3. Artinya, nilai risiko dari dampak dan terjadinya adalah
sedang.
b. Jika Jika dampak medium (-2) dan terjadi nya medium (-2), maka
nilai risiko adalah -4. Artinya, nilai risiko dari dampak dan
terjadinya adalah sedang.
c. Jika Jika dampak high (-3) dan terjadinya low (-1), maka nilai risiko
adalah -3. Artinya, nilai risiko dari dampak dan terjadinya adalah
sedang.
3. Risiko tinggi (high) nilainya berkisar antara -6 dan -9, seperti :
a. Jika dampak medium (-2) dan terjadinya high (-3), maka nilai risiko
adalah -6. Artinya, nilai risiko dari dampak dan terjadinya adalah
tinggi.
b. Jika dampak high (-3) dan terjadi nya medium (-2), maka nilai risiko
adalah -6. Artinya, nilai risiko dari dampak dan terjadinya adalah
tinggi.
c. Jika dampak high (-3) dan terjadi nya high (-3), maka nilai risiko
adalah -6. Artinya, nilai risiko dari dampak dan terjadinya adalah
tinggi.
2.6.4. Matrik Penilaian Pengendalian
Menurut Griffiths, David M (2007: 23), matrik penilaian
pengendalian adalah metode analisis desain (Rancangan) dan tingkat
efektifitas pengendalian intern. Biasanya tingkat efektifitas dan design
(Rancangan) dinyatakan dengan nilai L (low) =1, M (medium) =2 dan H
(high) = 3
Teknik
menggunakan
perhitungan
fungsi
dalam
perkalian
matrik
antara
penilaian
efektifitas
pengendalian
dengan
design
(rancangan). Kriteria penilaian dalam matrik pengendalian terdiri dari :
1. Pengendalian kecil( low) nilainya berkisar antara 1 dan 2, seperti :
a. Jika efektifitasnya low (1) dan terjadinya low (1), maka nilai
pengendaliannya adalah 1. Artinya, nilai pengendalian dari
efektifitas dan design adalah kecil.
b. Jika efektifitasnya low (1) dan terjadinya medium (2), maka nilai
pengendaliannya adalah 2. Artinya, nilai pengendalian dari
efektifitas dan design adalah kecil.
c. Jika efektifitasnya medium (2) dan terjadinya low (1), maka nilai
pengendaliannya adalah 2. Artinya, nilai pengendalian dari
efektifitas dan design adalah kecil.
2. Pengendalian sedang( medium) nilainya berkisar antara 3 dan 4,
seperti:
a. Jika efektifitasnya low (1) dan terjadinya high (3), maka nilai
pengendaliannya adalah 3. Artinya, nilai pengendalian dari
efektifitas dan design adalah sedang.
b. Jika efektifitasnya medium (2) dan terjadinya medium (2), maka
nilai pengendaliannya adalah 6. Artinya, nilai pengendalian dari
efektifitas dan design adalah sedang.
c. Jika efektifitasnya high (3) dan terjadinya low (1), maka nilai
pengendaliannya adalah 3. Artinya, nilai pengendalian dari
efektifitas dan design adalah sedang.
3. Pengendalian tinggi( high) nilainya berkisar antara 6 dan 9, seperti :
a. Jika efektifitasnya medium (2) dan terjadinya high (3), maka nilai
pengendaliannya adalah 6. Artinya, nilai pengendalian dari
efektifitas dan design adalah tinggi.
b. Jika efektifitasnya high (3) dan terjadinya medium (2), maka nilai
pengendaliannya adalah 6. Artinya, nilai pengendalian dari
efektifitas dan design adalah tinggi.
c. Jika efektifitasnya high (3) dan terjadinya high (3), maka nilai
pengendaliannya adalah 9. Artinya, nilai pengendalian dari
efektifitas dan design adalah tinggi.
Penetapan tingkat efektifitas antara risiko dan pengendalian adalah
sebagai berikut :
1. Jika jumalah penilaian risiko dan pengendalian adalah 0, maka
tingkat pengendalian dan risiko adalah standar. Artinya setiap
risiko yang terjadi dapat ditanggulangi oleh pengendalian yang ada.
2. Jika jumlah penilaian risiko dan pengendaliannya adalah positif,
maka tingkat pengendalian dan risiko adalah baik. Tapi jika nilai
pengendaliannya terlalu tinggi dibanding dengan risiko, maka
kemungkinanan akan terjadi kelebihan pengendalian (overcontrol)
yang menyebabkan terjadinya pemborosan dalam operasional.
3. Jika jumlah penilaian risiko dan pengendaliannya adalah negatif,
maka tingkat pengendalian dan risiko adalah buruk. Sehingga perlu
dilakukan peningkatan terhadap pengendalian karena risiko yang
dihadapi besar.
Download