Embed Size (px)
Citation preview
8
BAB 2
LANDASAN TEORI
2.1. Teori Umum
2.1.1. Pengertian Sistem
Menurut McLeod, Jr. (2001, h9), “A system is a group of
elements that are integrated with the common purpose of achieving an
objective “, yang artinya sistem adalah sekelompok elemen-elemen
yang terintegrasi dengan maksud yang sama untuk mencapai suatu
tujuan”.
Menurut Hall (2001, h5), “Sistem adalah sekelompok dua atau
lebih komponen-komponen yang saling berkaitan (interrelated) atau
subsistem-subsistem yang bersatu untuk mencapai tujuan yang sama (
common purpose )”.
Menurut Romney dan Steinbart (2003,p2), “A system is a set of
two or more interrelated components that interact to achieve a goal “,
artinya sistem adalah rangkaian dari dua atau lebih komponen-
komponen yang saling berhubungan yang berinteraksi untuk mencapai
suatu tujuan.
9
Jadi, dapat disimpulkan bahwa sistem adalah sekelompok
komponen yang saling berkaitan dan bekerja sama untuk mencapai
suatu tujuan tertentu.
2.1.2. Pengertian Informasi
Menurut McLeod (2001,h12), “Informasi adalah data yang telah
diproses, atau data yang memiliki arti.”
Menurut Hall (2001, h14), “Informasi menyebabkan pemakai
melakukan suatu tindakan yang dapat ia lakukan atau tidak dilakukan.
Informasi sering kali didefinisikan sebagai data yang diproses”.
Menurut Romney dan Steinbart (2003,p9), “Information is data
that have been organized and processed to provide meaning”, artinya
informasi adalah data yang telah diatur dan diproses untuk memberikan
arti.
Jadi, dapat disimpulkan informasi adalah data yang telah
diproses dan diatur sedemikian rupa sehingga memiliki arti yang
digunakan untuk mengambil keputusan yang dapat menyebabkan
pemakai melakukan suatu tindakan yang dapat ia lakukan atau tidak
dilakukan.
10
2.1.3. Kualitas Informasi
Menurut Peltier (2001, p4-5), program jaminan kualitas
informasi meliputi :
1. Integrity : informasi yang tanpa modifikasi, bersifat mentah atau
belum tercemar
2. Availability : informasi yang apabila pihak yang berwenang ingin
mengakses aplikasi dan sistem selalu tersedia
3. Confidentiality : informasi yang dilindungi dari pihak yang tidak
berwenang atau tidak berkepentingan
2.1.4. Pengertian Sistem Informasi
Menurut McLeod, Jr. (2001, p6), menyimpulkan arti sistem
informasi dengan sangat singkat yaitu “sistem penghasil informasi”.
Menurut Hall (2001, p7), “Sistem informasi diartikan sebagai
rangkaian prosedur formal dimana data dikumpulkan, diproses menjadi
informasi dan didistribusikan kepada para pemakai”.
Menurut Laudon (2003, p7), “Interrelated components working
together to collect, process, store, and disseminate information to
support decision making, coordination, control, analysis, and
visualization in an organization”, yang memiliki arti sistem informasi
adalah serangkaian komponen yang saling berhubungan yang dapat
11
mengumpulkan, memproses, menyimpan, dan menyebarkan informasi
untuk pengambilan keputusan, koordinasi, dan kontrol di dalam
organisasi”.
Jadi, dapat disimpulkan bahwa sistem informasi adalah
sekumpulan komponen yang saling berhubungan digunakan untuk
mengolah data dan diubah menjadi sebuah informasi yang digunakan
untuk pengambilan sebuah keputusan dalam organisasi.
2.1.5. Auditing
2.1.5.1. Pengertian Audit
Menurut Hall (2001, p42), “Auditing adalah salah satu
bentuk pengujian independen yang dilakukan oleh seorang ahli
auditor yang menunjukkan pendapatnya tentang kejujuran
sebuah laporan keuangan”.
Menurut Arens & Loebbecke (2003, h1), “Auditing
adalah proses pengumpulan dan pengevaluasian bahan bukti
tentang informasi yang dapat diukur mengenai entitas ekonomi
yang dilakukan oleh seorang yang kompeten dan independen
untuk dapat menentukan dan melaporkan kesesuaian informasi
dimaksud dengan kriteria-kriteria yang telah ditetapkan.”
Jadi, dapat disimpulkan bahwa audit adalah sebuah
proses yang sistematis yang dilakukan oleh auditor independen
12
dengan mengumpulkan dan mengevaluasi bahan bukti secara
objektif dengan tujuan untuk memberikan pendapat yang
disajikan dalam sebuah laporan.
2.1.5.2. Jenis-jenis audit
Menurut CISA Review Manual (2005,p.36-37) jenis audit
terbagi menjadi :
a. Audit Keuangan (Financial Audits)
Tujuan audit keuangan adalah untuk menilai
kebenaran laporan keuangan organisasi. Audit jenis ini
berhubungan dengan integritas dan kehandalan
informasi.
b. Audit Operasional (Operational Audits)
Audit Operasional dirancang untuk mengevaluasi
struktur pengendalian internal yang ada pada proses atau
area.
c. Audit Gabungan (Integrated Audits)
Audit gabungan mengkombinasikan langkah-
langkah audit keuangan dan operasional. Audit gabungan
juga dijalankan untuk menilai keseluruhan tujuan dalam
organisasi, berhubungan dengan informasi keuangan dan
pengamanan asset, efisiensi, dan ketaatan. Audit
gabungan dapat dijalankan oleh auditor eksternal atau
13
internal dan bisa meliputi pengujian ketaatan
pengendalian internal dan langkah audit substantif.
d. Audit Administratif (Administrative Audits)
Audit administratif berorientasi untuk menilai
permasalahan yang berhubungan dengan efisiensi
produktivitas operasional dalam organisasi.
e. Audit Sistem Informasi (Information System Audits)
Proses ini mengumpulkan dan mengevaluasi
bukti untuk menentukan apakah sistem informasi dan
sumber daya yang berhubungan dengan baik
mengamankan asset, merawat data dan integritas sistem,
menyediakan informasi yang berhubungan dan dapat
dipercaya, dan memiliki dampak pengendalian internal
yang menyediakan kepastian yang masuk akal bahwa
bisnis, operasional dan tujuan pengendalian akan sesuai
dan kejadian yang tidak diinginkan akan bisa dicegah
atau dideteksi dan dikoreksi dalam waktu yang tepat.
f. Audit Khusus (Specialized Audits)
Dalam kategori audit sistem informasi, terdapat
beberapa review khusus yang menguji bagian seperti
pelayanan yang dijalankan oleh pihak ketiga dan audit
forensic.
14
g. Audit Forensik (Forensic Audits)
Dahulu, audit forensik telah didefinisikan sebagai
audit khusus dan menemukan, menyingkap dan
melanjutkan kecurangan dan kejahatan. Tujuan
utamanya adalah untuk pengembangan bukti untuk
review oleh pelaksanaan hukum dan otoritas pengadilan.
2.1.5.3. Perlunya Kontrol dan Audit Sistem Informasi
Menurut Weber ( 1999, p5-10 ), faktor yang
mendorong pentingnya control dan audit sistem informasi
adalah :
1. Biaya perusahaan yang timbul karena kehilangan data
(Organizational costs of data loss).
2. Biaya yang timbul karena kesalahan dalam pengambilan
keputusan (Cost of incorrect decision making).
3. Biaya yang timbul karena penyalahgunaan komputer
(Cost of computer abuse).
4. Nilai dari hardware, software, dan personel (Value of
hardware, software, personnel).
5. Biaya yang besar akibat kerusakan komputer (High costs
of computer error).
15
6. Perlunya melakukan perlindungan terhadap privasi
(Maintenance of privacy).
7. Perlunya pengendalian terhadap perubahan penggunaan
komputer (Controlled evolution of computer use).
2.1.6. Metodologi Pengumpulan Data
Menurut Sugiyono (2008, h194-203), terdapat 3 teknik
metodologi pengumpulan data :
1. Interview (Wawancara), merupakan teknik pengumpulan data,
apabila peneliti ingin melakukan studi pendahuluan untuk
menemukan permasalahan yang harus diteliti, dan juga apabila
peneliti ingin mengetahui hal-hal dari responden yang lebih
mendalam dan jumlah respondennya sedikit/ kecil. Wawancara
dapat dilakukan secara terstruktur maupun tidak terstruktur, dan
dapat dilakukan melalui tatap muka (face to face) maupun dengan
menggunakan telepon.
1.1 Wawancara Terstruktur
Wawancara terstruktur digunakan sebagai teknik
pengumpulan data, bila peneliti atau pengumpul data telah
mengetahui dengan pasti tentang informasi yang akan
diperoleh. Biasanya dalam wawancara, pengumpul data telah
menyiapkan instumen penelitian berupa pertanyaan-
16
pertanyaan tertulis yang alternatif jawabannya pun telah
disiapkan.
1.2 Wawancara Tidak Terstruktur
Wawancara tidak terstruktur, adalah wawancara yang bebas
dimana peneliti tidak menggunakan pedoman wawancara
yang telah tersusun secara sistematis dan lengkap untuk
pengumpulan datanya. Pedoman yang digunakan hanya
berupa garis-garis besar permasalahan yang akan ditanyakan.
2. Kuesioner (Angket), merupakan teknik pengumpulan data yang
dilakukan dengan cara memberi seperangkat pertanyaan atau
pertanyaan tertulis kepada responden untuk dijawabnya.
Kuesioner cocok digunakan bila jumlah responden cukup besar
dan tersebar di wilayah yang luas, dapat berupa pertanyaan/
pertanyaan tertutup atau terbuka, dapat diberikan kepada
responden secara langsung atau dikirim melalui pos atau internet.
3. Observasi, sebagai teknik pengumpulan data mempunyai ciri yang
spesifik bila dibandingkan dengan teknik yang lain. Observasi
digunakan bila, penelitian berkenaan dengan perilaku manusia,
proses kerja, gejala-gejala alam dan bila responden yang diamati
tidak terlalu besar.
17
2.1.7. Pengertian Struktur Organisasi
Menurut Wursanto (2005, h108-129), “Susunan hubungan antar
satuan-satuan organisasi, jabatan-jabatan, tugas-tugas, wewenang dan
penanggungjawaban- pertanggung jawaban dalam organisasi disebut
struktur organisasi.”. Agar struktur organisasi tampak jelas, mudah
dilihat, mudah dan cepat dibaca oleh siapapun, struktur organisasi perlu
digambar dalam sebuah gambaran grafis yang dinamakan bagan
organisasi. “Bagan organisasi adalah gambaran struktur organisasi yang
ditunjukkan dengan kotak-kotak atau garis-garis yang disusun menurut
kedudukan yang masing-masing memuat fungsi tertentu dan satu sama
lain dihubungkan dengan garis-garis saluran wewenang.”
2.1.8. Diagram Aliran Data
Menurut Hall (2001,p69), “Diagram Aliran Data menggunakan
simbol-simbol untuk mencerminkan proses, sumber-sumber data, arus
data dan entitas dalam suatu sistem”.
Menurut Whitten, Bentley dan Dittman (2004,h326-239), “
Diagram Aliran Data adalah model proses yang digunakan untuk
menggambarkan aliran data melalui sebuah sistem dan tugas atau
pengolahan yang dilakukan oleh sistem”.
Jadi dapat disimpulkan bahwa Diagram Aliran Data adalah suatu
model yang menggambarkan simbol-simbol untuk menggambarkan
aliran data melalui sebuah sistem.
18
Terdapat tingkatan-tingkatan yang menggambarkan isi sistem di
dalam diagram aliran data diantaranya :
• Diagram hubungan/ Diagram konteks
Diagram konteks merupakan diagram tunggal yang
menggambarkan hubungan sistem aliran data (data flow) dan entiti
eksternal (external entity)
• Diagram nol
Diagram yang menggambarkan subsistem dari diagram hubungan
yang diperoleh dengan memecahkan proses pada diagram
hubungan.
• Diagram rinci
Diagram yang merupakan uraian diagram nol yang berisi proses-
proses yang menggambarkan bab dari subsistem pada diagram
nol.
Berikut ini merupakan contoh simbol-simbol standar yang
digunakan dalam diagram aliran data yaitu :
• External Entity
Entitas yang berada diluar sistem. External entity
ini dapat berupa orang (human), organisasi
(organization) atau sistem lainnya yang akan
member input atau menerima output dari sistem.
19
• Proses
Berfungsi mengubah satu atau beberapa data
keluaran sesuai dengan spesifikasi yang
diinginkan. Setiap proses memiliki beberapa data
masukkan serta menghasilkan satu atau beberapa
keluaran.
• Data Store
Suatu alat penyimpanan bagi file transaksi, file
induk atau file referensi
• Aliran Data
Arah arus data dari suatu entitas ke entitas lainnya yang berupa :
o Antara 2 proses yang berurutan
o Dari data store ke proses
o Dari source ke proses.
2.1.9. Visi
Menurut Hax dan Majluf (1991,p337), “The Vision of the firm is
a permanent statement to communicate the nature of the existence of the
organization in terms of corporate purpose, business scope, and
competitive leadership; to provide the framework that regulates the
relationships among the firm and its primary stakeholders; and to state
the broad objectives of the firm’s performance”. Artinya, visi
20
perusahaan adalah pernyataan permanen untuk mengkomunikasikan
keberadaan alami organisasi dalam jangka waktu tertentu mengenai
tujuan perusahaan, ruang lingkup bisnis, dan kepemimpinan yang
kompetitif; untuk menghasilkan kerangka kerja yang mengatur
hubungan antara perusahaan dan stakeholder primer; dan untuk
membagi tujuan utama dari kinerja perusahaan.
Komponen utama visi perusahaan :
• Misi perusahaan
• Segmentasi bisnis
• Strategi horisontal dan integrasi vertikal
• Filosofi perusahaan
• Masalah-masalah khusus perusahaan
2.1.10. Misi
Menurut Arnoldo C. Hax dan Nicolas S. Majluf (1991,p337),”
The mission of firm is a statement of the current and future expected
product scope, market scope, and geographical scope as well as the
unique competencies the firm has developed to achieve a long-term
sustainable advantage”. Artinya, misi perusahaan adalah suatu
pernyataan saat ini maupun harapan perusahaan di masa mendatang
mengenai ruang lingkup produk, ruang lingkup pemasaran, dan ruang
lingkup geografis yang memiliki nilai kompetitif yang dikembangkan
untuk mencapai keuntungan jangka panjang.
21
2.2. Teori Khusus
2.2.1. Audit Sistem Informasi
Menurut Weber (1999, p10), “ Information systems auditing is
the process of collecting and evaluating evidence to determine whether
a computer system safeguards assets, maintains data integrity, allows
organizational goals to be achieved effectively, and uses resources
efficiently”, yang memiliki arti bahwa audit sistem informasi adalah
proses pengumpulan dan pengevaluasian bukti untuk menentukan
apakah suatu sistem komputer dapat melindungi asset, memelihara
keutuhan data, membuat pencapaian tujuan organisasi menjadi lebih
efektif dan telah menggunakan sumber daya secara efisien.
Menurut Romney dan Steinbart (2003, p321), “The information
system audit reviews the controls of an Accounting Information System
to assess its compliance with internal control policies and procedures
and its effectiveness in safeguarding assets”. Yang artinya, audit sistem
informasi mengkaji ulang pengendalian sistem informasi akuntansi
untuk menilai pemenuhannya dengan kebijakan dan prosedur
pengendalian internal dan keefektifan perlindungan terhadap asset.
Jadi, dapat disimpulkan audit sistem informasi adalah suatu
proses sistematis dengan mengumpulkan dan mengevaluasi bukti-bukti
yang menunjukkan bahwa sistem informasi berbasis komputer dapat
mencapai tujuan perusahaan.
22
2.2.2. Tujuan Audit Sistem Informasi
Menurut Weber (1999, p11-12), Tujuan Audit Sistem Informasi
dibagi menjadi empat yaitu :
1. Peningkatan keamanan asset ( Asset Safeguarding Objectives )
Asset sistem informasi dalam organisasi meliputi
hardware, software, fasilitas, orang ( pengetahuan ), file data,
sistem dokumentasi, dan penjualan yang harus dilindungi oleh
sebuah sistem pengendalian internal.
2. Meningkatkan integritas data ( Data Integrity Obejctives )
Integritas data adalah konsep dasar dari audit sistem
informasi yang harus memiliki atribut tertentu, yaitu lengkap (
completeness ), kuat ( soundness ), murni ( purity ), dan ketelitian
( veracity).
Faktor utama yang menyebabkan data bernilai bagi
organisasi dan pentingnya untuk menjaga integritas data, yaitu :
a) Nilai informasi dari data bagi pengambilan keputusan
perorangan.
b) Peningkatan data sehingga dapat memberikan informasi bagi
para pengambil keputusan.
23
c) Nilai data bagi pesaing, jika data tersebut berguna bagi
pesaing maka pesaing dapat menggunakan data tersebut
untuk mengalahkan organisasi.
3. Meningkatkan efektifitas sistem (System Effectiveness Objectives)
Sebuah sistem informasi dikatakan efektif jika dapat
melaksanakan tujuan yang ingin dicapai.
4. Meningkatkan efisiensi sistem ( System Efficiency Objectives )
Sistem informasi dapat dikatakan efisien jika sistem
informasi dapat memenuhi kebutuhan pengguna dengan sumber
daya yang minimum.
2.2.3. Tahapan Audit Sistem Informasi
Menurut Hunton (2004, p208-212), proses tahapan audit
meliputi : perencanaan (planning), penaksiran risiko (risk assessment),
pengembangan audit program (development of audit program),
pengumpulan bukti (gathering evidence), pernyataan kesimpulan
(forming conclusions), pernyataan pendapat audit (preparing the audit
opinion), and pengkajian ulang (following up).
24
Bagan Tahapan Audit Sistem Informasi.
Gambar 2.1 Tahapan Audit SI
1. Planning
Langkah pertama melibatkan perencanaan proyek audit TI,
dalam hal ini berarti menentukan risiko bawaan pada audit
(inherent risk), menjalin hubungan dengan klien dan lingkungan
dimana klien beroperasi, dan membuat rencana tahapan audit,
meliputi staff yang akan mengaudit dan bagaimana audit akan
dilakukan.
25
Standar ISACA 050.010, “Audit Planning” , menyatakan :
“Sistem Informasi auditor membuat kerangka kerja mengenai
ruang lingkup audit dan tujuan audit berdasarkan standar audit
yang berlaku.”
ISACA Guideline 050.010.020 memberikan panduan
perencanaan yang lebih spesifik. Per the guideline, auditor harus
mengikuti standar yang berlaku selama proses perencanaan, yaitu :
• Auditor akan menentukan ruang lingkup dan tujuan
pengendalian audit.
• Melakukan penaksiran pengendalian yang berhubungan
dengan proses yang akan diaudit oleh auditor.
• Memahami organisasi dan bisnis keuangan dan risiko, serta
masalah-masalah yang dihadapi oleh industri atau klien.
• Mengidentifikasi sejauh mana klien bergantung pada
outsourcing.
• Auditor akan mengembangkan audit program yang berisi
prosedur audit yang spesifik selama proses audit
berlangsung.
• Mengembangkan rencana audit secara keseluruhan.
26
• Dokumen kertas kerja audit dengan rencana audit dan
program audit dan dokumentasi lain yang diperlukan untuk
memahami proses bisnis klien dan lingkungan operasinya.
2. Risk Assessment
Penilaian risiko merupakan komponen penting bagi auditor
dalam mengaudit teknologi informasi. Banyak auditor
menggunakan pendekatan audit berbasiskan risiko dalam
melakukan audit. Auditor harus memahami apa yang salah dalam
sistem dengan menggunakan penaksiran risiko. Penilaian risiko
membutuhkan auditor yang memahami klien, industri dan
lingkungan dimana klien beroperasi dan proses bisnis klien. Tanpa
pemahaman, maka auditor akan gagal dalam mengidentifikasi
risiko yang ada pada bisnis proses klien.
3. Prepare Audit Program
Tidak ada standar audit program bagi auditor IT, namun
pada umumnya audit program meliputi :
Ruang lingkup audit
Tujuan audit
Prosedur audit
Administrasi secara rinci seperti perencanaan dan laporan.
27
Audit program harus didokumentasikan dalam kertas kerja
yang berfungsi sebagai pedoman dalam melaksanakan audit.
Setelah audit selesai, audit program akan memberikan
dokumentasi mengenai siapa yang diaudit, sebagai referensi kertas
kerja dimana hasil setiap test dan langkah audit bisa dilihat.
4. Gathering Evidence
Tujuan kerja lapangan adalah mengumpulkan “…cukup,
dapat diandalkan, dan bukti – bukti yang berguna untuk mencapai
tujuan audit secara efektif. Temuan audit dan kesimpulan yang
didukung dengan analisis dan intepretasi yang tepat (ISACA
Standard 060.020,”Evidence”).
ISACA guideline 060.020.030 mengidentifikasikan
beberapa tipe bukti bagi auditor IT yang akan dikumpulkan
sebagai bagian dari kerja lapangan, meliputi :
Proses pengamatan pada barang – barang fisik seperti
pengoperasian komputer dan prosedur backup
Dokumentasikan bukti seperti program pengubahan
password, hak akses, hak otorisasi
Dapatkan gambaran seperti flowchart, narasi dan kebijakan
tertulis dan prosedur
28
Analisa prosedur CAATs (Computer Assisted Audit
Techniques) pada file data.
5. Forming Conclusions
Setelah bukti audit dikumpulkan, maka auditor
mengevaluasi bukti dan bentuk kesimpulan apakah tujuan audit
telah dapat dipenuhi dan kecukupan prosedur audit yang dilakukan
dalam mencapai suatu opini audit secara keseluruhan. Auditor
akan mengidentifikasi kondisi laporan yang mengacu pada situasi
yang menggambarkan kelemahan pengendalian. Laporan yang
menggambarkan kondisi biasanya disusun dalam Management
Letter yang akan didiskusikan dengan komite audit dan klien.
6. Deliver Audit Opinion
Didalam laporan audit, tidak ada standar baku yang
digunakan dalam penyusunan laporan audit. Point-point utama
yang terdapat pada laporan audit yang diberikan oleh ISACA
Guideline 070.010.010 antara lain :
Nama organisasi yang diaudit
Judul, tanda tangan dan tanggal
Tujuan Audit
Ruang lingkup audit
29
Metodologi yang digunakan atau standar dan kriteria yang
digunakan oleh auditor
Temuan yang diperoleh (findings)
Risiko yang berhubungan dengan temuan
Rekomendasi yang diberikan sehubungan dengan temuan
dan risiko
Kesimpulan akhir
7. Following Up
Tahap akhir dari tahapan audit IT adalah penindak
lanjutan. Setelah menyampaikan hasil audit kepada klien dan
memberikan opini audit kepada klien, auditor akan membuat
ketentuan untuk melakukan langkah lebih lanjut dengan klien
setiap kondisi atau kekurangan ditemukan selama audit.
2.2.4. Pengendalian dan Risiko Sistem Informasi
2.2.4.1. Pengertian Pengendalian
Menurut Laudon (2001, p441), “ Controls are all of
methods, policies, and organizational procedures that
ensure the safety of the organization’s assets, the accuracy,
and reliability of its accounting records, and operational
adherence to management standards “, artinya pengendalian
30
adalah segala bentuk metode, kebijakan, dan prosedur
organisasi yang memastikan keamanan aset organisasi,
ketepatan, dan keandalan pencatatan akuntansi dan
kepatuhan terhadap standar operasional manajemen.
2.2.4.2. Pengendalian Internal
Menurut Cascarino(2007,p57), “Pengendalian
internal adalah suatu tindakan yang diambil oleh manajemen
untuk meningkatkan lingkungan dalam upaya mencapai
tujuan. Dihasilkan dari perencanaan manajemen,
pengorganisasian dan kepemimpinan, dan yang lainnya
(seperti pengendalian manajemen, pengendalian internal, dan
lain lain)”.
2.2.4.3. Tujuan Pengendalian Internal
Menurut Cascarino(2007,p59) secara keseluruhan
tujuan pengendalian internal secara rinci diantaranya :
1. Integritas dan tingkat kepercayaan informasi
Jika manajemen tidak dapat mempercayai integritas
dan kehandalan dari informasi yang ada dan diproses
didalam sistem informasi, semua informasi harus
dicurigai untuk beberapa kasus, hal ini akan merusak
organisasi daripada kehilangan informasi itu sendiri.
31
2. Ketaatan dengan peraturan, perencanaan, prosedur,
hukum dan undang – undang yg berlaku.
Hukum dn peraturan merupakan kewajiban dari luar
dan harus ditaati. Ketidakcukupan sistem informasi
dapat membuat organisasi melanggar hukum yang ada
dinegara sehingga akibatnya organisasi akan
kehilangan keunggulannya, penalty dan hukuman dapat
dijatuhi pada karyawan.
3. Perlindungan atas asset
Kehilangan harta (asset) adalah salah satu dari sekian
banyak risiko yang terlihat yang dapat organisasi
hadapi dan khususnya mengakibatkan penerapan dari
sebagian besar pengendalian yang terlihat seperti kunci
pada pintu, keamanan, penjagaan barang berharga dan
lain - lain.Didalam sebuah organisasi yang berdasarkan
sistem informasi, pengendalian asset dapat termasuk
pengendalian yang tidak dapat diukur seperti
perlindungan ganda, pemisahan tugas, dan teknik
autentikasi komputer.
4. Operasional yang efisien dan efektif.
Efektifitas meliputi pencapaian tujuan yang diharapkan
dan harus menjadi pusat perhatian dan segala bentuk
pengendalian dan kegiatan operasional, efisiensi
32
dikelompokkan sebagai ukuran dari kepastian atas
pengunaan dari sumber daya yang jarang diperoleh
serta termasuk mengurangi penghamburan sebagai
usaha untuk pengurangan penggunaan sumber daya.
2.2.4.4. Fungsi Pengendalian Internal
Menurut Cascarino (2007,p6) fungsi pengendalian internal
diklasifikasikan dalam 5 tipe yaitu :
1. Pengendalian pencegahan ( preventife )
Pengendalian preventif adalah pencegahan yang
dilakukan sebelum masalah terjadi tetapi tidak pernah
100% efektif sehingga tidak dapat sepenuhnya
tergantung pada pengendalian ini. Pengendalian
preventif meliputi batasan oleh pengguna kebutuhan
password dan pemisahan tugas.
2. Pengendalian pendeteksian (detective)
Pengendalian ini mendeteksi permasalahan setelah
masalah timbul dan lebih mudah dilakukan daripada
mengecek setiap transaksi dengan pengendalian
preventif. Pengendalian ini meliputi keefektifan
pelatihan penggunan audit dan laporan – laporan
pengecualian.
33
3. Pengendalian pengkoreksian (corrective)
Pengendalian ini mengoreksi masalah – masalah yang
telah diidentifikasi oleh pengendalian detektif dan
biasanya ada campur tangan sistem informasi.
Pengendalian ini meliputi proses perencanaan
perbaikan (disaster recovery plan) dan kemampuan
perbaikan transaksi. Pengendalian korektif memiliki
risiko yang tinggi karena terjadi pada lingkup yang
tidak biasa dan dibutuhkan keputusan untuk
melakukannya serta dibutuhkan pertimbangan
pelaksanaan. Contoh pengendalian korektif adalah
jejak – jejak audit, laporan – laporan , kesalahan
statistik, pendukung, pemulihan dan lain – lain .
4. Pengendalian langsung
Pengendalian dirancang untuk menghasilkan keputusan
yang positif dan meningkatan kebiasaan yang dapat
diterima. Pengendalian tidak hanya mencegah perilaku
yang tidak diinginkan dan yang pada umumnya
terdapat kebijaksaaan dalam suatu situasi. Akan tetapi
juga memberitahukan kepada pemakai komputer
bahwa menjadi tanggung jawab mereka untuk
meyakinkan terdapat backup yang cukup dan disimpan
34
semestinya. Bagaimanapun pengendalian ini dapat
diawasi dan tindakan dapat diambil ketika
pengendalian dilaksanakan.
5. Pengendalian kompensasi
Pengendalian ini dapat dilakukan ketika kelemahan
didalam suatu pengendalian dapat dikompensasi oleh
pengendalian lain. Pengendalian ini digunakan untuk
membatasi risiko dan hal-hal yg tidak diinginkan, hal
ini dibenarkan oleh auditor menghadapi integrasi
sistem yang rumit dan struktur pengendalian yang
melibatkan gabungan dari pengolahan sistem dan
pengendalian dari area operasional yang beraneka
ragam.
2.2.4.5. Komponen Pengendalian
Menurut Hunton(2004, p106-121), komponen
pengendalian meliputi keamanan, input, output, backup dan
recovery.
1. Security Control ( Pengendalian Keamanan), meliputi
Physical dan Logical Security :
a) Physical Security (Keamanan Berwujud),
memfokuskan pada keamanan fasilitas,
35
komputer, peralatan komunikasi, dan aspek
infrastruktur komputer yang nyata agar aman dari
bahaya
b) Logical Security (Keamanan Tidak Berwujud)
menfokuskan pada keamanan yang tidak nyata
seperti keamanan data, software. Bagian sistem
keamanan yang meliputi komponen logika
ditangani melalui pengendalian fisik seperti
penempatan data dan software pada komputer,
server dan tempat penyimpanan data. Bagian lain
dari keamanan logika ditangani .melalui
pengendalian akses komputer, monitor dan
review sistem
2. Information Controls (Pengendalian Informasi)
meliputi:
a. Input controls (Pengendalian Input)
Pengendalian yang memfokuskan pada prosedur
tertulis mengenai otorisasi, persetujuan, dan input
baik berupa dokumen maupun transaksi sehingga
mampu mengurangi kesalahan yang dapat terjadi.
36
b. Output controls (Pengendalian Output)
Pengendalian yang memfokuskan pada hasil yang
didapat dari input yang telah diproses melalui
sistem komputer, agar mendapatkan hasil yang
sesuai dengan yang diharapkan.
3. Continuity Controls (Pengendalian Berkelanjutan)
meliputi :
a. Backup Controls (Pengendalian Backup) :
i. Data Backup
Kegiatan yang dilakukan oleh organisasi
dengan menyimpan dan mereplikasi data
secara berkala sesuai dengan prosedur yang
telah ditetapkan yang berfungsi sebagai
cadangan data sehingga apabila sewaktu-
waktu data hilang atau rusak, perusahaan
dapat memperoleh data dari backup yang
telah dilakukan.
ii. Hardware Backup
Kegiatan yang dilakukan perusahaan dengan
mengamankan hardware perusahaan
37
berdasarkan prosedur yang telah ditetapkan,
sehingga perusahaan dapat mengurangi
kerugian bila terjadi bencana pada
perusahaan.
b. Disaster Recovery Controls (Pengendalian
Pemulihan Bencana)
Pengendalian yang dilakukan untuk
mengantisipasi adanya bencana yang akan terjadi
pada perusahaan sehingga operasi sistem pada
perusahaan dapat berjalan kembali dengan waktu
yang singkat.
2.2.4.6. Pengertian Risiko
Menurut Hall (2007,h201), “Risiko adalah
kemungkinan kerugian atau kerusakan yang dapat
mengurangi atau meniadakan kemampuan perusahaan untuk
mencapai berbagai tujuannya”.
2.2.4.7. Jenis-Jenis Risiko
Menurut Hunton( 2004,p48 ), klasifikasi risiko
sebagai berikut :
38
1. Business Risk ( Risiko Bisnis), risiko yang dapat
memungkinkan bahwa organisasi tidak akan mencapai
tujuan bisnis secara objektif. Faktor eksternal dan
internal ikut mempengaruhi risiko ini.
2. Audit Risk ( Risiko Audit ), kemungkinan auditor
eksternal membuat kesalahan ketika mengeluarkan
pendapat dalam membuktikan kewajaran suatu laporan
keuangan atau auditor IT gagal dalam mengungkapkan
kesalahan yang bersifat material.Merupakan gabungan
dari beberapa risiko yaitu inherent risk (risiko bawaan),
control risk (risiko pengendalian), detection risk (risiko
deteksi).
3. Security Risk ( Risiko Keamanan ), risiko yang
berkaitan dengan akses data dan integritas data. Data
akses berhubungan dengan akses yang tidak berwenang
yaitu physical atau logical. Data integritas adalah
keandalan dan konsistensi data di dalam sistem
manajemen data organisasi.
4. Continuity Risk ( Risiko berkelanjutan ), risiko yang
berhubungan dengan ketersediaan sistem informasi,
backup dan proses pemulihan. Ketersediaan diartikan
sebagai keamanan untuk memastikan bahwa sistem
39
informasi selalu dapat diakses oleh pengguna. Prosedur
backup dan recovery memastikan bahwa kasus
gangguan berkelanjutan, tersedia prosedur untuk proses
restore dan pengoperasian data.
2.2.5. Sistem Informasi Aktiva Tetap
2.2.5.1. Pengertian Aktiva Tetap
Menurut Ikatan Akuntan Indonesia (2004, PSAK
No.16, h16.2), adalah aktiva yang berwujud yang diperoleh
dalam bentuk siap pakai atau dengan dibangun lebih dahulu,
yang digunakan dalam operasi perusahaan, tidak
dimaksudkan untuk dijual dalam rangka kegiatan normal
perusahaan dan mempunyai masa manfaat lebih dari satu
tahun.
2.2.5.2. Pengertian Sistem Informasi Aktiva Tetap
Berdasarkan pengertian sistem informasi dan aktiva
tetap, maka dapat disimpulkan bahwa sistem informasi
aktiva tetap adalah sekumpulan komponen yang saling
berhubungan digunakan untuk mengolah data dan diubah
menjadi sebuah informasi untuk pengambilan keputusan
dalam organisasi yang berhubungan dengan aktiva tetap.
40
2.2.5.3. Pengertian Penyusutan
Menurut Ikatan Akuntan Indonesia (2004, PSAK No
16, h), Penyusutan adalah alokasi sistematik jumlah yang
dapat disusutkan dari suatu aktiva sepanjang masa manfaat.
2.2.5.4. Metode Penyusutan Aktiva Tetap
Menurut Fess (2005,h510), menyatakan metode
penyusutan sebagai berikut :
a) Metode Garis Lurus ( Straight Line Method )
menghasilkan jumlah beban penyusutan yang sama
setiap tahun sepanjang umur suatu aktiva tetap.
Formula :
Besar Penyusutan = Harga Perolehan – Nilai Sisa Umur Ekonomis
b) Metode Saldo Menurun ( Declining – Balance Method )
menghasilkan beban periodik yang terus menurun
sepanjang estimasi umur manfaat aktiva.
Formula :
Tarif Penyusutan = 1 - NS 1/n
HP NS = Nilai Residu
41
HP = Harga Perolehan
n = Jumlah Tahun
Besar Penyusutan = Tarif x Nilai Buku
Nilai Buku = Harga Perolehan – Akumulasi Penyusutan
2.2.5.5. Pengakuan Aktiva Tetap
Menurut Ikatan Akuntan Indonesia (2004, PSAK
No.16, h13), suatu benda berwujud harus diakui sebagai
suatu aktiva dan dikelompokkan sebagai aktiva tetap bila :
a) Besar kemungkinan (probable) bahwa manfaat
keekonomian di masa yang akan datang yang berkaitan
dengan aktiva tersebut akan mengalir ke dalam
perusahaan; dan
b) Biaya perolehan aktiva dapat diukur secara andal.
2.2.5.6. Penghentian dan Pelepasan Aktiva Tetap
Menurut Ikatan Akuntan Indonesia (2004,PSAK
No.16. h16.17), menyatakan suatu aktiva tetap dieleminasi
dari neraca ketika dilepaskan atau bila aktiva secara
permanen ditarik dari penggunaannya dan tidak ada manfaat
keekonomian masa yang akan datang diharapkan dari
pelepasannya dan keuntungan atau kerugian yang timbul dari
42
penghentian atau pelepasan suatu aktiva tetap diakui sebagai
keuntungan atau kerugian dalam laporan laba rugi.
2.2.5.7. Risiko dan Pengendalian Sistem Informasi Aktiva Tetap
Menurut Hall (2001,h343), kontrol aktiva tetap akan
dipusatkan pada tiga area yang berbeda dari yaitu :
a) Kontrol Otorisasi
Akuisisi aktiva tetap harus formal dan secara
eksplisit diotorisasi. Setiap transaksi harus dimulai
dengan permintaan tertulis dari pemakai atau
departemen. Dalam kasus item-item yang bernilai
tinggi, harus terdapat proses persetujuan independen
yang mengevaluasi mutu permintaan berdasarkan basis
biaya-manfaat.
b) Kontrol Supervisi
Karena aktiva modal secara luas didistribusikan
ke seluruh organisasi, mereka rentan terhadap
pencurian dan penyalahgunaan, dibandingkan dengan
persediaan yang aman disimpan dalam gudang. Oleh
karena itu, supervisi manajemen merupakan elemen
yang penting dalam keamanan fisik aktiva tetap.Para
supervisi harus memastikan bahwa aktiva tetap yang
43
digunakan sesuai dengan kebijakan organisasi dan
praktik bisnis.
c) Kontrol Verifikasi Independen
Secara periodik, auditor internal harus
memeriksa akuisisi aktiva dan prosedur persetujuan
untuk menentukan kelayakan faktor yang digunakan
dalam analisis. Dalam hal ini termasuk umur ekonomis
aktiva, biaya keuangan orisinil, penghematan biaya
yang ditawarkan karena membeli aktiva tersebut, tarif
diskon yang digunakan, dan metode penganggaran
modal yang digunakan dalam analisis.
Auditor internal harus menverifikasi lokasi,
kondisi, dan nilai pasar dari aktiva tetap organisasi
dibandingkan dengan catatan aktiva dalam buku besar
pembantu. Selain itu, pembebanan biaya penyusutan
otomatis yang dihitung oleh sistem aktiva tetap harus
diperiksa dan diverifikasi keakuratan dan
kelengkapannya.Kesalahan sistem dalam menghitung
penyusutan dapat menghasilkan biaya operasi,
pelaporan pendapatan, dan nilai aktiva yang salah pula.
