Embed Size (px)
Citation preview
10
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi Akuntansi
2.1.1 Pengertian Sistem informasi Akuntansi
Romney dan Steinbart, dalam Accounting Information Systems (2006,
p6), “An Accounting information system (AIS) is a system that collects, records,
stores and processes data to produce information for decision makers”. Dapat
diartikan bahwa sistem informasi akuntansi adalah sebuah sistem, yang
mengumpulkan data, mencatat, menyimpan dan memprosesnya menjadi sebuah
informasi, yang berguna bagi para pengambil keputusan. Sistem informasi
akuntansi terdiri dari enam komponen, antara lain:
1. Sumber daya manusia yang mengoperasikan sistem dan menggunakan
berbagai fungsi yang terdapat didalam sistem.
2. Prosedur dan instruksi, baik manual maupun otomatis yang digunakan dalam
mengumpulkan, memproses, dan menyimpan seluruh aktivitas perusahaan.
3. Data tentang perusahaan dan bisnis prosesnya.
4. Software yang digunakan untuk memproses data.
5. Infrastruktur teknologi informasi termasuk didalamnya komputer dan alat
pendukung lainnya termasuk didalamnya jaringan komunikasi.
6. Pengendalian internal dan pengukuran keamanan (security measures) yang
menjaga data dalam sistem informasi akuntansi.
11
Efektifitas dari sebuah Sistem Informasi Akuntansi ditentukan oleh
kemampuannya dalam menyediakan data yang penting bagi perusahaan, dan
memenuhi kebutuhan akan informasi dari para penggunanya.
Hall (2001, p11-12), mengemukakan bahwa, “Sistem Informasi
Akuntansi terdiri dari tiga subsistem utama”, yang meliputi :
1. Sistem Pemrosesan Transaksi (Transaction Processing System)
Sistem ini berguna untuk mendukung kegiatan operasional bisnis setiap hari
dengan sejumlah dokumen dan pesan–pesan untuk para pengguna dari
seluruh organisasi.
2. Sistem Pelaporan Buku Besar / Keuangan (General Ledger / Finacial
reporting system).
Sistem ini menghasilkan laporan keuangan yang tradisional seperti laporan
Rugi Laba, Laporan Arus kas, Pengembalian pajak, dan laporan–laporan
lainnya yang ditetapkan oleh hukum.
3. Sistem Pelaporan Manajemen (Management Reporting System)
Sistem yang menyediakan manajemen internal dengan laporan keuangan
dengan tujuan khusus dan informasi yang diperlukan untuk pengambilan
keputusan seperti anggaran, laporan harian, dan laporan
pertanggungjawaban.
Berdasarkan beberapa penjelasan diatas, maka dapat disimpulkan bahwa
Sistem Informasi Akuntansi adalah kumpulan dari berbagai sumber daya yang
12
ada didalam sebuah organisasi meliputi sumber daya manusia, sumber daya
modal, ataupun sumber daya lainnya yang berfungsi untuk mengubah data
menjadi informasi keuangan ataupun informasi lainnya yang berguna bagi
pihak–pihak yang berkepentingan baik dari dalam maupun dari luar organisasi.
2.1.1 Tujuan / Kegunaan Sistem informasi Akuntansi
Romney dan Steinbart (2006, p6), mengemukakan bahwa: Sistem
Informasi Akuntansi digunakan untuk memenuhi tiga fungsi bisnis perusahaan,
antara lain:
1. Mengumpulkan dan menyimpan data tentang aktivitas organisasi, sumber
daya dan individu.
2. Perubahan data menjadi informasi yang berguna untuk pengambilan
keputusan, sehingga pihak manajemen dapat merencanakan, melaksanakan,
mengontrol, dan mengevaluasi aktivitas sumber daya perusahaan.
3. Menyediakan pengendalian yang tepat, untuk menjaga keamanan aset
perusahaan termasuk data dan meyakinkan agar aset dan data tersebut
tersedia ketika dibutuhkan, serta memastikan bahwa data akurat dan dapat
dipertanggungjawabkan.
Wilkinson, Cerullo, Raval, dan Wong-On Win ( 2000, p8), menyatakan
bahwa “The primary aim of any AIS is to provide accounting information to a
wide variety of users”. Dapat diterjemahkan bahwa tujuan utama dari AIS
13
adalah menyediakan informasi tentang laporan keuangan untuk berbagai pihak
yang berkepentingan terhadap laporan tersebut.
Tiga tujuan utama dari Sistem Informasi Akuntansi adalah :
1. Mendukung kegiatan operasional sehari – hari.
2. Mendukung pengambilan keputusan oleh pihak manajemen.
3. Memenuhi kewajiban untuk memberikan informasi kepada publik.
Sehingga dapat disimpulkan bahwa tujuan / kegunaan sistem informasi
yang paling utama adalah untuk menjaga seluruh aset perusahaan, termasuk
didalamnya data, yang harus selalu dapat digunakan setiap saat (Available),
akurat, terintegritas, sehingga dapat membantu jajaran direksi, dalam mengambil
keputusan.
2.1.2 Siklus Proses Transaksi Sistem Informasi Akuntansi
Nash dan Robert dalam bukunya Accounting Information Systems
(1984, p26). mengemukakan bahwa aktivitas dari Sistem Informasi Akuntansi
adalah :
1. Input
Inputan data dimulai dari pemindahan / pemasukan data transaksi ke dalam
sistem. Setelah itu data diperiksa kembali keakuratan-nya, agar tidak terjadi
kesalahan dalam pengolahannya.
14
2. Storage
Setelah data diperiksa, dan diyakini kebenarannya, data disimpan kedalam
media penyimpanan.
3. Proses
• Klasifikasi data, membagi data berdasarkan kategori yang telah
ditentukan oleh perusahaan.
• Membandingkan data.
• Mengurutkan data.
• Menggabungkan data.
• Menyimpulkan.
• Posting.
• Melakukan pengkalkulasian.
• Menganalisa.
4. Output
5. Control
15
Gambar 2.1 Model Umum Sistem Informasi Akuntansi
Sumber: Sistem Informasi Akuntansi (Hall, 2001)
Berdasarkan pendapat Hall (2001, p13) siklus umum dari sistem informasi
akuntansi dapat digambarkan sebagai berikut:
1. Pengumpulan Data.
Pengumpulan data merupakan tahap operasional pertama dalam system
informasi. Tujuannya adalah untuk memastikan bahwa data peristiwa yang
memasuki sistem itu sah (valid), lengkap, dan bebas dari kesalahan material.
Dalam banyak hal, tahap ini merupakan tahap penting dalam sistem. Jika
Sumber DataInternal
Pemakai AkhirInformasi
Sumber DataEksternal
Pemakai AkhirEksternal
Umpan Balik
Organisasi Bisnis
Sistem Informasi
ManajemenDatabase
PenghasilInformasiPemrosesan DataPengumpulan
Data
Umpan Balik
Lingkungan Eksternal
16
transaksi yang salah memasuki pengumpulan data tanpa terdeteksi, sistem
mungkin akan memproses kesalahan dan menghasilkan output yang keliru
dan tidak dapat diandalkan. Hal ini, akhirnya dapat menghasilkan tindakan
yang salah dan keputusan yang buruk dari pihak pemakai.
2. Pemprosesan Data.
Sekali dikumpulkan, data biasanya perlu diproses untuk menghasilkan
informasi. Tugas dalam tahap pemrosesan data bervariasi dari yang
sederhana sampai kompleks. Misalnya algoritma matematika (seperti model
program linear) digunakan untuk aplikasi penjadwalan produksi, teknik-
teknik statistik untuk peramalan penjualan, dan prosedur-prosedur untuk
memposkan dan merangkumkan yang digunakan dalam aplikasi akuntansi.
3. Manajemen Database.
Database organisasi merupakan tempat penyimpanan fisik data keuangan
dan non-keuangan. Ia dapat berupa filing cabinet atau sebuah disket
komputer tanpa memperhatikan bentuk fisik database, kita dapat
menampilkannya isinya dalam hierarki yang logis.
4. Penghasil Informasi.
Merupakan proses mengumpulkan, mengatur, memformat, dan menyajikan
informasi untuk para pemakai. Informasi dapat berupa dokumen operasional
seperti pesanan penjualan, suatu laporan yang terstruktur, atau pesan di layar
komputer. Tanpa memperhatikan bentuk fisiknya, informasi yang berguna
mempunyai karakteristik sebagai berikut:
17
a. Relevan.
Isi sebuah atau dokumen harus melayani suatu tujuan. Dengan demikian
laporan itu dapat mendukung keputusan manajer atau tugas petugas
administrasi. Sistem informasi yang meyajikan data yang relevan dalam
laporannya. Laporan yang berisi data tidak relevan hanya memboroskan
sumber daya dan tidak produktif bagi pemakai. Data yang tidak relevan
mengurangi perhatian dari pesan laporan yang sebenarnya dan dapat
menghasilkan keputusan atau tindakan yang tidak benar.
b. Tepat waktu.
Umur informasi merupakan faktor yang kritikal dalam menentukan
kegunaannya. Informasi harus tidak lebih tua dari periode waktu
tindakan yang didukungnya.
c. Akurat.
Informasi harus bebas dari kesalahan yang sifatnya material. Kesalahan-
kesalahan material ada ketika jumlah informasi tidak akurat,
menyebabkan pemakai melakukan keputusan yang buruk atau gagal
melakukan keputusan yang dilakukan. Dalam menyiapkan informasi,
para desainer sistem mencari keseimbangan antara informasi seakurat
mungkin, tetapi tetap cukup tepat waktu, agar berguna.
d. Lengkap.
Tidak ada bagian informasi yang esensial bagi pengambilan keputusan
atau pelaksanaan tugas yang hilang. Misalnya, sebuah laporan harus
18
menyajikan semua perhitungan yang diperlukan dan menyajikan
pesannya dengan jelas dan tidak ambigu.
e. Rangkuman.
Informasi harus diagregasi agar sesuai dengan kebutuhan pemakai.
Manajer tingkat lebih rendah cenderung membutuhkan informasi yang
sangat rinci. Semakin arus informasi mengalir ke atas melalui organisasi
ke manajemen atas, semakin ia dirangkumkan.
5. Pemakai Akhir (end user).
Pemakai akhir dibagi menjadi dua kelompok umum:
a. Eksternal.
Pemakai eksternal meliputi para kreditur, para pemegang saham, para
investor potensial, agen-agen pembuat peraturan, otoritas pajak, para
pemasok, dan pelanggan.
b. Internal.
Pemakai internal adalah pihak manajemen disetiap tingkat organisasi,
juga personel operasi.
6. Sumber data.
Transaksi keuangan yang memasuki sistem informasi dari sumber internal
dan eksternal.
a. Transaksi keuangan eksternal.
Merupakan sumber data yang umum bagi kebanyakan organisasi.
Termasuk dalam transaksi ini adalah pertukaran ekonomis dengan entitas
bisnis lainnya dan individu dari luar perusahaan. Misalnya penjualan
19
barang-barang dan jasa, pembelian persediaan, penerimaan kas, dan
pengeluaran kas.
b. Transaksi keuangan internal.
Melibatkan pertukaran dan pergerakan sumber daya dalam organisasi.
Termasuk dalam transaksi ini adalah pergerakan bahan mentah ke
persediaan dalam proses (WIP), aplikasi tenaga kerja dan overhead ke
WIP, transfer WIP ke persediaan barang jadi, serta penyusutan pabrik
dan peralatan.
Berdasarkan pendapat Hall diatas, maka dapat disimpulkan bahwa siklus
umum sistem informasi akuntansi terdiri dari sumber dokumen eksternal
dikumpulkan dari aktivitas-aktivitas organisasi dengan pihak luar, yang
kemudian diproses oleh sistem sehingga menghasilkan informasi yang kemudian
digunakan oleh pihak manajemen untuk mengambilan keputusan,
merencanakan, menjalankan, dan mengontrol aktivitas organisasi sehingga
tercapai tujuan organisasi, yang kemudian pemakai informasi internal
memberikan umpan balik atas informasi untuk diolah kembali menjadi
informasi. Selain informasi digunakan oleh pihak internal organisasi, informasi
tersebut juga digunakan oleh pihak-pihak luar yang berkepentingan.
20
2.1.3 Siklus Proses Transaksi Sistem Informasi Persediaan
Hall (2001, pp264-265) Siklus Proses Transaksi yang berhubungan atau
berkaitan dengan Siklus Proses Transaksi Sistem Informasi Persediaan:
Gambar 2.2 Siklus Proses Transaksi yang berhubungan dengan Sistem Informasi
Persediaan
Sumber: Sistem Informasi Akuntansi (Hall, 2001)
21
Proses-proses tersebut dijelaskan dalam langkah-langkah berikut:
1. Fungsi Pembelian dimulai dengan mengetahui kebutuhan untuk mengisi kembali
stok Persediaan melalui pengamatan terhadap Catatan Persediaan. Tingkat
Persediaan menurun melalui Penjualan langsung kepelanggan (kegiatan Siklus
pendapatan) atau melalui transfer ke proses manufaktur (kegiatan siklus
konversi). Informasi kebutuhan persediaan dikirim ke pemrosesan pembelian
dan utang dagang (UD).
2. Proses Pembelian menentukan kualitas pesanan, memilih pemasok, dan
menyiapkan pesanan pembelian. Informasi ini dikirim baik ke pemasok maupun
ke tempat pemrosesan UD.
3. Setelah satu periode waktu, perusahaan menerima item-item persediaan dari
pemasok. Barang yang diterima diperiksa untuk kualitas dan kuantitasnya dan
pengiriman ke toko-toko atau gudang.
4. Informasi tentang bukti penerimaan persediaan digunakan untuk meng-update
catatan persediaan.
5. Proses UD menerima faktur dari pemasok. UD merekonsiliasi ini dengan
informasi lainya yang telah dikompilasi untuk transaksi dan catatan kewajiban
tertentu untuk membayar di waktu tertentu di masa yang akan datang,
bergantung pada syarat perdagangan dengan pemasoknya. Biasanya pembayaran
akan muncul pada hari terakhir yang mungkin untuk mengambil manfaat dari
bunga dan diskon yang ditawarkan.
6. Buku besar menerima rangkuman informasi dari hutang dagang (kenaikan total
dalam kewajiban) dan kontrol persediaan (kenaikan total dalam persediaan).
22
Informasi ini direkonsiliasi untuk keakuratnya dan diposkan keakun kontrol
utang dagang dan persediaan.
2.2 Sistem Pengendalian Intern
2.2.1 Pengertian Pengendalian Intern
Menurut Weber (1999, p35), “A control is a system that prevents,
detects, or correct unlawful events”. Intinya menurut Weber, “Pengendalian
adalah suatu sistem untuk mencegah, mendeteksi, dan mengkoreksi kejadian
yang tidak sesuai dengan kebijakan dan peraturan yang berlaku di organisasi”.
Berdasarkan definisi di atas, maka pengendalian dikelompokkan menjadi tiga
bagian, yaitu :
a. Preventive Controls
Instruksi (perintah) yang ditempatkan pada dokumen sumber untuk
mencegah/menjaga terjadinya kesalahan dalam pengisiannya.
b. Detective Controls
Pengendalian ini digunakan untuk menemukan/mengetahui bila terjadi
kesalahan data yang diinput di dalam sistem.
c. Corrective Controls
Pengendalian ini digunakan untuk memperbaiki masalah yang ditemukan
pada detective control. Pengendalian ini terdiri dari program yang
menggunakan kode khusus yang dapat memperbaiki data yang
rusak/error karena kesalahan pada komunikasi on line.
23
Menurut The Information System Control and Audit Association
(ISACA), sistem pengendalian internal adalah “Internal control system is
the policies, procedures, practices, and organizational structures,
designed to provide reasonable assurance that business objectives will
be achieved and that undesired events will be prevented, or detected and
corrected.” Yang dapat diterjemahkan bahwa “Sistem pengendalian
internal merupakan kebijakan, prosedur, praktek-praktek, dan struktur
organisasi yang didesain untuk memberikan jaminan yang layak pada
upaya pencapaian tujuan bisnis yang akan dicapai dan memastikan
kejadian-kejadian yang tidak diinginkan akan dicegah, atau dideteksi dan
dikoreksi.”
Berdasarkan definisi-definisi tersebut di atas dapat
disimpulkan bahwa sistem pengendalian internal adalah suatu sistem
yang dipengaruhi entitas organisasi yang dirancang untuk mencegah,
mengendalikan dan melindungi seluruh aktivitas organisasi dari
penyimpangan-penyimpangan atau undesirable event lainnya yang dapat
merugikan perusahaan sekaligus bertujuan untuk memastikan kepatuhan
entitas terhadap peraturan dan kebijakan perusahaan, menciptakan
keandalan laporan keuangan, meningkatkan efektifitas dan efisiensi
operasi perusahaan, dan menjaga aset/kekayaan organisasi.
24
2.2.2 Tujuan dan Manfaat Sistem Pengendalian Internal
Gondodiyoto (2003, p75) berpendapat bahwa tujuan utama dari sistem
pengendalian internal adalah :
1) Mengamankan aset organisasi.
2) Memperoleh informasi yang akurat dan dapat dipercaya.
3) Meningkatkan efektifitas dan efisiensi kegiatan.
4) Mendorong kepatuhan pelaksanaan terhadap kebijaksanaan
organisasi/pimpinan.
Berdasarkan pendapat Hall (2001, p150) menyatakan bahwa sistem
pengendalian internal digunakan oleh organisasi untuk mencapai empat tujuan
utama, yaitu:
1. Untuk menjaga aktiva perusahaan.
2. Untuk memastikan akurasi dan dapat diandalkannya catatan dan informasi
akuntansi.
3. Untuk mempromosikan efisiensi operasi perusahaan.
4. Untuk mengukur kesesuaian dengan kebijakan dan prosedur yang telah
ditetapkan oleh manajemen.
Berdasarkan pendapat-pendapat diatas, dapat disimpulkan bahwa tujuan
utama dari sistem pengendalian intern adalah untuk menjaga kekayaan
perusahaan, meningkatkan efektifitas dan efisiensi operasi perusahaan,
25
mendorong dipatuhinya kebijakan manajemen, mencegah tindakan
penyimpangan, dan memperkecil kesalahan.
2.2.3 Komponen Sistem Pengendalian Internal
Menurut Weber (1999, p49) pengendalian internal yang didefinisikan
oleh The Information System Control and Audit Associat (ISACA), terdiri
atas lima komponen, yaitu:
1) Control Environment (Lingkungan Pengendalian)
Elemen ini memperlihatkan bahwa hal yang terkandung pada
kontrol terutama pada sistem akutansi dan prosedur yang harus
dijalankan. Elemen ini menekankan bahwa perlu adanya
pengendalian internal pada aspek-aspek nilai etika dan integritas
perusahaan, komitmen terhadap kompetensi, filosofi manajemen dan
gaya operasi, struktur organisasi, otoritas dan tanggung jawab,
kebijaksanaan sumber daya manusia.
2) Risk Assessment (Penaksiran Resiko)
Elemen ini melakukan identifikasi dan analisa terhadap resiko-
resiko yang dihadapi oleh organisasi dan bagaimana mengelola
resiko tersebut.
3) Control Activities (Aktivitas Pengendalian)
Elemen ini memastikan bahwa setiap transakasi telah disetujui
oleh yang berwenang, telah diadakan pemisahan fungsi serta
dokumen dan catatan-catatan yang memadai. Bukti dan catatan telah
26
disimpan dengan baik dan dicek oleh pihak independen, serta
penilaian terhadap catatan telah dilakukan
4) Information and Communication (Informasi dan Komunikasi)
Pada elemen ini pengendalian internal dilakukan untuk
memastikan bahwa informasi yang disajikan adalah tepat waktu,
sesuai, up to date, tersedia apabila dibutuhkan, serta informasi
diakses, dirubah dan dihapus oleh pihak yang berwenang. Dan pada
komunikasi telah berjalan dengan secara efektif dan tepat waktu baik
secara tugas, antar karyawan, antar fungsi/departemen, supplier,
customer dan pihak ketiga lainnya.
5) Monitoring (Pengawasan)
Adalah komponen yang memastikan keandalan sistem pengendalian
internal beroperasi secara dinamis sepanjang waktu yang dilakukan
dengan cara melakukan aktivitas monitoring dan evaluasi secara
terpisah.
2.2.4 Sistem Pengendalian Intern pada Sistem Berbasiskan Komputer
Menurut Weber (1999, p39) ada dua pengendalian intern dalam sistem
informasi akuntansi yaitu:
Pengendalian Manajemen (Management Control) terdiri dari :
a. Pengendalian Top Manajemen (Top Management Control): Manajemen
tingkat atas merencanakan, mengorganisasikan, memimpin dan
mengawasi fungsi sistem informasi.
27
b. Pengendalian Manajemen Pengembangan Sistem (System Development
Management Controls): Membuat rencana dari proses pengembangan
sistem informasi dimana auditor dapat menggunakannya sebagai dasar
untuk mengumpulkan dan mengevaluasi bukti-bukti.
c. Pengendalian Manajemen Sumber Data (Data Resources Management
Controls): Aturan-aturan dari data administrasi dan database administrasi
dan kontrol harus diterapkan dalam fungsi sistem yang ada.
d. Pengendalian Manajemen Keamanan (Security Management Controls):
Tujuan utama ditampilkan oleh administrasi keamanan untuk
mengidentifikasi ancaman utama terhadap fungsi sistem informasi dan
untuk membuat, menerapkan, mengoperasikan dan memelihara
pengendalian agar dapat mengurangi kerugian yang ditimbulkan dari
berbagai ancaman.
e. Pengendalian Manajemen Operasi (Operations Management Controls):
Fungsi utamanya adalah untuk memastikan bahwa sudah adanya
pengendalian dalam penerapan fungsi sistem informasi terhadap kegiatan
operasional sehari-hari.
f. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance
Management Controls): fungsi utamanya adalah untuk memastikan
bahwa pengembangan, penerapan, pengoperasian dan pemeliharaan dari
sistem informasi sudah sesuai dengan standar kualitas.
28
Pengendalian Aplikasi (Application Control) terdiri dari :
a. Pengendalian Batasan (Boundary Controls): Dibangun sebagai suatu
tampilan antara pengguna sistem komputer dengan sistem komputer itu
sendiri. Adapun 3 (tiga) tujuan pengendalian subsistem boundary adalah
sebagai berikut:
1. Untuk menetapkan identitas dan kewenangan pengguna dari sistem
komputer (sistem harus memastikan orang tersebut adalah orang
yang berhak).
2. Untuk menetapkan identitas dan kewenangan dari sumber daya yang
digunakan (pengguna harus memastikan bahwa mereka memberikan
kewenangan dari sumber daya).
3. Membatasi tindakan-tindakan yang dilakukan oleh pengguna yang
menggunakan sumber daya komputer terhadap tindakan-tindakan
yang terotorisasi (pengguna diperbolehkan menggunakan sumber
daya pada batasan-batasan tertentu).
b. Pengendalian Masukan (Input Controls): “Components in the input
subsystem are responsible for bringing both data and instructions into
an application control”. Definisi secara umum adalah pengendalian
yang dilakukan ketika memasukkan data ke dalam sistem. Dokumen
sumber digunakan sebagai dasar untuk menginput data. Dokumen
sumber yang didesain dengan baik penting untuk mencapai tujuan audit.
Komponen pada subsistem input bertanggung jawab untuk memasukan
data dan instruksi kedalam sistem aplikasi, kedua jenis input tersebut
29
harus divalidasi, setiap kesalahan data harus dapat diketahui dan
dikontrol, sehingga input yang akurat, lengkap, unik dan tepat waktu.
Kontrol terhadap input merupakan suatu hal yang penting karena:
1. Pada sistem informasi kontrol yang besar jumlahnya adalah pada
subsistem input, sehingga auditor harus memberikan perhatian yang
lebih kepada kehandalan input kontrol yang ada.
2. Kegiatan subsistem input melibatkan jumlah kegiatan yang besar dan
rutin dan merupakan kegiatan yang monoton sehingga dapat
menyebabkan terjadinya kesalahan.
3. Subsistem input seringkali merupakan target dari fraud, banyak
kegiatan yang seharusnya dilakukan seperti penambahan dan
penghapusan.
Dengan cara memahami metode input data yang digunakan pada aplikasi
maka auditor dapat mengembangkan cara kontrol terhadap kekuatan
State / Event
Recording medium
KeyBoarding
Direct Entry
Direct Reading
30
ataupun kelemahan dari input subsistem tersebut. Sebagai contoh tiga
aspek yang mempengaruhi metode input dan bagaimana pengaruhnya
terhadap penilaian auditor terhadap kontrol yang ada, yaitu:
1. Jika keterlibatan manusia pada metode input meningkat maka
kemungkinan terjadinya kesalahan atau pemakaian yang tidak
semestinya juga meningkat.
2. Jika interval waktu yang diperlukan untuk mencatat transaksi dengan
kejadian semakin lama maka kemungkinan terjadinya kesalahan juga
meningkat, karena data tersebut dapat saja terlupakan atau orang
yang menginput data bukanlah orang yang terlibat pada transaksi
tersebut.
3. Digunakan berbagai jenis kontrol terhadap fasilitas input pada
subsistem input untuk mengurangi terjadinya kesalahan.
Komponen dari subsistem input bertanggungjawab atas kehandalan data
dan semua instruksi yang terdapat dalam aplikasi. Keduanya harus selalu
divalidasi, dan ketika kesalahan ditemukan maka harus segera dilakukan
perbaikan agar input tersebut akurat, lengkap, unik, dan tepat waktu.
Sumber data yang baik dan tampilan inputan data yang baik akan
mengurangi kesalahan dalam penginputan sehingga inputan akan
semakin efektif dan efesien.
c. Pengendalian Aplikasi Komunikasi (Application Communication
Controls) : “The communication subsystem is responsible for
transporting data among all the other subsystems within a system and
31
for transporting data to or receiving data from another system“.
Definisinya secara umum adalah subsistem komunikasi bertanggung
jawab untuk melakukan pengiriman data ke subsistem yang lain dalam
suatu sistem dan untuk pengiriman data ke penerima data dari sistem
yang lain.
d. Pengendalian Proses (Process Controls) : “The processing subsystem is
responsible for computing, sorting, classifying, and summarizing data“.
Maksudnya pengendalian proses adalah bertanggung jawab untuk
menghitung, mengurutkan, mengklasifikasi, dan meringkas data.
Pengendalian proses terdiri dari :
a) CPU (Central Processing Unit): CPU adalah sumber daya yang
paling penting dalam perangkat keras, yang memiliki tiga
komponen, yaitu:
Alat Pemasukan (Input Device)
Alat Pemrosesan (Processing Device)
Alat Pengeluaran (Output Device)
b) Control unit, yang mengambil program dari memori dan
menentukan jenisnya.
c) Aritmatik dan unit logika, yang menampilkan operasi.
d) Register, memori kecil yang berkecepatan tinggi untuk menyimpan
hasil sementara.
e. Pengendalian Basis Data (Database Controls): “The database subsystem
provides functions to define, create, modify, delete, and read data in an
32
information system”. Definisinya secara umum adalah subsistem
database menyediakan suatu fungsi untuk mendefinisikan, menciptakan,
memodifikasi, menghapus dan membaca data di dalam suatu sistem
informasi.
f. Pengendalian Keluaran (Output Controls).
Pengendalian keluaran adalah pengendalian intern untuk mendeteksi
jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak
up-to-date datanya, atau didistribusikan kepada orang-orang yang tidak
berwenang.
2.3 Audit Sistem Informasi
2.3.1 Definisi Audit Sistem Informasi
Menurut Weber (1999, p10), “Information systems auditing is the
process of collecting and evaluating evidence to determine whether a computer
system safeguards assets, maintains data integrity, allows organizational goals
to be achieved effectively, and uses resources efficiently”. Intinya audit sistem
informasi adalah proses pengumpulan dan pengevaluasian bukti untuk
menentukan apakah sistem komputer dapat melindungi aset, memelihara
integritas data, memungkinkan pencapaian tujuan organisasi secara efektif dan
penggunaan sumber daya secara efisien.
33
2.3.2 Prosedur Audit Sistem Informasi
Berdasarkan pendapat Weber (1999, pp47-55) tahapan audit sistem
informasi terbagi menjadi lima tahapan antara lain sebagai berikut:
1. Planning the Audit (Perencanaan Audit).
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor
eksternal hal ini berarti melakukan investigasi terhadap klien untuk
mengetahui apakah penugasan audit (audit engagement) dapat diterima,
menempatkan staff audit, mendapatkan surat penugasan, mendapatkan
informasi mengenai latar belakang klien, memahami informasi mengenai
kewajiban hukum klien dan melakukan analisa terhadap prosedur yang ada
untuk memahami bisnis klien dan mengidentifikasi area-area yang berisiko.
Pada tahap ini auditor juga harus memahami pengendalian intern organisasi
lalu menentukan tingkat resiko pengendalian yang berhubungan dengan
setiap segmen audit.
2. Tests of Controls (Pengujian Pengendalian).
Auditor melakukan test of controls ketika mereka menilai bahwa tingkat
resiko pengendalian berada pada level kurang dari maksimum (pengendalian
masih dapat dipercaya). Test of controls diarahkan kepada efektivitas
pengendalian intern perusahaan, baik dalam rancangan maupun operasinya
(pelaksanaannya).
Tahap ini diawali dengan fokus pada pengendalian manajemen (management
controls), jika pengendalian manajemen dinilai beroperasi secara tidak
andal, maka auditor hanya akan melakukan sedikit pengujian pada
34
pengendalian aplikasi (application controls). Namun jika auditor
menemukan kelemahan yang serius pada pengendalian manajemen maka
auditor akan memberikan opini tidak wajar (adverse opinion) terhadap
pengendalian yang ada di dalam perusahaan atau melakukan pengujian
substantif (substantive test) atas transaksi dan pengujian keseimbangan dan
hasil keseluruhan (balances or overall result).
Jika auditor menyatakan pengendalian manajemen beroperasi secara
memadai, maka auditor akan melakukan evaluasi terhadap kehandalan
pengendalian aplikasi dengan menelusuri jenis-jenis materialitas dari
transaksi melalui masing-masing pengendalian yang dijalankan pada
subsistem pengendalian aplikasi.
3. Tests of Transaction (Pengujian Transaksi).
Auditor menggunakan test ini untuk mengevaluasi apakah kesalahan-
kesalahan atau pemrosesan yang keliru terhadap transaksi telah mengarah
pada kesalahan yang material pada pernyataan laporan keuangan. Tes
pembuktian ini mencakup penelusuran terhadap jurnal hingga ke dokumen
sumbernya, menguji kebenaran file, menguji akurasi perhitungan. Jika hasil
tes transaksi mengindikasikan terjadi kehilangan atau kesalahan pencatatan
yang material, maka auditor dapat mengembangkan tingkat pengujiannya
dengan melakukan test of balances or overall result untuk mendapatkan
estimasi yang lebih baik terhadap kehilangan atau kesalahan pencatatan.
4. Tests of Balances or Overall Results.
35
Auditor melakukan tes ini untuk memperoleh bukti yang cukup dalam
membuat penilaian akhir (final judgment) mengenai tingkat kehilangan atau
kesalahan pencatatan yang terjadi ketika fungsi sistem informasi gagal
melindungi aset, memelihara integritas data, mencapai efektivitas dan
efisiensi sistem informasi.
5. Completion of the Audit.
Tahap ini merupakan tahap akhir dari tahapan audit sistem informasi. Pada
tahap ini auditor merumuskan opininya terhadap kehilangan material dan
kesalahan pencatatan yang terjadi sekaligus membuat rekomendasi untuk
manajemen yang nantinya disajikan pada laporan audit.
Adapun jenis-jenis opini yang berlaku umum adalah:
a. Unqualified Opinion (Wajar Tanpa Pengecualian).
Auditor menyatakan bahwa laporan keuangan disajikan secara wajar.
b. Qualified Opinion (Wajar Dengan Pengecualian).
Auditor menyatakan bahwa laporan keuangan disajikan secara wajar,
kecuali pada pos tertentu.
c. Adverse Opinion (Pendapat Tidak Wajar).
Auditor merasa yakin bahwa keseluruhan laporan keuangan yang
disajikan memuat salah saji yang material atau menyesatkan sehingga
tidak menyajikan secara wajar posisi keuangan perusahaan sesuai dengan
prinsip akuntansi berlaku umum.
36
d. Disclaimer of Opinion (Tidak Memberikan Pendapat).
Auditor menolak memberikan pendapat dikarenakan beberapa kondisi
antara lain: pembatasan lingkup audit, hubungan yang tidak independen
antara auditor dan klien, dan sebagainya.
Gambar 2.3 Prosedur Audit Sistem Informasi
Sumber: Weber (1999, p48)
37
2.3.3 Standar Audit
Standar audit menurut Ikatan Auditor Sistem Informasi Indonesia (IASII)
adalah:
S-1 Penugasan Audit.
S-1.1 Tanggung Jawab, Wewenang dan Akuntabilitas.
Tanggung jawab, wewenang, dan akuntabilitas dari auditor sistem
informasi harus dinyatakan dengan jelas secara formal dan tertulis
dalam piagam atau surat tugas audit sistem informasi serta disetujui
secara bersama oleh auditor sistem informasi dan pemberi tugas.
S-2 Independensi & Obyektifitas.
S-2.1 Independensi.
Dalam berbagai hal yang berkaitan dengan audit sistem informasi,
auditor sistem informasi harus menjaga independensinya, baik
secara faktual maupun penampilan, dari organisasi atau hal yang
diaudit.
S-2.2 Obyektifitas.
Auditor sistem informasi harus menjaga obyektifitasnya dalam
merencanakan, melaksanakan dan melaporkan audit sistem
informasi.
S-3 Profesionalisme & Kompetensi.
S-3.1 Profesionalisme.
38
Auditor sistem informasi harus memenuhi berbagai standar audit
yang berlaku serta menerapkan kecermatan dan ketrampilan
profesionalnya dalam merencanakan, melaksanakan, dan
melaporkan audit sistem informasi.
S-3.2 Kompetensi.
Auditor sistem informasi, secara kolektif, harus memiliki atau
memperoleh pengetahuan dan keahlian yang diperlukan untuk
melaksanakan audit sistem informasi.
S-3.3 Pendidikan Profesi Berkelanjutan.
Auditor sistem informasi harus meningkatkan pengetahuan dan
keahlian yang diperlukan untuk melaksanakan audit sistem
informasi melalui pendidikan profesi berkelanjutan.
S-4 Perencanaan.
S-4.1 Perencanaan Audit.
Auditor sistem informasi harus merencanakan audit sistem
informasi dengan baik agar dapat mencapai tujuan audit serta
memenuhi standar audit yang berlaku.
S-5 Pelaksanaan.
S-5.1 Pengawasan.
Staf audit sistem informasi harus disupervisi dengan baik untuk
memberikan keyakinan yang memadai bahwa tujuan audit sistem
39
informasi dapat tercapai dan standar audit yang berlaku dapat
dipenuhi.
S-5.2 Bukti-bukti Audit.
Dalam melaksanakan audit sistem informasi, auditor sistem
informasi harus memperoleh bukti-bukti audit yang cukup, dapat
diandalkan dan bermanfaat untuk mencapai tujuan audit sistem
informasi secara efektif. Temuan dan kesimpulan audit sistem
informasi harus didukung oleh analisis dan interpretasi yang
memadai atas bukti-bukti audit tersebut.
S-5.3 Kertas Kerja Audit.
Dalam melaksanakan audit sistem informasi, auditor sistem
informasi harus mendokumentasikan secara sistematis seluruh
bukti-bukti audit yang diperoleh serta analisis yang dilakukannya.
S-6 Pelaporan.
S-6.1 Laporan Audit.
Setelah menyelesaikan pelaksanaan audit sistem informasi, auditor
sistem informasi harus memberikan suatu laporan audit sistem
informasi dalam bentuk yang memadai kepada pihak-pihak yang
berhak menerima. Laporan audit sistem informasi harus
menyatakan lingkup, tujuan, sifat penugasan, temuan, kesimpulan,
rekomendasi, indentitas organisasi, penerima dan batasan distribusi
laporan, serta batasan atau pengecualian yang berkaitan dengan
pelaksanaan audit sistem informasi.
40
S-7 Tindak Lanjut
S-7.1 Pemantauan Tindak Lanjut
Auditor sistem informasi harus meminta dan mengevaluasi informasi
yang dipandang perlu sehubungan dengan temuan, kesimpulan dan
rekomendasi audit yang terkait dari audit sebelumnya untuk menentukan
apakah tindak lanjut yang layak telah dilaksanakan dengan tepat waktu
2.3.4 Instrumen Audit
Berdasarkan pendapat Indriantoro dan Supomo (1999, pp152-157) teknik
pengumpulan data dapat dilakukan dengan cara:
1. Wawancara merupakan teknik pengumpulan data dalam metode survei yang
menggunakan pertanyaan secara lisan kepada subyek penelitian.
2. Observasi adalah proses pencatatan pola perilaku subyek (orang), obyek
(benda), atau kejadian yang sistematik tanpa adanya pertanyaan atau
komunikasi dengan individu-individu yang diteliti.
2.4 Sistem Informasi Persediaan
Rangkuti (1996, p1) mengemukakan Sistem Informasi Persediaan adalah
suatu sistem informasi yang melibatkan orang-orang dalam organisasi, data,
prosedur dan sarana pendukung untuk mengoperasikan sistem persediaan
seingga dapat menghasilkan informasi yang mendukung kepentingan bagian
persediaan dalam menganalisis dan mengendalikan keadaan persediaan
bahan baku.
41
2.5 Matriks Penetapan Penilaian Resiko dan Pengendalian pada Sistem
Informasi Persediaan
Setelah memperoleh bukti audit yang berkualitas dan cukup beserta
temuannya dengan menggunakan instrumen pengumpulan bukti, auditor
menggunakan metode Matriks Penetapan Penilaian Resiko dan Pengendalian
guna merumuskan dan mempertajam analisa terhadap bukti audit dan temuan
agar dapat merumuskan dan menyimpulkan opini yang andal dengan melakukan
perbandingan dan penilaian terhadap tingkat resiko dan control yang ada.
Metode Penetapan Penilaian Resiko dan Pengendalian ini didasari oleh teori
Pickett yang dinyatakan dalam bukunya yang berjudul The Essential Handbook
of Internal Auditing (2005, p76) yang sebagian dari esensi buku ini juga
didukung oleh Peltier dalam bukunya yang berjudul Information Security Risk
Analysis (2001, pp60-63).
1. Matriks Penilaian Resiko
Matriks penilaian resiko adalah suatu cara untuk menganalisa seberapa
besar resiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan
cara menganalisa pengaruh dan korelasi antara tingkat impact (dampak)
yang ditimbulkan dari suatu resiko dengan tingkat likelihood
(keterjadian) dari resiko tersebut. Besarnya tingkatan dampak dan
keterjadian suatu resiko dinyatakan sebagai berikut:
− L atau Low diberi nilai -1
− M atau Medium diberi nilai -2
− H atau High diberi nilai -3
42
Nilai negatif (-) hanya menyimbolkan bahwa nilai tersebut merupakan
nilai dari resiko (bukan bilangan aritmatika).
Teknik perhitungan dalam matriks penilaian resiko menggunakan fungsi
perkalian antara dampak (impact) dengan keterjadian (likelihood).
Adapun kriteria dari hasil penilaian dari matriks resiko terdiri dari :
a. Resiko kecil (Low) nilainya berkisar antara -1 dan -2, hal ini
dihasilkan dari beberapa kondisi seperti dibawah ini :
− Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai resiko
adalah -1.
− Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai
resiko adalah -2.
− Jika dampak Medium (-2) dan keterjadian Low (-1), maka nilai
resiko adalah -2. Artinya nilai resiko dari dampak dan keterjadian
adalah kecil.
b. Resiko sedang (Medium) nilainya berkisar antara -3 dan -4, hal ini
dihasilkan dari beberapa kondisi seperti dibawah ini :
− Jika dampak Low (-1) dan keterjadian High (-3), maka nilai
resiko adalah -3.
− Jika dampak Medium (-2) dan keterjadian Medium (-2), maka
nilai resiko adalah -4.
− Jika dampak High (-3) dan keterjadian Low (-1), maka nilai
resiko adalah -3. Artinya nilai resiko dari dampak dan keterjadian
adalah sedang.
43
c. Resiko tinggi (High) nilainya berkisar antara -6 dan -9, hal ini
dihasilkan dari beberapa kondisi seperti dibawah ini :
− Jika dampak Medium (-2) dan keterjadian High (-3), maka nilai
resiko adalah -6.
− Jika dampak High (-3) dan keterjadian Medium (-2), maka nilai
resiko adalah -6.
− Jika dampak High (-3) dan keterjadian High (-3), maka nilai
resiko adalah -9. Artinya nilai resiko dari dampak dan keterjadian
adalah tinggi.
Gambar 4.1 Matriks Penilaian Resiko
Sumber : The Essential Handbook of Internal Auditing (2005)
-3 H
-2 M
-1 L
H
-1 -2 -3
-2 -4 -6
-3 -6 -9
L M-1 -2 -3
0
L I K E L I H O O D
IMPACT
44
2. Matriks Penilaian Pengendalian
Matriks penilaian pengendalian adalah suatu cara untuk
menganalisa seberapa efektif dan efisiennya suatu pengendalian yang
ada dalam mengcover suatu resiko atau ancaman. Hal ini dilakukan
dengan cara menganalisa pengaruh dan korelasi antara tingkat efektifitas
pengendalian dengan desain dari pengendalian tersebut. Desain
pengendalian mencerminkan seberapa baikkah control yang ada atau
yang dimiliki perusahaan dalam mengcover resiko sedangkan untuk
efektifitas mencerminkan seberapa besar tingkat ketaatan/komitmen
karyawan dalam menjalankan control yang ada.
Besarnya tingkatan efektifitas dan desain suatu pengendalian yang
dimiliki perusahaan dinyatakan sebagai berikut :
− L atau Low diberi nilai 1
− M atau Medium diberi nilai 2
− H atau High diberi nilai 3
Teknik perhitungan dalam matriks penilaian pengendalian
menggunakan fungsi perkalian antara efektifitas (ketaatan penerapan
control) dengan desain (keandalan konsep control). Adapun kriteria dari
hasil penilaian dalam matriks pengendalian terdiri dari :
a. Pengendalian kecil (Low) nilainya berkisar antara 1 dan 2, hal ini
dihasilkan dari beberapa kondisi seperti dibawah ini :
45
− Jika efektifitas Low (1) dan desain Low (1), maka nilai
pengendalian adalah 1.
− Jika efektifitas Low (1) dan desain Medium (2), maka nilai
pengendalian adalah 2.
− Jika efektifitas Medium (2) dan desain Low (1), maka nilai
pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas
dan desain adalah kecil.
b. Pengendalian sedang (Medium) nilainya berkisar antara 3 dan 4,
seperti:
− Jika efektifitas Low (1) dan desain High (3), maka nilai
pengendalian adalah 3.
− Jika efektifitas Medium (2) dan desain Medium (2), maka nilai
pengendalian adalah 4.
− Jika efektifitas High (3) dan desain Low (1), maka nilai
pengendalian adalah 3. Artinya nilai pengendalian dari
efektifitas dan desain adalah sedang.
c. Pengendalian tinggi (High) nilainya berkisar antara 6 dan 9, seperti:
− Jika efektifitas Medium (2) dan desain High (3), maka nilai
pengendalian adalah 6.
− Jika efektifitas High (3) dan desain Medium (2), maka nilai
pengendalian adalah 6.
46
− Jika efektifitas High (3) dan desain High (3), maka nilai
pengendalian adalah 9. Artinya nilai pengendalian dari efektifitas
dan desain adalah tinggi.
Penetapan tingkat efektifitas pengendalian terhadap resiko adalah sebagai
berikut:
− Jika hasil akumulasi antara resiko dan pengendalian adalah 0, maka tingkat
pengendalian dan resiko adalah standard, artinya pengendalian yang ada
masih dapat diandalkan untuk mengcover resiko, namun perlu dilakukan
pengawasan secara berkelanjutan agar resiko tidak dapat melampaui
pengendalian di kemudian hari.
3 H
2 M
1 L
H
E F E T I F I T A S
1 2 3
2 4 6
3 6 9
L M1 2 3
DESAIN
Gambar 4.1 Matriks Penilaian Pengendalian
Sumber : The Essential Handbook of Internal Auditing (2005)
0
47
− Jika hasil akumulasi antara resiko dan pengendalian adalah positif, maka
pengendalian adalah baik. Artinya pengendalian yang ada dapat sepenuhnya
diandalkan untuk mengcover resiko yang ada.
Namun perlu diperhatikan bahwa jika hasil akumulasi antara resiko dan
pengendalian terlalu tinggi (bernilai positif) maka ada kemungkinan telah
terjadi over control yang dapat menyebabkan terjadinya inefisiensi.
− Jika hasil akumulasi antara resiko dan pengendalian adalah negatif, maka
pengendalian adalah buruk. Artinya pengendalian yang ada tidak dapat
mengcover resiko sepenuhnya (tidak dapat diandalkan) sehingga perlu
dilakukan perubahan/peningkatan pengendalian guna mengendalikan dan
menghindari resiko yang lebih besar.
Namun perlu diperhatikan bahwa semakin tinggi hasil akumulasi antara
resiko dan pengendalian (bernilai negatif) maka semakin tinggi tingkat
resiko yang akan dihadapi perusahaan sehingga memerlukan
peningkatan/pengembangan pengendalian untuk
mengendalikan/menghindari resiko yang lebih besar.
