BAB 2
LANDAS AN TEORI
2.1
Audit Sistem Informasi
2.1.1 Pengertian Sistem
Definisi sistem menurut M uly adi (2001,p 1) merup akan sekelomp ok
unsur y ang erat berhubungan satu dengan y ang lainny a, y ang berfun gsi
bersama-sama untuk mencap ai tujuan tertentu.
2.1.2 Pengertian Informasi
Secara umum infor masi adalah data y ang sudah diolah menjad i suatu
bentuk lain y ang lebih ber gun a y aitu p engetahuan atau keteran gan y ang
ditujukan bagi p enerima dalam p engambilan kep utusan, baik masa sekarang
atau y ang akan datan g.
2.1.3 Pengertian Sistem Informasi
Definisi sistem informasi menurut James O’Brien y ang diterjemahk an
oleh Dewi Fitriasari dan Deny Arnos Kwary (2005,p 5), Sistem informasi dap at
merup akan kombin asi teratur ap a p un dari oran g-oran g, harware, software,
jarin gan, komun ikasi, dan sumber day a data y ang men gump ulkan, men gubah,
dan meny ebarkan infor masi dalam sebu ah or ganisasi.
7
8
2.1.4 Jenis jenis audit
Jenis-jenis audit menurut Arens, Elder, d an Beasly (2006,p 15) :
1.
Operational audit evaluates the efficiency and efectiveness of any
part of an organization’s operating procedures and methods. At
the completion o f any op eration o f an operational audit,
management normally expects reccomenda tions for improving
operations. In op erational audit th e reviews are not limited to
accounting. They can in clude the evaluation of organizationa l
structure, computer operations, production methods, marketting,
and any other area in which the aud itor is qualified.
2.
Compliance aud it is conducted to d etermine wheth er the aud itee
is follow ing specific procedures, rules, or regu lations set b y some
higher authority. A complian ce audit for a private business could
include :
a.
Determining wheteher a ccounting p ersonnel are follow ing
the procedures prescribed by the company controller.
b.
Reviewing wage rates for complian ce with minimum wage,
laws or,
c.
Examining con tractual aggremen ts with bankers and other
lenders to be sure the company is complying with lega l
requirements.
3.
Financia l statement aud it is conducted to determine whether th e
overall financial sta tements are stated in a ccordance with
specified criteria. Normally the criteria are GAAP,, athough it is
9
common to conduct audits of financial statemen ts prepared using
the cash basis or some other basis o f accounting appropiate for
the organization.
Perny ataan di atas diterjemahkan sebagai ber ikut :
1. Audit op erasional men gevalu asi ef ektivitas dan eff isiensi dari setiap
bagian p rosedur dan metode op erasional p erusahaan. Dalam setiap
p elaksanaan audit op erasional, management biasany a mengharap kan
rekomendasi untuk menin gk atkan kinerja p erusahaan. Dalam audit
op erasional reviews tidak dibatasi dalam lin gkup accounting. Dap at
termasuk didalamny a evaluasi d ari struktur organ isasi, op erasi
komp uter, metode p roduksi, marketting, dan wilay ah lain d iman a
auditor memenuh i sy arat untuk melakukan audit.
2. Audit Ketaatan dibuat untuk mememukan ap akah p ihak y ang ak an
diaudit men gikuti beber ap a p rosedur, aturan, atau relgulasi y ang telah
ditetap kan oleh otoritas y ang lebih tinggi kedudukanny a. Compliance
audit untuk bisnis p rivat mencakup :
a.
menemuk an ap akah p ersonel accounting men gikuti aturan
y ang telah ditetap kan oleh p erusahaan.
b.
mereview
tingkat
p enghasilan
sesuai den gan
up ah
minimu m y ang ditetap kan undang.und an g.
c.
memer iksa kontrak p erusahaan den gan b ank atau kreditur
lainny a untuk memastikan p erusahaan tersebut memenuh i
p ersy aratan hukum y ang berlaku.
10
3. Financia l statement aud it dilakukan untuk menemukan ap akah
seluruh laporan keu an gan d ilaporkan sesuai d en gan kr iteria-kriteria
y ang telah ditetap kan sebelumny a. Biasany a kriteria y ang d ip akai
adalah GAAP. M eskip un dalam men gaudit lap oran keuan gan
biasany a men ggunak an basis kas atau basis lain y ang merup akan
ap likasi accounting dalam suatu organisasi.
2.1.5 Pengertian Audit Sistem Informasi
M enurut Weber (1999,p 10), Information Sys tem Aud iting is th e process
of collecting and evaluating eviden ce to d etermine wheth er a computer systems
safeguards assets, maintains data integrity , allows organizational goals to be
achieves effectively and uses resources efficiently.
Dengan kata lain, Audit Sistem Infor masi adalah p roses p engump ulan
dan p engevaluasian bukti-bukti untuk menentukan ap akah sistem komp uter
telah memenuh i tujuan untuk mengamankan asset p erusahaan, menjaga
integritas data dan menin gkatkan efektivitas serta mendorong efisiensi dalam
p enggun aan sumber d ay a.
2.1.6 Tujuan Audit Sistem Informasi
M enurut Weber (1999, p 11) tujuan dari audit sistem informasi leb ih
ditekankan p ada beberap a asp ek p enting, y aitu p emeriksaan dilakuk an untuk
dap at menilai keemp at tujuan dibawah ini, y aitu:
11
1. Assets safeguarding objectives
The information system asstes of an organization includ e hardware,
software,
facilities,
people
(knowledge),
da ta
files,
system
documentation, and supplies. Like all asstes, they must be protected
by a system of internal control.
2. Data integrity objectives
Data integrity is a fundamental concept in in formation systsem
auditting. It is
a state implying data has certain attributes ;
completen ess, soundness, purity, and veracity. If data integrity is not
maintained, an organization no longer has a true representation of
itsefl or of events.
3. System effectiveness objectives
An
effective
information
system
accomplishes
its
objectives.
Evaluating effectivenesss implies knowledge o f user needs/ to
evaluate whether a system reports in formation in a wa y tha t
facilitates decision making by its users, auditors ports information in
a way that facilita tes decision making by its users, auditors must
know
the characteristic of users
and the d ecision making
environment.
4. System efficiency ob jectives
An efficient in formation system uses minimum resources to achieve its
required objectives. Information system consume various resources:
machine time, peripherals, system software, and labor. These
12
resources are sarce, and different application systems usuually
complete for their use.
Perny ataan di atas diterjemahkan sebagai ber ikut :
1. Pengamanan Aset
Asset sistem informasi suatu organisasi termasuk hardwar e, software,
fasilitas, sumber day a manusia (skill), informasi, dokumentasi dan
p ersediaan. Semu a asset tersebut harus dilindungi den gan sistem
p engendalia internal.
2. M enjaga integritas Data
Integritas data dalah konsep fundamental di d alam audit sistem
informasi. Ini men gemuk akan bahwa data memp uny ai atribut-atribut
tertentu : kelen gkap an, keaslian, keju juran. Jik a integritas data tidak di
p ertahankan maka sebu ah or ganisasi tidak memp uny ai gambaran g atas
keadaan p erusahaan y ang sebenarny a.
3. Efektifitas Sistem
Sistem infor masi y an g eff ektif meb antu mencap ai tujuan p erusahaan.
M engevaluasi ef ektivitas atas kebutuhan user/ untuk mengev aluasi
ap akah lap oran y ang diberikan dap at memp ermudah dalam p roses
p engambilan kep utusan oleh orang y ang men ggunak anny a. Auditor
sisstem informasi harus menemukan cara untuk memud ahkan user
sistem
tersebut
dalam
mengambil
kep utusan.
Auditor
harus
men getahui kar akteristik user dan lin gkun gan p engambilan kep utusan
tersebut.
13
4. Efisiensi Sistem
Sistem informasi y ang effisien menggun akan sumber d aya y ang
terbatas untuk mencap ai tujuanny a. Sistem informasi memp er gunakan
beberap a sumber day a y aitu : mesin, waktu, p erlengkap an, software,
dan user. Sumber day a tersebut p enting, dan ap likasi berb eda b iasany a
melen gk ap i untuk kebutuhan user.
2.1.7 Tahapan Audit Sistem Informasi
M enurut Weber (1999, p 47) ada 5 (lima) tahap dalam Audit Sistem
Informasi y aitu:
1. Planning th e audit
Planning is the first phase of an aud it. For an external auditor, this
means investigating new and continuing clients to determine whether
the audit engagement should b e accepted, assigning appropia te staff
to the audit, obta ining an engagemen t letter, obtain ing background
information on the clien t, understanding the clien t’s legal obligation
and undertaking analytical review procedures to understand th e
clien t’s business better and id entify areas of risk in the audit.
2. Test of controls
Auditors test controls when they asess the control risk for an
assertion at less the maximum level. They rely on controls as a basis
for reducing more costly testing. At this stage in the aud it, however,
auditors do not know wh ether the control identified operate
14
effectively. Test of control, therefore, evaluate wheth er specific,
material controls are, in fact, reliable.
3. Test of transaction
From an attest perspective, recall auditors use tests of transaction to
evaluate whether errorneous or irregular processing of a transaction
has led to a material misstatement of financial information. Typica l
attest test o f transaction include tracing journal entries to th eir
source documents, examining price files for propriety, and testing
computational a ccuracy.
4. Test of balances or overall results
Auditor condu ct test o f balan ces or overall results to obtain sufficien t
evidence for making a final judgement on the extent o f looses or
account misstatemen t that occur when the in formation system
function fails to safeguard assets, maintain data in tegrity, and
archieve system effectiveness and efficien cy.
5. Completion of the audit
In the fina l pashe of the audit, etxernal aud itors undertake severals
additional tests to bring the collection of evidence to a close.they
must than formulate an opinion about whether material looses or
account misstatement have occured and issue a report. The
proffesionals standards in many coun tries require on e of four typ es of
opinion be issued;
a. Disclaimer of oppinion: on the basis of the audit work
conducted, the auditor is unable to rea ch an opinion.
15
b. Adverse opinion: the auditor conclud es the material losses
have occured or tha t th e finan cial statemen ts are materia lity
mistated.
c. Qualified op inion : the aud itor concludess that material losses
have occured or that the financial sta tements are misstated
but that th e amoubnts are not material.
d. Unqualified opin ion. : the auditor belives that no material
losses or account mistatement have occured.
Perny ataan di atas diterjemahkan sebagai ber ikut :
1. Perencanaan Audit (Planning th e audit)
Perencanaan merup akan fase p ertama dari kegiatan audit, bagi auditor
eksternal hal in i ber arti melakukan inv estigasi terhadap klien untuk
men getahui ap akah p enu gasan aud it (audit engag ement) d ap at
diterima, men emp atkan staf audit, mendap atkan surat p enugasan,
mendap atkan informasi men genai latar belakan g klien, memah ami
informasi men genai kewajiban hukum klien dan melakukan an alisa
terhadap p rosedur y ang ada untuk memahami bisnis klien dan
men gidentifik asi ar ea-ar ea y ang b erisiko. Pada tahap in i aud itor ju ga
harus memahami p engendalian intern or ganisasi lalu men entukan
tingkat risiko p engendalian y ang berhubun gan den gan setiap segmen
audit.
16
2. Pengujian Pen gend alian (Tests of controls)
Auditor melakukan test o f controls ketika mereka menilai bahwa
tingkat risiko p en gendalian berada p ada lev el kur an g dar i maksimum
(p engendalian masih dap at dip ercay a). Test of controls diarahkan
kep ada efektifitas p engendalian p erusahaan, baik dalam ran can gan
maup un op erasiny a (p elaksanaanny a). Tahap ini diawali den gan fokus
p ada
p engendalian
manajemen
(managemen t
controls),
jika
p engendalian manajemen din ilai berop erasi secar a tidak handal, maka
auditor hany a akan melakukan sedik it p engujian p ada p en gendalian
ap likasi (applica tion con trols). Namun jik a auditor men emukan
kelemahan y an g serius p ada p engendalian manajemen maka auditor
akan memb erikan op ini tidak wajar (adverse opinion) terhadap
p engendalian y an g ada di dalam p erusahaan atau melakuk an p engu jian
substantif (substantive test) atas transaksi dan p engu jian keseimban gan
dan hasil k eseluruhan (ba lances or overall result). Jika auditor
meny atakan
p engendalian
man ajemen
telah
berop erasi secara
memad ai, maka aud itor akan melakukan ev aluasi terhadap kehandalan
p engendalian ap likasi den gan menelusuri jen is-jenis materialitas dari
transaksi melalu i masin g- masin g p engendalian y ang dijalankan p ada
subsistem p engendalian ap likasi.
3. Pengujian Transaksi (Tests of transaction)
Auditor menggun akan p en gujian in i untuk men gevaluasi ap akah
kesalahan atau p emrosesan y ang keliru terhadap transaksi telah
men garah p ada kesalahan y ang material p ada p erny ataan lap oran
17
keuan gan. Pen gujian p embuktian ini mencakup p enelusuran terhadap
jurnal hin gga ke doku men sumberny a, men guji k ebenar an data, dan
men guji
akur asi
p erhitungan.
Jika
hasil
p engujian
transaksi
men gindik asikan terjadi k ehilan gan atau kesalahan p encatatan y ang
material maka auditor dap at men gemb an gkan tin gkat p engujianny a
dengan
melakukan
test of balances or overall result
untuk
mendap atkan estimasi y ang lebih baik terhadap kehilan gan / kesalahan
p encatatan.
4. Tests of balances or overall results
Auditor melakukan p engu jian ini untuk memp eroleh bukti y ang cukup
dalam membuat p enilaian akh ir (final judg ement) men genai tin gkat
kehilan gan atau k esalah an p encatatan y ang terjadi k etika fun gsi sistem
informasi gagal melindun gi aset, memelihara integritas data, mencap ai
efektifitas dan efisiensi sistem infor masi.
5. Completion of the audit
Tahap ini merup akan tahap akhir dari tahap an audit sistem informasi.
Pada tahap ini auditor merumuskan op ininy a terhadap kehilangan
material dan kesalahan p encatatan y ang terjadi sekaligus membuat
rekomendasi untuk manajemen y ang nantiny a disajikan p ada lap oran
audit.
18
2.1.8 S tandar Audit
M enurut Information Sy stem Audit and Control Association (ISACA),
Standar Audit adalah seb agai b erikut :
S1 Audit Charter
The purpose, responsibility, authority and accountability of the
information systems audit fun ction or in formation systems audit
assignments should be appropriately do cumented in an audit charter
or engagement letter.
S2 Independence
03 Profesional Indep endence
In all matters related to the audit, the IS auditor should b e
independen t of th e auditee in bo th attitude and app earance.
04 Organiational Independ ence
The IS audit function should be independ ent of the area or activity
being reviewed to permit objective completion of th e audit
assignment.
S3 Proffesional Ethics and Standards
03 Code of professional Ethics
The IS auditor should adhere to the ISACA Code of Professiona l
Ethics.
04 Due Profesional Care
The IS auditor should exercise du e professional care, in cludin g
observance of applicable professional auditing standards.
19
S4 Competence
03 The IS auditor should be professionally competent, having the skills
and knowledge to conduct the aud it assignment.
04 The IS auditor should maintain professional competen ce through
appropriate continu ing professional edu cation and training.
S5 Planning
03 The IS auditor should plan the information systems audit coverage
to address the audit ob jectives and comply with applicable laws and
professional auditing standards.
04 The IS auditor should develop and document a risk-based audit
approach.
05 The IS auditor should develop and document an aud it plan
detailing the na ture and objectives, timing and extent, an d
resources required.
06 The IS auditor should develop an audit program and procedures.
S6 Performance of Aud it Work
03 Supervision-IS audit staff should be supervised to provide
reasonable assurance that audit ob jectives are accomplished and
applicable professional auditing standards are met.
04 Evidence-During the course of the aud it, th e IS auditor should
obtain sufficien t, reliab le and relevant evidence to achieve the audit
objectives. The audit find ings and conclusions are to b e supported
by appropriate analysis and in terpretation of th is evidence.
05 Documentation-The audit process should be documented,
20
describing the aud it work and the audit evidence that supports the
IS auditor's findings and conclusions.
S7 Reporting
03 The IS auditor should provide a report, in an appropriate form,
upon completion of the audit. The report should identify th e
organisation, the intended recip ients and any restrictions o n
circulation.
04 The audit report should state the scope, ob jectives, period of
coverage and the nature, timing and exten t of the audit work
performed.
05 The report should state the findings, con clusions and
recommendations
and
any
reservations,
qualifications
or
limitations in scope tha t the IS aud itor has with respect to th e audit.
06 The IS auditor should have sufficient and appropriate aud it
evidence to support th e results reported.
07 When issued, the IS auditor's report should be signed, dated and
distributed according to the terms of the aud it charter or
engagement letter.
S8 Follow Up Activities
03 After th e reporting of findings and recommendations, the IS auditor
should request and evaluate relevant information to conclud e
whether appropriate action has been taken by management in a
timely manner.
21
S9 Irregularities and Illegal Acts
03 In planning and performing the aud it to redu ce audit risk to a low
level, the IS aud itor should consider th e risk of irregularities and
illega l acts.
04 The IS auditor should maintain an attitud e of professional
skepticism during the audit, recognising th e possibility tha t material
misstatements due to irregularities and illega l acts cou ld exist,
irrespective of his/h er evaluation of the risk of irregularities and
illega l acts.
05 The IS auditor should obtain an understanding o f the organisation
and its environment, includ ing internal controls.
06 The IS auditor should obtain sufficient and appropriate aud it
evidence to d etermine wh ether management or oth ers within th e
organisation have knowledge of any actual, suspected or alleg ed
irregularities and illega l acts.
07 When performing audit procedures to ob tain an understanding o f
the organisation and its environment, the IS auditor should
consider unusual or unexpected rela tionships that may indica te a
risk of material misstatements due to irregularities and illega l acts.
08 The IS auditor should design and perform procedures to test the
appropriateness of internal control and th e risk of management
override of controls.
22
09 When the IS auditor identifies a misstatement, th e IS auditor should
assess whether such a misstatement may be indicative of an
irregularity or illegal a ct. If there is such an ind ication, the IS
auditor should consider the implica tions in rela tion to o ther aspects
of the audit and in particular the represen tations of managemen t.
10 The IS auditor should obtain written representa tions from
management at least annua lly or more often depend ing on the aud it
engagement
11 If the IS auditor has identified a material irregularity or illegal a ct,
or obtains information that a material irregularity or illegal a ct
may exist, th e IS auditor should communica te th ese matters to th e
appropriate level of managemen t in a timely manner.
12 If the IS auditor has identified a material irregularity or illegal a ct
involving management or employees who have significant roles in
internal con trol, the IS aud itor should communicate these matters
in a timely manner to those charged w ith governance.
13 The IS auditor should advise the appropriate level of management
and those charged with governance o f material w eaknesses in the
design and implementa tion of internal control to prevent and d etect
irregularities and illega l acts tha t may have come to th e IS
auditor’s attention during the aud it.
14 If the IS auditor encounters excep tional circumstances tha t affect
the IS auditor’s ability to continue performing th e audit b ecause of
a material misstatement or illega l act, the IS auditor should
23
consider the legal and professional responsibilities applicable in
the circumstances, includ ing wheth er there is a requiremen t for the
IS auditor to report to those who entered into th e engagemen t or in
some cases those charged with governance or regulatory
authoritiesor consider withdrawing from the engag ement.
15 The IS auditor should document all communications, planning,
results, evaluations and conclusions rela ting to material
irregularities and illega l acts tha t have been reported to
management, those charged with governance, regulators and
others.
S10 IT Governance
03 The IS auditor should review and assess whether the IS function
aligns with th e organisation’s mission, vision, values, objectives
and strategies.
04 The IS auditor should review whether th e IS function has a clear
statement about the performance expected b y the busin ess
(effectiveness and efficiency) and assess its achievement.
05 The IS auditor should review and assess the effectiveness of IS
resource and performance management processes.
06 The IS auditor should review and assess compliance with legal,
environmental and information quality, and fiduciary and security
requirements.
07 A risk-based approach should be used by the IS auditor to evaluate
the IS function.
24
08 The IS auditor should review and assess the control environment of
the organisation.
09 The IS auditor should review and assess the risks that may
adversely effect th e IS environment.
S11 Use of Risk Assessment in Audit Plann ing
03 The IS auditor should use an appropriate risk assessment techniqu e
or approach in developing the overall IS aud it plan and in
determining priorities for the effective alloca tion of IS aud it
resources.
04 When planning ind ividual reviews, the IS auditor should identify
and assess risks relevant to the area under review.
S12 Audit Materiality
03 The IS auditor should consider audit materiality and its
relationship to aud it risk while determining th e nature, timing and
exten t of audit procedures.
04 While plann ing for audit, the IS auditor should consider poten tial
weakness or absence of controls and whether such weakness or
absence of con trol could result into sign ificant deficiency or a
material weakness in the in formation system.
05 The IS auditor should consider the cumulative effect of minor
control deficiencies or weaknesses and absence of controls to
translate into sign ificant deficiency or material weakness in the
information system.
25
06 The report of the IS auditor should disclose in effective controls or
absence of con trols and the significan ce of the con trol deficiencies
and possibility o f these w eaknesses resulting in a significant
deficiency or material weakness.
S13 Using the Work of Other Experts
03 The IS auditor should, where appropriate, consid er using the work
of other exp erts for the audit.
04 The IS auditor should assess and be satisfied with the professional
qualifications, competencies, relevant experien ce, resources,
independen ce and quality control processes of oth er experts, prior
to engagement.
05 The IS auditor should assess, review and evaluate the work of other
experts as part of the aud it and con clude the exten t of use and
reliance on expert’s work.
06 The IS auditor should determine and conclud e wheth er the work of
other experts is adequa te and complete to enable the IS aud itor to
conclude on the current aud it objectives. Such conclusion should b e
clearly do cumented.
07 The IS auditor should apply additional test procedures to ga in
sufficient and appropriate aud it eviden ce in circumstances where
the work of other experts does not provide sufficient and
appropriate audit eviden ce.
26
08 The IS auditor should provide appropriate audit opin ion and
include scop e limitation wh ere required eviden ce is not ob tained
through additional test procedures.
S14 Audit Eviden ce
03 The IS auditor should obtain sufficient and appropriate aud it
evidence to draw reasonable conclusions on which to base th e audit
results.
04 The IS auditor should evaluate th e sufficien cy of aud it eviden ce
obtained during th e audit.
S15 IT Controls
03 The IS auditor should evaluate and monitor IT controls tha t are an
integral part of the in ternal con trol environment of th e
organisation.
04 The IS auditor should assist management by providing advice
regarding the design, implementation, operation and improvement
of IT controls.
S16 E-commerce
03 The IS auditor should evaluate applicable controls and assess risk
when reviewing e-commerce environments to ensure that ecommerce transactions are properly con trolled.
27
Standar-standar di atas diterjemahkan sebagai ber ikut :
S1 Audit Charter
Tujuan, tanggun g jawab, k ewenan gan d an akuntabilitas dari fun gsi
audit system informasi atau p enilaian audit sy stem harus
didokumentasikan dalam audit charter atau en gagement letter.
S2 Independ ence
03 Professional indep enden :
Dalam setiap hal y ang berk aitan den gan audit, auditor SI harus
indep endent terhadap p ihak y ang akan diaud it.
04 Organizational indep enden:
Fungsi audit SI h arus indep endent dalam wilay ah atau aktivitas
y ang sedan g direv iew untuk meny elesaikan audit.
S3 Proffesional Ethics and Standards
03 Auditor SI harus menjaga kemp etensi p rofessional melalui
p elatihan dan p embelajaran p rofessional secar a berkelanjutan.
04 Auditor si harus secara p rofessional mamp u, memp uny ai keahlian
dan kemamp uan untuk melakukan tugas audit.
S4 Competen ce
03 Auditor Si harus menjaga p rofesionalitas, men cakup ketaatan y ang
berlaku dalam standar aud it p rofessional.
04 Auditor Si harus mematuhi ISACA Code of Professional Ethics.
S5 Plann ing
03 Auditor SI harus merencanakan p erencanaan audit sistem informasi
28
untuk menemp atkan tujuan audit dan untuk melen gkap i hukum dan
standar auditing p rofesional y ang b erlaku.
04 Auditor SI harus men gemb an gkan dan mendokumentasikan sebuah
p endekatan audit berbasis risiko.
05 Auditor SI harus men gemb an gkan dan mendokumentasikan
rencana audit den gan rin cian sif at dan tujuan, waktu dan luas, dan
sumber day a y ang dip erlukan.
06 Auditor SI harus men gemb an gkan p rogram audit dan p rosedur.
S6 Performance o f Audit Work
03 Pengawasan - Staff audit SI h arus diawasi untuk dap at menjamin an
bahwa tujuan audit y ang dijalank an dan standar p rofesional auditin g
dap at terp enuhi.
04 Bukti - Selama aud it, auditor SI harus mend ap atkan bukti y ang
tep at, dap at dip ercay a, relevan dan ber guna untuk men cap ai tujuan
dari suatu audit. Temuan audit dan kesimp ulan harus didukun g o leh
analisis dan interp retasi y ang tep at melalui bukti ini.
05 Dokumentasi - p roses audit harus didokumentasikan,
men ggamb arkan p ekerjaan dan bukti audit y ang mendukun g
temuan dan kesimp ulan aud itor sistem informasi.
S7 Reporting
03 Auditor SI harus member ikan lap oran dalam b entuk y ang tep at,
setelah selesainy a audit. Lap oran harus men gidentifikasik an sebuah
organ isasi, y ang dimaksudkan p enerima dan semu a lar an gan p ada
sirkulasi.
29
04 Lap oran Audit harus berup a lingkup , tujuan, p eriode audit, jangk a
waktu dan luasny a p ekerjaan aud it y ang dilakuk an.
05 Lap oran harus meny atakan temuan, kesimp ulan dan reko mendasi
dan setiap lay anan atau kualifikasi y an g diber ikan aud itor terhadap
tugas audit y ang dijalank an.
06 Auditor SI harus memp uny ai bukti-bukti audit y ang cukup dan
tep at untuk mendukung hasil y ang d ilap orkan.
07 Ketika diterbitkan, lap oran auditor SI harus ditandatan gani,
tertanggal dan d idistribusikan sesuai den gan ketentuan audit charter
atau surat engagement.
S8 Follow Up Activities
03 Setelah melap orkan temuan dan rekomendasi, aud itor SI harus
meminta dan men gev aluasi informasi y an g relevan untuk
meny imp ulkan ap akah tindakan y ang telah diambil oleh manajemen
telah sesuai rencana dan p ada jan gka waktu y ang tep at.
S9 Irregularities and Illega l Acts
03 Dalam merencanakan d an melakukan audit untuk memp erkecil
resiko audit ke tingk at y ang rendah, Auditor IS harus
memp ertimban gkan resiko p eny imp angan dan tindak an illegal.
04 Auditor SI harus menjaga sikap skeptis p rofessional dalam
melakuk an audit, memp ertimangk an kemun gk inan kesalahan akibat
p eny imp angan dan tindakan illegal y an g muncu l,
05 Auditor si harus memilik i p emahaman men genai or ganisasi dan
lin gkun ganny a, melip uti control internal.
30
06 Auditor Si harus memilik i bukti audit y ang cukup dan sesuai untuk
menentukan ap akah man agement atau p ihak lain dalam or gan isasi
memp uny ai p engetahuan men gen ai ad any a dugaan p eny imp angan
dan tindakan illegal
07 Ketika melakuk an p rosedur audit untuk memp eroleh p engertian
men genai or ganisasi d an lin gkun ganny a. Auditor Si harus
memp ertimban gkan hubun gan y an g tidak wajar, y an g
men gindik asikan resiko terjadiny a p eny imp angan dan tindak an
illegal.
08 Auditor SI harus mendesign dan melakukan p rosedur untuk
men guji k elay akan internal control dan resiko management
men gesamp in gkan control.
09 Ketika auditor SI men emukan k esalah an, auditor SI h arus
menilai ap akah kesalahan tersebut merup aka indik asi dari
p eny imp angan dan tindakan illegal. Jik a ada indikasi terjadiny a
p eny imp angan, auditor si harus memp ertimbangk an imp likasi
dalam k aitanny a dengan asp ek audit lainny a dan terutama
rep resentasi management.
10 Auditor SI harus memp eroleh rep resentasi tertulis dari management
setidakny a secara berkala atau leb ih serin g ter gantung p erjan jian
audit.
31
11 Jika auditor SI telah menemukan p eny imp angan atau tindakan
ilegal atau menemuk an infor masi y ang membuktkan terjadiny a
p eny imp angan
dan
tindakan
illegal.
Auditor
SI
h arus
meny amp aikan masalah ini kep ada level management y ang sesuai
secep atny a.
12 Jika auditor SI telah menemukan p eny imp angan atau tindakan
ilegal y ang mencakup management atau kary awan y ang memp uny ai
p eran y ang besar dalam internal control, auditor SI harus
meny amp aikan masalah ini secep atny a kep ada p ihak y ang
berwenan g den gan p emer intahan.
13 Auditor SI harus meny arankan man agement dan p ihak berwenan g
men genai kelemah an dalam design d an imp lementasi control
internal untuk mencegah dan mendeteksi p eny imp angan dan
tindakan illegal y an g akan meny ita p erhatian auditor.
14 Jika auditor si menemukan keadaan luar biasa y ang memp erngaruhi
kemamp uan auditor dalam melan jutkan audit karena k esalah an atau
tindakan illegal, auditor harus memp ertimban gkan tan ggun g jawab
legal d an p rofessional dalam kead aan tersebut. M encakup ap akah
ada keharusan b agi aud itor si untuk melap orkan seseorang y an g
muncul dalam p erjan jian tersebut atau dalam beber ap a kasus
mereka y an g berwenan g d en gan p emerintahan atau menar ik diri
dari keterlib atanny a.
32
15 Auditor SI harus mendokumentasikan setiap komunikasi,
p erencanaan, hasil, evaluasi, dan k esimp lan terkait p eny imp angan
dan tindakan illegal y ang telah d ilap orkan kep ada p ihak
management, merek a y ang berwen an g, regulator, dan y ang lainny a.
S10 IT Governance
03 Auditor SI harus mereview dan men ilai ap akah fun gsi si sejalan
dengan visi, misi, nilai, tujuan, dan strategi or ganisasi.
04 Auditor SI harus mereview ap akah fungsi SI memp uny ai
p erny ataan y ang jelas men genai kiner ja y ang d iharap kan
(efektivitas dan efisiensi) d an men ilai p encap aianny a.
05 Auditor SI harus mereview dan men ilai evektivitas sumber day a SI
dan p roses kinerja management.
06 Auditor SI harus mereview dan men ilai kep atuhan terhadap hukum,
lin gkun gan dan ku alitas informasi , dan p ersy arata keamanan.
07 Pendekatan berbasis resiko harus digun akan oleh auditor SI untuk
men gevaluasi fun gsi SI.
08 Auditor SI harus mereview dan men ilai kontrol lin gkun gan d ari
organ isasi.
09 Auditor si harus mereview dan menilai resiko y an g mun gkin
memp engaruhi lin gkun gan SI.
S11 Use of Risk Assessment in Audit Planning
03 Auditor Si harus men ggunak an teknik p enilaian resiko y ang sesuai
33
atau p endekatan dalam men gemb an gkan p erencan aan aud it secara
keseluruhan dan d alam men entukan p rioritas dari efektivitas
p engalokasian sumber day a audit SI.
04 Ketika merencanakan r eview ind ividual, auditor Si harus
men gidentifik asi dan menilai resiko y an g relevant y ang men cakup
area y ang sed ang direv iew.
S12 Audit Materia lity
03 Auditor SI harus memp ertimban gkan materiality audit dan
hubunganny a den gan r esiko audit ketika menentukan sifat, waktu,
dan cakup an p rosedur audit.
04 Ketika merencanakan audit, auditor SI harus memp ertimban gkan
kelemahan p otensial atau tidakadany a control dan ap akah
kelemahan atau tidak ad any a control dap at membuat kerugian
signif ikan atau kelemahan material d alam sy stem informasi.
05 Auditor SI harus memp ertimban gkan ef ek kumulatif dari
kelemahan atau tidak ad any a control untuk memp erkirakan
kerugian signif ikan atau kelemahan materian dalam sy stem
informasi.
06 Lap oran audit Si harus men gun gkap kan ketidakefektifan control
atau tidak adany a control dan kekuran gan control sign ifikan d an
kemun gkinan d ari kelemahan in i men gh asilkan k eru gian sign ifikan
dan kelemahan material.
S13 Using the Work of Other Experts
03 Auditor SI harus, dimana tep at, memp ertimbangk an untuk
34
men ggunakan k ary a p ara ahli lainny a untuk audit.
04 Auditor SI harus menilai dan merasa p uas den gan kualifik asi
p rofesional, komp etensi, p engalaman y an g relevan, sumber d ay a,
kemandir ian dan p en gendalian mutu p roses ahli lain, sebelu m
p ertunangan.
05 Auditor SI harus menilai, meninjau dan men gevaluasi ker ja ah li
lain sebagai bagian dar i audit dan meny imp ulkan tingkat
p enggun aan dan k etergantungan p ada p ekerjaan p ara ahli.
06 Auditor SI harus menentukan dan meny imp ulkan ap akah kary a p ara
ahli lain telah memadai d an len gk ap untuk memberikan hak k ep ada
auditor SI untuk meny imp ulkan tujuan audit saat ini. Kesimp ulan
sep erti itu harus secara jelas didokumentasikan.
07 Auditor SI harus menerap kan p rosedur p engujian tambah an y ang
memad ai untuk memp eroleh bukti aud it y ang tep at di mana
p ekerjaan ahli lain tidak cukup untuk memberi bukti-bukti audit
y ang tep at.
08 Auditor SI harus member ikan op ini audit y ang sesuai d an
mencakup ruan g lin gkup di man a bukti y ang dip erlukan tidak
dip eroleh melalui p rosedur tes tambahan.
S14 Audit Evidence
03 Auditor SI harus mendap atkan bukti-bukti audit y ang cukup dan
tep at untuk menarik kesimp ulan y ang masuk ak al y ang b erdasarkan
p ada hasil audit.
35
04 Auditor SI harus men gevaluasi kecukup an bukti audit y ang
dip eroleh selama p roses audit.
S15 IT Controls
03 Auditor SI harus men gevaluasi dan memon itor p engendalian IT
y ang merup akan bagian integral d ari lin gkun gan p engendalian
internal or ganisasi.
04 Auditor SI harus membantu man ajemen den gan memberik an saran \
men genai rancan gan, p elaksanaan, op erasi dan p eningk atan
p engendalian IT.
S16 E-commerce
03 Auditor SI harus men gevaluasi p engedalian y ang b erlaku d an
menilai risiko k etika men injau lin gkun gan e-commerce untuk
memastikan bahwa transaksi e- commerce b erjalan den gan baik.
2.1.9 Prosedur Audit S istem Informasi
M enurut Weber (1999, p 45) ada 5 (lima) p rosedur dalam Audit Sistem
Informasi y aitu:
1. Procedures to ob tain an understanding of control, inquiries :
inquiries, inspection, and observation can be used to ga in an
understanding of what controls supposedly exixt, how well they have
been designed, and wh ether th ey have been p laced in operation.
2. Tests
of
control
:
inquiries,
inspection,
observation,
and
reperformance of control procedures can be ussed to evaluate
wheteher con trol are operating effectively.
36
3. Substantive test of detail of transaction : these test are designed to
detect dollar errors or irregularities in transaction tha t would affect
the finan ceia l statemen ts.
4. Substantive test of detail of a ccount ba lance : th ese test fo cus on the
ending gen eral ledg er balances in th e balance sheet and in come
statement.
5. Analytical review procedures these test focus on rela tionship among
data items with the objective of identifying areas that require further
audit work.
Perny ataan di atas diterjemahkan sebagai ber ikut :
1. Prosedur untuk mendap atkan p emahaman tentan g kontrol, p ertany aan
: p ertany aan, insp eksi, dan observasi dap at digunakan untuk
mendap atkan p emahaman men genai bagaimana kontrol seharusny a
bekerja, seberap a baik kontrol tersebut didesain, dan d iman a kontrol
tersebut digunakan dalam p erusahaan.
2. Pengujian terhadap kontrol : p ertany aan, insp eksi, observasi, dan
p rosedur kontrol dap at digunak an untuk men gev aluasi ap akah kontrol
berjalan secar a efektif.
3. Pengujian substantif terhadap detail transaksi : p engujian ini didesain
untuk mendeteksi kesalahan atau h al-hal y ang tidak wajar d alam
transaksi y ang dap at memp engaruhi lap oran keuan gan.
4. Pengujian substantif dari detail ner aca : p engu jian ini d ifokuskan
keseimban gan jurnal umum d i dalam ner aca d an lap oran keuan gan.
37
5. Prosedur review analisis : p engujian ini d ifokuskan p ada hubungan
antara data d en gan tujuan men gidentifikasi area y an g membutuhkan
p roses audit lebih lanjut.
2.1.10 Teknik dan Praktek Audit S istem Informasi
M enurut Gondodiy oto dan Hendarti (2006, p 447) terdap at berbagai
teknik p emeriksaan y ang bisa diterap kan dalam melaksanak an audit. Teknikteknik p emeriksaan tersebut serin g disebut den gan istilah instrumen audit.
Berikut ini adalah contoh-contoh instrumen audit y ang d ap at digunak an p ada
saat p elaksanaan audit :
1. Observasi (Observation)
Observasi adalah cara memeriksa den gan men ggun akan p anca indera
terutama mata, y ang dilakukan secara berkelanjutan selama kurun
waktu tertentu untuk membuktikan suatu keadaan atau masalah.
2. Wawancar a (Interview)
Wawancar a merup akan teknik p emeriksaan berup a tany a-jawab
secara lisan antara aud itor dengan auditee untuk memp eroleh bahan
bukti audit. Tany a-jawab dap at dilakukan secar a lisan (wawan cara)
atau tertulis.
3. Kuesioner (Questionaire)
Teknik ini merup akan teknik p emeriksaan y ang mudah dan p raktis
karena tertulis. Dengan metode ini, resp onden ditentukan, kemudian
dikirim surat p engantar beserta daftar p ertany aan (Questionaire)
38
5. Prosedur review analisis : p engujian ini d ifokuskan p ada hubungan
tanggal jawab y ang d itentukan.
4. Insp eksi fisik (physical inspection)
Insp eksi merup akan cara memeriksa d en gan memakai p anca indera
terutama mata, untuk memp eroleh bukti atas suatu keadaan atau
suatu masalah p ada saat tertentu. Insp eksi merup akan usaha
p emeriksa untuk memp eroleh bukti-bukti secara lan gsung d i temp at
dimana k eadaan atau masalah in gin dibuktikan.
5. Prosedur analisis
Analisis artiny a memecah atau men gur aikan suatu keadaan atau
masalah ke dalam beb erap a bagian atau elemen dan memisahkan
bagian tersebut untuk digabun gkan den gan keseluruhan atau
dibandin gkan den gan y ang lain. Dengan analisis p emeriksa dap at
melih at hubungan p enting antara satu unsur dengan unsur lainny a.
6. Penelaah an dokumen
Pada teknik ini dilakuk an p enelaahan p ada dokumen y ang tersedia
p ada suatu organisasi, sep erti bagan arus, bagan or gan isasi, manual
p rogram, manu al op erasi, manual referensi, notulen rap at, surat
p erjanjian, dan catatan-catatan historis lainny a. Jika mun gkin,
dokumen-dokumen p enting harus ditelaah sebelu m wawancara.
Dokumentasi y ang ber manfaat adalah diagram (flow chart / Bagan
Alir) dan DFD (data flow diagram / diagram arus data). DFD
menekank an p ada hubungan arus data dan p emrosesan. DFD sangat
sederhana dan mudah digun akan.
39
2.2. Sistem Pengendalian Intern
2.2.1 Pengertian Sistem Pengendalian Intern
M enurut Weber (1999,p 35), “A control is a system that prevents, d etects,
or correct unlaw ful events”. Pen gendalian adalah suatu sistem untuk men cegah,
mendeteksi, dan men gkor eksi kejadian y ang timbul saat transaksi dari
serangk aian p emrosesan y ang tidak terotorisasi secar a sah.
M enurut M uly adi (2001,p 165), Sistem Pengendalian Intern melip uti
struktur organisasi, p rosedur p encatatan, tugas dan fungsi or ganisasi dan
ukuran-ukuran y ang dikoord inasikan untuk men jaga kekay aan or ganisasi,
men gecek ketelitian dan keh andalan data akuntansi, mendoron g efisiensi dan
dip atuhiny a kebijakan manajemen.
2.2.2 Alasan Perlunya Sistem Pengendalian Intern
M enurut Gondiy oto, Sany oto (2009,p 136), p ada sistem informasi
berbasis TI, system controls menjad i semakin p enting alasanny a ialah antara
lain :
1. Besarny a biay a dan kerugian kalau samp ai data komp uter hilan g.
2. “Biay a y ang harus dib ay ar” bila samp ai mutu kep utusan buruk akibat
p engolahan data y ang salah (informasi untuk bahan p engambilan
kep utusan salah).
3. Potensi kerugian k alau terjadi kesalahan / p eny alahgunaan komp uter.
4. Nilai ( investasi ) y an g tin ggi dalam p en gadaan maup un p erawatan
mesin (hardware & software).
40
5. Nilai atau biay a y ang tinggi y ang d ikelu arkan untuk p endidikan
p ersonil.
6. Biay a y ang tinggi b ila terjadi computer errors.
7. Perluny a dijaga privacy, men gin gat di komp uter tersimp an data
rahasia.
8. Agar p erkemban gan dan p ertumbukan komp uterisasi dap at terkendali
(controlled evaluation of computer used).
2.2.3 Tujuan dan Keuntungan Sistem Pengendalian Intern
M enurut Gondiy oto (2009,p 146), strong internal control tidak hany a
berkaitan den gan akuntansi (finan cial aud its dan reliab el f inancial rep orts).
Sound internal control sy stem juga terkait den gan corp orate strategis, dan
member i p eluang auditor intern untuk memberi sumbangan dalam p encap aian
tujuan p erusahaan. Tersediany a informasi y ang relevan, reliab le, dan tep at
waktu memberikan knowled ge dalam r an gka eff ective d ecision-makin g. Selain
untuk corp orate objectives, p engendalian intern ju ga untuk melindun gi assets
dan untuk komunikasi. Oleh kar ena itu dilihat dari manajemen tujuan
dedesainny a sistem p engendalian intern khusus (atau tambahan) bagi sistem
berbasis komp uter adalah untuk membantu man ajemen dalam mencap ai tujuan
kontrol internal meny eluruh, termasuk kegiatan manu al, mekanis, maup un y ang
terkait dengan Teknolo gi Informasi.
Tujuan dirancan gny a sistem p engendalian intern y ang sudah mencakup
ruang lin gkup y ang lebih luas p ada hakekatny a adalah :
41
1. Pencatatan, p engolahan data dan p eny ajian informasi y ang dap at
dip ercay a.
2. M engamankan aktiva p erusahaan.
3. M eningkatkan efektivitas dan efisiensi op erasional.
4. M endorong p elaksanaan ken=bijaksanaan dan p eraturan (hukum)
y ang ada.
Secara lebih khusus lagi terkait den gan teknolo gi informasi, tujuan
disusunny a sistem kontrol atau p engendalian intern komp uterisasi adalah untuk:
1. M eningkatkan p engamanan (imp rove safeguards) assets sistem
informasi (d ata / catatan akuntansi (accountung r ecords) y ang bersifat
logical
assets,
maup un
p hy sical
assets
sep erti
hardware,
infrastructure, dan sebagainy a).
2. M eningkatkan integritas data (imp rove data integrity ) sehingga
dengan data y ang benar dan konsisten akan dap at dibuat lap oran y ang
benar.
3. M eningkatkan efektifitas sitem (imp rove sy stem effectiveness).
4. M eningkatkan effisiensi sistem (imp rove efisiensi sistem).
Ada 5 (lima) k euntungan d ari sebuah p en gendalian intern, y aitu :
1. Dap at memp erkecil kesalahan-k esalah an dalam p eny ajian data
akuntansi, sehingga akan men ghasilkan lap oran y ang benar.
2. M elindungi atau membantasi kemun gkinan terjadiny a kecuran gan
dan p enggelap an-p enggelap an.
3. Kegiatan organisasi ak an dap at dilaksanakan d en gan eff isien.
42
4. M endorong dip atuhiny a kebijakan p imp inan.
5. Tidak memer lukan detail audit dalam b entuk p engujian substantif atas
bahan bukti / data p erusahaan y ang cukup besar oleh akuntan p ublik.
2.2.4 Control Objectives for Information and related Technology (COBIT)
COBIT menurut Gondiy oto (2009,p 181) merup akan a set of best practice
(framework) bagi p en gelo laan teknolo gi informasi (IT man agement). COBIT
disusun oleh the IT Governance Institute (ITGI) dan Information Sy stem Audit
and Control Asosiation (ISACA), tep atny a Information Sy stem Audit an
Control Foundation’s (ISACF).
COBIT adalah seku mp ulan dokumentasi b est p ractice untuk IT
govern ance y ang dap at memb antu auditor, p engguna (user), d an manajemen,
untuk menjemb atani gap antara resiko b isnis, kebutuhan kontrol dan masalahmasalah teknis IT. COBIT bermanfaat bagi aud itor karena merup akan tekhnik
y ang dap at membantu dalam id entifikasi IT controls Issues. COBIT berguna
bagi p ara IT user karenan memp eroleh key akinan atas keh andalan sistem
ap likasi y ang dip ergun akan.
Sedan gk an p ara man ager memp eroleh manfaat dalam kep utusan investasi
di bidan g TI serta infrastrukturny a, meny usun strategic IT p lan, men entukan
Information Architecture, dan kep utusan atas p rocurement mesin. Disamp ing itu
dengan keterandalan sistem informasi y ang ada p ada p erusahaannny a
diharap kan berbagai kep utusan bisnis dap at didasarkan atas informasi y ang ada.
43
2.2.5 Kriteria Kinerja COBIT
M enurut Gondiy oto (2009,p 164), COBIT dap at dikategorikan menjad i 7
(tujuh) criteria, y akni :
Efektifitas
Untuk memp eroleh informasi y ang relevan dan berhubun gan
dengan p roses bisnis sep erti p eny amp aian informasi den gan
benar, konsisten, dap at dip ercay a dan tep at waktu.
Effisiensi
M emfokuskan p ada ketentuan informasi melalui p en ggunaan
sumber day a y ang op timal
Kerahasiaan
M emfokuskan p roteksi terhadap informasi y ang p enting dari
orang y an g memp uny ai hak otorisasi.
Integritas
Berhubungan den gan k eakuratan d an k elen gk ap an informasi
sebagai keb enaran y an g sesuai den gan harap an dan nilai b isnis.
Ketersediaan
Berhubungan den gan informasi y ang tersedia ketika dip erlukan
dalam p roses bisnis sekaran g dan y ang akan datan g.
Kep atuhan
Sesuai menurut hukum, p eraturan dan rencana p erjanjian untuk
p roses bisnis.
Keakuratan
Berhubungan den gan ketentuan kecocokan informasi untuk
Informasi
manajemen men gop erasikan entitasndan mengatur p elatihan
keuan gan dan k elen gk ap an lap oran p ertanggun g jawaban.
Tabel 2.1 Kriteria Kinerja COBIT
44
2.2.6 COBIT Framework
M enurut
Gondiy oto (2009,p 166), COBIT mendefinisik an con trol
objectives sebagai “statement of th e desired result, or purpose to be archieved
by implemen ting control procedures in a particular control ob jectives”. COBIT
framework terdiri dari 34 high level control objectives, dan selanjutny a dirinci
ke dalam 215 detail control objectives y ang dikelomp okan dalam 4 domains :
plan and organize, aquire and implemen t, deliver and support, and monitor and
evaluate.
1. Perencanaan dan or gan isasi
Yaitu men cakup p embahasan tentang id entifikasi dan strategi
investasi IT y ang dap at member ikan y ang terbaik untuk mendukun g
p encap aian tujuan bisnis. Selanjutny a identifikasi d an visi strategis
p erlu direncanak an, dikomun ikasikan, d an diatur p elaksanaanny a.
2. Perolehan dan imp lementasi
Yaitu untuk mer ealisasi strategi TI, p elu diatur kebutuhan TI,
diidentifikasik an, dikemb an gkan, atau diimp lementasikan secar a
terp adu dalam p roses binsis p erusahaan.
3. Peny erahan dan p endukung
Domain ini leb ih dip usatkan p ada ukuran tentang asp ek dukungan TI
terhadap kegiatan op erasional b isnis (Tingk at jasa lay anan TI aktual
atau service level) dan asp ek urutan (p rioritas imp lementasi dan untuk
p elatihanny a).
4. M onitoring
45
Yaitu semua Proses TI y ang p elu dinilai secara b erkala agar ku alitas
dan tujuan dukun gan TI tercap ai, dan k elen gk ap anny a berdasarkan
p ada sy arat kontrol internal y ang baik.
Emp at domain p ada COBIT framework tersebut selanjutny a dirinci
menjad i 34 high-level control objectives :
COBIT domain
1.
Plan
High Level Objectives
and
organize
PO1 Define a Strategic IT Plan and direction
PO2 Define th e Information Arch itecture
PO3 Determine Technolog ical Direction
PO4 Define th e IT Processes, Organization and
Relationships
PO5 Manage the IT Investment
PO6 Communicate Management Aims and
Direction
PO7 Manage IT Human Resources
PO8 Manage Quality
PO9 Assess and Manage IT Risks
PO10 Manage Projects
2.
Aquire
implement
and
AI1 Identify Automated Solutions
AI2 Acquire and Main tain App lica tion Software
AI3 Acquire
and
Mainta in
Infrastructure
AI4 Enable Operation and Use
Technology
46
AI5 Procure IT Resources
AI6 Manage Changes
AI7 Install and Accredit So lutions and Changes
3.
Deliver
and
support
DS1 Define and Manage S ervice Levels
DS2 Manage Third-party Services
DS3 Manage Performance and Capacity
DS4 Ensure Continuous Service
DS5 Ensure Systems Security
DS6 Identify and Allocate Costs
DS7 Educate and Train Users
DS8 Manage Service Desk and Incidents
DS9 Manage the Configuration
DS10 Manage Problems
DS11 Manage Data
DS12 Manage the Physica l Environment
DS13 Manage Operations
4.
Monitor
evaluate
and
M E1 Monitor and Evaluate IT Processes
M E2 Monitor and Evaluate Internal Control
M E3 Ensure Regulatory Compliance
M E4 Provide IT Governance
Tabel 2.2 Control Objectives p ada COBIT
47
2.2.7 Pengendalian Manajemen
M enurut Weber (1999,p 67), management controls are important
components of this overall in ternal con trol structure.
1. Top Management Controls
Discusses top management’s role in planning, organizing, lead ing,
and controlling the in formation system function.
2. System development management controls
Provide a contingency perspective on models of the in formation
system development process that aud itors can use as a basis for
evidence co llection and evaluation.
3. Programming management controls
Discuss the major phases in the program lifecycle and th e important
controls that should be excersised in each phase.
4. Data resource management control
Discusses the roles of th e data admin istrator and the da tabase
administrator and the control that should be excersised over the
functions th ey perform.
5. Security managemen t controls
Discuss the major function performed by security administrators to
identify major threa ts to th e in formation systems function and to
design, implemen t, op erate, and mainta in con trols tha t reduce
expected losses from these threa ts to an acceptable level.
6. Operations management controls
48
Discuss the major function p erformed by operations management to
ensure the day to day op erations of the information systems function
are well con trolled.
7. Quality assurance management con trol.
Discuss the major functions tha t quality assurance managemen t
should perform to ensure that the development, implemen tation ,
operation, and main tenance of informations system confirm to qua lity
standards.”
Diterjemahkan seb agai b erikut :
Pengend alian
manajemen
(management
controls)
ialah
sistem
p engendalian intern komp uter y ang berlaku umu m melip uti seluruh kegiatan
komp uterisasi sebuah organisasi secara meny eluruh.
1. Pengend alian Top M anajemen (Top Management Controls)
M engendalik an
p eranan
manajemen
d alam
p erencanaan
kep emimp inan dan p engawasan fun gsi sistem.
2. Pengend alian
M anajemen
Pen gemban gan
Sistem
(S ystem
Development Management Controls)
M engendalik an alternatif d ari model p roses p engemb an gan sistem
informasi sehin gga dap at digun akan seb agai d asar p engu mp ulan dan
p engevalu asian bukti.
49
3. Pengend alian M anajemen Pemro gr aman (Programming Management
Controls)
M engendalik an tahap an utama dari daur hidup p rogram d an
p elaksanaan dari tiap tahap .
4. Pengend alian
M anajemen
Sumber
Data
(Data
Resources
Management Controls)
M engendalik an p eranan dan fun gsi dari data ad ministrator atau
database admin istrator.
5. Pengend alian
M anajemen
Keamanan
(Security
Administration
Management Controls)
M engendalik an fun gsi utama dar i security administrator dalam
men gidentifik asi ancaman utama terhadap fun gsi sistem informasi
dan p erancangan, p elaksanaan, p engop erasian dan p emeliharaan
terhadap
p engawasan
y ang dap at
men guran gi
k emun gkin an
kehilan gan dari ancaman in i samp ai p ada tingkat y ang dap at diterima.
6. Pengend alian M anajemen Op erasi (Operation Managemen t Controls)
M engendalik an fungsi utama dari manajemen op erasional untuk
mey akinkan bahwa p engop erasian sehar i-hari d ari fun gsi sistem
informasi diawasi den gan b aik.
7. Pengend alian M anajemen Jaminan Kualitas (Quality Assurance
Management Controls)
M engendalik an fun gsi utama y ang harus d ilakuk an oleh Quality
Assurance
M anagement
mey akinkan
bahwa
p engemban gan,
50
p elaksanaan, p engop erasian dan p emeliharaan dari sistem informasi
sesuai standar kualitas.
2.2.8 Pengendalian Aplikasi
M enurut Gondodiy oto (2009,p 260), kontrol ap likasi terbagi atas 3 (tiga),
y aitu :
1. Input Controls
Input controls harus fokus p ada menjaga integrity data entry dan
kelen gkap an (completeness and existence/occurrence, artiny a tidak
ada data missing, sebaikny a jan gan ada d ata fiktif). Kontrol ini
didesain untuk men jaga
agar
data y ang d iinp ut ke sistem
komp uterisasi valid, akurat, dan lengkap , dengan sistem batch
maup un direct. Proses y ang melibatkan manusia men gandun g p otensi
error. Berikut ini hal-hal y an g p erlu mendap at p erhatian:
a.
Source document con trols
b.
Data coding controls
c.
Batch con trols
d.
Validation controls
e.
Input error correction controls
2. Processing Controls
Processing controls
adalah tahap
y ang san gat p enting d an
meny angkut the computer processing steps inside th e system, dan
karena itu aud itorny a harus seseorang y ang p aham (seb aikny a CIA /
CISA).
51
Hal-hal y ang p erlu dip erhatikan antara lain :
a. Run-to-run controls (during posting)
b. Audit trail Controls
c. Logic testing (formula, dan sebagainya)
d. Authenticity tests, unt uk memverivikasi bahwa akses ke sist em
authentic
e. Accuracy tests, unt uk menjaga agar akurasi mekanis cermat
f.
Completeness tests, bahwa dat a yang diolah lengkap
g. Redudancy tests, bahwa t idak t erdapat duplikasi data
h. Access tests, unt uk menjaga agar akses hanya oleh authorized users
i.
Audit trail tests, sist em aplikasi menyediakan an adequate audit trail
j.
Rounding error tests, unt uk menjaga perhit ungan/pembulat annya t idak
salah.
3. Output Controls
Output controls d idesain untuk menjaga agar kelu aran y an g
dihasilkan oleh sistem komp uterisasi tidak hilan g/dib aca oleh oran g
y ang tidak berhak atau tidak tep at sasaran, tidak akurat, tidak tep at
waktu, tidak terjaga p rivasiny a. Berikut ini hal-hal y an g p erlu
dip erhatikan:
a.
Batch sistem outpu t controls
b.
Output spooling controls
c.
Print program controls
d.
Bursting controls
e.
Waste controls
f.
Data control group controls
52
g.
Report distribution controls
h.
End user controls
i.
Real-time systems output con trols
2.2.9 Penetapan Penilaian Resiko
M enurut M cLeod dan Schell (2004,p 214), lan gk ah lan gkah d alam
menentukan resiko dap at dibagi ke d alam 4 kategori:
1. Identify business assets to be protected from risks
2. Recognize the risks
3. Determine the level of impact on th e firm should the risks materialize
4. Analyze th e vulnerability of the firm.
At the completion of risk analysis, the find ings should be documented in
risk analysiiis report. Content o f th is report should include in formation such as
the following for ea ch risk:
1. A description o f the risk
2. Source of the risk
3. Severity of th e risk
4. Control that are being applied to th e risk
5. The owners of the risk
6. Recomended a ction to adress the risk
7. Recomended time frame for adressing the risk.
Dengan k ata lain, artiny a :
1. men gidentifik asi aset p erusahaan agar terlindun gi dari r esiko.
53
2. men genali resiko.
3. menentukan damp ak dari r esiko tersebut terhadap p erusahaan.
4. men ganalisa ker entanan p erusahaan.
Setelah
selesai d alam men ganalisis resiko,
hasil temuan
harus
didokumentasikan d alam lap oran analisis resiko. Isi dar i lap oran tersebut harus
mencakup informasi untuk setiap resiko y ang dap at muncul:
1. gambaran r esiko
2. sumber resiko
3. tingkat resiko
4. kontrol y ang sedang d iterap kan dalam p en gendalian r esiko
5. owner resiko
6. rekomendasi lan gkah untuk men gatasi resiko
7. rekomendasi jenjan g waktu untuk mengatasi resiko.
2.3 Evaluasi Sistem Informasi Persediaan
2.3.1 Pengertian Persediaan
M enurut Standar Akuntansi Keuangan (P SAK No. 14, hal 14.1 – IAI,
2004) : “Persediaan adalah aktiva :
(a)
Tersedia untuk dijual dalam k egiatan usaha nor mal;
(b)
Dalam p roses p roduksi dan atau dalm p erjalanan; atau
(c)
Dalam bentuk bah an atau p erlen gkap an (supplies) untuk
digun akan dalam p roses p roduksi atau p emberian jasa. ”
Definisi p ersediaan menurut M uly adi (2001,p 1) adalah baran g y an g
dibeli untuk tujuan diju al kembali.
54
M enurut Stice, Stice, dan Skousen (2004,p 653), kata p ersediaan
ditujukan untuk barang-b aran g y ang tersedia untuk dijual dalam kegiatan bisnis
normal, dan dalam kasus p erusahaan manufaktur, maka kata ini d itujukan untuk
baran g dalam p roses p roduksi atau y ang ditemp atkan dalam kegiatan p roduksi.
2.3.2 Jenis Persediaan
M enurut Stice, Stice, dan Skousen (2004,p 654), jenis-jenis p ersediaan
terbagi atas : Bahan baku (raw materials), barang d alam proses (work in
process), dan barang jad i (finished goods) untuk dijual ditujukan untuk
p ersediaan di p erusahaan manuf aktur.
M enurut M uly adi (2001,p 553), p ersediaan dap at terdiri dari 5 bentuk :
1. Persediaan Produk Jadi
2. Persediaan Produk dalam Proses
3. Persediaan Bah an Baku
4. Persediaan Bah an Penolon g
5. Persediaan Suku Cadan g
2.3.3 Evaluasi Persediaan pada Sistem Berbasis Komputer
Volume data y ang bany ak dalam p engelolaan p ersediaan d an bany akny a
variasi p eny ajian informasi untuk kep erluan manajemen meny ebabkan san gat
baik untuk men gap likasikan ko mp uter dalam sistem p ersediaan. Pen ggunaan
komp uter y aitu data entry terminal atau database sy stem secara intensif akan
member ikan p engendalian tep at waktu terhadap p ersediaan.
Pengelolaan dan p engendalian p ersediaan merup akan bagian dari sistem
55
p engelolaan p erusahaan. Kemajuan y an g tercap ai dalam p engelolaan data
melalui komp uter memun gkink an p enggunaan teknik y ang lebih rumit. Bany ak
p rogram komp uter y ang tersedia y ang den gan mudah dap at dip ergunakan
untuk memenuhi kebutuhan khusus dari p erusahaan tertentu juga telah
dikemban gk an berbagai p aket p rogram untuk sistem p ersediaan p erusahaan
tertentu.
Dalam p engemban gan sebagian besar sistem p ersediaan y ang
dip ergunakan adalah sistem database. Database tersebut akan mencakup
bany ak informasi sebagai berikut :
1. Data p elanggan
M elip uti alamat, p osisi kredit, b any akny a order, p roduk-p roduk y ang
lazim dan infor masi lain.
2. Persediaan
M elip uti uraian kode barang, kuantitas y ang tersedia, dan p ada jadwal
y ang man a, lama p eny imp anan, lokasi p eny imp anan dalam gudan g,
dan lain- lain.
3. Perencanaan p roduksi
M elip uti daftar uraian b aran g untuk setiap jenis p roduk y ang
dihasilkan, standar waktu dan jadwal serta urutan op erasi.
4. Pengend alian kualitas
Yaitu p engujian y ang d ip erlukan, hasil menurut p engalaman d an
dasar p engujianny a.
5. Catatan dan data historis
Yaitu memelihara sejarah tentan g p roduksi p enjualan, tingkat
56
p ersediaan dan data men genai semua transaksi p ersediaan.
6. Lap oran
Yaitu catatan men gen ai semu a lap oran y ang diterbitkan d an tindakan
y ang telah diambil.
2.3.4 Prosedur Sistem Informasi Persediaan
M enurut M uly adi (2001,p 559), ada 9 p rosedur y ang bersan gkutan den gan
sistem p ersediaan, y aitu :
1. Prosedur p encatatan p roduk jadi.
Dalam p rosedur ini dicatat harga p okok p roduk, jadi y ang didebitkan
ke dalam reken in g Persediaan Produk Jadi dan d ikreditkan ke d alam
rekenin g Bar an g Dalam Proses.
2. Prosedur p encatatan harga p okok p roduk jadi y ang dijual.
Prosedur ini merup akan salah satu p rosedur dalam sistem p enjualan
disamp ing p rosedur lainny a, sep erti : p rosedur order p enjualan,
p rosedur p ersetujuan kredit, p rosedur p engiriman b aran g, p rosedur
p enagihan, p rosedur p encatatan p iutang.
3. Prosedur p encatatan harga p okok p roduk jadi y ang diterima kembali
dari p embeli.
Jika p roduk jadi y an g telah diju al dik embalikan oleh p embeli, mak a
transaksi retur p enjualan ini akan memp engaruhi p ersediaan p roduk
jadi, y aitu menambah ku alitas p roduk jadi d alam kartu gudan g y an g
diselen ggar akan oleh bagian gud an g dan men ambah kuantitas dan
57
harga p okok p roduk jadi y ang dicatat oleh bagian kartu p ersediaan
dalam k artu p ersediaan p roduk jadi.
4. Prosedur p encatatan tambahan dan p eny esuaian kembali har ga p okok
p ersediaan p roduk dalam p roses.
Pencatatan p roduk dalam p roses umumny a dilakukan oleh p erusahaan
p ada akhir p eriode, p ada saat dibuat lap oran keuangan bulan an dan
lap oran keuan gan tahunan.
5. Prosedur p encatatan harga p okok p ersediaan y ang dibeli.
Prosedur ini merup akan salah satu p rosedur y ang memb entuk sistem
p embelian. Dalam p rosedur ini dicatat har ga p okok p ersediaan y an g
dibeli.
6. Prosedur p encatatan harga p okok p ersediaan y ang dikemb alik an
kep ada p emasok.
Jika p ersediaan y ang telah dibeli dik embalikan k ep ada p emasok,
maka transaksi r etur p embelian in i ak an memp engaruhi p ersediaan
y ang bersan gkutan, y aitu menguran gi kuantitas p ersediaan dalam
kartu gudan g y an g diselen ggarak an oleh bagian gudan g d an
memp engaruhi kuantitas dan har ga p okok p ersediaan y ang dicatat
oleh bagian
kartu p ersediaan
dalam k artu p ersediaan y an g
bersangkutan.
7. Prosedur p ermintaan dan p engeluar an baran g gud an g.
Prosedur ini merup akan salah satu p rosedur y ang memb entuk sistem
akuntansi biay a p roduksi. Dalam p rosedur ini dicatat harga p okok
p ersediaan bahan b aku, bahan p enolong, bahan h abis p akai p abrik,
58
dan suku cadan g y ang dip akai dalam k egiatan p roduksi dan kegiatan
non-p roduksi.
8. Prosedur p encatatan tambahan har ga p okok p ersediaan karena
p engembalian b arang gudan g.
Transaksi p engemb alian baran g gudan g memp engaruhi biay a dan
menamb ah p ersediaan bar an g di gudan g.
9. Sistem p erhitungan fisik p ersediaan.
Dalam sistem akuntansi p ersediaan d en gan metode mutasi p ersediaan,
dibagian k artu p ersediaan diselen ggarakan catatan akuntansi berup a
kartu p ersediaan y ang digunakan untuk mencatat mutasi tiap jenis
p ersediaan y ang disimp an di bagian gudan g.
2.3.5 Hal yang Perlu Diperiksa Dalam Melakukan Audit Pada S istem Informasi
Persediaan
M enurut Gondodiy oto (2009,p 280), ada 7 (tujuh) hal y ang p erlu dip eriksa
dalam melakukan aud it sistem informasi p ersediaan, y akni :
1. Pemeriksaan f isik secar a p eriodik.
2. Jumlah baran g on hand, in transit, in storage, or on consignment
dicatat dengan benar.
3. Penerimaan,mutasi, dan sebagainy a dicatat den gan b enar dan tep at
waktu.
4. Aktivitas p roduksi dan har ga p okok secara cermat dan cep at dicatat
dan dilap orkan.
5. Penilaian p ersediaan sesuai standar akuntansi keu an gan.
59
6. Kelebihan fisik p ersediaan (di atas catatan), barang rusak. Produk
gagal dicatat sesuai aturan.
7. Nilai akh ir p ersediaan dicatat dengan ben ar dan sesuai standar
akuntansi keuan gan.
2.3.6 Fungsi yang terkait
a. Panitia p enghitun gan fisik p ersediaan.
Panitia ini terdiri d ari:
• Pemegan g k artu p enghitungan fisik y an g bertugas untuk meny imp an
dan
mendistribusikan
kartu
p enghitungan
fisik
kep ada
p ara
p enghitung, melaksanakan p erbandin gan hasil p enghitungan fisik
p ersediaan y ang telah dilaksanakan o leh p enghitun g dan p engecek,
mencatat hasil p enghitun gan f isik p ersediaan dalam d aftar hasil
p enghitungan f isik.
• Pengh itung y ang b ertugas melaksanak an p enghitun gan p ertama
terhadap p ersediaan dan mencatat hasil p engh itungan tersebut kedalam
bagian ketiga k artu p enghitungan f isik dan meny obekny a untuk
diserahkan kep ada p emegan g k artu p enghitungan f isik.
• Pen gecek bertu gas untuk melaksanak an p engh itungan kedua
terhadap p ersediaan y ang telah dihitun g oleh p enghitun g dan
mencatatny a dalam b agian kedua kartu p ersediaan fisik serta
meny obekny a untuk diserahkan p ada p emegan g kartu p enghitungan
fisik.
60
b. Fungsi akuntansi
Fungsi ini bertan ggun g jawab mencantumkan h ar ga p okok satuan
p ersediaan y ang dihitung kedalam daftar hasil p engh itungan fisik,
men gkalikan kuantitas dan harga p okok p er satuan y ang tercantum
dalam d aftar hasil p en ghitungan fisik, mencantumkan h ar ga p okok
total dalam d aftar hasil p engh itungan fisik, melaksanakan p eny esuaian
terhadap kartu p ersediaan berdasar data hasil p enghitun gan fisik
p ersediaan, membuat bukti memor ial untuk mencatat p eny esuaian data
p ersediaan dalam jurnal umum berdasar hasil p engh itungan fisik
p ersediaan.
c. Fungsi gudan g
Bertanggun g jawab untuk melaksanak an p eny esuaian data ju mlah
p ersediaan
y ang dicatat
dalam k artu
gudan g berd asar hasil
p enghitungan f isik p ersediaan.
2.3.7 Dokumen yang digunakan
a. Bukti kas keluar
Bukti kas keluar y ang dilamp iri den gan lap oran p enerimaan baran g,
surat order p embelian, dan faktur dari p emasok dip akai sebagai
dokumen sumber d alam p encatatan har ga p okok p ersediaan y ang
dibeli d alam register bukti kas keluar, bukti kas keluar ju ga dip akai
sebagai d asar p encatatan tambahan kuantitas dan har ga p okok
p ersediaan kedalam kartu p ersedian.
61
b. M emo debit y ang diterima dari b agian p embelian
Digunak an oleh bagian kartu p ersediaan untuk mencatat jumlah dan
harga p okok p ersediaan y ang dikembalikan kep ada p emasok kedalam
kartu gudan g.
c. Bukti p ermintaan dan p engelu aran bar an g gudan g
Bukti ini digunakan o leh bagian gudan g untuk men catat p enguran gan
p ersediaan karena p emak aian intern, digunakan ju ga oleh bagian kartu
p ersediaan untuk mencatat berkuran gny a jumlah dan har ga p okok
p ersediaan, digun akan ju ga sebagai dokumen sumber dalam p encatatan
p emakaian p ersediaan kedalam jurnal p emakaian b ahan baku atau
jurnal umu m.
d. Bukti p engembalian bar an g gudan g
Bukti ini digunakan oleh bagian gudan g untuk mencatat tambahan
jumlah p ersediaan k edalam k artu gudan g, d igunakan ju ga oleh bagian
kartu p ersediaan untuk mencatat tambahan jumlah d an har ga p okok
p ersediaan kedalam kartu p ersediaan, untuk mencatat berkurangny a
biay a kedalam kartu biay a dan untuk mencatat p engembalian bar an g
gudan g tersebut kedalam jurn al umu m.
2.3.8
Informasi yang Diperlukan
a. Lap oran p enerimaan bar an g
Lap oran p enerimaan bar an g digunak an oleh b agian gud an g sebagai
dasar p encatatan tambahan kuantitas baran g dar i p embelian ked alam
kartu gudan g.
62
b. Lap oran p engiriman baran g
Digunak an oleh b agian gud an g untuk mencatat jumlah p ersediaan
y ang dikirimkam k embali kep ada p emasok kedalam k artu gudan g.
c. Lap oran Stock Op name
Lap oran p erhitungan barang p ada awal dan akhir p eriode y ang
dihitung, car a ini merup akan ketentuan y ang harus dilakukan oleh
manajemen untuk men entukan jumlah p ersediaan akh ir.
2.3.9 Metode Pencatatan Persediaan
M enurut M uly adi (2001,p 556), ada dua macam metode p encatatan
p ersediaan :
1. M etode M utasi Persediaan (Perpetual Inventory M ethod)
Dalam metode mutasi p ersediaan, setiap mutasi p ersediaan dicatata
dalam kartu p ersediaan. M etode ini co cok digun akan d alam
p enentuan biay a bahan baku dalam p erusahaan y ang har ga p okok
p rodukny a dikump ulkan dengan metode har ga p okok p esanan.
2. M etode Persediaan Fisik (Physical Inventory Method)
Dalam metode p ersediaan fisik, h any a tambahan p ersediaan dar i
p embelian saja y an g dicatat, sedan gkan mutasi berkuran gny a
p ersediaan karena p emak aian tidak dicatat dalam k artu p ersediaan.
M etode ini cocok digun akan dalam p enentuan biay a bahan baku
dalam p erusahaan y ang har ga p okok p rodukny a dikump ulkan dengan
metode har ga p okok p roses.
63
2.3.10 Metode Penilaian Persediaan
M enurut Stice, Stice, dan Skousen (2004,p 666), metode p enilaian
p ersediaan terdiri dari tiga, y aitu :
1. M etode FIFO (First In First Out)
M etode First In First Out didasarkan p ada asumsi bahwa unit y ang
terjual ad alah unit y ang leb ih du lu masuk. FIFO dap at dianggap
sebagai sebu ah p endekatan y ang lo gis dan r ealistis terhadap arus
biay a ketika p enggunaan metode identifikasi khusus adalah tidak
memun gkink an atau tidak p raktis. FIFO mengasumsikan b ahwa arus
biay a y ang mendek ati p ararel den gan arus fisik dar i baran g y an g
terjual.
2. M etode LIFO (Last In First Out)
M etode Last In First Out didasark an p ada asumsi bahwa b aran g y an g
p aling baru lah y ang terjual.
LIFO sering k ali dikritik dar i sudut
p andang teoritis. M etode ini tidak co cok den gan arus b aran g y an g
terjadi dalam sebuah p erusahaan.
3. M etode Rata-rata (Average)
M etode biay a rata-rata membebankan biay a rata-rata membebank an
biay a rata-rata y ang sama ke tiap unit. M etode ini didasarkan p ada
asumsi bahwa bar an g y ang terju al seharusny a dibeb ankan den gan
biay a rata-rata, y aitu rata- rata tertimbang dari jumlah unit y ang d ibeli
p ada tiap harga.