BAB 2

LANDASAN TEORI

2.1 Sistem Informasi

2.1.1 Pengertian Sistem Informasi

Pengertian sistem informasi menurut Hall (2001, p7) adalah suatu

rangkaian prosedur formal di mana data dikumpulkan, diproses menjadi

informasi, dan didistribusikan kepada para pengguna.

Sedangkan menurut Laudon (1998, p8), sistem informasi

merupakan sekumpulan komponen yang saling berhubungan dan

berfungsi untuk mengumpulkan, memproses, menyimpan, dan

mendistribusikan informasi untuk membantu manager dalam mengambil

keputusan, menganalisis dan menggambarkan masalah yang kompleks

dalam suatu organisasi.

Sedangkan O’Brien (2005, p5) mendefinisikan sistem informasi

sebagai kombinasi teratur dari orang-orang, hardware, software, jaringan

komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan

menyebarkan informasi dalam sebuah organisasi.

Sedangkan menurut Cushing dan Romney (1994, p6), sistem

informasi adalah pengumpulan, pemasukkan, pemrosesan data

penyimpanan, pengelolaan, pengendalian serta pelaporan informasi

sehingga organisasi dapat mencapai sasaran dan tujuan.

6

7

2.1.2 Tujuan Sistem Informasi

Tujuan sistem informasi menurut Hall (2001, p18) dibedakan atas

tiga tujuan umum bagi semua sistem, yaitu:

1. Untuk mendukung fungsi kepengurusan (stewardship)

manajemen. Kepengurusan yang merujuk ke tanggung jawab

manajemen untuk mengatur sumber daya perusahaan secara

benar.

2. Untuk mendukung pengambilan keputusan manajemen. Sistem

informasi memberikan para manajer informasi yang mereka

butuhkan untuk melakukan tanggung jawab pengambilan

keputusan.

3. Untuk mendukung kegiatan operasi perusahaan. Sistem informasi

menyediakan informasi bagi personal operasi untuk membantu

kegiatan operasi perusahaan secara efisien dan efektif.

2.1.3 Jenis Sistem Informasi

Jenis sistem informasi menurut Bodnar (2001, p4-p6) antara lain

adalah sebagai berikut:

• Pengolahan Data Elektronik (Electronic Data Processing)

Adalah pemanfaatan teknologi komputer untuk melakukan

pengolahan data transaksi-transaksi dalam suatu organisasi. EDP

adalah aplikasi sistem informasi paling dasar dalam setiap

organisasi.

8

• Sistem Informasi Manajemen (Management Information System)

Sistem ini menguraikan penggunaan teknologi komputer untuk

menyediakan informasi bagi pengambilan keputusan para

manajer.

• Sistem Pendukung Keputusan (Decision Support System)

Sistem ini mensyaratkan penggunaan model-model keputusan dan

basis data khusus, dan benar-benar terpisah dari sistem

pengolahan data. Sistem pendukung keputusan diarahkan untuk

melayani permintaan informasi tertentu, khusus, dan tidak rutin

dari manajemen.

• Sistem Pakar (Expert System)

Adalah sistem informasi berbasis pengetahuan yang

memanfaatkan pengetahuannya tentang bidang aplikasi tertentu

untuk bertindak seperti seorang konsultan ahli bagi pemakainya.

• Sistem Informasi Eksekutif (Excecutive Information System)

Adalah sistem yang dibuat untuk kebutuhan informasi stratejik

manajemen tingkat puncak.

• Sistem Informasi Akuntansi (Accounting Information System)

Adalah sistem berbasis komputer yang dirancang untuk mengubah

data akuntasi menjadi informasi.

9

2.2 Sistem Informasi Distribusi

2.2.1 Pengertian Sistem Distribusi

Menurut Charles A. Taff (1996, p5), distribusi fisik

mencakup pengangkutan barang-barang dari tempat asal atau

produksi lanjutan ke tempat penjualan atau publikasi

selanjutnya, penyimpanan barang sampai barang tersebut

diperlukan, perdagangan, peragaan, serta periklanan barang,

dan penjualan atau transfer yang sebenarnya sehingga menjadi

milik si pembeli.

Di samping itu ada dua definisi yang umum digunakan

untuk menggambarkan sistem distribusi yaitu :

a. Sistem distribusi adalah pemindahan barang jadi dari

akhir lini produksi kepada para pelanggan.

b. Sistem distribusi merupakan tanggung jawab untuk

merancang dan melaksanakan sistem untuk

pengendalian arus bahan baku dan barang jadi.

Definisi yang pertama tidak akan mencakup semua fungsi

manajemen transportasi pada banyak perusahaan, oleh karena

manajemen transportasi biasanya bertanggung jawab atas

transportasi masuk dan keluar. Karena transportasi dianggap

bagian integral dari fungsi distribusi fisik, definisi ini menjadi

agak terbatas. Akan tetapi definisi yang kedua jadi lebih luas.

10

2.2.2 Fungsi Sistem Distribusi

Fungsi dari departemen distribusi fisik dalam perusahaan pada

umumnya meliputi manajemen :

a. Persediaan

Perusahaan mengetahui bahwa tingkat persediaan yang

terlalu tinggi akan menyebabkan biaya penyimpanan dan

kemungkinan keusangan yang tinggi. Sebaliknya,

persediaan yang terlalu rendah dapat mengakibatkan biaya

pengisian kembali persediaan dan produksi yang tinggi,

demikian pula resiko kehilangan pasar dan nama baiknya

di mata pelanggan. Jelaslah, pengendalian persediaan

sangat penting demi keberhasilan sebagian besar

perusahaan.

b. Pergudangan

Pergudangan (warehousing) merupakan tanggung jawab

penting dari manajemen distribusi fisik, terutama apabila

manufaktur memproduksi barang-barang konsumen.

Lokasi yang optimal dengan memperhatikan biaya

transportasi yang minimal, pelayanan pada pelanggan,

tingkat persediaan, dan gudang perusahaan versus gudang

umum adalah sebagian dari masalah yang harus

ditentukan. Dalam beberapa perusahaan yang tidak

memiliki departemen distribusi fisik, gudang-gudang

dioperasikan oleh manajemen transportasi atau diadakan

11

kontrak dengan gudang umum untuk menangani barang-

barang perusahaan.

Lokasi gedung yang strategis dapat memberikan

pelayanan yang baik kepada para pelanggan dan dapat

juga mengurangi biaya transportasi dengan mengangkut

sebanyak muatan mobil, truk atau perahu ke gudang-

gudang yang kemudian akan didistribusikan dengan

jumlah yang lebih sedikit.

c. Pengemasan

Pengemasan merupakan salah satu fungsi distribusi fisik

karena biaya pengemasan merupakan salah satu unsur dari

total harga pokok barang bagi pelanggan, maka perlu

diketahui teknik pengemasan yang muktahir. Departemen

distribusi fisik harus bekerja sama dengan bagian

penjualan dan bagian produksi dalam rangka

mengembangkan dan menggunakan pengemasan yang

tepat untuk menampung produk dan selamat sampai di

tangan konsumen.

Ketika mempersiapkan barang untuk dikirim, departemen

transportasi harus berbagi pengetahuan teknisnya dalam

bidang ini dengan departemen lain. Spesifikasi

pengemasan dan kemasan tertentu bisa diisyaratkan oleh

peraturan dalam klasifikasi pengiriman atau tarif.

Departemen yang kurang memahami aspek transportasi

12

harus diberikan penjelasan tentang akibat kesalahan

mengemas barang-barang dari klasifikasi yang berbeda

dalam satu kemasan, yang akan mengakibatkan bahwa

tarif barang dengan klasifikasi tertinggi mungkin akan

dibebankan ke keseluruhan barang dalam kemasan itu.

d. Penanganan Bahan

Dewasa ini, pengembangan teknik penanganan bahan agak

berkurang. Penanganan bahan yang telah ditingkatkan

tidak terbatas hanya pada produksi, tetapi berlaku untuk

semua tahap pergerakan fisik. Peralatan yang tepat tidak

hanya mempercepat operasi dalam pengiriman dan

penerimaan barang, tetapi juga dapat mengefisiensikan

penggunaaan ruang penyimpanan dan mengurangi biaya

penanganan.

Penggunaan peralatan penanganan bahan seperti operasi

penyusunan bahan dengan fork-truk, dapat juga

mengurangi kerugian dan kerusakan, karena kemasan

individual semakin berkurang penanganannya karena

mereka dapat digabungkan menjadi unit-unit yang lebih

besar.

Manfaat penanganan bahan tidak hanya terbatas bagi para

produsen, tetapi menguntungkan juga bagi penerima

titipan (consignee). Melalui kerja sama dengan

departemen penjualan, departemen transportasi dapat

13

mengatur pemindahan barang-barang dengan paket,

peluncuran (skid), atau kumpulan-kumpulan lain yang

disatukan sehingga penerima titipan hanya membutuhkan

penanganan yang sedikit di tempat tujuan.

e. Pemrosesan Pesanan

Pemrosesan pesanan sangat erat hubungannya dengan

penjualan dan produksi oleh karena itu, departemen

distribusi fisik harus menaruh perhatian sepenuhnya

mengenai perlunya koordinasi antar departemen. Arus

informasi yang efektif harus dimulai dari pengiriman

pesanan pelanggan diteruskan ke bagian pengepakan,

diambil oleh angkutan transportasi, penyesuaian terhadap

tingkat persediaan, dan pengiriman informasi kepada

perencanaan produksi. Distribusi fisik bertanggung jawab

menganalisa arus pesanan dan menetapkan prosedur yang

baik jika diperlukan sehingga pelanggan dapat menerima

barang tepat pada waktunya.

f. Analisa Lokasi

Lokasi pabrik harus dipilih dengan cermat. Yaitu dengan

menentukan lokasi letak yang paling baik memenuhi

kebutuhan perusahaan. Analisis mengenai lokasi pabrik

mencakup daerah pasar, fasilitas dan tarif transportasi

yang ada serta pergudangan. Pemilihan faktor ini

tergantung pada sifat industrinya.

14

g. Arus Informasi Manajemen

Ada kemungkinan untuk mengkonversi sebagian besar

masalah transportasi, manajemen persediaan, pengemasan,

dan pergudangan ke dalam bahasa komputer dan dapat

digunakan untuk memeriksa operasi sistem melalui

pembuatan model dan simulasi. Konversi catatan-catatan

ke komputer memudahkan penanganan berbagai dokumen

transportasi, pergudangan, persediaan, dan dokumen lain

ke dalam suatu sistem rutin. Selain itu, catatan-catatan

dapat dianalisis mengenai kegunaannya untuk aplikasi

penelitian dan juga dapat memungkinkan manajemen

menggunakan data umpan balik yang tepat dalam

pengembangan strategi perusahaan.

2.2.3 Proses Sistem Distribusi

Proses sistem distribusi barang secara umum dapat

dinyatakan seperti dibawah ini :

a. Barang dari sumber pasok (pabrik, pemasok, pelabuhan)

b. Barang dikirim ke konsumen (retail, pabrik, rumah tangga)

dalam jumlah dan waktu yang tepat, biaya pengiriman

yang wajar, dan kondisi barang yang baik.

Perusahaan bisa menempuh kebijaksanaan untuk menangani

sendiri sistem distribusi barangnya, menyerahkan pada

intermediary, atau kombinasi dari keduanya. Barang dari

15

pabrik bisa langsung dikirim ke konsumen, ke gudang

regional, maupun ke field warehouses. Demikian halnya

dengan konsumen, mereka bisa dikirim barang dari pabrik,

dari gudang regional maupun field warehouses. Informasi

dalam sistem jaringan distribusi barang terutama mengalir

dari konsumen ke field warehouses, gudang regional, dan

pabrik. Sedang barang mengalir kearah yang sebaliknya.

2.2.4 Sistem Informasi Distribusi

Sistem Informasi Distribusi merupakan kumpulan dari computer

autonomous yang terkoneksi dengan sebuah jaringan komputer dan

dilengkapi dengan distributed system software untuk membangun computing

facility (http://johanesbrain.wordpress.com/2007/05/23/filosoft-mata-kuliah-

sistem-distribusi/)

Sistem Informasi Distribusi adalah sistem yang mengumpulkan data-

data atau informasi mengenai kegiatan distribusi yang dilakukan oleh suatu

perusahaan, kemudian mengolah data tersebut melalui sistem yang

terkomputerisasi untuk menghasilkan laporan yang dapat digunakan oleh top

management dalam pengambilan keputusan sehubungan dengan sistem

distribusi perusahaan tersebut.

Manajer distribusi fisik menggunakan pendekatan sistem yang

berusaha memadukan semua komponen untuk mencapai suatu tujuan

tertentu. Manajemen menganalisis kesempatan-kesempatan perdagangan

ekonomi dan membuat keputusan berdasarkan hasil total bagi perusahaan.

16

Disamping pendekatan biaya total, manajemen dapat mempergunakan

pendekatan profitabilitas yang menghubungkan fungsi distribusi fisik

terhadap laba perusahaan pada berbagai tingkat pelayanan kepada para

pelanggan.

Tersedianya peralatan pemrosesan data, otomatis telah

memudahkan pendekatan sistem. Manajemen memiliki data yang lengkap

dan tepat waktu dalam periode waktu yang jauh lebih singkat. Prediksi

operasional jangka panjang dan jangka pendek mengenai pasar, persyaratan

barang lini individual dalam hal ini simulasi model seperti banyaknya

persediaan optimum dan lokasi letak alternatif, dan juga data-data lain yang

relevan dapat membantu pengolahan komponen-komponen distribusi fisik.

2.3 Sistem Pengendalian Internal

2.3.1 Pengertian Sistem Pengendalian Internal

Menurut Weber (1999, p35), pengendalian adalah suatu sistem

untuk mencegah, mendeteksi dan mengoreksi kejadian yang timbul saat

transaksi dari serangkaian pemrosesan yang tidak terotorisasi secara sah,

tidak akurat, tidak lengkap, mengandung redudansi, tidak efektif dan

tidak efisien.

Menurut Mulyadi (1997, p165), sistem pengendalian internal

meliputi struktur organisasi, metode dan ukuran-ukuran yang

dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian

dan keandalan data akuntansi, mendorong efisiensi dan mendorong

dipatuhinya kebijakan manajemen.

17

Sedangkan menurut Hall (2001, p.150), sistem pengendalian

internal merangkum kebijakan, praktik-praktik, dan prosedur-prosedur

yang digunakan oleh organisasi untuk mencapai tujuan perusahaan.

2.3.2 Tujuan Pengendalian Internal

Sistem pengendalian internal merangkum kebijakan, praktik, dan

prosedur yang digunakan oleh organisasi untuk mencapai empat tujuan

utama (Hall, 2001, p.150), yaitu:

1. Untuk menjaga aktiva perusahaan

2. Untuk memastikan akurasi catatan dan informasi

akuntansi yang dapat diandalkan

3. Untuk mempromosikan efisiensi operasi perusahaan

4. Untuk mengukur kesesuaian dengan kebijakan dan

prosedur yang telah ditetapkan oleh manajemen

2.3.3 Unsur-Unsur Pengendalian Internal

Menurut Mulyadi (1997, p.166), unsur pokok sistem pengendalian

internal adalah sebagai berikut:

1. Struktur organisasi yang memisahkan tanggung jawab fungsional

secara tegas

2. Sistem wewenang dan prosedur pencatatan yang memberikan

perlindungan yang cukup terhadap aset, hutang, pendapatan dan

biaya

18

3. Praktik yang sehat dalam melaksanaan tugas dan tanggung jawab

dan fungsi setiap unit organisasi.

4. Karyawan yang mutunya sesuai dengan tanggung jawabnya.

2.3.4 Elemen-Elemen Pengendalian Internal

Menurut Weber (1999, p49), pengendalian internal terdiri dari

lima unsur/komponen yang saling berintegrasi, antara lain:

1. Lingkungan Pengendalian (Control Environment)

Komponen ini diwujudkan dengan cara pengoperasian,

pembagian wewenang dan tanggung jawab yang harus dilakukan,

komite audit berfungsi, dan metode-metode yang digunakan untuk

merencanakan dan memonitor kinerja.

2. Penaksiran Resiko (Risk Assessment)

Komponen untuk mengidentifikasi dan menganalisa resiko yang

dihadapi oleh perusahaan dan cara untuk menghadapi resiko

tersebut.

3. Aktivitas Pengendalian (Control Activities)

Komponen yang dioperasikan untuk memastikan transaksi telah

terotorisasi, adanya pembagian tugas, pemeliharaan terhadap

dokumen dan record, perlindungan aset dan record, pengecekan

kinerja dan penilaian dari jumlah record yang terjadi.

19

4. Informasi dan Komunikasi (Information and Communication)

Komponen dimana informasi digunakan untuk mengidentifikasi,

mendapatkan, dan menukarkan data yang dibutuhkan untuk

mengendalikan dan mengatur operasi perusahaan.

5. Pemantauan (Monitoring)

Komponen yang memastikan pengendalian internal beroperasi

secara dinamis.

2.4 Audit Sistem Informasi

2.4.1 Pengertian Audit Sistem Informasi

Menurut Weber (1999, p10), audit sistem informasi adalah proses

pengumpulan dan pengevaluasian bukti-bukti untuk memutuskan apakah

dengan adanya sistem pengamanan aset yang berbasis komputer dan

pemeliharaan integritas data, data dapat mendukung perusahaan untuk

mencapai tujuannya secara efektif dan penggunaan sumber daya secara

efisien serta mengetahui apakah suatu perusahaan memiliki pengendalian

internal yang memadai.

Sedangkan menurut Rommey dan Steinbart (2003, p321), audit

sistem informasi mengkaji ulang pengendalian sistem informasi akuntansi

untuk menilai pemenuhannya dengan kebijakan dan prosedur

pengendalian internal dan keefektifan perlindungan terhadap aset.

20

2.4.2 Tujuan Audit Sistem Informasi

Berdasarkan pendapat Muchtar (1999, p.125), tujuan dari audit

sistem informasi adalah untuk mereview dan mengevaluasi pengawasan

internal yang digunakan untuk menjaga keamanan dan memeriksa tingkat

kepercayaan sistem informasi serta mereview operasional aplikasi.

Apabila audit sistem informasi akan dilaksanakan secara lengkap maka

auditor harus berusaha untuk memenuhi setiap tujuan berikut ini:

1. Untuk menemukan bahwa sistem keamanan yang ada

berfungsi dengan baik untuk memperoleh peralatan,

program, file data dari pemakaian dan perubahan oleh

yang tidak berhak.

2. Untuk menemukan bahwa desain dan implementasi

program aplikasi sesuai dengan spesifikasi dan otorisasi

manajemen.

3. Untuk menemukan bahwa semua modifikasi program

aplikasi memiliki otorisasi dan persetujuan manajemen.

4. Untuk menemukan akurasi dan integrasi dari proses

transaksi, file, laporan, dan record-record lainnya.

5. Untuk menemukan sumber data dari program aplikasi

yang tidak akurat dan mengidentifikasikan serta

menyesuaikan dengan kebijakan manajemen.

6. Untuk menemukan apakah ada usaha untuk memenuhi

syarat akurasi proses data, kelengkapan data, serta tingkat

kerahasiaan file data.

21

2.4.3 Pendekatan Audit Sistem Informasi

Menurut Weber (1999, p55-57), metode audit antara lain adalah:

1. Auditing around the computer

Merupakan suatu pendekatan audit dengan memperlakukan

komputer sebagai black box, maksudnya metode ini tidak menguji

langkah-langkah proses secara langsung, tetapi hanya berfokus

pada input dan output dari sistem komputer. Diasumsikan bahwa

jika input benar akan diwujudkan pada output, sehingga

pemrosesan juga benar dan tidak melakukan pengecekan terhadap

pemrosesan komputer secara langsung.

Pendekatan ini mengandung berbagai kelemahan antara lain:

• Umumnya database mencakup jumlah data yang banyak

dan sukar untuk ditelusuri secara manual.

• Tidak menciptakan sarana bagi auditor untuk menghayati

dan mendalami lebih mantap liku-liku komputer.

• Cara ini mengabaikan pengendalian sistem dalam

pengolahan komputer itu sendiri, sehingga rawan terhadap

adanya kelemahan dan kesalahan yang potensial

didalamnya.

• Kemampuan komputer sebagai fasilitas penunjang

pelaksanaan audit menjadi sia-sia.

• Tidak dapat mencakup keseluruhan maksud dan tujuan

penyelenggaraan audit.

22

2. Auditing through the computer

Merupakan suatu pendekatan audit yang berorientasi pada

komputer dengan membuka black box, dan secara langsung

berfokus pada operasi pemrosesan dalam sistem komputer.

Dengan asumsi bahwa apabila pemrosesan mempunyai

pengendalian yang memadai, maka kesalahan dan

penyalahgunaan tidak akan terlewat untuk dideteksi, sebagai

akibat dari keluaran dapat diterima.

Keuntungan utama dari pendekatan ini adalah dapat

meningkatkan kekuatan terhadap pengujian sistem aplikasi secara

efektif, dimana ruang lingkup dan kemampuan dari pengujian

yang dilakukan dapat diperluas sehingga tingkat kepercayaan

terhadap keandalan dari pengumpulan dan pengevaluasian bukti

dapat ditingkatkan. Selain itu dengan memeriksa secara langsung

logika pemrosesan dari sistem aplikasi, dapat diperkirakan

kemampuan sistem dalam menangani perubahan dan

kemungkinan kehilangan yang terjadi pada masa yang akan

datang.

Kelemahan dari pendekatan ini adalah sebagai berikut:

• Biaya yang dibutuhkan relatif tinggi yang disebabkan

jumlah jam kerja yang banyak untuk dapat lebih

memahami struktur kontrol internal dari pelaksanaan

sistem aplikasi.

23

• Butuh banyak keahlian teknis yang lebih mendalam untuk

memahami cara kerja.

3. Auditing with the computer

Pendekatan ini dilakukan dengan menggunakan komputer dan

software untuk mengotomatisasi prosedur pelaksanaan audit.

Pendekatan ini merupakan cara audit yang sangat bermanfaat,

khususnya dalam pengujian substantif atas file dan record

perusahaan. Software audit yang digunakan merupakan

program komputer auditor untuk membantu dalam pengujian

dan evaluasi kehandalan data, file dan record perusahaan.

Keunggulan pendekatan ini adalah:

• Merupakan program komputer yang diproses untuk

membantu pengujian pengendalian sistem komputer

klien itu sendiri.

• Dapat melaksanakan tugas audit yang terpisah dari

catatan klien, yaitu dengan mengambil copy data atau

file untuk dites dengan komputer lain.

Kelemahan dari pendekatan ini adalah dibutuhkan upaya dan

biaya yang relatif besar untuk pengembangannya.

24

2.4.4 Prosedur Audit

Arens dan Loebbecke yang diterjemahkan oleh Jusuf (1996,

p.153-158), dalam menentukan prosedur audit digunakan tujuh kategori

bahan bukti yang dapat digunakan oleh auditor yaitu:

1. Pemeriksaan Fisik

Adalah sebagai alat yang langsung digunakan untuk

memverifikasi apakah suatu aktiva secara aktual ada, dianggap

sebagai salah satu bahan bukti yang paling handal dan berguna.

2. Konfirmasi

Digambarkan sebagai penerimaan jawaban tertulis maupun lisan

dari pihak ketiga yang independen dalam memverifikasi akurasi

informasi yang telah diminta oleh auditor.

3. Dokumentasi

Merupakan bentuk bahan bukti yang digunakan secara luas dalam

setiap audit karena biasanya sudah tersedia bagi auditor dengan

biaya yang relatif rendah. Seringkali hanya bahan bukti jenis ini

yang tersedia.

4. Pengamatan

Adalah penggunaan perasaan untuk menetapkan aktivitas tertentu.

Dalam keseluruhan audit akan ada banyak kesempatan untuk

melihat, mendengar, menyentuh, dan mencium untuk

mengevaluasi bermacam benda.

5. Pertanyaan

25

Adalah mendapatkan informasi tertulis atau lisan dari klien

dengan menjawab pertanyaan dari auditor. Meskipun sebagai

bahan bukti yang diperhitungkan dan diperoleh dari klien melalui

tanya jawab, biasanya tanya jawab tidak dapat diperlakukan

sebagai kemampuan memberikan kesimpulan, karena didapat dari

sumber yang tidak independen dan mungkin memihak

kepentingan klien. Dengan demikian, apabila auditor memperoleh

bahan bukti tanya jawab, biasanya perlu untuk mendapatkan

bahan bukti lain yang menguatkan melalui prosedur yang lain.

6. Pelaksanaan Ulang

Mencakup pengecekan ulang suatu sampel perhitungan dan

perpindahan informasi yang dilakukan klien selama periode yang

diaudit.

7. Prosedur Analitis

Adalah menggunakan perbandingan dan hubungan untuk

menentukan apakah saldo akun tersaji secara layak. Prosedur

analitis sangat penting sehingga harus dilakukan selama tahap

perencanaan dan penyelesaian di setiap audit.

2.4.5 Langkah-langkah Audit Sistem Informasi

Menurut Weber (1999, p47-54), langkah-langkah untuk melakukan

kegiatan audit terdiri dari:

1. Planning the audit

26

Perencanaan merupakan fase pertama dari kegiatan audit, bagi eksternal

auditor hal ini artinya adalah melakukan investigasi terhadap klien untuk

mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staff

audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang

klien, mengerti tentang masalah hukum klien dan melakukan analisa terhadap

prosedur yang ada untuk mengerti tentang bisnis klien dan mengidentifikasi

resiko audit.

2. Test the controls

Auditor melakukan test controls ketika mereka menilai bahwa control resiko

berada pada level kurang dari maksimum, mereka mengandalkan control

sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor

tidak mengetahui apakah identifikasi control telah berjalan dengan efektif,

test terhadap control oleh karena itu diperlukan evaluasi yang spesifik

terhadap materi control.

3. Test the transactions

Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah

kesalahan atau proses yang tidak biasa terjadi pada transaksi yang

mengakibatkan kesalahan pencatatan yang material pada laporan keuangan.

Test transaksi ini termasuk menelusuri atau trace jurnal dari sumber

dokumen, memeriksa file berharga dan mengecek keakuratan perhitungan.

Pemakaian komputer sangat membantu pekerjaan ini dan auditor harus

menggunakan software audit umum untuk mengecek apakah bunga yang

dibayar kepada bank telah sesuai perhitungannya.

4. Tests the balances or overall results

27

Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus

diperhatikan adalah tujuan pengamanan harta dan data integrity. Beberapa

jenis substantive test terhadap saldo yang digunakan adalah konfirmasi

piutang, perhitungan fisik persediaan, dan perhitungan ulang penyusutan

aktiva tetap.

5. Completion of the audit

Pada fase akhir audit, eksternal audit akan menjalankan beberapa tes

tambahan terhadap bukti yang ada agar dapat dijadikan laporan.

Terdapat 4 opini yang dapat diberikan terhadap hasil audit oleh eksternal

audit, yaitu :

- Disclaimer of opinion ( Tidak Memberikan Pendapat ), auditor tidak akan

memberikan opini.

- Adverse opinion ( Pendapat Tidak Wajar ), auditor berpendapat bahwa

terdapat banyak kesalahan.

- Qualified opinion ( Wajar Dengan Pengecualian ), auditor berpendapat

bahwa terjadi beberapa kesalahan tetapi nilainya tidak material.

- Unqualified opinion ( Wajar Tanpa Pengecualian ), auditor berpendapat

bahwa tidak terjadi kesalahan atau misstatement.

2.4.6 Standar Audit Sistem Informasi

Standar audit merupakan pedoman bagi auditor dalam menjalankan

tanggung jawab profesionalnya. Standar-standar ini meliputi pertimbangan

mengenai kualitas profesional mereka, seperti keahlian dan independensi,

persyaratan pelaporan dan bahan bukti. Dalam audit sistem informasi, penulis

28

menggunakan standar COBIT (Control Objectives for Information and related

Technology) yang dikembangkan oleh IT Governance Institute kemudian

dipublikasikan oleh ISACA (Information Systems Audit and Control

Association). ISACA merupakan sebuah asosiasi profesional dalam audit sistem

informasi, pengendalian, keamanan dan governance. ISACA yang

beranggotakan auditor sistem informasi internasional mempunyai fungsi sebagai

sumber informasi, pihak yang memberikan panduan-panduan praktek bagi

auditor sistem informasi serta menyediakan standar, panduan (guidelines), dan

prosedur dalam hal audit, pengendalian dan keamanan sistem informasi oleh para

profesional audit sistem informasi di seluruh dunia.

Menurut Gondodiyoto (2007, p. 153-154) CobIT (Control Objectives for

Information and Related Technology) adalah sekumpulan dokumentasi yang best

practices untuk IT governance yang dapat membantu auditor, pengguna (user),

dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol

dan masalah-masalah teknis TI. CobIT bermanfaat bagi auditor karena

merupakan teknik yang dapat membantu dalam identifikasi IT Control Issue.

CobIT berguna bagi para infornation technology users karena memperoleh

keyakinan atas kehandalan sistem aplikasi yang digunakan. Sedangkan para

manajer memperoleh manfaat dalam keputusan investasi dibidang teknologi

informasi serta infrastrukturnya, menyusun rencana strategi teknologi informasi,

menentukan arsitektur informasi dan keputusan atas procurement (pengadaan

atau pembelian) mesin. Disamping itu, dengan kehandalan sistem informasi yang

ada pada perusahaannya, diharapkan berbagai keputusan bisnis dapat didasarkan

atas informasi yang ada. CobIT mendukung manajemen dalam mengoptimalkan

29

investasi teknologi informasi melalui ukuran-ukuran yang akan memberi sinyal

bahaya bila suatu kesalahan atau resiko sedang terjadi. Manajemen perusahaan

harus memastikan bahwa sistem pengendalian internal perusahaan bekerja

dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara

jelas menggambarkan bagaimana setiap aktivitas pengendalian individual

memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya

teknologi informasi perusahaan. Sumber daya teknologi informasi merupakan

elemen yang sangat disorotkan CobIT, termasuk pemenuhan kebutuhan bisnis

terhadap:

1. Efektifitas (Effectiveness)

Untuk memperoleh informasi yang relevan dan berhubungan dengan proses

bisnis seperti penyampaian informasi dengan benar, konsisten, dapat

dipercaya, dan tepat waktu.

2. Efisiensi (Efficiency)

Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya

yang optimal.

3. Kerahasiaan (Confidentiality)

Memfokuskan proteksi terhadap informasi yang penting dari orang yang

tidak memiliki hak otorisasi

4. Keterpaduan (Intergrity)

Yang sesuai dengan harapan dan berhubungan dengan keakuratan dan

kelengkapan informasi sebagai kebenaran nilai bisnis.

5. Ketersediaan (Availability)

Berhubungan dengan informasi yang tersedia ketika diperlukan dengan

30

proses bisnis sekarang dan yang akan datang.

6. Kepatuhan pada kebijakan atau aturan (Compliance)

Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.

7. Kehandalan informasi (Reliability)

Berhubungan dengan ketentuan, kecocokan informasi untuk manajemen

mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan

laporan pertanggung jawaban.

Komponen COBIT terdiri atas:

1. Executive Summary

Terdiri dari executive overview yang menyediakan kesadaran sepenuhnya dan

pemahaman konsep utama dan prinsip COBIT, termasuk pula ringkasan

framework yang menyediakan penjelasan mengenai konsep dan prinsip ini.

2. Framework

Menjelaskan bagaimana proses TI mengirimkan informasi yang dibutuhkan

oleh organisasi dalam mencapai tujuannya. Antara lain 34 (tiga puluh empat)

tujuan pengendalian tingkat tinggi yang berisi 4 (empat) domain, 7 (tujuh)

kriteria informasi (effectiveness, efficiency, confidentiality, integrity,

availability, compliance dan reliability), 318 (tiga ratus delapan belas)

control objectives dan audit guidelines, management guidelines dan

implementation guide.

3. Control Objectives

Menyediakan pemahaman yang kritis yang dibutuhkan untuk

menggambarkan kebijakan yang jelas dan praktek yang baik untuk

pengendalian TI.

31

4. Control Practices

Menyediakan panduan bagaimana pengendalian dibutuhkan dan praktek

terbaik yang sesuai dengan tujuan pengendalian yang spesifik serta

membantu memastikan solusi yang lengkap dan sukses jika

diimplementasikan.

5. Audit Guidelines

Berisi sebanyak 318 (tiga ratus delapan belas) tujuan-tujuan pengendalian

yang bersifat rinci (detailed control objective) untuk membantu para auditor

dalam memberikan management assurance dan saran perbaikan.

6. Management Guidelines

Terdiri dari maturity models, untuk membantu menentukan tingkat

pelaksanaan dan pengharapan atas pengendalian dan membandingkannya

dengan norma industri. Critical Success Factors, untuk mengidentifikasi

tindakan paling penting dalam mencapai pengendalian dalam proses TI. Key

Goal Indicators, untuk mendefinisikan tingkat target atas pelaksanaan, dan

Key Performance Indicators, untuk mengukur apakah proses pengendalian TI

sudah sesuai dengan tujuannya.

7. COBIT QuickstartTM

Membantu pemakaian elemen COBIT dengan cepat dan mudah.

Kerangka kerja CobIT terdiri atas beberapa arahan (Guidelines) , yakni

(Gondodiyoto, 2007, p. 157) :

1. Control Objectives

Terdiri dari empat unsur utama, yaitu:

1. Perencanaan dan Organisasi (Planning and Organization) :

32

Yaitu mencakup pembahasan tentang identifikasi dan strategi investasi

teknologi informasi yang dapat memberikan yang terbaik untuk

mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi

strategis perlu direncanakan, dikomunikasikan, dan diatur pelaksanaanya

(dari berbagai perspektif).

2. Pengakuisisi dan Implementasi (Acquisition and Implementation)

Yaitu untuk merealisasi strategi teknologi informasi, perlu diatur

kebutuhan teknologi informasi, diidentifikasi, dikembangkan, atau

diimplementasikan secara terpadu dalam proses bisnis perusahaan.

3. Penyerahan dan Pendukung (Delivery and Support)

Hal ini lebih dipusatkan pada ukuran tentang aspek dukungan teknologi

informasi terhadap kegiatan operasional bisnis (tingkat jasa layanan

teknologi informasi aktual atau service level) dan aspek urutan (prioritas

implementasi dan untuk pelatihannya).

4. Memantau (Monitoring)

Yaitu semua proses teknologi informasi yang perlu dinilai secara berkala

agar kualitas dan tujuan dukungan teknologi informasi tercapai, dan

kelengkapannya berdasarkan pada syarat pengendalian internal yang

baik.

Tabel 2.1 Domain dan High Level Controls CobIT

CobIT domain High Level Objectives

1 Plan and

Organize

1. Definisikan arah dan rencana strategis teknologi

informasi

33

2. Definisikan arsitektur informasi

3. Tentukan arah teknologi

4. Definisikan proses-proses teknologi informasi,

organisasi dan hubungannya

5. Mengelola investasi teknologi informasi

6. Mengomunikasikan arah dan tujuan manajemen

7. Mengelola sumber daya manusia teknologi

informasi

8. Mengelola kualitas

9. Mengkaji dan mengelola risiko teknologi

informasi

10. Mengelola proyek-proyek

2 Acquire and

implement

1. Identifikasi solusi-solusi otomatis

2. Memperoleh dan memelihara aplikasi perangkat

lunak

3. Memperoleh dan memelihara infrastruktur

teknologi

4. Memperbolehkan operasi dan penggunaan

5. Memperoleh sumber daya teknologi informasi

6. Mengatur perubahan

7. Memasang dan mengakui solusi dan perubahan

3 Delivery and

support

1. Mendefinisi dan mengelola tahapan layanan

2. Mengelola layanan pihak ketiga

3. Mengelola kinerja dan kapasitas

4. Menjamin kelangsungan layanan

5. Menjamin keamanan sistem

6. Mengidentifikasi dan menetapkan biaya

7. Mendidik dan melatih pengguna

8. Memberikan masukan kepada pengguna

9. Mengelola konfigurasi

10. Mengelola kegiatan dan masalah

34

11. Mengelola data

12. Mengelola fasilitas

13. Mengelola operasi

4 Monitor and

evaluate

1. Mengawasi dan mengevaluasi proses teknologi

informasi

2. Mengawasi dan mengevaluasi pengawasan

internal

3. Memastikan pemenuhan pengaturan

4. Menyediakan Pemerintahan teknologi informasi

(Information Technology Governance)

Sumber: Gondodiyoto (2007, p. 160)

2. Audit Guidelines

Berisi sebanyak 318 (tiga ratus delapan belas) tujuan-tujuan pengendalian

rinci (detailed control objectives) untuk membantu para auditor dalam

memberikan management assurance dan atau saran perbaikan.

1. Management Guidelines

Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang

harus dilakukan.

35

Gambar 2.1 CobIT Framework

Sumber: COBIT 4.1 (2007)

CobIT diharapkan dapat membantu menemukan berbagai macam

kebutuhan manajemen berkaitan dengan teknologi informasi, membantu

mengoptimalkan investasi teknologi informasi, dan menyediakan ukuran

(kriteria) ketika terjadi penyelewengan atau penyimpangan serta dapat diterapkan

dan diterima sebagai standar keamanan teknologi informasi dan praktek kendali

36

untuk mendukung kebutuhan manajemen dalam menentukan dan memantau

tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka.

Adapun standar profesional untuk audit sistem informasi yang terdapat

pada ISACA (Information Systems Audit and Control Association) adalah:

1. Audit Charter

Purpose, Responsibility, Authorithy and Accountability

Definisi dari tujuan, tanggung jawab, otoritas, dan accountability dari fungsi

audit sistem informasi lebih tepat bila didokumentasikan dalam suatu surat

perjanjian. Surat perjanjian tersebut harus disetujui oleh suatu tingkat yang

tepat di organisasi.

2. Independence

a. Professional Independence

Dalam permasalahan yang berkaitan dengan audit, auditor sistem

informasi harus bersikap independen dalam tingkah laku dan

tindakannya.

b. Organizational Relationship

Fungsi audit sistem informasi harus berada independen dari area yang

diaudit untuk mencapai tujuan objektivitas dari suatu proses audit.

3. Professional Ethics and Standards

a. Code of Professional Ethics

Auditor sistem informasi harus menghormati dan mentaati etika

profesional dalam melakukan tugas audit.

b. Due Professional Care

37

Auditor sistem informasi harus melakukan ketelitian profesional yang

seharusnya, termasuk ketaatan standar audit profesional yang dapat

dipakai dalam melakukan tugas audit.

4. Professional Competence

Auditor sistem informasi harus mampu secara profesional, memiliki keahlian

dan pengetahuan untuk melakukan tugas audit.

Auditor sistem informasi harus memelihara kompetensi profesional melalui

pendidikan dan pelatihan lanjut profesional yang tepat.

5. Audit Planning

Auditor sistem informasi harus merencanakan ulasan sistem informasi untuk

menempatkan tujuan audit dan untuk melengkapi hukum yang berlaku dan

standar profesional audit.

6. Performance of Audit Work

a. Supervision

Staf dari sistem informasi harus diawasi untuk menyediakan jaminan

yang cukup bahwa tujuan audit telah dijalankan dan standar profesional

auditing dapat terpenuhi.

b. Evidence

Selama masa pekerjaan audit, auditor sistem informasi harus

mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna

untuk mencapai tujuan objektif dari suatu audit. Penemuan dan

kesimpulan audit harus didukung dengan analisa dan interpretasi yang

tepat atas bukti tersebut.

c. Documentation

38

Proses audit harus didokumentasikan, menggambarkan pelaksanaan kerja

audit, dan bukti audit yang mendukung penemuan dan kesimpulan

auditor sistem informasi.

7. Reporting

Auditor sistem informasi harus menyediakan laporan dalam bentuk yang

tepat pada saat penyelesaian tugas audit. Laporan audit harus

mengidentifikasikan perusahaan, penerima yang dimaksud, dan setiap

pembatasan pada distribusinya.

Laporan audit yang berupa lingkup, tujuan, periode audit, dan lingkungan,

waktu, dan isi dari pelaksanaan kerja audit harus mempunyai temuan,

simpulan, dan rekomendasi, kualifikasi atau batasan lingkup yang harus

dihormati oleh auditor sistem informasi dalam audit.

Auditor sistem informasi harus memiliki bukti audit yang cukup dan tepat

untuk mendukung hasil yang dilaporkan.

Ketika dikeluarkan, laporan auditor sistem informasi harus ditandatangani,

diberi tanggal, dan didistribusikan berdasarkan bentuk piagam audit atau

surat perjanjian.

8. Follow Up Activities

Setelah melaporkan penemuan dan simpulan, auditor sistem informasi harus

meminta dan mengevaluasi informasi yang sesuai untuk menyimpulkan

apakah tindakan yang tepat telah dilakukan oleh manajemen secara tepat

waktu.

9. Irregularities and Illegal Acts

39

a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko pada

tingkat yang rendah, auditor sistem informasi harus mempertimbangkan

resiko irregularities and illegal acts, dengan memahami perusahaan dan

lingkungannya serta pengendalian internal melalui perolehan bukti audit

yang cukup dan tepat

b. Auditor sistem informasi harus merancang dan melaksanakan prosedur

untuk menguji pengendalian internal yang tepat dan resiko pengendalian

sampingan manajemen.

c. Jika auditor sistem informasi telah mengidentifikasikan irregularities and

illegal acts yang melibatkan manajemen atau karyawan yang memiliki

role penting dalam pengendalian internal, auditor sistem informasi harus

mengkomunikasikannya tepat waktu untuk orang-orang yang

bertanggung jawab terhadap governance.

d. Auditor sistem informasi harus mendokumentasikan semua komunikasi,

perencanaan, hasil, evaluasi dan kesimpulan yang berhubungan dengan

irregularities and illegal acts.

10. IT Governance

Auditor sistem informasi harus meninjau dan menilai fungsi sistem informasi

sesuai dengan visi, misi, nilai, tujuan dan strategi perusahaan. Juga menilai

keefektifan sumber daya sistem informasi dan pelaksanaan proses

manajemen, pemenuhan keabsahan, kualitas lingkungan dan informasi, serta

kebutuhan pengendalian dan keamanan. Selain itu, dinilai pula lingkungan

pengendalian dan resiko dalam lingkungan sistem informasi.

11. Use of Risk Assestment in Audit Planning

40

Auditor sistem informasi harus menggunakan teknik atau pendekatan

penilaian resiko yang tepat dalam pengembangan rencana audit sistem

informasi secara keseluruhan, dan menentukan prioritas pembagian sumber

daya audit sistem informasi secara efektif.

12. Audit Materiality

Auditor sistem informasi harus mempertimbangkan audit secara material dan

hubungannya dengan resiko audit ketika menentukan sifat, waktu dan isi dari

prosedur audit.

13. Using the Work of Other Experts

Auditor sistem informasi harus mempertimbangkan penggunaan ahli lain

dalam melakukan audit.

14. Audit Evidence

Auditor sistem informasi harus memperoleh bukti audit yang cukup dan tepat

untuk membuat kesimpulan yang beralasan sebagai dasar dari hasil audit.

2.4.7 Teknik Evaluasi

Teknik evaluasi yang digunakan berdasarkan pada Djatmiko (2007),

dimana maturity model digunakan sebagai metric untuk mengukur tingkat

perkembangan sistem informasi. Dengan Maturity model dapat digunakan juga

untuk mengendalikan proses IT dengan suatu metoda skoring sedemikian

sehingga suatu organisasi dapat menilai dirinya sendiri dari “tidak ada” sampai

“optimized” (dari 0 sampai 5). Pendekatan ini diperoleh berdasarkan Maturity

Model.

41

Untuk masing-masing proses IT, ada suatu skala pengukuran, berdasar

pada suatu penilaian antara “0” sampai “5”. Skala ini dihubungkan dengan

maturity model yang diuraikan berkisar antara “Tidak Ada” sampai “Optimized”

sebagai berikut:

Tabel 2.2 Level Model Maturity

Model Umum Maturity

Level 0 Tidak ada (Non – Existent), kurang lengkapnya setiap proses yang

dikenal. Organisasi sama sekali tidak mengetahui adanya masalah.

Level 1 Inisialisasi (Initial), Terdapat bukti bahwa organisasi telah

mengetahui adanya masalah yang membutuhkan penanganan.

Penanganan masalah dilakukan dengan pendekatan adhoc,

berdasarkan kasus dari perorangan. Tidak dilakukannya pengelolaan

proses yang terorganisir. Setiap proses ditangani tanpa menggunakan

standar.

Level 2 Pengulangan (Repeatable), Prosedur yang sama telah

dikembangkan dalam proses – proses untuk menangani suatu tugas,

dan diikuti oleh setiap orang yang terlibat di dalamnya. Tidak ada

pelatihan dan komunikasi dari prosedur standard tersebut. Tanggung

jawab pelaksanaan standar diserahkan pada setiap individu.

Kepercayaan terhadap pengetahuan individu sangat tinggi, sehingga

kesalahan sangat memungkinkan terjadi.

Level 3 Terdefinisi (Defined), Prosedur telah distandardisasikan,

didokumentasikan, serta dikomunikasikan melalui pelatihan.

42

Namun, implementasinya diserahkan pada setiap individu, sehingga

kemungkinan besar penyimpangan tidak dapat dideteksi. Prosedur

tersebut dikembangkan sebagai bentuk formulasi dari praktik yang

ada.

Level 4 Dikelola (Managed), Pengukuran dan pemantauan terhadap

kepatuhan dengan prosedur, serta pengambilan tindakan jika proses

tidak berjalan secara efektif, dapat dilakukan. Perbaikan proses

dilakukan secara konstan. Implementasi proses dilakukan secara

baik. Otomasi dan perangkat yang digunakan terbatas.

Level 5 Dioptimalkan (Optimised), Implementasi proses dilakukan secara

memuaskan. Hal tersebut merupakan hasil dari perbaikan proses

yang terus menerus dan pengukuran tingkat kedewasaan organisasi.

Teknologi informasi diintegrasikan dengan aliran kerja, dan

berfungsi sebagai perangkat yang memperbaiki kualitas dan

efektifitas. Organisasi lebih responsif dalam menghadapi kompetisi

bisnis.

Sumber: Djatmiko (2007)

Terdapat lima macam kemungkinan respon, dikaitkan dengan maturity

model yang direkomendasikan oleh COBIT (skala 0 – 5). Responden akan

memilih tingkat aktivitas yang sangat sesuai dengan kondisi saat ini. Maturity

Model akan membantu para profesional menjelaskan ke para manajer tentang

kekurangan manajemen TI dan menetapkan target yang mereka perlukan dengan

43

membandingkan kontrol organisasi praktek yang terbaik. Tingkatan maturity

akan dipengaruhi oleh sasaran bisnis organisasi dan operasi lingkungan. Yang

secara rinci tingkatan dari control maturity akan tergantung pada organisasi yang

bergantung pada TI, teknologi dan terutama informasinya.

Pemetaan posisi tiap-tiap proses sistem informasi perusahaan terhadap

model maturity dibuat berdasarkan hasil dari respon yang didapatkan. Rumus

yang digunakan untuk menghitung indeks adalah:

Indeks = Σ (Jumlah Nilai Jawaban)

Σ (Pertanyaan Kuesioner)

Skala pembulatan indeks bagi pemetaan ke tingkat model maturity adalah

sebagai berikut: 0.00-0.49 berada pada tingkat 0 (Tidak ada), 0.50-1.49 berada

pada tingkat 1 (Inisialisasi), 1.50-2.49 berada pada tingkat 2 (Dapat diulang),

2.50-3.49 berada pada tingkat 3 (Ditetapkan), 3.50-4.49 berada pada tingkat 4

(Terkelola), 4.50-5.00 berada pada tingkat 5 (Optimal).