2007200299KABab2

BAB 2

LANDASAN TEORI

2.1 Pengertian Sistem Informasi

Menurut Mcleod (2004, p10), information is processed data that is meaningful;

it usually tells the user

something that she or he did not already know. (Informasi

adalah data yang diproses yang mempunyai arti; informasi biasanya memberitahukan

pengguna akan sesuatu yang belum pernah ia ketahui).

Menurut O’Brien (2003, p13), information

is data that have been converted

into a meaningful and useful

contex for specific end users. (Informasi adalah data

yang telah diubah menjadi isi yang bermakna dan berguna untuk pengguna khusus).

Menurut Laudon (2004, p8), information mean data that have been shaped into

a form that is meaningful and useful to human beings. (Informasi berarti data yang

telah dibentuk menjadi suatu bentuk yang bermakna dan berguna bagi manusia).

Dari pengertian diatas, maka dapat disimpulkan bahwa informasi adalah suatu

data mentah yang kemudian diolah dan diproses sehingga memiliki arti di mana akan

menjadi faktor penentu keberhasilan maupun kegagalan suatu perusahaan.

Menurut O’Brien (2003, p7), information systems can be any organized

combination

people,

hardware,

software, communications networks, and data

resource that collects, transforms, and disseminates information in an organization.

(Sistem informasi

dapat

diorganisasikan

dengan

mengkombinasikan

manusia,

hardware, software, jaringan komunikasi dan sumber daya data di mana informasi

dikumpulkan, ditransformasikan dan disebarkan dalam organisasi).

Menurut McLeod (2004, p8), information systems are conceptual system that

enable management to control the operations of the physical system of firm. (Sistem

informasi

adalah

konsep

sistem

yang dapat

membantu

manajemen

dalam

pengendalian operasional dari sistem fisik perusahaan).

Menurut Laudon (2004, p8), information systems can be defined thecnically as

a set of interrelated components that collect (or retrieve),

process, store, and

distribute

information

to support decision making

and

control in an

organization.

(Sistem informasi

dapat

didefinisikan

sebagai

kumpulan

dari

komponen

yang

berhubungan yang mengumpulkan, memproses, menyimpan, dan menyalurkan

informasi untuk mendukung pembuatan keputusan dan pengendalian didalam

organisasi).

Dari

pengertian

mengenai

sistem

informasi diatas, maka dapat ditarik

kesimpulan bahwa sistem informasi adalah integrasi dari komponen-komponen yang

telah dianalisa dan diproses sehingga menghasilkan informasi yang kemudian

disebarkan

untuk

dapat

membantu

manajer

dalam

pengambilan

keputusan.

Selain

itu, sistem informasi

yang

dihasilkan

harus

dapat

memenuhi kebutuhan

informasi

yang disajikan secara menarik dan interaktif.

Menurut pendapat Mukthar yang dikutip oleh Gondodiyoto (2003, p.22) suatu

informasi yang berguna haruslah memiliki beberapa ciri-ciri atau karakteristik

berikut ini :

1. Reliable (dapat dipercaya).

Informasi

haruslah

bebas dari

kesalahan dan

haruslah akurat

dalam

mempresentasikan suatu kejadian atau kegiatan dari suatu organisasi.

2. Relevan (cocok atau sesuai)

Informasi

yang relevan

harus

memberikan

arti

kepada

pembuat

keputusan. Informasi ini bisa mengurangi ketidakpastian dan bisa meningkatkan

nilai dari suatu kepastian.

3. Timely (tepat waktu)

Informasi yang disajikan tepat pada saat dibutuhkan dan bisa

mempengaruhi proses pengambilan keputusan.

4. Complete (lengkap)

Informasi yang disajikan termasuk didalamnya semua data-data yang

relevan dan tidak mengabaikan kepentingan yang diharapkan oleh pembuat

keputusan.

5. Understandable (dimengerti)

Informasi yang disajikan hendaknya dalam bentuk yang mudah dimengerti

oleh si pembuat keputusan.

Sistem Informasi

Penjualan adalah

suatu sistem informasi

yang

mengorganisasikan serangkaian prosedur

dan

metode

yang

dirancang

untuk

menghasilkan, menganalisa, menyebarkan dan memperoleh informasi guna

mendukung pengambilan keputusan mengenai penjualan.

(http://id.wikipedia.or g /wiki/Sistem_Infor masi, 29 September 2006 ).

2.2 Pengertian Audit Sistem Informasi

Audit sistem informasi merupakan bagian dari audit operasional, menurut

Weber (1999, p10), pengertiannya secara garis besar dapat diartikan sebagai proses

pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sebuah

sistem komputer

telah

menetapkan

dan

menerapkan

sistem

pengendalian

yang

memadai,

semua aktivitas

dilindungi

dengan baik

atau

tidak

disalahgunakan

serta

terjaminnya

integritas

data, keandalan,

serta efektifitas dan efisien

penyelenggaran

sistem informasi.

Gondodiyoto

(2003,

p151)

berpendapat

istilah EDP-Audit

(electronic

data

processing audit), atau komputer audit, kini lebih sering disebut dengan audit sistem

informasi

(information

system

audit).

Audit

sistem informasi

berbasis

komputer

adalah proses pengumpulan dan penilaian bahan bukti audit untuk dapat menentukan

apakah

sistem komputerisasi perusahaan telah

menggunakan

aset

sistem informasi

secara

tepat dan mampu mendukung penggunaan aset tersebut,

memelihara

kebenaran dan integritas data dalam pencapaian tujuan secara efektif dan efisien.

Dari

pengertian audit

sistem informasi

diatas,

maka

dapat

disimpulkan

audit

sistem informasi

adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk

dapat

menentukan

apakah

sistem komputerisasi perusahaan telah

menetapkan

dan

menerapkan

sistem pengendalian

yang

memadai,

memelihara

kebenaran

dan

integritas data dalam pencapian tujuan secara efektif dan efesien.

2.2.1 Metode Audit

Menurut Weber

(1999,

p56-57)

ada

dua

metode

yang

bisa dilakukan

oleh auditor dalam proses audit, yaitu :

1. Audit Around The Computer

Auditing around the computer terlibat dengan penerimaan pendapat

audit selama memeriksa dan mengevaluasi kontrol manajemen kemudian

input

dan

output

hanya

untuk

sistem aplikasi.

Berdasarkan

kualitas

pemrosesan

sistem aplikasi,

pemrosesan

sistem

aplikasi

tidak

diperiksa

secara langsung. Selain itu, auditor memandang komputer sebagai black

box. Auditor hanya dapat dapat melakukan metode itu untuk

mendapatkan biaya termurah untuk melakukan audit. Keadaan dapat

dipulihkan

kembali

jika

sistem aplikasi

mempunyai

tiga

karakteristik

berikut:

Sistem harus

sederhana

dan

berorientasi

pada

sistem batch.

Pada

umumnya,

sistem batch

komputer

merupakan

suatu

pengembangan

langsung

dari

sistem manual.

Sistem

batch

itu

harus

mempunyai

kriteria sebagai berikut :

a. Resiko

yang

ada

harus

rendah.

Resiko

itu

tidak

dapat

dikelompokkan dengan subjek kesalahan material akibat

ketidakberesan dan ketidakefisienan dalam beroperasi.

Logika sistem harus tetap sasaran. Tidak ada rutinitas yang

dikembangkan

untuk

mengizinkan komputer

untuk

memproses

data.

Transaksi

input

dilakukan

dengan

sistem batch

dan

kontrol

dipelihara dengan metode tradisional.

d. Proses

utama

terdiri

dari

penyelesaian

input

data

dan

memperbaharui file master secara terus-menerus.

e. Adanya

jejak

audit

yang

jelas.

Laporan

terperinci

dipersiapkan

pada kunci pokok dalam sistem.

Jadwal

pekerjaan

relatif

sangat

stabil

dan

sistem

jarang

dimodifikasi.

2. Sering kali keefektifan biaya dalam metode audit around the computer

pada saat aplikasi yang digunakan untuk keseragaman kemasan dalam

program software.

3. Auditor harus menggunakan metode audit around the computer pada

pengguna

lebih

tinggi

daripada sistem kontrol

komputer

untuk

menjaga

perawatan keintegrasian data

dan mencapai

tujuan

keefektifan

dan

keefesienan

sistem. Biasanya, metode

auditing

around the computer adalah pendekatan sederhana yang berhubungan

dengan audit dan dapat dipraktekkan oleh auditor yang mempunyai

pengetahuan teknik yang sedikit tentang komputer.

2. Audit Through The Computer

Untuk

banyak bagian,

auditor

terlibat dalam

metode

auditing

through the computer harus digunakan dalam kasus proses logis dan

adanya kontrol di dalam sistem. Catatan dari sistem yang dibuat metode

auditing through the computer harus digunakan dalam kasus berikut ini :

a. Resiko yang ada pada sistem aplikasi sangat tinggi.

Input

proses

sistem aplikasi

dalam

volume

besar

dan

output

yang

dihasilkan

dalam volume

yang

sangat

besar

dan

luas.

Pengecekan

langsung dari sistem input dan output sulit dikerjakan.

c. Bagian

yang penting dari sistem kontrol

internal ditambahkan dalam

sistem komputer.

d. Proses logis yang ditambahkan dalam sistem aplikasi adalah

kompleks.

e. Karena

adanya

pertimbangan keuntungan

biaya,

jarak

yang

banyak

dalam uji coba penampakkan audit adalah biasa dalam suatu sistem.

Menurut Bodnar (2001, p650-651) ada tiga metode yang bisa dilakukan

oleh auditor dalam proses audit, yaitu :

1. Auditing around the computer

Pada garis besarnya, suatu sistem akuntansi terdiri atas input,

proses, dan output. Dalam pendekatan around the computer, bagian

proses diabaikan. Sebagai gantinya, dokumen sumber

yang

menyediakan

input ke sistem dipilih dan diringkas secara manual sehingga input dapat

dibandingkan dengan output. Ketika batch diproses kedalam sistem, total

dikumpulkan untuk menerima dan menolak record. Auditor menekankan

pada pengendalian atas transaksi yang ditolak, koreksi terhadap transaksi,

dan kemudian meninjau kembali misi.

2. Auditing through the computer

Auditing through

the

computer

mungkin

didefinisikan sebagai

verifikasi

dari

pengendalian

dalam

sistem yang terkomputerisasi. Suatu

informasi audit sistem yang seksama mencakup pembuktian pengendalian

umum

dan

aplikasi

dalam

sistem

yang

terkomputerisasi.

Lebih

umum

lagi, audit sistem informasi individu akan diarahkan pada salah satu dari

area-area

tersebut,

biasanya

pada

suatu

sistem aplikasi

yang

spesifik

seperti piutang dagang.

3. Auditing with the computer

Auditing with the computer adalah proses dari penggunaan

teknologi informasi dalam audit. Teknologi informasi digunakan untuk

melaksanakan beberapa kerja audit di mana cara lainnya dapat dilakukan

secara manual. Penggunaan teknologi informasi oleh auditor adalah tidak

lagi opsional. Hal tersebut penting. Kebanyakan data

yang harus auditor

evaluasi dalam format elektronik. Adalah suatu tindakan yang sia-sia jika

mengkonversi data elektronik kedalam format kertas untuk tujuan audit.

Lagipula, audit itu sendiri tidak kebal terhadap tekanan yang kompetitif

untuk

lebih

produktif.

Penggunaan

dari teknologi

informasi

adalah

penting untuk meningkatkan efektivitas dan efisiensi dari audit.

2.2.2 Standar Audit

Menurut Gondodiyoto (2006, p230-238), COBIT (Control Objective Of

Information Technology ) adalah alat yang komprehensif untuk menciptakan

adanya IT Governance di perusahaan.

CoBIT

mempertemukan

kebutuhan

beragam manajemen dengan menjembatani celah atau gap antara resiko bisnis,

kebutuhan kontrol dan masalah-masalah teknis IT. CoBIT dibuat oleh ISACF

dan

Governance

Institute,

dan

dipublikasikan

oleh ISACA.

CoBIT

merupakan

framework 34 high-level control objectivites, dan selanjutnya

dirinci ke dalam 300 detail control objektivitise, yang dibutuhkan oleh auditor

dan manager.

CoBIT

merupakan

panduan

yang

paling lengkap dari praktek-praktek

terbaik untuk manajemen Teknologi Sistem Informasi yang mampu mencakup

4 (empat) domain :

1. Merencanakan dan Mengorganisasikan

Dalam hal

ini

mencakup pembahasan strategi

untuk mengidentifikasi

sehingga

dapat

memberikan

yang terbaik

untuk

pencapaian

objektif

bisnis. Selanjutnya reaktivasi visi strategi

perlu

direncanakan,

dikomunikasi, dan diatur untuk perspektif yang berbeda.

2. Mengakusisi dan Mengimplementasi

Yaitu

untuk

merealisasi

strategi TI,

solusi

yang

perlu

diidentifikasi,

dikembangkan, atau diperlukan sebagai

implementasi

dan

diintegrasikan kedalam proses bisnis.

3. Mengirimkan dan Mendukung Teknologi Informasi Sistem Informasi

Hal ini lebih dipusatkan pada penyerahan aktual dari syarat servis

dengan jarak dari semua operasi keamanan tradisional dan aspek urutan

untuk pelatihan.

4. Monitoring

Yaitu semua proses TI yang perlu dinilai secara regular agar kualitas

dan kelengkapannya berdasarkan pada syarat kontrol.

Kerangka CoBIT ini terdiri dari atas beberapa arahan (guidelines) Yakni :

a. Control Objectives : terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-

level control objectives) yang tercermin dalam 4 domain , yaitu : planning

organization,

acquisition

implementation,

delivery

support,

dan

monitoring.

Audit Guidelines : berisi

sebanyak

318

tujuan-tujuan pengendalian

yang

bersifat rinci (detailed

contol

objectives)

untuk

membantu

para

auditor

dalam memberikan management assurance dan/atau saran perbaikan.

c. Management Guidelines : berisi arahan, baik secara umum maupun

spesifik, mengenai apa saja yang mesti dilakukan.

Kriteria kerja CoBIT meliputi :

Efektifitas

Untuk

memperoleh

informasi

yang

relevan

dan

berhubungan

dengan

proses bisnis

seperti

penyampaian

informasi

dengan

benar,

konsisten,

dapat dipercaya dan tepat waktu.

Efisien

Memfokuskan pada ketentuan

informasi

yang penting dari orang yang

tidak memiliki hak otorisasi

Kerahasiaan

Memfokuskan proteksi terhadap informasi yang penting dari orang yang

tidak memiliki hak otorisasi

Integritas

Berhubungan dengan keakuratan dan kelengkapan informasi sebagai

kebenaran yang sesuai dengan harapan dan nilai bisnis.

Ketersediaan

Berhubungan

dengan

informasi

yang

tersedia ketika

diperlukan dalam

proses bisnis yang sekarang dan yang akan datang.

Kelengkapan

Sesuai Menurut hukum, peraturan dan rencana perjanjian

untuk proses

bisnis.

Keakuratan

Informasi

Berhubungan dengan ketentuan kecocokan informasi untuk, manajemen

mengoperasikan

entitas

dan

mengatur

pelatihan

keuangan

dan

kelengkapan laporan pertanggung jawaban.

Tabel 2.1 Kriteria Kerja CoBIT

Sumber (Cobit Framework, 2003)

2.2.3 Jenis Audit

Menurut Cangemi (2003, p238), tipe audit dibagi menjadi 10, yaitu :

1. High – level review of procedures

Tinjauan ulang level tinggi merupakan tipe tinjauan ulang yang

khusus pada pengukuran penegasan umum dengan kebijakan

perusahaan dan dengan praktek bisnis. Tujuan tinjauan ulang ini

adalah menyediakan auditor dengan pengertian akan operasi dan

untuk menentukan pengujian detail alami yang mungkin diperlukan

dalam area tertentu.

2. Financial audit

Audit

keuangan

mempelajari posisi

keuangan

sekarang

untuk

mengevaluasi presentasi posisi keuangan yang dilaporkan dalam

neraca, laporan

pendapatan,

dan laporan arus

kas.

Audit

keuangan

keseluruhan pada operasi perusahaan yang signifikan dan bantuan yang

diberikan

oleh

auditor

eksternal yang

independen.

Dalam

beberapa

kasus, bagaimanapun juga audit keuangan secara keseluruhan mungkin

ditampilkan oleh auditor internal Sam Pole’s.

3. Audit manajerial / operasional

Audit operasional dapat didefinisikan sebagai perluasan pada

audit keuangan. Audit keuangan memberitahukan di mana entitas dan

di mana audit keuangan; mengawasi audit operasional untuk

menjawab pertanyaan mengapa entitas, di mana entitas, dan

bagaimana

mendapatkannya.

Dalam

kebijakan

ini,

kegagalan

audit

operasional kedalam kategori jasa

manajemen dari

mengevaluasi

empat

fungsi manajemen

(1) perencanaan, (2)

mengorganisasi, (3)

mengarahkan, dan (4) pengendalian.

4. Compliance audit

Audit penegasan mencakup dua perbedaan, berhubungan secara

erat, tipe dari masalah :

a.Alami dan lingkup transaksi yang bertentangan dengan penegasan

untuk dipastikan.

b. Tingkatan

untuk kemampuan praktek, atau

yang diinginkan,

untuk menentukan penegasan.

5. Contract audit

Audit kontrak didefinisikan sebagai tinjauan ulang dan evaluasi

dari kontrak dan hubungannya dengan transaksi keuangan. Jangka

waktu konstruksi dan kontrak seringkali

digunakan secara bertukar

dalam profesi

audit

karena

proyek konstruksi

memerlukan

kontrak.

Kontrak, bagaimanapun,

menangani jarak

yang dalam dari area

seperti perbaikan, pemeliharaan, penyewaan, dan konsultasi.

6. Desk review

Dalam desk

review,

auditor

internal

akan

menangani

sekumpulan keuangan

dan dokumentasi informasi lainnya dari yang

akan diaudit dan

menunjukkan batasan prosedur. Dalam kebanyakan

kasus, semua prosedur akan ditunjukkan oleh kantor perusahaan dan

tidak pada lokasi yang diaudit.

7. Follow - up audits

Follow – up audits ditunjukkan 6 -12 bulan setelah audit utama

telah diselesaikan untuk menyakinkan bahwa rekomendasi audit yang

diterima sebelumnya telah menunjukkan audit yang signifikan.

8. Information system audits

Information system atau electronic data processing (EDP), audit

dilakukan terhadap aspek signifikan dalam lingkungan SI. Perusahaan

mungkin

mempunyai beberapa lingkungan SI yang berbeda, seperti :

mainframe, mini-computer, micro-computer,

LAN,

WAN,

electronic

data interchange, dan internet

hosts. Auditor internal

harus telah

mengidentifikasi unit audit untuk setiap lingkungan SI yang mungkin

dalam perusahaan.

9. E-commerce audits

E-commerce mempunyai pertimbangan khusus melebihi yang

diidentifikasi

dalam sesi

audit

SI karena

audit

secara

khusus

dibangun dalam sistem back office. E-commerce adalah

sistem front

end.

Audit

terhadap

e-commerce

akan

fokus

dalam pengendalian,

akses,

keamanan,

kemampuan.

Resiko

paling

tinggi

dalam e-

commerce

sekarang

ini

adalah

virus,

hacker,

dan

cracker, dan

aktivitas pengrusakan sistem.

10. International Audits

Internal audit adalah audit secara keseluruhan devisi dan anak

perusahaan

khusus.

Ini

ditunjukkan

dalam basis

umum/atas

permintaan.

Ruang lingkup dari tipe audit ini

mencakup sesi

keuangan,

sesi

operasional,

sesi

sistem informasi,

dan

sesi

pengalamatan karakteristik unik dari kebiasaan pengalokasian dan

tanggungjawab dan urusan peraturan. Bergantung pada tingkat staf,

jarak, dan kemampuan, audit internal mungkin menjadi kandidat yang

baik untuk pemberdayaan.

2.2.4 Instrumen Audit

Menurut Weber(1999, p789-810), terdapat

teknik

yang

digunakan

auditor untuk mengumpulkan bukti audit: Interview,Questionaire, dan Control

Flowchart.

2.2.5 Tujuan Audit Sistem Informasi

Menurut Weber (1999, p11–12), tujuan audit sistem informasi meliputi :

1. Asset safeguarding objectives

Aset berupa hardware, software, personel, data file, sistem

dokumentasi, dan perlengkapannya merupakan harta yang harus dilindungi

dengan suatu sistem pengendalian internal yang baik. Hardware dapat rusak

karena perbuatan jahat, software dan data dapat dicuri. Karena harta ini

merupakan pusat maka pengamanan terhadap harta ini merupakan hal yang

utama.

2. Data integrity objectives

Data yang terpadu merupakan konsep utama pada EDP audit, data yang

cepat dan akurat akan memberikan informasi yang tepat bagi manajemen.

3. System effectiveness objectives

Pengolahan data

secara efektif

merupakan

tujuan

yang

harus

dicapai,

evaluasi terhadap efektivitas pengolahan data harus dilakukan. Agar dapat

mengetahui apakah informasi yang dihasilkan telah efektif atau belum

seorang

auditor

harus

mengetahui

karakter pemakai. Efektifitas

yang

dicapai

baru

dapat

diketahui

setelah

sistem berjalan

beberapa

lama,

manajemen

audit

untuk

mengetahui

apakah

sistem telah

berjalan

sesuai

dengan tujuan yang telah ditetapkan.

4. System efficiency objectives

Sebuah sistem pemrosesan data

yang efektif terjadi bila

menggunakan

sumber

data

yang

minimal

untuk

menghasilkan output yang diperlukan.

Sistem informasi menggunakan banyak sumber daya seperti hardware, alat

pendukungnya, software dan tenaga kerja, sumber daya ini langkah dan

sistem aplikasi yang lain biasanya bersaing menggunakan sumber daya itu.

2.2.6 Tahapan Audit Sistem Informasi

Menurut Weber (1999, p47-55), audit terdiri dari lima tahap sebagai

berikut :

Planning the audit

Selama tahap awal itu, auditor harus memutuskan level material

permulaan yang akan diaudit. Auditor juga harus membuat keputusan

akan resiko audit yang diinginkan. Level sifat resiko akan bervariasi

dalam setiap bagian dari audit.

Test of Controls

Tahap berfokus pada kontrol manajemen. Jika pengujian

menunjukkan bahwa kontrol manajemen tidak beroperasi sebagaimana

mestinya,

baru

setelah

itu

dilanjutkan

dengan

pengujian

kontrol

aplikasi.

Test of Transaction

Auditor menggunakan tests of

transaction untuk mengevaluasi

apakah

kesalahan

proses

yang

tidak sesuai dengan ketentuan telah

mengarah

pada

kesalahan

material

informasi keuangan.

Biasanya,

test

of transaction meliputi menelusuri jurnal masukan sampai pada

dokumen

sumber,

memeriksa daftar harga, dan pengujian keakuratan

perhitungan.

Test of Balances or Overall Results

Auditor

melakukan tests

balances

overall

results

untuk

mendapatkan bukti yang cukup untuk membuat dan menyampaikan

keputusan

akhir

dari

kehilangan/kesalahan pernyataan

laporan

yang

muncul

ketika

fungsi

sistem informasi

gagal

untuk

menjaga

aset,

menjaga integritas data, dan mencapai keefisienan dan keefektifan.

Completion of the Audit

Pada tahap akhir, auditor kemudian harus merumuskan sebuah

opini

tentang

kehilangan

material dan

keabsahan

pernyataan

laporan

muncul

dan

membuat sebuah

laporan. Standar opini yang berlaku di

beberapa negara terdiri dari empat jenis opini sebagai berikut :

a. Disclaimer of Opinion

Setelah selesai

melakukan

audit,

auditor tidak

dapat

memberikan sebuah opini.

b. Adverse Opinion

Auditor menyimpulkan bahwa kehilangan material telah

muncul / laporan keuangan telah dinyatakan salah secara material.

c. Qualified Opinion

Auditor menyimpulkan bahwa kehilangan telah muncul /

kesalahan

laporan

secara

material telah

ada

tetapi

tidak

besar

material.

d. Unqualified Opinion

Auditor percaya bahwa tidak ada kehilangan

material /

laporan yang salah.

Menurut Weber (1999,p48), tahapan audit system informasi digambarkan

dengan bentuk flowchart :

Mulai

persiapan

pekerjaan

audit

mendapatkan

pengertian dari

struktur kontrol

menilai resiko

kontrol

ketergantungan

pada kontrol?

Yes

tes kontrol

Penilaian

kembali

resiko

kontrol

Yes

Masih

bergantung

pada kontrol

Tes substantif

yang

diperluas

Yes

Meningkatkan

ketergantungan pada

kontrol?

Tes substantif

terbatas

Pendapat

audit

form

dan

mengeluarkan

laporan

Berhenti

Gambar 2.1 Flowchart tahapan Audit Sistem Informasi

2.3 Pengendalian Internal

Menurut Arens(2005, p270), internal control is

control that related to the

reliability of financial

reporting,

important

the

auditor’s

purposes.

(Pengendalian internal adalah pengendalian yang berhubungan dengan kehandalan

laporan keuangan, yang penting bagi tujuan auditor).

Menurut Whittington (2001, p241), internal control is comprehensive in that it

addresses

the

achievement

objectives in

the

areas

financial

reporting,

operations, and compliance with laws and regulations. (Pengendalian internal adalah

keseluruhan dalam pencapaian tujuan dalam bagian laporan keuangan, operasi, dan

pemenuhan hukum dan peraturan).

Jadi, dapat diambil kesimpulan bahwa pengendalian internal adalah

pengendalian dalam pencapaian

tujuan

yang berhubungan

dengan

kehandalan

laporan keuangan, operasi, dan pemenuhan hukum dan peraturan.

Menurut Weber (1999,p49), struktur pengendalian internal terdiri dari lima

komponen yang berhubungan sebagai berikut :

Lingkungan Pengendalian

Elemen

ini memperlihatkan bahwa hal

yang terkandung pada pengendalian

terutama pada sistem akuntansi dan prosedur harus dijalankan.

b. Penilaian Resiko

Elemen

ini

mengidentifikasi

dan menganalisis resiko yang dihadapi

organisasi dan cara resiko tersebut dikelola.

c. Aktivitas Pengendalian

Elemen

ini

memastikan

bahwa

setiap transaksi

telah diotorisasi

oleh yang

berwenang, telah ada pemisahan

fungsi, dokumentasi dan pencatatan yang

memadai,

harta

dan

catatan

telah diamankan

dan

pengecekan

oleh

pihak

independen telah dilakukan serta penilaian terhadap pencatatan telah

dilaksanakan.

d. Informasi dan Komunikasi

Pada elemen ini informasi diidentifikasi, diambil dan diubah sepanjang

waktu dan menyediakan formulir untuk memperbolehkan karyawan mengubah

tanggungjawabnya.

e. Pengawasan

Elemen yang befungsi untuk memastikan pengendalian internal telah berjalan

dengan baik.

Dalam setiap

pemeriksaan

auditor

harus

memperoleh

pemahaman

yang

memadai atas masing-masing dari kelima unsur tersebut diatas untuk merencanakan

audit dengan cara melaksanakan prosedur untuk memahami rancangan kebijakan dan

prosedur yang relevan dengan perencanaan audit dan untuk menentukan apakah

rancangan tersebut dilaksanakan.

Hal

tersebut

sesuai

dengan

standar pekerja

lapangan

yang

kedua

yaitu

Pemahaman yang memadai atas struktur pengendalian internal harus diperoleh untuk

merencanakan audit, menentukan sifat dari lingkup pengujian yang akan dilakukan.

Prosedur pengendalian menurut Romney dan Steinbart (2003, p201) yaitu :

1. Otorisasi yang benar atas transaksi dan aktivitas

Karyawan melakukan tugas dan membuat keputusan yang mempengaruhi

aset-aset

perusahaan

karena

manajemen

tidak

mempunyai

waktu

dan

sumber

daya

untuk

mengawasi

setiap

kegiatan dan

keputusan

yang

dibuat.

Mereka

membuat kebijakan bagi karyawan untuk mengikuti lalu memaksa mereka untuk

melakukan

pekerjaan

yang sesuai

dan

teratur. Pemaksaan

ini

disebut otorisasi.

Otorisasi sering didokumentasikan dengan menandatangani, memulai, atau

memasukkan kode otorisasi pada dokumen transaksi record.

2. Pemisahan atau pembagian tugas

Pengendalian internal yang baik mengharuskan seseorang karyawan tidak

diberikan terlalu banyak tanggung jawab.

3. Rancangan dan pemakaian dokumen yang baik dan benar

Penggunaan dan perancangan dokumen dan record yang benar membantu

untuk memastikan keakuratan dan kelengkapan record dari semua data transaksi

yang relevan.

4. Perlindungan atas aset dan record yang baik

Prosedur berikut ini melindungi aset dari pencurian, penggunaan dari pihak

yang tidak berwenang, dan pengrusakan, selain itu juga :

a. Mengawasi karyawan dan pemisahan tugas

b. Memelihara ketepatan record dari aset, termasuk informasi

c. Membatasi akses fisik pada aset

d. Memproteksi record dan dokumen-dokumen

e. Mengendalikan lingkungan

Membatasi akses ke ruang komputer, file komputer, dan informasi.

5. Pemeriksaan independen atas kinerja

Pemeriksaan internal

untuk

memastikan

transaksi

diproses

secara

akurat

merupakan elemen pengendalian yang penting. Pemeriksaan ini seharusnya

dilakukan

secara

independen

karena

biasanya

lebih

efektif bila

dilakukan

oleh

orang yang bukan bertanggungjawab pada bagian operasional tersebut.

Menurut Weber ( 1999, p38 ), sebagaimana dikutip oleh Gondodiyoto (2003,

p126-127 ), struktur pengendalian internal yang perlu dilakukan pada sistem berbasis

komputer sebagai berikut :

1. Pengendalian Umum

2. Pengendalian Aplikasi

2.3.1 Pengendalian Umum

Pengendalian yang berlaku umum, artinya ketentuan-ketentuan yang

berlaku

dalam pengendalian

tersebut,

berlaku

untuk

seluruh

kegiatan

komputerisasi

dalam pengendalian

tersebut.

Apabila

tidak

dilakukan

pengendalian ini ataupun pengendaliannya

lemah

maka

berakibat

negatif

terhadap pengendalian aplikasi.

Pengendalian umum terdiri dari :

1. Pengendalian Top Manajemen

Top

manajemen

harus

yakin

bahwa

fungsi

sistem informasi

dikendalikan dengan baik. Top manajemen bertanggungjawab terhadap

keputusan

yang

bijak

untuk

jangka

waktu

yang

lama

dalam bagaimana

sistem informasi akan digunakan didalam organisasi.

Pengendalian Manajemen Pengembangan Sistem

Manajemen

pengembangan

sistem bertanggungjawab

terhadap

perancangan, penerapan, dan pemeliharaan sistem aplikasi.

3. Pengendalian Manajemen Pemrograman

Manajemen

pemrograman

bertanggungjawab terhadap cara-cara yang

digunakan

untuk

memimpin

pengembangan/pembelian

software

yang

bermutu tinggi dimulai dari fase siklus hidup pengembangan program

sampai pada masalah pengendalian khusus yang timbul dari hubungan

antara aktivitas dengan sistem programer.

4. Pengendalian Manajemen Sumber Data

Secara bertahap setiap organisasi mengakui bahwa data

merupakan

sumber daya yang kritis dan harus dikendalikan dengan baik.

Konsekuensinya, mereka mencari data untuk menangani masalah yang

timbul dan menangani sumber data.

5. Pengendalian Manajemen Keamanan

Administrator

keamanan

sistem informasi

bertanggungjawab

untuk

memastikan bahwa

aset

sistem

informasi

aman.

Aset

aman

bila

kemungkinan kehilangan yang dapat timbul berada pada level yang dapat

diterima.

6. Pengendalian Manajemen Operasi

Manajemen

operasi bertanggungjawab

terhadap

jalannya

hardware

maupun

software

setiap

hari

sehingga

sistem aplikasi

produksi

dapat

menjalankan tugasnya dan karyawan

pengembangan

dapat

merancang,

mengaplikasi, dan memelihara aplikasi sistem.

7. Pengendalian Manajemen Jaminan Kualitas

Manajemen jaminan kualitas berkonsentrasi untuk memastikan

bahwa

sistem

informasi

yang

dihasilkan

oleh

fungsi

sistem informasi

mencapai suatu standar

kualitas yang dapat diterima, dan pengembangan,

implementasi,

operasional,

dan

pemeliharaan

terhadap

sistem informasi

tunduk kepada standar kualitas yang telah diterapkan.

2.3.2 Pengendalian Aplikasi

Pengendalian

Aplikasi

dilakukan

dengan

tujuan

untuk

menentukan

apakah pengendalian internal dalam sistem yang terkomputerisasi pada aplikasi

komputer tertentu sudah memadai untuk memberikan jaminan data dicatat,

diolah, dan dilaporkan secara akurat, tepat waktu dan sesuai dengan kebutuhan

manajemen.

Pengendalian aplikasi dapat berupa :

1. Pengendalian Boundary

Weber

(

1999,

p370-405

menyebutkan

bahwa

subsistem boundary

membangun hubungan antara yang akan menjadi pengguna sistem komputer

dan

sistem

komputer

itu

sendiri.

Pengendalian

dalam subsistem

boundary

mempunyai tiga tujuan :

1. untuk memastikan bahwa pemakai komputer adalah orang yang memiliki

wewenang.

2. untuk memastikan bahwa identitas yang diberikan oleh pemakai adalah

benar.

3. untuk membatasi tindakan yang dapat dilakukan oleh pemakai untuk

menggunakan komputer ketika melakukan tindakan otorisasi.

Tipe pengendalian yang berhubungan dengan pengendalian subsistem –

boundary :

a. crytographic controls

Kontrol

cryptographic

dirancang

untk

mengamankan

data

pribadi

dan untuk menjaga modifikasi oleh orang yang tidak berwenang, cara ini

dilakukan dengan mengacak data sehingga tidak memiliki arti bagi orang

yang tidak dapat menguraikan data tersebut.

b. access controls

Jenis

kontrol

yang

digunakan

pada

subsistem boundary

adalah

kontrol akses. Kontrol akses melarang pemakaian komputer oleh orang

yang tidak berwenang, membatasi tindakan

yang

dapat

dilakukan

oleh

pemakai dan memastikan bahwa pemakai hanya memperoleh sistem

komputer yang asli.

c. personel identification numbers

adalah

teknik yang

digunakan

secara

luas

untuk

mengidentifikasi orang, sebuah PIN merupakan jenis password yang

sederhana, itu bisa merupakan nomor rahasia seseorang yang

berhubungan dengan orang tersebut, melayani memverifikasi keotentikan

orang. PIN digunakan oleh

institusi keuangan seperti

untuk kartu

ATM,

kartu

debit. Secara

umum cara

kerjanya

adalah

pemakai

menggesek

kartunya pada sebuah alat dan mengisi PIN melalui PIN keypad.

d. digital signatures

Jika

berita atau

kontrak

dibuat

dalam bentuk

formulir elektronik

maka tandatangan yang biasanya dilakukan pada kontrak biasa tidak

dapat dilakukan untuk mengantisipasi hal tersebut dibuatlah tandatangan

digital. Digital signature ini terdiri dari rangkaian 0 dan 1 yang terdapat

pada halaman.

e. plastic cards

Bila PIN dan

digital signature digunakan untuk keperluan

pembuktian keaslian, kartu plastik digunakan untuk keperluan

identifikasi. Pengendalian disekitar kartu plastik, bagaimanapun unsur

penting dari keseluruhan

latihan pengendalian boundary dalam beberapa

tipe dari sistem.

audit trial controls

Diketahui bahwa ada dua jenis jejak audit yang harus ada pada

setiap subsistem, yaitu :

1. jejak audit akuntansi untuk menjaga catatan setiap kejadian pada

subsistem.

2. jejak audit operasional untuk menjaga catatan pemakaian sumber daya

yang berhubungan dengan setiap kejadian pada subsistem.

g. existence controls

Jika subsistem pada

boundary tidak berhasil, kemungkinan

pemakai

sistem komputer

tidak

dapat

mengadakan

hubungan

dengan

sistem. Kegagalan dapat terjadi pada setiap komponen subsistem, sebagai

contoh: sirkuit terminal dapat rusak, software akses kontrol dapat rusak,

dan lain-lain.

2. Pengendalian Input

Menurut Weber ( 1999, p420-456 ), komponen dalam subsistem input

bertanggungjawab

untuk

membawa

data

dan

instruksi

kedalam sistem

informasi. Data dapat diinput kedalam sistem informasi dengan berbagai

cara.

Tipe

metode input data yang digunakan dalam sistem informasi

mempengaruhi keamanan data,

integritas data,

efektifitas sistem, dan tujuan

efisiensi sistem. Tipe pengendalian yang berhubungan dengan pengendalian

input :

a. Data input methods

Mengingat bahwa cara yang dilakukan oleh auditor untuk

mengevaluasi kontrol terhadap sistem aplikasi adalah dengan

menelusuri

jenis-jenis

transaksi pada

sistem

maka

untuk

dapat

melaksanakan

tugas

itu

dengan

baik

mereka

harus

mengerti

bagaimana

caranya

sistem

tersebut bekerja terutama pada proses input data. Dengan cara memahami

metode

input

data

yang

digunakan

pada aplikasi maka auditor dapat

mengembangkan cara pengendalian terhadap kekuatan maupun

kelemahan dari input subsistem tersebut.

b. Source document design

Beberapa dokumen data menggunakan dokumen sumber untuk

mencatat data yang akan dimasukkan pada komputer. Sumber dokumen

digunakan bila terdapat interval waktu antara waktu terjadinya data

dengan waktu

input berbeda. Proses disain sumber data dimulai setelah

analisis terhadap sumber data yang berjalan dilakukan, apa saja data yang

akan direkam pada sumber data tersebut, bagaimana caranya data tersebut

direkam,

siapa

yang

akan

merekam data,

bagaimana

data

tersebut

disiapkan dan dimasukkan ke komputer dan bagaimana dokumen tersebut

ditangani, disimpan dan diarsip.

c. Data entry screen design

Jika data dimasukkan melalui monitor, maka diperlukan disain

yang berkualitas terhadap layar tampilan masukkan data agar mengurangi

kemungkinan terjadinya kesalahan dan

agar

tercapai efisiensi dan

efektifitas masukkan data pada subsistem input.

d. Data code controls

Kode data memiliki dua tujuan, yaitu:

1. Sebagai identitas yang unik,

Untuk keperluan identifikasi.

Evaluasi

terhadap

kualitas

dari

sistem pengkodean

data

yang

digunakan pada

aplikasi

harus

dilakukan

untuk

mengetahui

dampaknya

terhadap integritas data, efektifitas dan efisiensi.

e. Check digits

Pada beberapa kasus kesalahan pengetikan data dapat berdampak

serius. Pengendalian yang dapat digunakan untuk menjaga terjadinya

kesalahan adalah dengan melakukan check digit. Check digit saat ini

digunakan pada banyak aplikasi untuk mendeteksi kesalahan, seperti pada

proses kartu kredit, proses rekening bank, dll.

Batch controls

Cara kontrol yang mudah dan efektif untuk melakukan

pengendalian terhadap masukan data adalah batch control. Batching

adalah proses

pembentukan

kelompok

suatu transaksi

yang

memiliki

hubungan satu dengan yang lain.

g. Validation of data input

Data

yang dimasukkan pada aplikasi

harus segera divalidasi

setelah diinput.

h. Instruction input

Memastikan bahwa kualitas dari instruksi input pada aplikasi

sistem merupakan tujuan

yang sulit dicapai daripada

hanya memastikan

kualitas dari data input. Data masukan cenderung untuk mengikuti pola

yang telah terstandarisasi.

Validation of instruction input

Seperti

pada

input

data,

input instruksi

juga

harus

divalidasi.

Auditor

hanya perlu

memberikan sedikit perhatian kepada validasi input

instruksi, ketika:

1. instruksi

itu

merupakan

bagian dari

paket software

yang

telah

digunakan secara luas

2. instruksi

itu

diinterpretasi

melalui

bahasa

pemrograman

tingkat

tinggi.

Audit trial control

Jejak audit pada subsistem input

memelihara kronologis kejadian

data dari waktu ke waktu dan instruksi yang diterima

serta

yang

dimasukkan

pada

sistem aplikasi

sampai

pada

waktu

penentuan

data

tersebut

valid

dan

dapat

dikirimkan

kepada

subsistem yang

lain,

yang

terdapat pada sistem aplikasi.

k. Existence control

Pengendalian yang ada terhadap proses data input subsistem

merupakan

hal

yang

kritis.

Jika

file

master

sistem aplikasi

rusak

atau

dikorupsi, proses pemulihan harus dilakukan dengan menggunakan versi

sebelumnya dari master

file dan proses input

harus dilakukan

lagi

terhadap data yang hilang.

3. Pengendalian Komunikasi

Menurut Weber ( 1999, p473), komponen dalam subsistem komunikasi,

bertanggung jawab untuk mentransfer data diantara semua subsistem lainnya

dan untuk mentransfer data atau menerima data dari sistem lainnya. Ada tiga

jenis subsistem komunikasi:

Pertama,

sebagai

data

yang

ditransfer

melalui

subsistem komunikasi.

Kedua, komponen software dan hardware dalam subsistem komunikasi dapat

gagal. Ketiga, subsistem komunikasi dapat ditujukan ke pasif dan aktif

serangan subversive. Keandalan komunikasi data dapat ditingkatkan dengan

memilih jalur komunikasi

sendiri dibandingkan jalur umum. Menurut Weber

( 1999, p488-490) ada 4 jenis topologi jaringan yang digunakan dalam LAN :

a. Topologi

bus

semua

node

dihubungkan

dalam

pararel

jalur

komunikasi sendiri

b. Topologi tree :

node dihubungkan ke jalur komunikasi bercabang yang

mana tidak terdapat loop tertutup.

c. Topologi ring :

node dihubungkan ke jalur komunikasi

yang

mana

dikonfirmasikan sebagai loop tertutup.

d. Topologi star

node dalam jaringan dihubungkan dalam per point

konfigurasi ke central hub.

Menurut

Weber

(1999, p494-499) terdapat

7 jenis

control

yang

digunakan dalam ancaman subversive dalam subsistem komunikasi :

1. Link encryption

Link encryption memproteksi data pada saluran komunikasi yang

terhubung pada dua node di jaringan, node pengiriman data melakukan

encrypt data

dan

kemudian

mengirimkan

data encrypt

tersebut

node

penerima,

node

penerima

melakukan

proses decrypt,

membaca

alamat

tujuan dari data, menentukan saluran mana selanjutnya yang akan

melakukan pengiriman data dan melakukan encrypt data untuk kemudian

dikirimkan kepada node berikutnya

2. end to end encryption

End-to-end encryption memproteksi integritas data yang lewat

antara pengirim dan penerima.

3. stream ciphers

Ada

dua

jenis

cipher

yaitu

block

ciphers

dan

stream ciphers.

Dengan block ciphers, block karakter dalam ukuran yang tetap diubah

melalui constant-fixed- length key. Dengan menggunakan stream ciphers,

clear-text dikirim berdasarkan bit-by-bit dibawah kontrol dari stream key

bits.

4. error propagation codes

Pemakaian stream

ciphers

tidak

dapat

mencegah

terjadinya

perubahan

pesan.

Untuk

mengatasi

kelemahan

yang

ada

pada stream

ciphers

maka

error propagation code

harus

digunakan,

kode

yang

digunakan harus sensitif terhadap perintah yang diberikan kepada pesan

sehingga setiap perubahan dari block dapat dideteksi.

5. message authentication

Pada sistem pengiriman transfer uang melalui elektronik,

pengendalian

yang digunakan adalah dengan

melakukan

identifikasi

perubahan

pesan

yang

dikirim melalui message

authentication

code

(MAC).

6. message sequence number

Message sequence numbers digunakan untuk mendeteksi setiap

serangan terhadap pesan yang dikirim.

7. request – response mechanisms.

Request-response mechanisms digunakan untuk mengidentifikasi

serangan yang dilakukan oleh penyusup dengan tujuan agar pesan

pelayanan diabaikan oleh si pengirim dan penerima.

4. Pengendalian Proses

Menurut

Weber

(

1999,

p519),

subsistem proses

bertanggungjawab

untuk menghitung, mengurutkan, mengklarifikasi, meringkas, dan komponen

umum dalam subsistem proses

adalah

prosesor

pusat

mana

program

dieksekusi, memori di

mana program diinstruksi dan data disimpan, sistem

operasi

yang

mengelola

sumber

daya

sistem,

dan

program aplikasi

yang

menjalankan instruksi untuk mencapai kebutuhan pengguna khusus. Menurut

Weber ( 1999, p520-548) tipe pengendalian yang berhubungan dengan

pengendalian proses :

a. processor controls

Central Processing Unit ( CPU ) adalah sumber daya terpenting

yang digunakan pada sistem komputer, CPU melaksanakan instruksi yang

diberikan oleh program yang diambil dari memori utama.

b. real memory controls

Real memory pada sistem komputer terdiri dari jumlah tetap

tempat penyimpanan

utama di

mana program atau data harus diletakkan

agar dapat dijalankan oleh prosesor pusat. Pengendalian terhadap real

memory dilakukan untuk mendeteksi dan memperbaiki error yang terjadi

pada

cell

memory dan

untuk

melindungi

area

memori

dari akses

ilegal

yang dilakukan oleh program lain.

c. virtual memory controls

Virtual memory ada bila ruang penyimpanan yang lebih besar

daripada ruang real memory yang

tersedia. Untuk

memperoleh hasil ini,

sebuah

mekanisme

harus

dibuat

agar

letak

virtual

memory dapat

diletakkan

pada

real

memory,

ketika

sebuah

program dijalankan

pada

lokasi virtual memory maka mekanisme tersebut akan menerjemahkannya

menjadi lokasi real memory.

d. operating system integrity

Sistem operasional

adalah satu

set

program

yang

diimplementasikan pada software,

firmware atau hardware yang

membuat pemakaian sumber daya pada sistem komputer dapat dilakukan

bersama-sama. Sumber daya utama

yang dapat di share adalah prosesor,

real memory, secondary memory dan peralatan

input atau output. Untuk

meningkatkan

kemampuan

komputer

maka

sistem operasional

harus

mengelola sumber daya tersebut sehingga selalu tersedia untuk dipakai.

e. application software controls

Pada

subsistem proses,

software

aplikasi

melakukan

pekerjaan

menghitung,

mensortir,

mengklasifikasi dan

merangkum data ke sebuah

sistem aplikasi.

Aplikasi

tersebut

harus

dapat

melakukan

validasi

cek

terhadap kesalahan proses yang terjadi.

audit trial controls

Jejak

audit

pada

subsistem

proses

menjaga

agar

kronologi

kejadian dari waktu data diterima dari input atau subsistem komunikasi

sampai

waktu

data

tersebut

dikirim ke

database,

komunikasi

atau

subsistem output.

g. existence controls

Jenis kontrol yang harus ada pada pengendalian proses adalah

check-point

atau restart facility

yang

merupakan

backup sementara

dan

pengendalian

pemulihan

kembali

yang

akan

membuat

sistem dapat

dipulihkan kembali bila terjadi kerusakan sementara dan terlokalisir.

5. Pengendalian Database

Menurut Weber ( 1999, p563-585), subsistem database menyediakan

fungsi-fungsi

untuk

mendefinisikan, membuat,

memodifikasi,

menghapus,

dan membaca data pada sistem informasi.

Tipe pengendalian yang berhubungan dengan pengendalian database:

a. Access Controls

Pengendalian akses dilakukan untuk menjaga akses oleh orang

yang tidak berwenang dan penggunaan

data

oleh

orang

yang

tidak

bertanggungjawab. Pengendalian akses dilakukan pertama kali melalui

kebijakan keamanan

untuk setiap subsistem dan kemudian baru dicari

mekanisme pengendalian akses yang akan digunakan untuk mendukung

kebijakan yang telah dipilih tersebut.

b. Integrity Controls

Sistem manajemen

database

yang

baik

akan

melaksanakan

berbagai jenis

integrity constraints (batasan) pada subsistem database.

Integrity constraints diadakan untuk menjaga keakuratan, kelengkapan,

keunikan dari pembangunan yang digunakan pada pendekatan model

konseptual atau model data yang digunakan untuk memperlihatkan

fenomena dunia nyata tentang data

yang

disimpan

pada

subsistem

database.

Kekhususan

jenis constraint

yang

disediakan

oleh

sistem

tergantung pada beberapa tingkatan dari pendekatan model konseptual

atau model data yang digunakan.

c. Application Software Controls

Integrity dari subsistem database tergantung

kepada bagian dari

pengendalian

yang

dilakukan

pada

setiap

aplikasi

program yang

digunakan pada database.

d. Concurrency Controls

Tujuan

utama

dari

concurrency

controls adalah

agar

pemakai

database dapat

menggunakan data yang

sama bersama-sama.

Berbagi

data dapat menghasilkan masalah yang harus ditangani oleh subsistem

database jika integritas data akan dilindungi.

e. Cryptographic Controls

Data yang disimpan di media portable seperti tape, disket dan

cartridges dapat diamankan

memakai

pengaman

alat

encryption.

Data

di encrypt secara otomatis ketika direkam dan data otomatis di encrypt

setiap kali dibaca. Bila media penyimpanan hilang maka data tersebut

dapat dilihat orang pihak lain karena

metode encrypt dan decrypt yang

digunakan bersifat umum.

File Handling Controls

Pengendalian penanganan data dilakukan untuk mencegah

terjadinya kerusakan karena bencana terhadap data pada media

penyimpanan,

bencana

tersebut

dapat terjadi

pada

hardware, software

atau operator atau pemakai yang menggunakan media penyimpanan

tersebut.

g. Audit Trail Controls

Jejak

audit

pada

subsistem database

menjaga

kronologi

dari

kejadian yang terjadi pada database, pada banyak kasus satu set penuh

dari kejadian harus dicatat; dibuat,

dimodifikasi,

dihapus

dan

pengambilan kembali.

h. Existence Controls

Existence

control

pada

subsistem database

harus

memulihkan

kembali database

yang rusak atau hilang tersebut, pemulihan kembali

dilakukan dengan menggunakan backup

database. Proses perbaikan

terhadap data yang rusak atau hilang melibatkan dua hal yaitu strategi

backup

dan

strategi

pemulihan.

Semua strategi backup melibatkan

penjagaan berisi terkini dari database. Recovery strategi melibatkan dua

hal

yaitu:

pertama,

database terkini

harus

dipulihkan

kembali

jika

diketahui

databasenya rusak

atau hilang,

kedua,

database

sebelumnya

dapat dipulihkan kembali bila database terkini tidak benar.

6. Pengendalian Output

Menurut

Weber

(

1999,

p615-646),

subsistem output

menyediakan

fungsi-fungsi

yang

menentukan

isi

dari data

yang

akan

disediakan

bagi

pengguna, cara di mana data dapat diformat dan dipersembahkan bagi

pengguna,

dan

cara di

mana data

dapat diperbaiki untuk dan dikeluarkan

untuk pengguna.

Tipe pengendalian yang berhubungan dengan pengendalian output:

a. Inference Controls

Pengendalian model akses memperbolehkan atau menolak akses

terhadap item data berdasarkan nama dari data item, isi dari data item

atau

beberapa

karakteristik

dari

serangkaian

data

yang

terdapat

pada

data item, agar data yang tidak boleh diakses dapat diblok maka

timbullah apa yang disebut database statistikal.

b. Batch Output Production and Distribution Controls

Batch

output

adalah

output

yang

dihasilkan

pada

beberapa

fasilitas

operasional

dan

sesudah itu

dikirim atau

disimpan

oleh

kustodian atau pemakai output tersebut. Output ini menggunakan

banyak formulir, contohnya, keluaran laporan pengendalian manajemen

berisi

tabel,

grafik,

atau

image.

Pengendalian terhadap batch

output

dilakukan dengan tujuan untuk memastikan bahwa laporan tersebut

akurat,

lengkap

dan

tepat

waktu

yang

hanya

dikirim atau

diserahkan

kepada pemakai yang berhak.

c. Batch Report Design Controls

Elemen penting untuk melihat

pengendalian efektifitas

pelaksanaan terhadap produksi dan distribusi terhadap laporan keluaran

batch

adalah

dengan

melihat

kualitas

dari

disainnya.

Disain

laporan

yang baik akan membuat pemakai mudah untuk membaca output yang

dihasilkan.

d. Online Output Production and Distribution Controls

Pengendalian terhadap produksi dan distribusi atas output yang

dilakukan melalui online dilakukan secara garis lurus, tujuan utamanya

adalah untuk memastikan bahwa hanya bagian yang memiliki

wewenang saja dapat melihat output melalui online tersebut.

e. Audit Trail Controls

Pengendalian

jejak

audit

pada subsistem output dilakukan

untuk

menjaga kronologi kejadian yang terjadi dari saat output diterima

sampai pemakai melakukan penghapusan output tersebut karena sudah

tidak dipakai atau disimpan lagi.

Existence Controls

Output dapat hilang atau rusak karena berbagai alasan, seperti,

invoice hilang, online output terkirim pada alamat yang salah, output

terbakar karena kebakaran. Pada beberapa kasus pemulihan kembali

output mudah dilakukan tetapi pada kasus lain hal itu sulit bahkan

mustahil

untuk

dilakukan.

Recovery

terhadap

subsistem output

secara

akurat, lengkap dan tepat merupakan hal yang sangat membantu

kelangsungan hidup banyak organisasi.

2.4 Teori Penetapan Resiko

Menurut Maiwald ( 2003, p144), risk is the underlying concept that forms the

basis for what we calls “security”. Risk is the potential for loss that requires

protection.

(

Resiko

adalah

konsep

yang

mendasari

apa

yang

kita

sebut

dengan

“keamanan”. Resiko adalah potensi kehilangan perlindungan yang dibutuhkan.).

vulnerability is a potential avenue of attack. ( Sifat rawan adalah pendekatan

potensial dari serangan ).

A threat is an action or event that might violate the security of an information

system

environtment. (

Ancaman

adalah

tindakan

atau peristiwa yang mungkin

melanggar keamanan lingkungan sistem informasi ).

Threat + Vulnerability = Risk

Risk is the combination of threat and vulnerability. ( Resiko adalah kombinasi

dari ancaman dan kerawanan ).

Resiko dapat didefinisikan dalam tiga tingkatan secara kualitatif:

1. Low (rendah)

Kerawanan

menempati sebuah

tingkat

resiko dalam

organisasi,

walaupun

itu tidak diinginkan terjadi. Tindakan untuk memindahkan atau menghilangkan

kerawanan harus dilakukan jika mungkin, tetapi biaya dari tindakan ini

seharusnya berat bertentangan dengan penurunan kecil dalam resiko.

2. Medium (menengah)

Kerawanan menempati tingkat signifikan dari resiko untuk kerahasiaan,

integritas, kemampuan, dan/atau pelaporan dari sistem informasi organisasi, atau

segi fisik. Ada kemungkinan nyata bahwa ini mungkin terjadi. Tindakan untuk

menghilangkan kerawanan adalah kebijaksanaan.

3. High (tinggi)

Kerawanan menempati tingkat berbahaya

untuk

kerahasiaan,

integritas,

kemampuan, dan/atau pelaporan dari sistem informasi organisasi, atau segi fisik.

Tindakan harus diambil secara cepat untuk menghilangkan kerawanan ini.

Low

Medium

High

Tabel 2.2 Tabel Penetapan Resiko