2010100865KABab2

BAB 2

LANDASAN TEORI

2.1

Teori Umum

2.1.1

Sistem

Menurut

Brian

dan

Stacey (2005, p457),

Sistem merupakan

sesuatu

kumpulan dari komponen – komponen yang saling berhubungan yang

saling berinteraksi untuk menjalankan suatu tugas didalam mencapai suatu

tujuan yang dikehendaki. Dalam suatu sistem terdapat 2 point utama yaitu

sistem analisis

dan

sistem design

yang

digunakan

untuk

mengetahui

bagaimana

suatu

sistem itu

bekerja dan

mengambil

suatu

langkah

untuk

membuatnya menjadi lebih baik lagi. Sistem analisis merupakan seseorang

spesialis

informasi

yang

melakukan

analisis

terhadap suatu

sistem,

mendisain

dan

mengimplementasikannya.

Sistem design

adalah

suatu

kegiatan

untuk

membuat

tahap

pendahuluan

dalam mendisain

dan

selanjutnya

membuat detail dari design dan

yang terakhir

membuat suatu

laporan design.

Menurut Mulyadi (2001, p2), Sistem merupakan sekelompok unsur

yang

erat

berhubungan dengan

satu

dengan

lainnya,

yang berfungsi

bersama – sama untuk

mencapai tujuan

tertentu. Suatu

sistem terdiri dari

struktur dan proses, dimana struktur sistem merupakan unsur – unsur yang

membentuk sistem tersebut, sedangkan proses sistem menjelaskan cara

kerja

setiap

unsur

sistem

tersebut dalam mencapai

tujuan

sistem.

Setiap

sistem merupakan bagian dari sistem lain yang lebih besar dan terdiri dari

berbagai sistem yang lebih kecil, yang disebut sebagai suatu subsistem.

Jadi, dapat disimpulkan bahwa Sistem adalah kumpulan unsur – unsur

yang berhubungan untuk melaksanakan kegiatan –

kegiatan perusahaan

dalam mencapai suatu tujuan tertentu.

2.1.2

Informasi

Menurut McLeod (2001, p12), Informasi merupakan data yang telah

diproses atau data yang sudah memiliki arti tertentu bagi kebutuhan

penggunanya.

Pendapat Bodnar dan Hopwood yang telah diterjemahkan oleh Jusuf

dan Tambunan (2000, p1), “Informasi merupakan data yang berguna untuk

diolah

sehingga

dapat

dijadikan dasar

untuk

mengambil

keputusan

yang

tepat”.

Ada tiga jenis syarat yang harus dipatuhi

agar suatu

informasi dapat

dikatakan mempunyai kualitas yang tinggi, yaitu :

a. Akurat

Artinya Informasi harus bebas dari kesalahan – kesalahan dan harus

jelas mencerminkan maksudnya sehingga tidak menimbulkan

banyak gangguan yang dapat merubah dan merusak informasi.

b. Tepat Waktu

Artinya Informasi yang datang pada penerima tidak boleh

terlambat.

Sebab Informasi

yang

terlambat

menjadi

tidak

bernilai

lagi karena Informasi

merupakan

landasan didalam

melakukan

pengambilan keputusan.

c. Relevan

Artinya Informasi tersebut harus mempunyai manfaat bagi para

pemakai.

Menurut Brian dan Stacey (2005, p457), Informasi merupakan suatu

data yang telah disimpulkan atau dengan kata lain yang telah dimanipulasi

untuk digunakan didalam melakukan pengambilan suatu keputusan.

Dari definisi –

definisi diatas, dapat disimpulkan bahwa Informasi

adalah

data

yang

telah

proses sehingga

memiliki

arti

bagi

para

pemakainya untuk melakukan suatu tindakan tertentu

2.1.3

Sistem informasi

Menurut Brian dan Stacey (2005, p447), Sistem

Informasi

merupakan

suatu

kombinasi

orang

user,

hardware,

software,

jaringan

komunikasi,

dan sumber daya data yang mengumpulkan, merubah, dan menyebarkan

suatu informasi didalam suatu organisasi.

Sedangkan Gondodiyoto (2007, p112) menyatakan

bahwa

Sistem

Informasi

dapat

didefinisikan

sebagai kumpulan elemen –

elemen /

sumberdaya

dan

jaringan

prosedur

yang saling

berkaitan

secara terpadu,

terintegrasi

dalam suatu

hubungan

hirarkis

tertentu,

dan

bertujuan

untuk

mengelola data menjadi informasi.

Dari beberapa pendapat diatas, maka ditarik kesimpulan bahwa Sistem

Informasi

adalah

serangkaian prosedur

formal

untuk

mengubah

data

menjadi

informasi guna

mendukung pengambilan keputusan dalam upaya

mencapai sasaran dan tujuan perusahaan. Atau dengan kata lain, Sistem

Informasi adalah sekumpulan data yang telah diproses menjadi informasi

yang didistribusikan kepada pemakai untuk mencapai apa yang telah

menjadi suatu tujuan.

2.1.4

Audit

2.1.4.1

Pengertian Audit

Menurut

Hall

(2001,

p42),

“Auditing

adalah salah

satu

bentuk

pengujian

independen

yang

dilakukan

oleh

seorang

auditor

yang

menunjukkan

pendapatnya, tentang kejujuran

laporan keuangan”.

Menurut

Mulyadi

(2002,

p9),

“Audit

adalah suatu

proses

sistematik

untuk

memperoleh dan mengevaluasi bukti secara

objektif mengenai pernyataan – pernyataan tentang kegiatan dan

kejadian ekonomi, dengan tujuan untuk menetapkan tingkat

kesesuian antara pernyataan – pernyataan tersebut dengan

kriteria yang telah ditetapkan, serta penyampaian hasil – hasilnya

kepada pemakai yang berkepentingan.”

Jadi

dapat disimpulkan

bahwa

pengertian

audit

adalah

kegiatan memperoleh dan mengevaluasi bukti audit oleh auditor

berdasarkan standar atau kinerja yang telah ditetapkan untuk

menghasilkan laporan keuangan yang jujur.

2.1.4.2

Jenis-jenis Audit

Menurut Arens and Loebbecke (2003, p11), Audit dapat

digolongkan menjadi 3 jenis :

1. Audit laporan keuangan

Merupakan audit yang dilakukan untuk menentukan

apakah laporan keuangan secara keseluruhan yang

merupakan informasi telah disajikan sesuai dengan kriteria

tertentu.

2. Audit Operasional

Merupakan

penelaah

atas

bagian

manapun

dari

prosedur

dan metode operasi suatu organisasi untuk menilai efisiensi

dan

efektifitasnya.

Dalam pemeriksaan

operasional

tinjauan yang dilakukan tidak hanya dibatasi pada bagian

akuntansi

saja

melainkan

termasuk struktur organisasi,

penggunaan komputer, dan lain-lain. Dan sesudah audit

operasional dilakukan, auditor

akan

mengajukan

saran

kepada pihak perusahaan tentang pemeriksaan

operasionalnya.

3. Audit Kepatuhan

Audit kepatuhan adalah audit yang bertujuan untuk melihat

apakah suatu badan usaha yang diaudit telah melakukan

prosedur atau peraturan yang

telah ditetapkan oleh pihak

yang berwenang.

Selain

yang

disebutkan

diatas ada

juga

jenis audit

yang

lain yaitu :

a. Audit Forensik (Forensic Audit)

Audit forensik adalah audit yang dilaksanakan dalam

kaitannya

sebagai

dukungan

dalam proses

litigasi

dan

investigasi.

b. Audit terhadap Kecurangan (Fraud Audit)

Merupakan proses audit yang memfokuskan pada

keanehan/keganjilan objek yang perlu dilakukan audit.

Mencegah terjadinya kecurangan,

mendeteksi

maupun

pemeriksaan kecurangan.

c. Audit Rinci

Merupakan audit keuangan yang

lebih rinci, bukan

hanya

audit terhadap laporan keuangan seperti yang disebutkan

diatas, melainkan yang sudah bersifat

lebih

mendalam

(special assisgnment misalnya audit/pemeriksaan tuntas,

due diligent) atau pemeriksaan bersifat investigasi

(investigative audit).

d. Information Systems Audits

Information systems (IS), information technology (IT), atau

electronic

data

processing

(EDP)

audit

mengevaluasi

aspek

–

aspek penting

pada

lingkungan

sistem informasi.

Perusahaan mungkin

memiliki

berbagai

platform:

mainframe, mini

–

computer,

microcomputer,

local

area

networks (LANs), wide area networks (WANs), electronic

data

interchange

(EDI),

dan Internet

hosts (servers,

electronic commerce).

2.1.4.3

Perlunya audit terhadap sistem informasi

Menurut Weber (1999, p6-9),

beberapa alasan penting

mengapa audit TI perlu dilakukan, antara lain supaya tidak

terjadi :

a. Kerugian akibat kehilangan data

b. Kesalahan dalam pengambilan keputusan

c. Risiko kebocoran data

d. Penyalahgunaan Komputer

e. Kerugian akibat kesalahan proses perhitungan

Tingginya nilai investasi perangkat keras dan perangkat

lunak komputer.

2.1.4.4

Standard Audit Sistem Informasi

Mengacu pada ISACA (2008), standard audit sistem

informasi

mendefinisikan

persyaratan – persyaratan yang wajib

dipenuhi

dalam pelaksanaan

dan

pelaporan

atas

audit

sistem

informasi.

Information System Audit and Control Association

(ISACA) menetapkan standar audit sistem informasi, sebagai

berikut:

S1 : Audit Charter

Bahwa audit

charter harus

disetujui oleh

level

organisasi

yang

tepat dan harus memuat

tujuan, tanggung jawab, otoritas, dan

pertanggungjawaban dari fungsi audit sistem informasi.

S2 : Independence

Memuat

mengenai

pentingnya independensi

professional

dan

independensi organisasi.

S3 : Professional Ethics and Standards

Bahwa

auditor

sistem informasi

harus

setia

pada

kode

etika

profesional ISACA dan bersikap profesional dalam menjalankan

tugasnya.

S4 : Professional Competence

Bahwa auditor sistem informasi harus kompeten secara

profesional dan selalu memelihara kompetensi profesional yang

dimilikinya tersebut

dengan

cara mengikuti

pendidikan dan

pelatihan profesional secara berkelanjutan.

S5 : Planning

Berkaitan dengan perencanaan atas cakupan audit sistem

informasi, pengembangan dan pendokumentasian pendekatan

audit berbasis risiko, rencana audit, program audit beserta

prosedur-prosedurnya.

S6 : Performance of Audit Work

Berkaitan

dengan pengawasan terhadap staf audit sistem

informasi, pengumpulan bukti

audit, dan pendokumentasian atas

proses

audit

dalam rangka

mendukung

temuan

dan

kesimpulan

auditor sistem informasi.

S7 : Reporting

Berkaitan dengan

rincian

keterangan

dalam laporan

audit

yang

diperlukan, penyediaan laporan audit

yang dibuat

pada

akhir

penyelesaian audit harus berdasarkan bukti yang memadai, dan

bahwa

laporan

ketika

diterbitkan

harus

ditandatangani, diberi

tanggal,

dan

didistribusikan

sesuai dengan persyaratan yang

tertuang pada surat perjanjian.

S8 : Follow-Up Activities

Berkaitan

dengan

pengevaluasian atas

informasi

yang

relevan

untuk mengetahui apakah tindakan yang semestinya telah

diambil oleh pihak manajemen dalam rangka menyikapi temuan

dan rekomendasi dari auditor.

S9 : Irregularities and Illegal Acts

Berkaitan dengan pertimbangan dan prosedur-prosedur audit

yang diperlukan dalam melakukan penilaian atas adanya risiko

tindakan yang tidak biasa dan melanggar hokum; pentingnya

surat representasi dari manajemen; pengkomunikasian

mengenai

temuan yang diperoleh, dan juga dokumentasi mengenai

tindakan-tindakan tidak biasa dan melanggar hokum materil.

S10 : IT Governance

Berkaitan dengan

penilaian

fungsi

sistem informasi

yang

harus

sejalan dengan misi, visi, tujuan, strategi perusahaan; penilaian

terhadap

hasil

yang dicapai dan keefektifan penggunaan sumber

daya sistem informasi

serta kepatuhan terhadap

hokum, kualitas

informasi, dan persyaratan keamanan yang ada.

S11 : Use of Risk Assessment in Audit Planning

Berkaitan dengan penggunaan

teknik penilaian

risiko yang

tepat

atas

rencana

audit

dan

dalam penentuan

prioritas

untuk alokasi

sumber daya audit sistem informasi yang efektif.

S12 : Audit Materiality

berkaitan dengan pertimbangan mengenai materialitas audit dan

hubungannya

terhadap risiko

audit;

pertimbangan

mengenai

kelemahan pengendalian yang berpengaruh secara materil dalam

sistem informasi; dan pengungkapan mengenai hal tersebut pada

laporan auditor.

S13 : Using the Work of Other Experts

berkaitan dengan penggunaan pekerjaan dari pakar lainnya untuk

keperluan audit dan penilaian terhadap kompetensi,

independensi, dan pengalaman dari pakar tersebut.

S14 : Audit Evidence

Berkaitan dengan pengumpulan bukti audit yang memadai dan

layak untuk menarik kesimpulan yang wajar dan pengevaluasian

atas kecukupan bukti audit.

S15 : IT Controls

Berkaitan dengan pengevaluasian dan pemantauan atas

pengendalian teknologi informasi; dan pemberian masukan

kepada pihak manajemen mengenai perancangan, implementasi,

operasi, dan peningkatan atas pengendalian teknologi informasi

yang ada.

S16 : E-commerce

Berkaitan dengan pengevaluasian atas pengendalian-

pengendalian

yang

berlaku

dan

penilaian

terhadap

risiko

yang

ada dalam rangka

menjamin terkendalinya transaksi-transaksi e-

commerce.

2.1.5

Teknik Pengumpulan Data

Menurut

Sugiyono

(2008,

p194), ada

tiga

teknik pengumpulan

data

dalam metode survey yaitu :

Wawancara (Interview)

Teknik pengumpulan data ini mendasarkan diri pada laporan

tentang diri sendiri atau self report, atau setidak –tidaknya pada

pengetahuan dan atau keyakinan pribadi. Wawancara dapat dilakukan

secara

terstruktur

maupun tidak

terstruktur

dan dapat

dilakukan

melalui tatap muka maupun dengan menggunakan telepon.

Wawancara Terstruktur

Wawancara terstruktur digunakan sebagai teknik pengumpulan

data bila peneliti atau pengumpul data telah mengetahui dengan

pasti tentang informasi apa yang diperoleh. Dengan wawancara

terstruktur ini setiap responden diberi pertanyaan yang sama, dan

pengumpul data mencatatnya.

Wawancara Tidak Terstruktur

Wawancara

tidak terstruktur

adalah

wawancara

yang

bebas

dimana peneliti tidak menggunakan pedoman wawancara yang

telah tersusun secara sistematis dan lengkap untuk pengumpulan

datanya. Pedoman wawancara yang digunakan hanya berupa

garis – garis besar permasalahan yang akan ditanyakan.

Kuesioner (Angket)

Kuesioner merupakan teknik pengumpulan data yang dilakukan

dengan cara memberikan seperangkat pertanyaan atau pernyataan

tertulis

kepada

responden

untuk

dijawabnya. Kuesioner merupakan

teknik pengumpulan data yang efisien bila peneliti tahu dengan pasti

variabel yang akan diukur dan tahu apa yang bisa diharapkan dari

responden.

Kuesioner

dapat

berupa

pertanyaan atau pernyataan

tertutup atau terbuka, dapat diberikan kepada responden secara

langsung atau dikirim melalui pos, atau internet.

Observasi (Observation)

Observasi sebagai teknik pengumpulan data mempunyai ciri

yang

spesifik

bila

dibandingkan dengan

teknik

yang

lain,

yaitu

wawancara dan kuesioner. Teknik pengumpulan data dengan

observasi digunakan bila, penelitian berkenaan dengan prilaku

manusia, proses kerja, gejala –

gejala alam dan bila responden yang

diamati tidak terlalu besar.

2.2

Teori Khusus

2.2.1

Audit Sistem Informasi

2.2.1.1

Pengertian Audit Sistem Informasi

Menurut Weber (1999, p10), Information Systems Auditing

is the process of collecting and evaluating evidence to determine

whether a computer system safeguards assets, maintains data

integrity, allows organizational goals to be achieved effectively,

and

uses

resources

efficiently.

Audit

sistem informasi

adalah

proses untuk mengumpulkan dan mengevaluasi bukti –

bukti

untuk

menentukan

apakah

sistem komputer

dapat

melindungi

aktiva perusahaan, mampu menjaga integritas data, dapat

membantu

pencapaian

tujuan

organisasi secara efektif, serta

menggunakan sumberdaya yang dimiliki secara efisien.

Menurut Alberts dan Dorofee (2003, p6), “Information

System

audits are

independent

appraisals

of a

company’s

internal controls to assure management, regulatory authorities,

and company shareholders that information is accurate and

valid”. Audit sistem informasi adalah penilaian

independen atas

pengendalian internal suatu perusahaan yang dilakukan untuk

meyakinkan

pihak

manajemen,

pemerintah dan para

pemegang

saham bahwa informasi yang ada adalah akurat dan benar.

Dari kedua definisi diatas, dapat disimpulkan bahwa Audit

Sistem Informasi

adalah

proses

pengumpulan

dan

pengevaluasian

bukti-bukti

untuk penilaian

independen

atas

pengendalian internal suatu perusahaan dan untuk meyakinkan

bahwa informasi yang ada adalah akurat dan benar.

2.2.1.2

Tujuan Audit Sistem Informasi

Menurut

Weber

(1999,

p11), tujuan

Audit

Sistem

Informasi terdiri dari:

Asset Safeguarding Objectives

Asset

berupa hardware, software,

personal,

data

file,

sistem dokumentasi dan perlengkapannya merupakan harta

yang

harus

dilindungi

dengan

suatu

sistem pengendalian

internal yang baik. Hardware dapat rusak karena perbuatan

jahat, software

dan

data

dapat

dicuri.

Karena

harta

ini

merupakan pusat, maka

pengamanan terhadap harta ini

merupakan hal-hal yang utama.

Data Integrity Objectives

Data yang terpadu merupakan konsep utama pada EDP

(Electronic

Data

Processing) audit,

data

yang

cepat

dan

akurat akan memberikan informasi yang tepat bagi

manajemen. 3 (Tiga) faktor utama yang membuat data

berharga bagi organisasi dan pentingnya untuk menjaga

keutuhan data adalah :

Nilai informasi data bagi pengambilan keputusan

perorangan

Peningkatan data sehingga dapat memberikan

informasi bagi para pengambil keputusan

Nilai

data

bagi

pesaing,

jika

data

tersebut

berguna

bagi pesaing maka kehilangan data akan memberikan

dampak buruk bagi organisasi tersebut, pesaing dapat

menggunakan data tersebut untuk mengalahkan

organisasi

sehingga

mengakibatkan

organisasi

menjadi kehilangan market, berkurangnya

keuntungan dan lain-lain.

System Effectiveness Objectives

Pengolahan data secara efektif merupakan tujuan yang

harus dicapai, evaluasi terhadap efektivitas pengolahan

data

harus

dilakukan. Agar

dapat

mengetahui

apakah

informasi yang dihasilkan telah efektif atau belum seorang

auditor harus mengetahui karakter pemakai.

Efektivitas

yang

dicapai

baru

dapat

diketahui

setelah

sistem berjalan

beberapa

lama,

manajemen

memerlukan

audit untuk mengetahui apakah sistem telah berjalan sesuai

dengan tujuan yang telah ditetapkan.

System Efficiency Objectives

Sebuah

sistem pemrosesan

data

yang

efesien

terjadi

bila

menggunakan sumber data yang minimal untuk

menghasilkan

output

yang

diperlukan.

Sistem informasi

menggunakan

banyak sumber

daya seperti hardware,

alat

pendukungnya, software dan tenaga kerja, sumber daya ini

langka

dan

sistem aplikasi

yang

lain

biasanya

bersaing

menggunakan sumber daya itu.

2.2.1.3

Tahapan Audit Sistem Informasi (Audit Life Cycle)

Menurut Hunton (2004, p208), Seluruh audit TI mengikuti

sebuah siklus proses

yang disebut sebagai “Siklus Kehidupan

Audit

TI”.

Itu mencakup proses: perencanaan, perkiraan resiko,

pengembangan

program

audit,

mengumpulkan

bukti,

memperoleh kesimpulan,

mempersiapkan pendapat auditor, dan

menindaklanjuti.

a. Perencanaan

Langkah awal menyangkut perencanaan dalam penelitian

audit

TI.

Ini

berarti

menentukan

resiko

apa

yang

melekat

dalam audit,

membiasakan

diri

dengan

klien

audit

dan

lingkungan di setiap tempat kerja klien, dan berada diluar

rencana

untuk melakukan audit, termasuk siapa staff audit

dan bagaimana audit sering dilakukan.

Standart ISACA 050.010, “Perencanaan Audit”,

menyatakan:

“Auditor

sistem informasi

adalah

untuk

merencanakan kerja audit sistem informasi untuk

menunjukkan tujuan audit dan untuk menyusun dengan

menggunakan standart audit profesional.” Pedoman

ISACA 050.010.020 menyediakan berbagai macam

pedoman yang spesifik dalam perencanaan. Tiap pedoman,

auditor

harus

melakukan

pelaksanaan tugas selama

tahapan perencanaan:

1. Menetapkan

batasan

dan

tujuan

kontrol

dalam

melakukan tugas audit;

2. Melakukan perkiraan awal dalam

mengontrol yang

berhubungan dengan proses auditor dalam mengaudit;

Keuntungan dalam memahami

setiap organisasi dan

perusahaan

tersebut, keuangan dan resiko, serta

lingkungan

persoalan

yang

berhubungan dengan

industri atau klien;

4. Identifikasi seberapa besar klien percaya pada

outsource;

Mengembangkan

program audit

memuat

spesifikasi

prosedur audit mengenai auditor dapat melakukan

selama kerja lapang audit;

Mengembangkan perencanaan audit untuk melakukan

semua kegiatan audit; dan

7. Dokumen

laporan

kerja

audit dengan

perencanaan

audit

dan

program audit

dan

kebutuhan

dokumen

lainnya untuk membenarkan setiap pemahaman dalam

operasi perusahaan dan lingkungan operasi.

Perkiraan Resiko, atau ” Kesalahan

Apa

Yang Dapat

Terjadi?”

Karena

kemungkinan

resiko pembicaraan

yang

sangat

penting di audit TI, menyediakan segala bab untuk

mendiskusikan resiko. Untuk setiap alasan, kita

menyimpan laporan singkat diskusi mengenai

kemungkinan resiko.

Banyak auditor sekarang menggunakan pendekatan dasar

resiko audit

untuk

melakukannya dalam audit. Dalam tipe

audit, kemungkinan resiko berkisar pertanyaan ”Kesalahan

apa yang dapat terjadi?” Merupakan fokus auditor sistem

informasi

dalam menentukan

langkah

awal

proses

pendukung kritik apa yang diberikan untuk proses audit.

Berikutnya, mereka

bertanya pada diri sendiri kesalahan

apa mungkin bisa terjadi dalam proses dukungan

mereka.

Ini membantu auditor mengidentifikasi kontrol pada

tempatnya untuk melindungi keutuhan proses dengan

campur tangan audit. Auditor termasuk kontrol

menganggap bahwa kepentingan semua hal dapat diuji

coba dalam program audit.

Tentunya, internal kontrol merespon ke manajemen.

Beberapa

perusahaan,

mengakui

dan

merangkum respon

tersebut, melakukan semua sendiri untuk kontrol internal.

Tipe dari lingkungan kontrol

dapat sangat membantu

auditor dalam menilai efektivitas kontrol.

c. Program Audit

Disini tidak terdapat standard program audit untuk audit TI

sejak prosedur audit harus disesuaikan untuk hardware

dan software klien, jaringan dan topologi, dan sebuah

lingkungan dan industri-pertimbangan spesifik. Program

audit

menyediakan laporan di bab

ini

umumnya program

audit, rincian akan menyesuaikan keperluan auditor.

Umumnya

program

audit

meliputi

melaksanakan

komponen:

1. Batasan audit;

2. Tujuan audit;

3. Prosedur audit; dan

4. Rincian

administasi

seperti

perencanaan

dan

pelaporan.

Program audit,

yang

mana

harus

berupa dokumen

kertas

kerja, melayani sebagai contoh untuk pekerjaan yang harus

dilakukan.

Setelah

audit

lengkap,

program audit

menyediakan dokumen untuk siapa yang melakukan

prosedur audit perorangan dan referensi untuk kertas kerja

dimana hasil setiap test dan langkah audit dapat dilihat.

d. Mengumpulkan Bukti

Mengumpulkan barang bukti adalah inti dari melakukan

audit, sejauh itu menyediakan dasar untuk pendapat audit

akhirnya itu dibuat.

Pedoman ISACA 060.020.030 mengidentifikasi beberapa

tipe dari bukti auditor TI sangat umum untuk bagian kerja

lapang, termasuk:

1. Mengamati proses dan keberadaan perihal fisik seperti

operasi komputer dan prosedur backup data;

2. Bukti

dokumen

seperti

program

perubahan

log,

mengakses sistem log, dan otorisasi tabel;

3. Representasi

seperti

menyediakan

klien

diagram,

narasi, kebijakan tertulis dan prosedur; dan

4. Analisis seperti prosedur berjalan CAATs dalam

menyediakan klien file data.

Jika auditor tidak mendapatkan cukup bukti, mereka

mungkin dapat meminta lebih sesuai kebutuhan dari klien

dalam pemesanan untuk memuaskan pemberian tujuan.

Jika bukti yang cukup tidak didapatkan, auditor harus

mempertimbangkan kepentingan dari bukti dan efek dari

batasan dalam audit.

Tidak semua bukti dibuat sama. Sebaliknya, auditor harus

melihat kualitas atau keandalan, bukti yang

mereka

kumpulkan selama melakukan audit.

e. Memperoleh Kesimpulan

Sesudah semua bukti audit terkumpul, auditor melakukan

tugasnya untuk mengevaluasi bukti dan memperoleh

kesimpulan mengenai apakah tujuan audit ditemukan dan

kecukupan

melakukan

prosedur audit

ketika

datang

dari

semua pendapat audit. Auditor harus selalu

mengidentifikasi apapun kondisinya dilaporkan. Mengacu

pada situasi apapun saat datang untuk diperhatikan auditor

bahwa mewakili banyak kontrol yang lemah. Melaporkan

kondisiya

adalah

selalu

melengkapi

dalam surat

manajement, yang mana untuk diskusi dengan komite

audit

dan

manajement

klien

dalam

mencari

jalan

keluar

dari kesimpulan yang diaudit.

Kesimpulan auditor pernah menjadi kejutan untuk staff

manajemen. Jika auditor mengungkap kelemahan

substansial

dalam kontrol

internal

dan/atau

kepentingan

yang

salah

dalam pernyataan

keuangan,

auditor

harus

memberikan anomali untuk perhatian manajemen kapan

mereka temukan. Kesimpulan audit,

manajemen harus

menyelesaikan dan melepaskan masalahnya. Jika tidak,

auditor mungkin membutuhkan kualitas pendapat audit.

f. Pendapat Audit

Hanya

disini

tidak

ada

standar

program

audit

TI,

disini

tidak ada standar laporan audit. Beberapa tipe audit TI

mempunyai kriteria khusus untuk apa yang termasuk

kedalam laporan

audit.

Laporan

audit

untuk

pengesahan,

menemukan, dan rekomendasi, audit SAS 70, dan audit

SAS 94 laporan diskusi dari bab ini.

Pedoman untuk hal umum sudah termasuk didalam laporan

audit

adalah

disediakan

oleh

pedoman

ISACA

070.010.010. Hal mengikuti sudah termasuk dalam laporan

audit:

1. Nama organisasi yang diaudit;

2. Judul, tandatangan, dan tanggal;

3. Pernyataan

dari

tujuan

audit

dan

apakah

audit

menemukan tujuan ini;

Batasan

audit,

termasuk

“area

fungsi

audit, periode

pelaksanaan audit,

dan

sistem informasi,

aplikasi

atau

lingkungan proses audit”;

Pengakuan dari pembatasan lingkup dimana audit

melakukan tugas audit;

6. Laporan ditujukan untuk peserta, termasuk pembatasan

apapun dalam distribusi laporan;

Mengikuti standar dan kriteria yang mana digunakan

auditor dalam melaksanakan kerja audit;

8. Penjelasan terinci dari temuan yang penting;

9. Kesimpulan

dalam

area

evaluasi

audit,

termasuk

signifikan reservasi atau qualisifikasi;

10. Saran untuk melakukan pembenaran atau perbaikan

dimana yang sesuai; dan

11. Penting

untuk

event

yang

terjadi selanjutnya sesudah

kerja lapang untuk audit selesai.

g. Menindaklanjuti

Tahap terakhir life cycle audit

TI adalah menindaklanjuti.

Sesudah auditor melakukan pembicaraan hasil audit ke

klien dan menyampaikan pendapat audit ke klien, auditor

membuat ketentuan untuk menindaklanjuti dengan klien

apapun kondisi yang dilaporkan atau kekurangan audit

yang diungkap selama melakukan audit. Sebagai contoh,

jika kekurangan kontrol yang penting adalah mencatat,

auditor dapat membuat rencana untuk meninjau kembali

masalah dengan klien dalam 30 hari untuk menentukan jika

kekurangan tersebut dapat diperbaiki.

Tentu, semua kekurangan yang penting membutuhkan

waktu yang lama untuk klien menyelesaikannya. Selama

ditemukan

jalan

keluar,

auditor

dan

klien harus

setuju

sejauh dan waktu yang tepat untuk prosedur

menindaklanjuti. Menindaklanjuti

dapat

lewat

bentuk

menelepon ke manajemen dan selanjutnya dokumen

percakapan atau

auditor

membuat

tambahan

jadwal

prosedur audit untuk memuaskan semua pihak dari

manajemen untuk membenarkan kepentingan kelemahan

control internal.

2.2.2

Pengendalian Dan Risiko Sistem Informasi

2.2.2.1

Pengendalian Internal

Mengacu pada pendapat Weber(1999, p35), pengendalian

adalah

suatu

sistem

untuk

mencegah, mendeteksi, dan

mengkoreksi kejadian yang timbul saat transaksi dari

serangkaian pemrosesan yang

tidak terotorisasi secara sah, tidak

akurat, tidak lengkap, mengandung kelebihan, tidak efisien dan

efektif. Dengan demikian, tujuan dari pengendalian adalah untuk

mengurangi risiko atau mengurangi pengaruh yang sifatnya

merugikan akibat suatu kejadian.

Menurut Mulyadi (2001, p613),

Pengendalian

Internal

meliputi struktur organisasi, mengecek ketelitian, dan keandalan

data akuntansi, mendorong efisisensi dan mendorong

dipatuhinya kebijakan manajemen. Definisi system pengendalian

intern tersebut menekan tujuan yang hendak dicapai, dan bukan

pada unsur-unsur yang membentuk system tersebut.

Jadi, dapat disimpulkan bahwa pengendalian internal

adalah

merupakan kebijakan, praktek, prosedur, dan perangkat

yang

dirancang

untuk

mengecek

ketelitian,

dan

keandalan data

akuntansi, mendorong efisisensi dan

mendorong

dipatuhinya

kebijakan manajemen.

2.2.2.2

Komponen - komponen Pengendalian

Mengacu pada pendapat Weber (1999, p49) Sistem

Pengendalian internal terdiri atas lima komponen yang saling

terkait, yaitu:

Lingkungan pengendalian

Elemen ini memperlihatkan bahwa hal yang tergantung pada

pengendalian terutama pada sistem akuntansi pada prosedur

harus dijalankan.

Penaksiran risiko

Elemen ini mengidentifikasi dan menganalisa risiko yang

dihadapi organisasi dengan cara risiko tersebut dikelolah.

Aktivitas pengendalian

Elemen ini memastikan bahwa setiap transaksi telah

diotorisasi oleh yang berwenangm telah

ada

pemisahan

fungsi,

dokumentasi

dan

pencatatan

yang

memadai,

harta

dan catatan telah diamankan dan pengecekan oleh pihak

independent telah dilakukan serta penilaian terhadap

pencatatan telah dilaksanakan.

Informasi dan komunikasi

Pada elemen ini informasi diidentifikasikan, diambil, dan

diubah sepanjang waktu dan menyediakan formulir untuk

memperbolehkan karyawan mengubah tanggung jawabnya.

Pemantauan

Elemen

yang

berfungsi

untuk

memastikan

bahwa

pengendalian internal telah berjalan dengan baik

Dalam setiap

pemeriksaan

auditor

harus

memperolah

pemahaman yang memadai atas masing-masing dari kelima

unsure

tersebut

diatas

untuk

merencanakan audit dengan cara

melaksanankan prosedur untuk memahami rancangan kebijakan

dan prosedur

yang relevan dengan perencanaan audit dan untuk

menentukan apakah rancangan tersebut dilaksanakan.

2.2.2.3

Fungsi Sistem Pengendalian Intern

Menurut

Mulyadi

(2001,

p163),

fungsi

Sistem

Pengendalian Intern yaitu :

Untuk

melindungi

harta

perusahaan

dari

tindakan

dan

keadaan yang merugikan

Untuk

memeriksa,

meneliti kecermatan, dan keandalan data

akuntansi

sehingga

informasi yang disajikan dapat

diandalkan

dalam pengambilan

keputusan

dan

penyusunan

laporan keuangan

Untuk meningkatkan efisiensi usaha

Untuk mendorong ditaatinya kebijakan manajemen yang

telah digariskan.

2.2.2.4

Risiko Audit Sistem Informasi

Menurut Hunton (2004, p48)

Risiko adalah sesuatu yang

terjadi yang memungkinkan

menghasilkan sesuatu yang

negative.

Dalam menjalankan

usaha,

sebuah

perusahaan

menghadapi berbagai risiko, seperti : Business Risk ( Risiko

Bisnis), Audit Risk (Risiko

Audit),

Security

Risk (Risiko

Keamanan) dan Continuity Risk.

Risiko Bisnis (Business Risk)

Risiko bisnis adalah

suatu kemungkinan bahwa suatu

organisasi tidak dapat mencapai tujuan bisnis nya.

Terdapat

dua

faktor

yang

mempengaruhi

risiko

tersebut

yaitu factor internal dan factor external. Untuk memahami

risiko bisnis pada suatu organisasi, seorang auditor harus

terlebih

dahulu

mengenal

(familiar) dengan strategi

rencana

kegiatan

perusahaan (enterprise’s strategic

plan)

Risiko timbul dari lingkungan luar (external environment),

misalnya : risiko dimana kompetitior baru akan memasuki

pasar atau risiko poor economy.

Contoh

risiko

dari

pihak

dalam (internal) adalah ketidaktaatan

karyawan,

kegagalan

equiptment, atau kecurangan yang

dilakukan oleh manajer.

Risiko Audit (Audit Risk)

Risiko Audit adalah suatu kemungkinan bahwa auditor

external

suatu organisasi membuat

kesalahan

dimana

penyampaian opini yang membuktian kepatutan laporan

keuangan atau kegagalan auditor TI

dalam

menemukan

kesalahan

material atau kecurangan material.

Risiko Keamanan (Security Risk)

Risiko keamanan IT meliputi risiko yang terkait dengan

akses data dan

integritas. Akses tidak sah ke data

tersebut

dapat berupa fisik maupun

logis. Banyak risiko

yang

terkait dengan kedua hal tersebut baik logis maupun fisik

dapat meningkatkan risiko akses. Risiko mereka meningkat

dengan integrasi sistem informasi

dan

kemampuan

akses

jarak

jauh.

Dalam sebuah

usaha

yang

memiliki

sistem

terintegrasi tapi tidak menggunakan password

terpisah

untuk akses ke berbagai bagian dari sistem, seorang

pengguna yang tidak sah tidak hanya dapat mengakses data

perusahaan yang

sensitif

tapi

juga

mungkin

bahkan

memanipulasinya.

Risiko Berkelanjutan (Continuity Risk)

Risiko

Berkelanjutan

mencakup

risiko Assosiation dengan

ketersediaan

backup dan recovery

pada

sistem informasi.

Avaibility mengacu

pada

keamanan

yang

memastikan

bahwa

suatu

sistem informasi

selalu

dapat

diakses

oleh

pengguna.

misalnya,

hacker

dapat

mengancam avaibility

dengan

membuat

system

penuh

dengan

mail

dan

overloading pada server

sehingga

untuk

menutup

intranet

atau situs web perusahaan tidak tersedia, dan juga

kehilangan konsumen yang membeli di tempat lain karena

takut tentang keandalan

2.2.3

Sistem Informasi yang di Audit

2.2.3.1

Sistem Informasi Reservasi

Kegiatan

reservasi

merupakan salah satu kegiatan yang

penting

dalam perusahaan

jasa

travel,

karena

dari

reservasi

diperoleh pendapatan untuk

membiayai

kelangsungan

perusahaan, bahkan memperoleh keuntungan bagi perusahaan.

Menurut Kesrul (2003, p126), reservasi merupakan suatu

komunikasi melalui surat atau telepon untuk menyediakan kamar

atau tempat duduk di pesawat yang dipesan oleh seseorang

supaya

tidak kehabisan

tempat pada waktu datang di hotel

ataupun di bandara.

Berdasarkan penjelasan diatas,

maka

dapat

disimpulkan

bahwa

sistem informasi

reservasi

adalah

sistem yang

memudahkan

pelanggan

dalam melakukan

pemesanan,

agar

mendapatkan kepastian dalam melakukan perjalanan sesuai

dengan rencana perjalanan dan kepastian untuk mendapatkan

permintaan atau pelayanan khusus lainnya sesuai dengan

pemesanan.

2.2.3.2

Pengendalian Sistem Informasi

Menurut

Hunton

(2004,

p106), Kategori

kontrol

utama

yang

terlibat

dalam

fungsi TI

yaitu

keamanan,

input,

pemrosesan, output, database, cadangan, dan pemulihan data.

Masing-masing kategori ini dimaksudkan untuk meminimalkan

risiko bisnis dan audit melalui pengendalian internal, seperti

yang dibahas selanjutnya.

Pengendalian Keamanan(Security Controls)

Manajer TI bertanggung jawab memastikan bahwa

infrastruktur

komputasi aman

dari

ancaman baik

ancaman

internal maupun eksternal. Yang akan dibahas disini adalah

mengenai: keamanan fisik dan keamanan logis.

Keamanan Berwujud (Physical Security)

Keamanan fisik fokus pada pemeliharaan fasilitas,

komputer, peralatan komunikasi, dan aspek nyata

lainnya dari infrastruktur komputasi yang aman dari

bahaya. Hanya petugas yang berwenang yang diizinkan

masuk

fasilitas,

dan

pengunjung harus

diawasi

oleh

personil yang berwenang setiap saat. Ingat, karyawan

yang tidak bekerja untuk fungsi TI sering memasuki

fasilitas, seperti mesin penjual, persediaan kertas, dan

persediaan kebersihan, dan pengunjung harus secara

hati-hati diperiksa dan dipantau terus -

menerus. Ini

adalah

kelemahan

keamanan

dalam banyak

sistem

melalui penyusup yang bisa menembus. Pembatasan

akses

dapat

dicapai

dengan

berbagai

cara, seperti

penggunaan penjaga keamanan, kunci dan mengunci,

pembaca kartu, dan perangkat biometrik (contoh:

pembaca sidik jari

atau pemindai

gambar

retina)

pada

semua pintu masuk dan keluar dari fasilitas.

Keamanan tidak Berwujud (Logical Security)

Bagian

paling

berharga dari

infrastruktur Logical

asset

yaitu data perusahaan dan perangkat lunak komputer

(contoh : pengguna aplikasi, sistem jaringan, sistem

komunikasi,

dan

sistem

operasi). Data dan perangkat

lunak yang alami dikenal sebagai komponen-komponen

"logis" dari infrastruktur. Bagian dari sistem keamanan

komponen logis ditangani melalui kontrol fisik; yaitu,

sebagian besar data perusahaan dan perangkat lunak

terletak di komputer, server, dan perangkat

penyimpanan disimpan di fasilitas komputasi utama dan

situs lainnya di seluruh perusahaan. Bagian lain dari

sistem keamanan

logis

ditangani

melalui

akses

dikendalikan

komputer,

monitor,

dan

sistem review.

Salah satu pendekatan keamanan logis didapatkan

dengan cara yang sama seperti keamanan

fisik;

sesuai,

auditor TI perlu mengenal banyak jalur akses ke

komponen logis, meninjau kontrol akses, memeriksa

kontrol pemantauan, memahami

prosedur pemeriksaan,

dan melakukan tes penerobosan.

Pengendalian Informasi (Information Control)

Proses

input,

memproses,

dan

mendistribusikan

informasi akuntansi

yang timbul dari peristiwa-peristiwa

ekonomi

dapat

diklasifikasikan

dalam kegiatan

input,

proses, dan output. Risiko audit sangat tinggi, terutama jika

pengendalian internal yang lemah, seperti pemisahan yang

tidak

tepat otorisasi dan pencatatan seluruh transaksi input-

output-proses dalam siklus sistem akuntansi

rentan terhadap

penyalahgunaan,

yang

dapat

mengakibatkan

materi

misstatements dalam pernyataan rekening.

a. Pengendalian Masukan (Input Controls)

Auditor TI harus melihat apakah perusahaan mengikuti

prosedur tertulis tentang

otorisasi

yang

tepat,

persetujuan,

dan

input

transaksi

akuntansi. Ini

adalah

fungsi yang bertentangan, sehingga mereka harus

dipisahkan sedapat mungkin dan dikendalikan.

Pengendalian Keluaran (Output Controls)

Akses ke output komputer harus dikontrol sehingga

informasi

perusahaan

yang diminta

pemilik

dan

pihak

berwenang agar laporan dicetak tetap berada dalam

lokasi perusahaan. Sebuah kontrol logis adalah untuk

memastikan bahwa hanya pihak berwenang dapat

meminta output tertentu, apakah itu mengambil bentuk

layar

komputer

atau

dicetak

laporan.

Seperti

pengendalian logis dapat dilakukan melalui ID /

password .

Pengendalian Berkelanjutan (Continuity Controls)

Risiko bisnis utama yang berkaitan dengan fungsi TI

adalah suatu gangguan kegiatan usaha komputer karena

kegagalan dan bencana. Sejauh mana perusahaan siap untuk

secara efektif menghadapi keadaan seperti itu sangat penting

untuk kelangsungan hidup ekonomi organisasi.

Pengendalian Cadangan (Backup Controls)

Sangat penting bahwa organisasi mengembangkan dan

melakukan

strategi

cadangan;

Kalau

tidak,

tidak

akan

ada tersisa untuk pulih setelah bencana.

Backup Data

Sebagai strategi cadangan khusus yang dipekerjakan

oleh perusahaan tergantung pada sejumlah faktor

tambahan, seperti volume transaksi, ketersediaan

dukungan teknis, lokasi penyimpanan

cadangan,

dan

redundansi hardware.

Namun,

bahkan

kenyataannya

strategi cadangan dapat dicapai, mengingat sumber daya

yang cukup.

Sekarang mari kita membahas dua isu utama saat

merancang strategi cadangan untuk sebuah organisasi -

lokasi penyimpanan. ketika file / tabel yang didukung,

mereka ditempatkan pada beberapa media, seperti

digital kaset, CD, dan magnetik disk. Pilihan media

yang digunakan tergantung

pada faktor-faktor seperti

kecepatan,

kehandalan, kapasitas,

dan

biaya.

Setelah

pilihan dibuat, pertanyaannya adalah tempat untuk

menyimpan

medium di

mana

cadangan

file

tabel

tersimpan.

Ada

dua

solusi umum –

media fisik dan

media elektronik.

Dengan media fisik, itu diduga bahwa media akan

dihapus dari perusahaan komputer dan dibawa ke luar

lokasi

situs,

seperti

lemari

besi

bank

atau

perusahaan

lain lokasi geografis terpisah dari situs pemrosesan.

Media Elektronik cadangan melibatkan pengiriman data

melalui jaringan komunikasi (seperti

internet) ke semua

situs media penyimpanan, biasanya menghitung lain.

Pengendalian Pemulihan (Recovery Controls)

Perusahaan tidak sanggup untuk menanggulangi

bencana terjadi dan kemudian bertanya-tanya apa yang

harus dilakukan;

mereka

harus proaktif, bukan reaktif.

Perusahaan harus memiliki perencanaan untuk pulih

dari bencana dan

menguji rencana

tersebut secara

berkala. Fungsi TI manajer dan auditor IT harus

mengadopsi sikap "Apa

yang akan kita lakukan ketika

terjadi bencana?" bukan "Apa yang akan kita lakukan

jika terjadi bencana?" Perencanaan kontingensi Pikirkan

cara ini: Ini masalah waktu saja, bukan probabilitas!

2.2.3.3

Data Flow Diagram (DFD – Diagram Aliran Data)

Menurut Whitten (2004, p326-347), data flow diagram

adalah alat yang

menggambarkan aliran data

melalui sistem dan

kerja

atau

pengolahan

yang

dilakukan

oleh

sistem tersebut.

Simbol yang akan digunakan dalam penggambaran DFD ini

yakni dengan menggunakaan notasi Gane dan Sarson, dengan

alasan popularitas yang sudah tersebar luas.