MANAJEMEN RESIKO

MANAJEMEN RESIKO

1. Pengertian Manajemen Resiko

Manajemen risiko adalah suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman; suatu rangkaian aktivitas manusia termasuk: Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan pemberdayaan/pengelolaan sumberdaya. Strategi yang dapat diambil antara lain adalah memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek negatif risiko, dan menampung sebagian atau semua konsekuensi risiko tertentu. Manajemen risiko tradisional terfokus pada risiko-risiko yang timbul oleh penyebab fisik atau legal (seperti bencana alam atau kebakaran, kematian, serta tuntutan hukum. Manajemen risiko keuangan, di sisi lain, terfokus pada risiko yang dapat dikelola dengan menggunakan instrumen-instrumen keuangan.

Sasaran dari pelaksanaan manajemen risiko adalah untuk mengurangi risiko yang berbeda-beda yang berkaitan dengan bidang yang telah dipilih pada tingkat yang dapat diterima oleh masyarakat. Hal ini dapat berupa berbagai jenis ancaman yang disebabkan oleh lingkungan, teknologi, manusia, organisasi dan politik. Di sisi lain pelaksanaan manajemen risiko melibatkan segala cara yang tersedia bagi manusia, khususnya, bagi entitas manajemen risiko (manusia, staff, dan organisasi).

Rekaman tertua terkait pengelolaan risiko dapat ditemukan pada Piagam Hammurabi (codex Hammurabi), yang dibuat pada tahun 2100 sebelum masehi. Piagam tersebut mencantumkan peraturan dimana pemilik kapal dapat meminjam uang untuk membeli kargo; namun bila dalam perjalanan kapalnya tenggelam atau hilang, ia tidak perlu mengembalikan uang pinjaman tersebut. Masa ini disebut sebagai zaman pertama manajemen risiko, di mana perusahaan hanya melihat risiko non-entrepreneurial (seperti misalnya keamanan).

Tahun 1970-an dan 1980-an disebut sebagai zaman kedua manajemen risiko di mana perusahaan-perusahaan asuransi mulai berusaha mendorong pengusaha untuk benar-benar menjaga barang yang diasuransikan. Pada masa ini juga lahir konsep jaminan mutu (quality assurance) yang menjamin setiap produk memenuhi spesifikasi standarnya. Konsep ini dipopulerkan oleh British Standards Institution yang meluncurkan standar kualitas BS 5750 pada tahun 1979.

Pada tahun 1993, James Lam diangkat menjadi Chief Risk Office, yang merupakan jabatan CRO pertama di dunia.

Zaman ketiga manajemen risiko dimulai tahun 1995 dengan diterbitkannya AS/NZS 4360:1995 oleh Standards Australia of the World's Risk management Standard.

2. Fungsi Manajemen Resiko

Fungsi manajemen resiko mencakup, menemukan kerugian potensial dan mengevaluasi kerugian potensial. Menemukan kerugian potensial, yaitu berupaya menemukan atau mengidentifikasi seluruh resiko murni yang dihadapi oleh perusahaan, sedangkan mengevaluasi kerugian potensial, yaitu melakukan penilaian terhadap semua kerugian potensial yang dihadapi oleh perusahaan.

a. Menemukan Kerugian Potensial

Artinya berupaya untuk menemukan/mengidentifikasi seluruh risiko yang dihadapi oleh  perusahaan.

b. Mengevaluasi Kerugian Potensial.

Artinya melakukan evaluasi dan penilaian terhadap semua kerugian potensial yang dihadapi oleh perusahaan.

c. Memilih Teknik/Cara yang Tepat atau Menentukan suatu kombinasi dari Teknik-teknik Yang tepat Guna Menanggulangi Kerugian.

Pada pokoknya ada 4 (empat) cara yang dapat dipakai untuk menanggulangi risiko, yaitu:  mengurangi kesempatan terjadinya kerugian, meretensi, mengasuransikan dan menghindari.  Dimana tugas dari Manajer Risiko adalah memilih salah satu cara yang paling tepat untuk menanggulangi suatu risiko atau memilih suatu kombinasi dari cara-cara yang paling tepat untuk menanggulangi risiko.

3. Metode Identifikasi Resiko

Identifikasi Risiko adalah usaha untuk menemukan atau mengetahui risiko – risiko yang mungkin timbul dalam kegiatan yang dilakukan oleh perusahaan atau perorangan.

Hal – hal yang dilakukan oleh manajer perusahaan untuk perusahaannya :

a. Mengetahui kemungkinan – kemungkinan terjadinya suatu kerugian dan harus berhati – hati atas kemungkinan timbulnya setiap kerugian dan hal ini merupakan tugas utama seorang manajer risiko.

b. Memperkirakan frekuensi dan besar kecilnya risiko sehingga dapat diperkirakan kemungkinan kerugian maksimum dari risiko yang berasal dari berbagai sumber.

c. Memutuskan pemakaian metode pengolahan risiko yang terbaik dan paling ekonomis,apakah dengan jalan menghapuskan, mengurangi, membatasi, menanggung sendiri, memindahkan atau mengkombinasikan metode – metode tersebut.

d. Mengadministrasikan program –program manajemen risiko termasuk mengadakan penilaian kembali atas program – program, pencatatan – pencatatan dan lain sebagainya.

Adapun metode identifikasi risiko dapat dilakukan dengan cara :

1. Analisis data historis

Penelitian mengenai pengumpulan dan evaluasi data secara sistematis berkaitan dengan dengan kejadian masa lampau untuk menguji kebenaran hipotesis yang berkaitan dengan sebab akibat atau kecendrungan kejadian-kejadian yang dapat membantu menggambarkan atau menerangkan kejadian masa  kini dan mengantisipasi kejadian atau resiko dimasa yang akan  datang.

2. Pengamatan dan Survey (menggunakan questionnaire, inspeksi langsung, dan interaksi dengan unit kerja)

Dengan cara mencatat hal-hal, perilaku pertumbuhan, dan sebagainya pada waktu kejadian itu berlangsung atau sewaktu perilaku itu terjadi dengan memperoleh data dari subjek maupun objek secara langsung ataupun tidak langsung, baik yang dapat berkomunikasi secara verbal ataupun tidak, secara singkatnya melakukan investigasi atau pencarian data langsung di tempat kejadian.

3. Pengacuan (Benchmarking)

Suatu proses yang biasa digunakan dalam manajemen atau umumnya manajemen strategis, dimana suatu unit/bagian/organisasi mengukur dan membandingkan kinerjanya terhadap aktivitas atau kegiatan serupa  unit/bagian/organisasi lain yang sejenis baik secara internal maupun eksternal.Dari hasil benchmarking, suatu organisasi dapat memperoleh gambaran dalam (insight) mengenai kondisi kinerja organisasi sehingga dapat mengadopsi best practice untuk meraih sasaran ataupun mengantisipasi resiko yang diinginkan, atau dengan cara mencari informasi tentang resiko di tempat atau perusahaan lain.

4. Pendapat ahli.

Para ahli dimintai pendapatnya tentang risiko-risiko yang teridentifikasi dan yang telah disusun, apakah perlu diperbaiki atau dirombak.

4. Pengambilan Keputusan Manajemen Resiko

Pengambilan keputusan adalah sebuah proses menentukan sebuah pilihan dari berbagai alternative pilihan yang tersedia. Seseorang terkadang dihadapkan pada suatu keadaan dimana ia harus menentukan pilihan (keputusan) dari berbagai alternatif yang ada, terutama dalam menghindari resiko yang ada. Proses ini terkadang amatlah rumit karena berdampak pada dirinya dan lingkungan sekitarnya. Seorang pimpinan produksi memutuskan untuk mengurangi produksi di saat kondisi perekonomian sedang buruk, seorang jenderal memutuskan untuk melakukan serangan endadak karena tahu bahwa musuh sedang tidap siap dan siaga. Masih banyak contoh-contoh lainnya yang terkait dengan pengambilan keputusan dalam kehidupan sehari-hari.

Dari contoh di atas terlihat adanya alternatif, misalnya pimpinan produksi menaikan jumlah produksi atau tidak, seorang jenderal harus melakukan serangan mendadak atau tidak. Minimal ada dua alternatif dan dalam praktiknya terdapat dua atau lebih keputusan yang harus diambil oleh pengambil keputusan dimana pengambil keputusan harus memilih salah satu pilihan berdasarkan pertimbangan atau kriteria tertentu. Setiap orang dapat membuat keputusan, akan tetapi dampak keputusan yang ditimbulkan berbeda-beda. Ada yang sempit dan ada pula yang luas ruang lingkup yang terkena dampak atau pengaruh tersebut.

Pada umumnya suatu keputusan dibuat dalam rangka untu memecahkan permasalahan atau persoalan (problem solving) dan setiap keputusan yang dibuat pasti ada tujuan yang hendak dicapai. Hampir setiap hari, bahkan setiap saat selalu ada keputusan yang dibuat misalnya di rumah tangga, di kantor atau di dalam organisasi (departemen, dan industri pemerintah, perusahaan, perguruan tinggi) atau di masyrakat. Keputusan dibuat oleh individu (perseorangan), organisasi, kelompok individu, negara dengan satu tujuan atau lebih yang hendak dicapai. Dalam dunia yang modern ini, kehidupan menuntut banyak sekali keputusan yang harus dibuat baik yang memiliki dampak yang luas maupun yang sempit.

Adapun empat kategori keputusan berupa :

a. Keputusan  dalam keadaan kepastian (certainty)

Apabila semua informasi yang diperlukan untuk mengambil keputusan lengkap, maka keputusan dikatakan dalam keadaan yang pasti (terdapat kepastian). Dengan kata lain dalam keadaan ada kepastian, kita dapat meramalkan secara tepat hasil dari tindakan (action). Misalnya dalam persoalan linear programming, kita dapat mengetahui berapa jumlah keuntungan (profit) maksimum yang bisa diperoleh setelah kita mengetahui persediaan setiap jenis bahan dan kebutuhan input bagi masing-masing jenis produk. Dalam kehidupan sehari-hari, banyak sekali keputusan yang kita ambil dalam keadaan ada kepastian. Kita tahu dengan pasti arah untuk berangkat ke kantor, restoran favorit, atau obat yang mujarab. Hal-hal semacam itu sudah rutin kita laksanakan sehingga tidak perlu pemikiran yang mendalam. Permasalahan akan berbeda ketika pemerintah harus mengatur ekspor non-migas dari sektor pertanian agar jumlah penerimaan devisa hasil ekspor maksimal dengan memperhatikan kendala-kendala yang ada. Misal, luas lahan yang tersedia, jumlah petani, jumlah benih dan modal yang tersedia, dan jumlah permintaan.

Berbagai teknik Operation Research (OR) yang tergolong ada kepastian antara lain linear programming (LP), persoalan transportasi, persoalan penugasan, net working planning. Pemecahan mengenai pemngambilan keputusan dalam keadaan / situasi adanya kepastian bersifat deterministik.

b. Keputusan dalam keadaan resiko (risk)

Resiko terjadi bila hasil pengambilan keputusan walaupun tidak dapat diketahui dengan pasti, tetapi dapat diketahui nilai kemungkinannya (probabilitas). Misalnya, anda ingin memutuskan membeli barang. Setiap barang dibungkus dengan rapi sehingga anda tidak dapat membedakan barang yang dalam keadaan bagus maupun cacat. Seandainya penjual tersebut jujur dan anda diberitahu bahwa barang tersebut berjumlah 100 buah dan barang yang dalam keadaan rusak berjumlah 99 buah. Kemudian anda harus memutuskan apakan membeli barang tersebut atau tidak.

Bila anda termasuk orang yang normal, mungkin anda tidak akan membeli barang tersebut, sebab resikonya terlalu besar. Kemungkinan memperoleh barang rusak sebesar 99%. Namun jika sebaliknya, jumlah barang yang rusak hanya ada 1 buah. Kemungkinannya adalah anda akan membeli barang tersebut, sebab kemungkinan untuk mendapatkan barang rusak hanya 1%.

c. Keputusan dalam keadaan ketidakpastian (uncertainty)

Adalah suatu keadaan dimana kita tidak dapat menentukan keputusan karena belum pernah terjadi sebelumnya (pertama kali). Dalam keadaan ini kita perlu mengumpulkan informasi sebanyak-banyak tentang suatu pemasalahan. Dengan informasi tersebut maka dapat dibuat beberapa alternatif-alternatif keputusan sehingga dapat diketahui nilai probabilitasnya. Dengan diperolehnya nilai probabilitas baik berdasarkan informasi yang anda peroleh maupun berdasarkan pendapat anda secara subjektif. Permasalahan ini sudah tidak lagi berada dalam ketidakpastian, melainkan berada dalam kepastian karena resiko yang akan diterima telah diketahui. Walaupun nilai probabilitas yang anda peroleh cukup kasar (roughly estimate). Pohon keputusan (decision tree) bisa dipergunakan untuk memecahkan persoalan dalam ketidakpastian.

d. Keputusan dalam keadaan konflik (conflict)

Terkadang dalam pengambilan keputusan tidak selalu lancar. Banyak permasalahan-permasalahan yang perlu dipertimbangkan dalam pengambilan keputusan. Apalagi bila keputusan yang diambil terdapat konflik atau dapat menyebabkan konflik. Situasi konflik dapat terjadi bila kepentingan dua pengambil keputusan atau lebih saling bertentangan (ada konflik) dalam situasi yang kompetitif. Pengambil keputusan bisa juga berarti pemain (player) dalam suatu permainan (game). Sebagai contoh, pengambil keputusan (sebut A) memperoleh keuntungan dari suatu tindakan yang dia lakukan (course of action). Hal ini disebabkan karena pengambil keputusan yang lain (sebut B) juga mengambil tindakan tertentu. Dalam analisis keputusan (decision analisys), pengambil keputusan atau pemain tidak hanya tertarik pada apa yang secara individual dilakukan, tetapi juga apa yang dilakukan oleh keduanya (yaitu A dan B). Oleh karena itu keputusan dan tindakan yang dilakukan oleh masing-masing akan saling mempengaruhi baik secara positif (menguntungkan) atau negatif (merugikan). Dalam praktiknya banyak sekali situasi semacam itu, misalnya perusahaan terlibat dalam strategi pasar yang kompetitif, pengembangan produk baru, dan memikat eksekutif yang berpengalaman.

Walaupun kelihatannya sederhana, keputusan dalam situasi ada konflik sering kali dalam praktiknya menjadi sangat kompleks (ruwet). Misalnya, kita dihadapkan pada keadaan yang tidak pasti ditambah lagi adanya tindakan pihak lawan yang bisa mempengaruhi hasil keputusan. Faktor-faktor yang dipertimbangkanmenjadi lebih banyak. Keputusan dalam situasi ada konflik bisa dipecahkan dengan teori permainan (game theory).

Secara keseluruhan teknik-teknik yang dapat dipergunakan untuk pengambilan keputusan yang berbeda-beda dapat dilihat sebagai berikut:

Referensi :

https://id.wikipedia.org/

http://muhamadumarul.blogspot.co.id/2013/11/fungsi-manajemen-risiko.html

https://ipqi.org/manajemen-risiko-identifikasi-risiko/

http://abangdodon.blogspot.co.id/2014/04/penelitian-historis-deskriptif-dan.html

https://sis.binus.ac.id/2014/10/13/benchmarking/

e-journal.uajy.ac.id

https://mazda4education.wordpress.com/2010/11/07/teknik-pengambilan-keputusan/

Read More

AUDIT SISTEM INFORMASI

AUDIT SISTEM INFORMASI

            Assalaam'alaikum all, lanjut ke postingan selanjutnya tentang Audit Sistem Informasi. Langsung aja kita lanjut ke postingan :

1. Pengertian Audit sistem informasi

Audit berarti membandingkan antara kegiatan yang diaudit dan kegiatan yang seharusnya terjadi, membandingkan antara kondisi dan kriterianya. Dalam artian lain Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Tujuannya adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima. Pengertian audit menurut PSAK (Pernyataan Standar Audit Keuangan) adalah suatu proses sistematik yang bertujuan untuk memperoleh dan mengevaluasi bukti yang dikumpulkan atas pernyataan atau asersi tentang aksi-aksi ekonomi, kejadian-kejadian dan melihat tingkat hubungan antara pernyataan atau asersi dan kenyataan, serta mengomunikasikan hasilnya kepada yang berkepentingan.

“Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”. Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :

” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
Sedangkan sistem informasi itu sendiri dapat diartikan sebagai suatu aplikasi komputer untuk mendukung operasi suatu organisasi, seperti : SI Manajemen, SI Penjualan, dll.

2. Tujuan Audit sistem informasi

Tujuan audit sistem informasi menurut Ron Weber (1999:11-13) secara garis besar terbagi menjadi empat tahap, yaitu:
a. Pengamanan Aset
Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.
b. Menjaga integritas data
Integritas data (data integrity) adalah salah satu konsep dasar sistem inforamasi. Data memeiliki atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan keakuratan. Jika integritas data tidak terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan yang beanr bahkan perusahaan dapat menderita kerugian
c. Efektifitas Sistem
Efektifitas sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user
d. Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
e. Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

3. Ruang Lingkup Audit Sistem Informasi

Ruang lingkup Audit Sistem Informasi (SI) sebagai audit operasional terhadap fungsi sistem informasi (IT governance), audit objective-nya adalah melakukan assessment terhadap efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi suatu organisasi.
Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut. Misalnya, bahwa application software yang ada telah dianalisis dan didesain dengan baik, telah diimplementasikan dengan security features yang memadai.

Perlu dipahami bahwa audit SI tidak harus selalu merupakan penugasan lengkap mencakup seluruh aspek. Penugasan audit SI mungkin mencakup semua, tetapi bisa dengan beberapa variasi, atau beberapa aspek saja: suatu audit mungkin hanya menitikberatkan fokus pada satu aspek saja, atau beberapa aspek yang penting sesuai kebutuhan organisasi tersebut.
Meskipun hakekatnya keseluruhan aspek IT Governance tersebut sesungguhnya penting untuk diaudit dalam rangka peningkatan mutu sistem, namun itu tidak bersifat harus (it is not mandatory). Bisa saja dilakukan penugasan-penugasan audit yang berbeda untuk satu atau beberapa aspek, tidak harus sekali “gebrak” (to do all of them in one assignment). Salah satu alasannya adalah memang kompetensi/keterampilan yang diperlukan bagi auditor untuk setiap aspek tersebut bisa berbeda. Oleh karena itu aspek sebetulnya ada keterkaitan, dan semuanya adalah penting, maka bila dilakukan audit secara terpisah-pisah, manajemen harus mendapat gambaran umum (overview) yang jelas dan terpadu (the overview is critical).

Jadi, terdapat berbagai jenis penugasan audit sistem informasi yang dapat dilaksanakan pada suatu organisasi, misalnya sebagai berikut:

• Untuk mengidentifikasi sistem yang ada (inventory existing systems), baik yang ada pada tiap divisi/unit/departemen ataupun yang digunakan menyeluruh. 
• Untuk dapat lebih memahami seberapa besar sistem informasi mendukung kebutuhan strategis perusahaan, operasi perusahaan, mendukung kegaitan operasional departemen/unit/divisi, kelompok kerja, maupun para petugas dalam melaksanakan kegiatannya. 
• Untuk mengetahui pada bidang atau area mana, fungsi, kegiatan atau business processes yang didukung dengan sistem serta teknologi informasi yang ada. 
• Untuk menganalisis tingkat pentingnya data/informasi yang dihasilkan oleh sistem dalam rangka mendukung kebutuhan para pemakainya. 
• Untuk mengetahui keterkaitan antara data, sistem pengolahan dan transfer informasi. 
• Untuk mengidentifikasi apakah ada kesenjangan (gap) antara sistem dengan kebutuhan. 
• Untuk membuat peta (map) dari information flows yang ada.
  

4. Pengendalian Umum dan Pengendalian Aplikasi

Pada dasarnya, Audit Sistem Informasi dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.

4.1. Pengendalian Umum

Pengendalian umum pada perusahaan dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal dilakukan terhadap aset-aset fisik perusahaan, sedangkan aspek logikal terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya:

a) Pengendalian organisasi dan otorisasi.

Yang dimaksud dengan pengendalian organisasi adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.

b) Pengendalian operasi.

Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.

c) Pengendalian perubahan.

Perubahan-perubahan yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.

d) Pengendalian akses fisikal dan logikal.

Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).

4.2. Pengendalian Aplikasi

Pengendalian aplikasi adalah prosedur-prosedur pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan baik.

• Macam Aplikasi

Aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE:

• Perangkat lunak berdiri sendiri

Terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan.

• Perangkat lunak di server

Tedapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server.

Macam Pengendalian Aplikasi

a. Pengendalian Organisasi dan Akses Aplikasi

Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut.

Untuk pengendalian akses, terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya.

b. Pengendalian Input

Pengendalian input memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.

c. Pengendalian Proses

Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master.

d. Pengendalian Output

Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.

e. Pengendalian Berkas Master

Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti:

• Anomaly penambahan
• Anomaly penghapusan
• Anomaly pemuktahiran/pembaruan

Terdapat beberapa unsur dalam pengendalian aplikasi, yang terdiri dari :

1. Pengendalian batas sistem (boundary controls)
2. Pengendalian masukan (input controls)
3. Pengendalian proses pengolahan data (process controls)
4. Pengendalian keluaran (output controls)
5. Pengendalian file/database (file/database controls)
6. Pengendalian komunikasi aplikasi (communication controls)

4.2.1. Pengendalian batas sistem (boundary controls)

Boundary adalah interface antara users dengan sistem berbasis teknologi informasi. Tujuan utama boundary controls antara lain :

• Untuk mengenal identitas dan otentik/tidaknya pemakai sistem, artinya suatu sistem yang didesain dengan baik seharusnya dapat mengidentifikasi dengan tepat siapa users tersebut, dan apakah identitas diri yang dipakainya otentik.
• Untuk menjaga agar sumber daya sistem informasi digunakan oleh user dengan cara yang ditetapkan.

Contoh dari pengendalian batasan :

• Otoritas akses ke sistem aplikasi
• Identitas dan otentisitas pengguna

4.2.2. Pengendalian masukan (input controls)

Pengendalian masukan (input controls) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan pengendalian aplikasi yang penting karena input yang salah akan menyebabkan output juga keliru.
Mekanisme masuknya data input ke sistem dapat dikategorikan ke dalam dua cara yaitu :

• Batch system (delayed processing systems)
• On line transac5on processing system (pada umumnya bersifat real time system)

4.2.3. Pengendalian keluaran (output controls)

Pengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga utput sistem agar akurat, lengkap, dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls) ini didesain untuk menjamin agar output / informasi dapat disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak (para user) secara cepat dan tepat waktu. Yang termasuk pengendalian keluaran antara lain adalah :

1. Rekonsiliasi keluaran dengan masukan dan pengolahan

Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran dari sistem dengan dokumen asal.

2. Penelaahan dan pengujian hasil-hasil pengolahan

Pengendalian ini dilakukan dengan cara melakukan penelaahan, pemeriksaan dan pengujian terhadap hasil-hasil pengolahan dari sistem. Proses penelaahan dan pengujian ini biasanya dilakukan oleh atasan langsung pegawai.

5. Internal Auditor

Audit Internal atau Internal Audit memiliki peranan penting dalam keberjalanan perusahaan. Pada era modern ini perkembangan Manajemen organisasi khususnya di perusahaan sangat memerlukan peran audit internal. Audit internal digunakan untuk mendukung keberjalanan manajemen perusahaan sebagai fungsi controlling yang menjamin perusahaan berjalan sesuai dengan perencanaan dan mengarah kepada tujuan.

Biasanya audit internal dilakukan oleh unit yang berada di dalam perusahaan yang memang ditugaskan untuk melakukan audit terhadap perusahaan yang bersangkutan. Pelaksana dari audit internal adalah auditor internal. Pelaksana dari audit internal atau auditor internal biasanya ada pada perusahaan besar dimana perusahaan tersebut memiliki struktur organsasi yang kompleks dengan berbagai tugas dan fungsi masing-masing.

Adapun tugas internal audit yang dilakukan auditor adalah melakukan audit internal perusahaan dengan menjamin sistem/manajemen yang ada di perusahaan supaya berjalan sesuai yang diinginkan. Selain itu dengan adanya audit internal dapat menghindari adanya resiko kesalahan, penyalahgunaan, dan kendala dengan mengembangkan efisiensi dan efektivitas perusahaan. Oleh karena itu perusahaan seharusnya menyusun SOP audit internal serta melakukan pengendalian internal audit di dalam perusahaan dnegan tujuan pengembangan perusahaan. Melihat pentingnya audit internal bagi perusahaan maka perlu adanya pembahasan mengenai audit internal secara tersendiri.

5.1. Pengertian Audit Internal Menurut Para Ahli

Menurut Mulyadi (2002), Internal Audit adalah pelaksana audit/auditor yang menjalankan tugas di dalam perusahaan untuk mengetahui sejauh mana prosedur dan kebijakan yang telah dibentuk sebelumnya dipatuhi, menetapkan apakah pengelolaan akan aset organisasi/perusahaan sudah dilaksanakan dengan baik, menetapkan seberapa efektif dan efisien dari prosedur kegiatan organisasi/perusahaan, serta menilai keefektivitasan informasi yang diproduksi oleh tiap unit di dalam organisasi/perusahaan.

Menurut Sukrisno, Arti internal audit adalah pemeriksanaan yang dijalankan oleh unit audit internal yang dimiliki perusahaan terhadap finansial report dan laporan akuntansi perusahaan serta meninjau kepatuhan akan kebijakan yang ditentukan pimpinan puncak, peraturan pemerintan, dan ketentuan dari perserikatan profesi.

Menurut Lawrence B. Sawyer, Pada buku berjudul “Internal Audit Sawyer” dikemukakan bahwa pengertian audit internal menjabarkan tentang ruang lingkup audit internal modern yang lebih luas.

Arti internal audit adalah proses penilaian yang dilaksanakan secara berurutan dan bersifat obyektif yang dilaksanakan oleh auditor internal kepada aktivitas operasional dan kontrol yang berbeda di dalam organisasi. Audit internal dilaksanakan untuk menetapkan apakah :

1. Informasi mengenai finansial dan operasional perusahaan sudah tepat dan dapat dipercaya.
2. Kemungkinan hambatan yang akan dihadapi perusahaan telag diketahui dan diminimalisasi.
3. Peraturan bagi eksternal perusahaan dan kebijakan di internal dapat diteirma dan dipatuhi.
4. Aktivitas operasional sudah memuaskan.
5. Penggunaan sumber daya perusahaan dipakai secara efektif dan efisien.
6. Tujuan organisasi/perusahaan diraih secara efektif. Hal ini didiskusikan dengan pihak manajemen dan memberikan bantuan berupa saran kepada anggota untuk menjalankan tugas seefektif mungkin.

Dan Guy mendeskripsikan audit sebagai proses untuk mengidentifikasi data dan mengevaluasi bukti dengan sistem yang obyektif dalam rangka memberi penilaian kesesuaian diantara pernyataan dan kriteria yang ditentukan yang kemudian hasi tersebut disampaikan kepada pihak yang memiliki kepentingan.
           Menurut Hiro Tugiman, Definisi Audit internal adalah fungsi penilaian secara independen di dalam organisasi untuk mengetes dan melakukan evaluasi terhadap kegiatan/program yang dijalankan.

Ikatan Auditor Internal (Insititute of Internal Auditors – IIA) yang dikutip Messier (2005) mendefinisikan bahwa internal audit adalah kegiatan yang independen dan objectif beserta konsultasi yang disusun untk meningkatkan nilai dan operasional organisais/perusahaan. Internal audit dapat mendukung organisasi/perusahaan dalam pencapaian tujuannya dengan cara pendekatan yang terstruktur dan disiplin. Pendekatan internal audit tersebut dilakukan dengan cara evaluasi dan meningkatkan keefektifan manajemen resiko, controlling dan proses tata kelola.

5.2. Tujuan Audit Internal

Internal audit memiliki tujuan dalam manajemen organisasi/perusahaan. Menurut Hiro Tugiman (2006) internal audit memiliki tujuan membantu anggota organisasi agar dapat menjalankan tugas dengan efektif. Dalam aktivitas internal audit berusaha melakukan analisis dan memberikan berbagai saran dan penilaian. Proses pemeriksaan audit meliputi pengawasan yang efektif dengan cost yang normal.

Sedangkan Sukrisno Agoes (2004) mengemukakan bahwa tujuan internal audit adalah membantu manajemen perusahaan menjalankan tugas melalui analisa, penilaian, dan pemberian saran dan masukan mengenai kegiatan/program (yang masuk dalam pemeriksaan).

Pada pencapaian tujuan dari internal audit maka auditor harus melakukan beberapa hal sebagai berikut :

• Memastikan terkait peraturan dan prosedur yang harus dipatuhi oleh seluruh elemen manajemen.
  Memberi penilaian baik dan meningkatkan pengawasan efektif dengan biaya sewajarnya serta mengidentifikasi sistem pengendalian yang diterapkan yang meliputi pengendalian internal manajemen dan kegiatan operasional yang berkaitan.
• Memastikan bahwa seluruh aset perusahaan dijaga dengan penuh tanggung jawab dari penyalahgunaan, kehilangan, korupsi dan hal-hal semisal.
• Mengajukan berbagai saran dalam rangka memperbaiki sistem operasional perusahaan agar lebih efektif dan efisien.
• Memberi nilai terkait mutu dan kualitas kerja kepada setiap bagian yang ditunjuk manajemen perusahaan.
• Memastikan bahwa data yang dimiliki dan diolah di dalam perusahaan dapat dipertanggungjawabkan.

5.3. Fungsi Audit Internal

Sawyer (2005) mengemukakan bahwa internal audit memiliki berbagai fungsi diantaranya :

1. Pengawasan pada seluruh aktivitas yang sulit ditangani oleh pimpinan puncak.
2. Pengidentifikasian dan minimalisasi resiko.
3. Report Validation kepada manajer.
4. Mendukung dan membantu manajemen pada bidang-bidang teknis.
5. Membanti proses decision making.
6. Menganalisis masa mendatang (bukan untuk hal yang telah terjadi).
7. Membantu manajer dalam mengelola perusahaan.

5.4. Ruang Lingkup Audit Internal

Guy dkk mengemukakan ruang lingkup internal audit yang telah dialih bahasakan oleh Paul A. Rajoe. Pada penjelasannya ruang lingkup internal audit adalah sebagai berikut :

1. Menganalisis keefektifan (Reliabilitas & Integrasi) informasi finansial dan operasional serta alat yang dipakai untuk mengidentifikasi, mengukur, mengelompokan, dan melaporkan informasi tersebut.
2. Melakukan pengamatan terhadap sistem yang ada dalam rangka memastikan adanya kesesuaian antara kegiatan/aktivitas/program yang dijalankan organisasi dengan kebijakan, peraturan, prosedur, hukum, rencana yang berdampak signifikan pada kegiatan organisasi.
3. Mengamati berbagai metode yang dipakai dalam menjaga aset/harta perusahaan. Apabila dibutuhkan maka akan melakukan verifikasi terhadap harta-harta tersebut.
4. Memberi penilaian terhadap efektifitas dan keekonomisan dalam pemakaian sumber daya.
5. Melakukan pengamatan terhadap kegiatan operasional atau program organisasi/perusahaan apakah hasil yang diperoleh konsisten dan sesuai dengan tujuan dan perencanaan yang telah ditentukan sebelumnya.

 5.5. Perbedaan Audit Internal dan Eksternal

Sukrisno pada buku “Auditing: (pemeriksaaan Akuntan) mengemukakan perbedaan audit internal dan eksternal. Perbedaan keduanya adalah sebagai berikut :

1. Internal Audit

• Dilaksanakan oleh auditor internal yang merupakan bagian dari perusahaan.
• Auditor internal dianggap tidak independen oleh pihak eksternal perusahaan.
• Internal audit memiliki tujuan pemeriksaan untuk membantu manajemen dalam menjalankan
• tugasnya melalui cara memberikan saran dari analisa, penilaian terkait aktivitas yang di audit.
• Internal Audit Report memaparkan mengenai temuan pemeriksaan/audit findings yang berkaitan dengan adanya penyimpangan dan penyalahgunaan, kekurangan pengendalian internal yang disertai dengan saran perbaikan.
• Pelaksanaan internal audit mengacu pada Internal Audit Standards yang ditetapkan oleh Institute of Internal Auditors atau Norma Pemeriksaan Intern yang ditetapkan oleh BPKP maupun BPK serta Norma pemeriksaan satuan pengawasan intern BUMN/BUMD oleh SPI (Standar Pemeriksaan Intern belum disusun oleh Ikatan Akuntan Indonesia).
• Keberjalanan pemeriksaan internal dilakukan lebih mendetail dan membutuhkan waktu sepanjang tahun. Hal ini disebabkan internal auditor memiliki kesediaan waktu yang lebih untuk perusahaannya.
• Penanggungjawab internal auditor tidak harus sebagai akuntan yang terdaftar.
• Gaji maupun tunjangan yang diperoleh internal auditor diperoleh dari perusahaan.
• Pada tahap penyerahan laporan internal audit tidak perlu disertai dengan “Surat Pernyataan Langganan”
• Internal Auditor biasanya tertarik pada kesalahan material dan non-material.

2. Eksternal Audit

• Audit eksternal dilaksanakan oleh auditor eksternal yang berasal dari luar perusahaan (Kantor Akuntan Publik).
• Auditor Eksternal dianggap sebagai pihak yang independen.
• Tujuan Eksternal audit adalah memberikan masukan terkait kewajaran laporan finansial yang disusun manajemen perusahaan.
• Isi dari external audit report yaitu pendapat tentang kewajaran financial report. Selain laporan tersebut juga disetai management letter yang berisi tentang kelemahan pengendalian internal dan saran perbaikannya yang akan dilaporkan kepada manajemen perusahaan.
• Standar yang digunakan pada audit eksternal adalah Standar Profesional Akuntan Publik dari Ikatan Akuntan Indonesia.
• Pelaksanaan audit eksternal dilaksanakan dengan sampling dikarenakan waktu yang terbatas. Selain itu biaya pemeriksaan akan jauh lebih besar bila dilaksanakan secara mendetail.
  Pimpinan dari audit eksternal berasal dari akuntan publik yang terdaftar dan memiliki register number/registered public accountant.
• Auditor eksternal memperoleh fee atas jasa audit yang dilakukannya.
• Sebelum memberikan laporan hasil audit, auditor harus menyertakan “Surat Pernyataan Langganan/Client Representation Letter.
• External Auditor hanya fokus dan tertarik pada kesalahan material yang berpengaruh terhadap kewajaran laporan finansial perusahaan.

Referensi :
http://www.kajianpustaka.com
http://www.pengertianahli.com/2014/05/pengertian-audit-apa-itu-audit.html
http://www.pendidikanmu.com/2015/03/tahapan-audit-sistem-informasi-terlengkap.html
http://www.dosenpendidikan.com/audit-sistem-informasi-pengertian-jenis-tujuan/
https://barim165.wordpress.com/2016/08/23/ruang-lingkup-audit-sistem-informasi/
https://barim165.wordpress.com/2016/08/23/ruang-lingkup-audit-sistem-informasi/
http://darmansyah.weblog.esaunggul.ac.id/2012/10/26/pengendalian-pada-edp/
http://blog.pasca.gunadarma.ac.id/2012/07/17/audit-sia-pengendalian-umum-dan-pengendalian-aplikasi/
wsilfi.staff.gunadarma.ac.id
http://jurnalmanajemen.com/audit-internal/

Read More