AUDIT  SISTEM  INFORMASI  

PENGENDALIAN  INTERNAL  

Penger5an  Pengendalian  Internal  

•  Menurut   Gramling,   Ri0enberg,   dan   Johnstone  (2012:  208),  “Internal  control   is  a  process  related  to   the   achievement   of   the   organiza5on’s  objec5ves.   Organiza5ons   iden5fy   the   risks   to  achieving  those  objec5ves  and  implement  various  controls  to  mi5gate  those  risks”.  

•  Pengendalian   internal   diperlukan   untuk  mengidenAfikasi   risiko   agar   proses   bisnis  perusahaan  Adak  terganggu.  

Pengendalian  Internal  

•  Jadi   dapat   disimpulkan   bahwa   pengendalian  internal   adalah   pengendalian   dalam   suatu  organisasi   bertujuan   untuk   menjaga   aset  perusahaan,   pemenuhan   terhadap   kebijakan  dan  prosedur,   kehandalan   dalam   proses,   dan   operasi  yang  efisien  

Tujuan  Pengendalian  Internal  

•  tujuan  disusunnya  system  control    atau  pengendalian  internal  komputer  adalah  sebagai  berikut:  – Meningkatkan  pengamanan  (improve  safeguard)  aset  sistem  informasi  (data/catatan  akuntansi  (accoun5ng  records)  yang  bersifat  logical  assets,  maupun  physical  assets  seperA  hardware,  infrastructures,  dan  sebagainya).  

– Meningkatkan  integritas  data  (improve  data  integrity),  sehingga  dengan  data  yang  benar  dan  konsisten  akan  dapat  dibuat  laporan  yang  benar.  

– Meningkatkan  efekAfitas  sistem  (improve  system  effec5veness).  – Meningkatkan  efisiensi  sistem  (improve  system  efficiency).  

Tujuan  Sistem  Pengendalian  Internal  

•  Tujuan  sistem  pengendalian  internal  direncanakan  atau  dirancang  dengan  tujuan  untuk  :  – Menjaga  kekayaan  organisasi,  – Mengecek  keteliAan  dan  kehandalan  data  akuntasi,  

– Mendorong  efisiensi,  dan  – Mendorong  dipatuhinya  kebijakan  manajemen.  

Penggolongan  Pengendalian  Internal  

•  Pengendalian     internal     harus   diterapkan   terhadap   seAap   sistem  dan   aplikasi,   hal   ini   dilakukan   untuk   mengurangi   exposure   yang  selalu  muncul   pada  pencatatan   yang  buruk,   akuntansi   yang  Adak  tepat,   interupsi   bisnis,   pengambilan   keputusan   yang   buruk,  penipuan   dan   penggelapan,   pelanggaran   hukum   terhadap    peraturan,  peningkatan  biaya  dan  hilangnya  aset  perusahaan.  

•  Oleh   sebab   itu   manajemen   harus   menyadari   penAngnya  pengendalian  untuk  menjaga  sistem  dari  penggunaan  secara  Adak  tepat,   untuk   mengurangi   Ambulnya   kesalahan   dan   untuk  memaksimalkan   hasil   dari   sistem   operasi.   Pengendalian   ini  digolongkan  menjadi  2  golongan  yaitu  :  –  General  controls  (pengendalian  umum).  –  Applica5on  controls  (pengendalian  aplikasi).  

PENGENDALIAN  UMUM  

Pengendalian  Umum  (General  Control)  

•  Menurut  Sawyer,  Di0enhofer,  &  Scheiner  (2005,  hal.  549),  general  control   consist   of   those   controls   in   the   IS   and   user   environment  that  are  pervasive  over  all  or  most  applica5on.  They   include  such  controls   as   segrega5on   of   incompa5ble   du5es,   system  development  procedures,  data  security,  all  administra5ve  controls,  and  disaster  recovery  capabili5es.  

•  Pengendalian   umum     didefinisikan   sebagai   sistem   pengendalian  internal   komputer   yang   berlaku   umum  melipuA   seluruh   kegiatan  komputerisasi   sebuah   organisasi   secara   menyeluruh.   ArAnya  ketentuan   –   ketentuan   dalam   pengendalian   tersebut   berlaku  untuk   seluruh   kegiatan   komputerisasi   yang   digunakan   di  perusahaan  tersebut.  

Contoh  Pengendalian  Umum  

•  Pengendalian   umum   juga   dapat   diarAkan   sebagai  pengendalian   yang   Adak   terkait   langsung   ke   suatu  aplikasi  tertentu.    

•  Misalnya   dalam   contoh   ATM   di   atas,   ketentuan   bahwa  masuk  ke  ruang  ATM  Adak  boleh  memakai  helm.  Adanya  CCTV   di   ruang   ATM   dan   ketentuan   adanya   SATPAM   di  situ   adalah   dapat   dikategorikan   dengan   pengendalian  umum   (ketentuan-­‐ketentuan   tersebut   Adak   langsung  dengan  transaksi  pengambilan  uang  di  mesin  ATM).  

Ruang  lingkup  pengendalian  umum    

•  Ruang   lingkup   yang   termasuk   dalam   pengendalian   umum  (pengendalian  perspekAf  manajemen)  diantaranya  adalah  :  –  Pengendalian  manajemen  puncak  (top  management  controls).  –  Pengendalian  manajemen   pengembangan   sistem   (informa5on  system  management  controls).  

–  Pengendalian   manajemen   sumber   data   (data   resources  management  controls).        

–  Pengendalian   manajemen   operasi   (opera5ons   management  controls).  

–  Pengendalian   manajemen   keamanan   (security   administra5on  management  controls).  

–  Pengendalian   manajemen   jaminan   kualitas   (quality   assurance  management  controls).  

Unsur  Pengendalian  Umum  

•  Dari  beberapa  pengendalian  umum  tersebut,  berdasarkan  ruang  lingkup  dari  penulisan  skripsi  ini,  maka  yang  akan  dibahas  adalah  :  – Pengendalian   Manajemen   Operasi   (Opera5onal  Management  Controls)  

– Pengendalian   Manajemen   Keamanan   (Security  Management  Controls)  

Opera-onal  Management  Controls  

•  Pengendalian  manajemen   operasi  merupakan   jenis   pengendalian  internal  yang  didesain  untuk  pengelolaan  sumber  daya  dan  operasi  IT   pada   suatu   organisasi.   Pengendalian   manajemen   operasi  disusun   dengan   tujuan   untuk   menciptakan   kerangka   kerja  organisasi,   pendayagunaan   sumber   daya   informasi,   dan  pembagian   tugas   yang   baik   bagi   suatu   organisasi   yang  menggunakan  sistem  berbasis  teknologi  informasi.  –  Pemisahan  tugas  dan  fungsi  –  Pengendalian  personil  –  Pengendalian  perangkat  keras  –  Pengendalian  jaringan  – Manajemen  operasi  

Pemisahan  tugas  dan  fungsi  

•  Pemisahan  tugas  dan  fungsi  didesain  untuk  memasAkan  bahwa  fungsi  –   fungsi   yang   Adak   sejalan   (atau   seharusnya   -­‐   cek),   seperA   :   fungsi  analisis/desain   dan   pemprograman   dengan   operasi   komputer  (mencakup   penyiapan   transaksi,   otorisasi,   proses   entri,   dan  pelaporan)  telah  dipisahkan.  Terdapat  dua  pemisahan  fungsi  yaitu  :  –  Pemisahan  fungsi  departement  IT  dengan  non  IT  (users)     Pemisahan   fungsi   ini   bertujuan   untuk   memisahkan   antara  pemakai   dengan   departement   IT   sehingga   meningkatkan  pengendalian  terhadap  akAvitas  IT.  

–  Pemisahan  fungsi  dalam  departement  IT     Fungsi   –   fungsi   departement   IT   dapat   dipisahkan   berdasarkan  fungsi  sistem  dan  pemrograman,  operasi  komputer,  pengendalian  dan  penjadwalan  input/output,  pemeliharaan  media  (library).    

Pengendalian  personil  

•  Personil   mempunyai   peranan   penAng   dalam   pengendalian   sistem.  Pengendalian  personil  dapat  diindikasikan  oleh  hal-­‐hal  berikut  :  –  Adanya  prosedur    penerimaan  dan  pemilihan  pegawai  –  Adanya  program    peningkatan  keahlian    pegawai  melalui  pelaAhan  yang  berhubungan  dengan  bidang  tugasnya  

–  Adanya  evaluasi  atas  pekerjaan  yang  dilakukan  pegawai  –  Administrasi  atas  gaji  dan  prosedur  promosi  yang  jelas  –  Penggunaan  uraian  tugas  (job  descrip5on)  –  Pemilihan  dan  pelaAhan  pegawai  –  Penyediaan  (supervisi)  dan  penilaian  –  Penggiliran   pekerjaan   (job   rota5on)   dan   keharusan   mengambil  cuA  

–  Adanya  jenjang  karier  serta  sarana  dan  aturan  untuk  mencapainya  

Pengendalian  perangkat  keras  

•  Pengawasan  terhadap  akses  fisik     Untuk   menjaga   perangkat   komputer   dari   kemungkinan   penyalahgunaan,   akses   fisik   terhadap  perangkat  komputer  perlu  diawasi.  

•  Pengaturan  lokasi  fisik     Lokasi   ruang   komputer   merupakan   perAmbangan   yang   penAng   dalam   pengendalian   keamanan  komputer  

•  Penggunaan  alat  pengamanan    Alat  –  alat  penggunaan  tambahan  diperlukan  untuk  menjaga  keamanan  komputer  dari  kemungkinan  kerusakan  

•  Pengendalian  operasi  perangkat  keras     Pengendalian   operasional   perangkat   keras   merupakan   bentuk   pengendalian   untuk   menjaga  perangkat  keras  dari  kemungkinan  kerusakan  akibat  kesalahan  pengoperasian  perangkat  tersebut  

•  Pengendalian  perangkat  lunak    Pengendalian  perangkat  lunak  didesain  untuk  memasAkan  keamanan  dan  kehandalan  sistem  

•  Pengendalian  keamanan  data     Pengendalian   keamanan  data  merupakan   suatu  Andakan  pengendalian   untuk  menjaga   keamanan  datayang   tersimpan   didalam   media   penyimpanan   agar   Adak   hilang   dan   rusak,   atau   diakses   oleh  orang  yang  Adak  berhak.  

Pengendalian  jaringan  •  Alat   bantu   (tools)   penAng   yang   dapat   digunakan   oleh   operator   untuk  mengelola  wide  

area   network  adalah  network   control   terminal.   Network   control   terminal  menyediakan  akses  kepada  soLware  system  yang  khusus  untuk  mengelola  jenis  fungsi  dibawah  ini  agar  dapat  berjalan  dengan  baik,  yaitu  :  –  Memulai  dan  menghenAkan  jaringan  dan  proses  –  Memonitor  akAvitas  jaringan  –  MengganA  nama  line  komunikasi  –  Mengenerate  sta5s5c  system    –  MenseMng  ulang  panjangnya  antrian  –  Menambah  frekuensi  backup  –  Menanyakan  status  sistem  –  Mengirimkan  system  warning  dan  status  message    –  Memeriksa  lintasan  data  pada  line  komunikasi  

•  Network  control  terminal  juga  dapat  digunakan  untuk  menjalankan  fungsi  yang  sejenis  ke  peralatan  individual  yang  terhubung  dengan  jaringan,  karena  itu  dari  sudut  pengamanan  harta  dan  data  integrity,  network  control  terminal  adalah  komponen  yang  sangat  penAng  pada  suatu  jaringan.  

Manajemen  operasi  

•  Saat   ini   fungsi   sistem   yang   sekarang   digunakan   pada  manajemen  operasi  adalah  komputer  mikro  secara  stand  alone,   mul5   user   atau   jaringan   (network)   atau   dalam  bentuk  client  server.  – Service  level  agreements  – Kepustakaan  file  – Fungsi  help  desk  – Capacity  planning  – Outsource    

Security  Management  Controls  (1)  

•  Menurut   Gondodiyoto   (2007,   hal.   345)   pengendalian   internal  terhadap   manajemen   keamanan   (security   management   controls)  dimaksudkan   untuk   menjamin   agar   aset   sistem   informasi   tetap  aman.   Aset   sumber   daya   informasi   mencakup   fisik   (perangkat  mesin   dan   fasilitas   penunjangnya)   serta   aset   tak   berwujud   (non  fisik,  misalnya  data/informasi,  dan  program  aplikasi  komputer).  –  Kebijakan  keamanan  IT  (IT  security  policy)  –  Beberapa  aspek  serangan  potensial  – Mitos-­‐mitos  seputar  keamanan  komputer  –  Kebijakan  keamanan  komputer  –  Personil  dan  kebijakan  keamanan  komputer  

Security  Management  Controls  (2)  •  Menurut  Weber  (1999  :  256),  Pengendalian  Manajemen  Keamanan  melipuA  perlindungan  terhadap  asset  dan  fungsi  sistem  informasi,  yang  dapat  diimplementasi.  Berikut  beberapa  ancaman  terhadap  sistem  informasi  beserta  cara  penanganannya:  – Kebakaran    

•  Tindakan  pengamanan  untuk  ancaman  kebakaran  adalah  :  • Memiliki   alarm   kebakaran   otomaAs   yang   diletakkan   di   ruangan   dimana   aset   –   aset  sistem  informasi  berada.  

• Memiliki  tabung  kebakaran  yang  diletakkan  pada  lokasi  yang  mudah  dijangkau.  •  Gedung   tempat   penyimpanan   aset   sistem   informasi   dibangun  dari   bahan   yang   tahan  api.  

– Banjir  •  Tindakan  pengamanan  untuk  ancaman  kebanjiran,  antara  lain  :  • Memiliki  atap,  dinding  dan  lantai  yang  dibuat  dari  bahan  yang  tahan  air.  

– Perubahan  tegangan  sumber  energi  •  Tindakan   pengamanan   untuk   mengatasi   perubahan   tegangan   sumber   energi   listrik,  dapat   menggunakan   stabilizer   ataupun   Uninterrup5ble   Power   Supply   (UPS)   yang  mampu  mengatasi  masalah  yang  terjadi  keAka  tegangan  listrik  Aba  –  Aba  turun.  

Security  Management  Controls  (3)  – Polusi  

•  Tindakan   pengamanan   untuk  menganAsipasi   polusi   adalah   dengan  membuat     situasi  kantor   bebas   debu,   Adak   memperbolehkan   membawa   binatang   peliharaan   serta  melarang  pegawai  membawa  atau  meletakkan  minuman  di  dekat  peralatan  komputer.  

– Virus  dan  Worm  •  Tindakan  pengamanan  untuk  menganAsipasi  virus  dan  worm  adalah  :  

•  PrevenAf,   dapat   dengan   menginstal   anA   virus   dan   di-­‐update   secara     berkala,  melakukan  scan  atas  file  yang  akan  digunakan.  

•  DetekAf,  melakukan   scan   secara   ruAn  untuk  mendeteksi   adanya  virus  maupun  worm.  

•  KorekAf,  memasAkan  back  up  data  bebas  virus  dan  worm,  pemakaian  anA  virus  terhadap  file  yang  terinfeksi.  

PENGENDALIAN  APLIKASI  

Pengendalian  Aplikasi  (Applica-on  Control)  

•  Menurut   Ruppel   (2008,   hal.   537-­‐538)   applica5on   controls   help  ensure   the   completeness   and   accuracy   of   transac5on   processing,  authoriza5on,  and  validity  edit  checks,  numerical  sequence  checks,  and   manual   follow   up   of   the   excep5on   report   are   example   of  applica5on  controls.  

•  pengendalian   aplikasi   (appliac5on   controls)   adalah   sistem  pengendalian   intern   (internal   control)   pada   sistem   informasi  berbasis   teknologi   informasi   yang   berkaitan   dengan   pekerjaan/kegiatan/aplikasi   tertentu   (seAap   aplikasi   memiliki   karakterisAk  dan  kebutuhan  pengendalian  yang  berbeda).  

Contoh  Pengendalian  Aplikasi  

•  Pengendalian   aplikasi   disebut   juga   pengendalian  transaksi,   karena   didesain   berkaitan   dengan   transaksi  pada  aplikasi  tertentu.    

•  Misalnya  apabila  nasabah  akan  mengambil  uang  di  ATM,  setelah  memasukkan  kartu  akan  dimina  PIN,  atau  setelah  memasukkan   nilai   uang   yang   akan   diambil,   ATM   akan  mengecek  sapakah  saldo  cukup,  atau  jumlahnya  diijinkan  sesuai   dengan   mengecek   apakah   saldo   cukup,   atau  jumlahnya   diijinkan   sesuai   dengan   ketentuan   bank.  Pengendalian   berupa   PIN   dan   limit   pengambilan   uang  tersebut  hanya  berlaku  di  ATM,  Adak  berlaku  di  kegiatan  lain.  

Unsur  Pengendalian  Aplikasi  

•  Terdapat   beberapa   unsur   dalam   pengendalian   aplikasi,  pengendalian  aplikasi  pada  dasarnya  terdiri  dari  :  –  Pengendalian  batas  sistem  (boundary  controls)  –  Pengendalian  masukan  (input  controls)  –  Pengendalian  proses  pengolahan  data  (process  controls)  –  Pengendalian  keluaran  (output  controls)  –  Pengendalian  file/database  (file/database  controls)  –  Pengendalian   komunikasi   aplikasi   (communica5on  controls)  

•  Namun  yang  akan  dibahas  dalam  penulisan  skripsi  ini  melipuA  boundary  controls,  input  controls,  output  controls.  

Pengendalian  batas  sistem  (boundary  controls)  

•  boundary  adalah  interface  antara  users  dengan  sistem  berbasis  teknologi  informasi.  Tujuan  utama  boundary  controls  adalah  antara  lain  :  –  Untuk  mengenal  idenAtas  dan  otenAk/Adaknya  pemakai  sistem,  arAnya  suatu  sistem  yang  didesain  dengan  baik  seharusnya  dapat  mengidenAfikasi  dengan  tepat  siapa  users  tersebut,  dan  apakah  idenAtas  diri  yang  dipakainya  otenAk.  

–  Untuk  menjaga  agar  sumber  daya  sistem  informasi  digunakan  oleh  user  dengan  cara  yang  ditetapkan.  

•  Contoh  dari  pengendalian  batasan  :  –  Otoritas  akses  ke  sistem  aplikasi  –  IdenAtas  dan  otenAsitas  pengguna  

Pengendalian  masukan  (input  controls)  

•  Pengendalian   masukan   (input   controls)   dirancang   dengan  tujuan   untuk   mendapat   keyakinan   bahwa   data   transaksi  input  adalah  valid,  lengkap,  serta  bebas  dari  kesalahan  dan  penyalahgunaan.   Input   controls   ini   merupakan  pengendalian  aplikasi  yang  penAng  karena  input  yang  salah  akan  menyebabkan  output  juga  keliru.  

•  Mekanisme   masuknya   data   input   ke   sistem   dapat  dikategorikan  ke  dalam  dua  cara  yaitu  :  – Batch  system  (delayed  processing  systems)  – On   line   transac5on   processing   system   (pada   umumnya  bersifat  real  5me  system)  

Batch  system  (delayed  processing  systems)  

•  Pada   sistem   pengolahan   data   secara   batch   processing   system,   Aap   transaksi  (misalnya   formulir   sensus,  kartu  pencoblosan  pemilihan  ketua  umum,  atau  answer  sheet   ujian   calon   mahasiswa)   dibundel   dalam   jumlah     lembar   tertentu   untuk  direkam.   Demikian   pula   sistem   batch   dalam   siklus   akuntansi   keuangan   (book  keeping  untuk  mencatat  transaksi  ke  dalam  jurnal,  posAng  ke  buku  besar  dan  buku  pembantu,  serta  pengolahan  untuk  menghasilkan  laporan  keuangan)  dilakukan  Adak  pada   saat   transaksi   itu   terjadi.   Sistem   pengolahan   data   lebih   bersifat   back   office  system,  yaitu  semata-­‐mata  untuk  mengolah  data  dokumen-­‐dokumen  akuntansi  yang  transaksinya   sudah   lewat.   Jadi   pengolahan   datanya   tertunda   (delayed   processing).  Pada   sistem   batch   ini   orientasi   utamanya   adalah   sistem   pengolahan   data   (dahulu  disebut  sistem  pengolahan  data  elektronik,  electronic  data  processing,  EDP).  

•  Data   input   yang   akan   dimasukkan   ke   sistem   informasi   berbasis   teknologi   pada  hakikatnya   dapat   dikelompokan   dalam   Aga   tahapan,   yaitu   (1)   data   capture  (penangkapan   data,   pengisian   dokumen   sumber   atau   source   document),   (2)   data  prepara5on   (penyiapan   data   untuk   di   entry),   (3)   data   entry   (pemasukan   data)  merupakan   proses   merekam   atau   memasukan   data   ke   komputer,   suatu   proses  mengubah  data  ke  dalam  bentuk  yang  dapat  dibaca  oleh  mesin  (machine  readable  form).    

On  line  transac-on  processing  system  

•  On  line  transac5on  processing  system  (pada  umumnya  bersifat  real  5me  system)  •  Cara   pemrosesan   data   input   yang   lain   yang   lebih   lazim   pada   saat   ini   adalah  

dengan   online   transac5on   processing   system.   Pada   sistem   tersebut   data  masukan   dientri   dengan   worksta5on/terminal   atau   jenis   input   device   seperA  ATM  (automa5c  teller  machine)  dan  point  of  sales  (POS).  Meskipun  online  bisa  saja  dengan  memakai  pola  batch,   tetapi  biasanya  online  dikaitkan  dengan   real  5me   system,  arAnya  upda5ng  data  di   komputer  bersamaan  dengan   terjadinya  transaksi.  

•  Contoh  dari  pengendalian  input  :  –  Otoritas  dan  validasi  masukan  –  Transmisi  dan  konversi  data  –  Penanganan  kesalahan    

Pengendalian  keluaran  (output  controls)  

•  Pengendalian  keluaran  merupakan  pengendalian  yang  dilakukan  untuk  menjaga  output   sistem   agar   akurat,   lengkap,   dan   digunakan   sebagaimana   mesAnya.  Pengendalian   keluaran   (output   controls)   ini   didesain   untuk   menjamin   agar  output   /   informasi   dapat   disajikan   secara   akurat,   lengkap,   mutakhir,   dan  didistribusikan   kepada   orang-­‐orang   yang   berhak   (para   user)   secara   cepat   dan  tepat  waktu.  Yang  termasuk  pengendalian  keluaran  antara  lain  adalah  :  –  Rekonsiliasi  keluaran  dengan  masukan  dan  pengolahan    Rekonsiliasi  keluaran  dilakukan  dengan  cara  membandingkan  hasil  keluaran  dari  sistem  dengan  dokumen  asal.  

–  Penelaahan  dan  pengujian  hasil-­‐hasil  pengolahan     Pengendalian   ini   dilakukan   dengan   cara   melakukan   penelaahan,  pemeriksaan   dan   pengujian   terhadap   hasil-­‐hasil   pengolahan   dari   sistem.  Proses   penelaahan   dan   pengujian   ini   biasanya   dilakukan   oleh   atasan  langsung  pegawai.  

Pendistribusian  keluaran  

•  Pengendalian   ini   didesain   untuk   memasAkan  bahwa  keluaran  didistribusikan  kepada  pihak  yang  berhak,   dilakukan   secara   tepat  waktu   dan   hanya  k e l u a r a n   y a n g   d i p e r l u k an   s a j a   y a n g  didistribusikan.  

•  Contoh  dari  pengendalian  output  :  – Rekonsiliasi  keseluruhan  – Penelaahan  dan  pengujian  hasil  pengolahan  – Distribusi  keluaran  

Sifat-­‐Sifat  Pengendalian  Internal  

•  pengendalian  internal  digolongkan  dalam  preven5ve,  detec5on,  correc5ve  :  –  Preven5ve   control,   yaitu   pengendalian   internal   yang   dirancang   dengan  

maksud   untuk  mengurangi   kemungkinan   (atau  mencegah/menjaga   jangan  sampai   terjadi   kesalahan,   kekeliruan,   kelalaian,   error)   maupun  penyalahgunaan  (kecurangan,  fraud)  

–  Detec5on   control,   yaitu   pengendalian   yang   didisain   dengan   tujuan   agar  apabila  data  direkam  (di-­‐entry)/dikonfersi  dari  media  sumber  (media  input)  untuk   di   transfer   ke   sistem   komputer   dapat   dideteksi   apabila   terjadi  kesalahan  (maksudnya  Adak  sesuai  dengan  kriteria  yang  ditetapkan).  

–  Correc5ve  control,   ialah  pengendalian  yang  sifatnya  jika  terdapat  data  yang  sebenarnya   error   tetapi   Adak   terdeteksi   oleh   program   validasi,   harus   ada  prosedur   yang   jelas   tentang   bagaimana   melakukan   pembetulan   terhadap  data   yang   salah   dengan  maksud  untuk  mengurangi   kemungkinan   kerugian  atau  kesalahan/  penyalahgunaan  tersebut  sudah  benar-­‐benar  terjadi.  

Kelompok  Pegendalian  Internal  

•  Pengendalian   intern   dikelompokkan   dalam  pengendalian   yang   bersifat   wajib   (mandatory)  dan  yang  opsional  –  Jika  ada  peraturan  dari  pemerintah  DKI  bahwa  setelah  jam  24.00  ruang  ATM  harus  dikunci  dalam  rolling-­‐door  misalnya,  maka  ketentuan  tersebut  adalah  mandatory.  

–  Jika  ketentuan  pengamanan  ruang  ATM  tersebut  Adak  harus   dilakukan,   maka   termasuk   pengendalian   yang  bersifat  opsional.  

Ak5vitas  Pengendalian  

•  Menurut  Weygandt  (2011),  terdapat  enam  prinsip  akAvitas  pengendalian,  yaitu:  – Penetapan  tanggung  jawab  – Pembagian  tugas  – Prosedur  dokumentasi  – Pengendalian  fisik  – Verifikasi  internal  yang  dilakukan  secara  independen  – Pengendalian  sumber  daya  manusia  

Fungsi  Internal  Auditor  •  seorang  auditor  TI    sebaiknya    ampu  melakukan  pekerjaan-­‐pekerjaan  sebagai  berikut:  

–  Mengevaluasi   pengendalian   atas   aplikasi-­‐aplikasi   tertentu,   yang  mencakup   analisis  terhadap   risiko   dan   pengendalian   atas   aplikasi-­‐aplikasi   seperA   e-­‐business,   sistem  perencanaan  sumber  daya  perusahaan.  

–  Memberikan   asersi   (assurance)   atas   proses-­‐proses   tertentu,   seperA   audit   dengan  prosedur-­‐prosedur   tertentu   yang   disepakaA   bersama   dengan   auditee   mengenai  lingkup  asersi.  

–  Memberikan  asersi  atas  akAfitas  pengolahan  data  pihak  keAga  dengan  tujuan  untuk  memberikan   asersi   bagi   pihak   lain   yang   memerlukan   informasi   mengenai   akAfitas  pengendalian  data  yang  dilakukan  oleh  pihak  keAga  tersebut.  

–  Pengujian   penetrasi,   yaitu   upaya   untuk   mengakses   sumber   daya   informasi   guna  menemukan  kelemahan-­‐kelemahan  yang  ada  dalam  pengolahan  data  tersebut.  

–  Memberikan  dukungan  atas  pekerjaan  audit  keuangan  yang  mencakup  evaluasi  atas  risiko  dan  pengendalian  TI  yang  dapat  mempengaruhi  kehandalan  sistem  pelaporan  keuangan.  

–  Mencari   kecurangan   yang   berbasis   TI,   yaitu   menginvesAgasi   catatan-­‐catatan  komputer  dalam  invesAgasi  kecurangan.  

Audit Sistem Informasi

•  Meliputi: – Tata kelola teknologi informasi secara menyeluruh – Audit pengembangan sistem informasi (SDLC),

satu jenis aplikasi tertentu

Audit Sistem Informasi – Sejarah Awal

•  Di America –  Univac – Komputer yang digunakan untuk sensus –  1959 – komputer digunakan untuk pembukuan –  IBM360 – mainframe untuk kebutuhan akuntansi

•  Muncul istilah audit arround computer –  EEDPAA – electronic data processing auditors association lahir

tahun 1969 •  Mengeluarkan control objective (sejak tahun 1994 disebut CobIT) •  Dianggap sebagai international set of generally accepted IT

control objectives for day-to day use by business managers, users of it and IS auditors

Audit Sistem Informasi

•  Perlu dilakukan untuk memeriksa tingkat kematangan atau kesiapan suatu organisasi dalam melakukan pengelolaan teknologi informasi

•  Level of maturity dapat dilihat dari awareness dari para stake holder – Karenanya sebuah penerapan IT harus melalui

tahapan perencanaan yang baik.

Kebutuhan Audit Sistem Informasi

•  General Financial Audit –  Audit objective sesuai dengan standar akuntansi keuangan –  Referensi model adalah COSO (committee of sponsoring

Organization) •  IT Governance

–  Audit operasional terhadap manajemen pengelolaan sumberdaya informasi

–  Aspek-aspek:efektifitas, efesiensi, data integrity, save guarding asset, reliability, confidentiallity, availability, security.

Audit Sistem Informasi – IT Governance

•  Selain dapat dilakukan untuk sistem secara menyeluruh, dapat juga dilakukan terhadap: –  General information review

•  Audit terhadap sistem informasi –  Quality Assurance

•  Auditor (bukan anggota tim pengembang), membantu meningkatkan kualitas dari sistem. Auditor mewakili pimpinan proyek.

–  Postimplementation Audit •  Apakah sistem perlu dimutakhirkan atau diperbaiki atau

dihentikan. •  Istilah audit arround dan audit through the computer tidak berlaku

lagi pada audit jenis ini

Audit Sistem Informasi

•  Karena yang diaudit ialah tata kelola TI, maka yang diperiksa adalah TI itu sendiri – Karena itu istilah audit arround the computer dan

audit through the computer tidak relevan lagi •  Audit TI/SI tidak bersifat wajib

– Adanya aktifitas TI merupakan bentuk kesadaran dari pihak manajemen

Audit Sistem Informasi - Faktor

•  Mendeteksi apakah komputer dikelola secara kurang terarah – Tidak ada visi, misi, perencanaan teknologi

informasi, tidak ada pelatihan •  Mendeteksi resiko kehilangan data •  Mendeteksi resiko informasi yang tidak

akurat, berdasarkan data yang salah. •  Menjaga aset •  Mendeteksi error komputer

Audit Sistem Informasi – Faktor (2)

•  Mendeteksi resiko penyalahgunaan komputer •  Menjaga kerahasiaan •  Meningkatkan pengendalian evolusi

penggunaan komputer/perkembangan ke depan

Pengelolaan TI – Level of Maturity

•  Non Existence – Tahap awal, komputerisasi dilakukan secara

alamiah, tidak ada metodologi •  Initial

– Ada kegiatan penyusunan sistem yang terarah, masih bersifat ad hoc

•  Repeatable – Sudah menemukan pola pengembangan yang

terarah, berjalan dengan pola yang sama.

Pengelolaan TI – Level of Maturity (2)

•  Defined – Seluruh proses telah didokumentasikan dan telah

dikomunikasikan dan dilaksanakan berdasarkan suatu metoda tertentu

•  Managed – Proses komputerisasi telah dapat diukur dan

dimonitor. •  Optimized

– Best Practices telah diikuti dan diotomatisasi pada sistem.

Audit SI – Ukuran Nilai

•  Strategic Alignment – Apakah penerapan TI sudah sesuai dengan yang

diaharapkan, apakah sudah sesuai kebutuhan

•  Value Delivery – Komputerisasi bukan hanya untuk memenuhi

kebutuhan tapi juga sudah dimaksudkan untuk memberikan nilai tambah, ex: penghematan biaya, meningkatkan kinerja.

Audit SI – Ukuran Nilai (2)

•  Risk Management – Sudah ada penaksiran resiko, ada jaminan

kelangsungan operasi.

•  Resources Management – Pengelolaan sumber daya, termasuk

pengembangan pengetahuan sudah dilakukan secara efesien

Standar Audit SI

•  Standar Atestasi dan standar pemeriksaan akuntan (IAI)

•  ISACA – standards, guidelines, and procedures – Secara teknis mengacu kepada guidelines dan

prosedur yang diatur dalam CObIT: •  CObIT executive summary, CObIT framework, CObIT

Control Objectives, CObIT Control Practice, CObIT Management Guidelines, CObIT Security Baseline