Anda di halaman 1dari 20

PENGENDALIAN UMUM DAN PENGENDALIAN APLIKASI

FERIK YUNARKO (08)


8D AKUNTANSI REGULER STAN
144060005787
1. PENDAHULUAN
Audit Sistem Informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik
organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi
secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000).
Pada dasarnya, Audit Sistem Informasi dibedakan menjadi dua kategori, yaitu:
1. Pengendalian Umum (General Control)
Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam
sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang
digunakan untuk melakukan pemrosesan data.
2. Pengendalian Aplikasi (Application Control)
Tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input
secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang
memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya,
pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum
memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.
2. PROGRAM KERJA AUDIT PENGENDALIAN UMUM
2.1. Audit Pengendalian Pucuk Pimpinan
a. Planning
Teliti apakah ada perencanaan yang baik tentang dukungan yang akan diberikan unit
sisfo ke unit-unit lain pada perusahaan/organisasi tersebut.
Teliti apakah sudah ada panduan bagaimana unit Sisfo mengelola sumber daya
informasi yang dimiliki secara optimal, efektif, efisien, dan ekonomis.
Teliti bagaimana manajemen akan mengalokasikan sumber daya informasi (computer
hardware, software, facilities, network, dan information systems brainware,
data/database) seoptimal mungkin.
b. Organizing

Cek bagaimana manajemen melakukan koordinasi agar dengan sumber daya yang ada
dapat memberikan jasa informasi dalam services level yang memadai.
Teliti apakah ada konsep organizing yang jelas, apakah unit sisfo hanya unit teknis saja
atau merupakan bagian penting organisasi (ada CIO di direksi).
Cek apakah ada pemisahan tugas/fungsi bagian sistem (pengolahan data) berbasis
komputer dan pemakai atau struktur organisasi unit fungsional sistem informasi itu
sendiri.
Bagian Aplikasi (terdiri dari para sistem analis dan programmer)
Bagian Produksi (terdiri dari para operator yang secara langsung menjalankan
operasional komputer)
Bagian Dukungan Teknis (terdiri dari para spesialis operating systems, ahli database,
ahli komuniksi data).
Unit fungsional pengguna jasa informasi (user). Di lingkungan user itupun juga perlu
diperjelas yang mana merupakan fungsi otorisasi, fungsi akuntabilitas, dan fungsi
pelaksanaan olperasional.
Teliti bagan organisasi, khususnya unit sisfo dan pemakai (users).
Teliti uraikan tugas (job description) staf unit sisfo dan pemakai untuk memastikan
kelayakan adanya pemisahan tugas dan fungsi.
Amati pelaksanaan penanganan kesalahan yang mencakup persiapam, penelitian, dan
distribusi daftar kesalahan,
Lakukan wawancara dengan pimpinan dan staf unit sisfo untuk menentukan tingkat
efektivitas supervisi manajemen.
Teliti laporan manajemen, hasil studi, dan evaluasi yang ada mengenai proses
penanganan kesalahaannya.
Siapkan bagan arus sistem untuk setiap siklus transaksi dan teliti pemisahan dan
penggabungan fungsi.
Teliti pelaksanaan rekonsiliasi kontrol jumlah menurut pihak di luar sistem (pengolahan
data) berbasis komputer dengan jumlah hasil komputer. Lakukan pengujian terhadap
rekonsiliasi tersebut untuk memastikan bahwa pengendalian telah dilaksanakan secara
efektif.
Teliti dan uji pengendalian: adakah persetujuan jika ada master file update, teliti status
master file setelah pengolahan, teliti pengendalian terprogram, dan ujikelayakannya
untuk menentukan apakah pelaksanaan sudah sesuai spesifikasi.
Dapatkan bagan organisasi sistem (pengolahan data) berbasis komputer untuk
menentukan bahwa fungsi systems analyst, programmer, operator, librarian, dan
control clerk dipisahkan,
Teliti dan uji jabatan dan uraian tugas dari dari personil kunci dalam sistem (pengolahan
data) berbasis komputer, yang mencakup system analyst, programmer, operator,

librarian, dan control clerk, untuk memastikan bahwa yang bersangkutan melaksanakan
fungsinya masing-masing,
Amati operasi sistem (pengolahan data) berbasis komputer untuk meyakinkan bahwa
system analysts dan programmer memiliki akses yang terbatas terhadap perangkat
keras, file, maupun program komputer,
Amati pelaksanaan fungsi librarian, teliti buku harian library untuk meyakinkan bahwa
catatan dipelihara secara konsisten, dan pastikan hanya personil yang berwenang yang
diijinkan untuk memindahkan transaction file dan master file serta dokumentasi
program,
Teliti dokumentasi rancangan sistem untuk menentukan apakah:
sistem tersebut telah dibuat dalam bentuk modul,
analisis sistem berbeda dengan perancang sistem untuk tiap modul
akses terhadap dokumentasi tiap modul dibatasi
Tanggungjawab pengendalian
Teliti uraian tertulis (manual, job description) mengenai tanggungjawab
pengendalian pada tiap tingkat struktur organisasi untuk meyakinkan apakah
penugasan sesuai dengan tanggung jawab masing-masing.
Teliti risalah-risalah yang ada, untuk meyakinkan bahwa tanggung jawab direksi atas
pengendalian sistem berbasis komputer telah dilaksanakan.
Teliti dokumentasi pengembangan dan pengoperasian sistem untuk melihat
kelayakan persetujuan manajemen (user).
Teliti laporan dan risalah-risalah mengenai pengendalian intern sistem (pengolahan
data) berbasis komputer,
Lakukan observasi ada/tidaknya kelompok pengendali di luar unit sisfo dan teliti
independensinya. Hal ini dapat dilihat dengan ada/tidaknya permintaan revisi
terhadap spesifikasi program, permintaan perubahan program, tanggapan tertulis
dari kelompok pengendali, dan tindak lanjut sistem (pengolahan data) berbasis
komputer terhadap rekomendasi tersebut.
Praktek kepegawaian
Teliti prosedur penerimaan dan penilaian pegawai apakah telah dilakukan dengan
baik (tidak ada KKN), dan kemampuan pegawai secara umum.
Teliti jadwal kegiatan pegawai, apakah diberi tugas yang tepat dan apakah dirotasi
secara berkala,
Teliti apakah terdapat program pelatihan pegawai untuk peningkatan kemampuan
staf sistem (pengolahan data) berbasis komputer,
Teliti mutasi, promosi, dan pemberhentian untuk meyakinkan bahwa perubahan
terswbut telah sesuai dengan kebijaksanaan yang berlaku dan tidak mengurangi
pengendalian,

Kebijakan personil pada suatu unit organisasi sistem informasi sudah tentu berbeda
dengan unit yang lain. Pada suatu instalasi komputer, terdapat tipe pegawai
administratif (klerk), pegawai operasional (para operator), serta knowledge
worker/professional (sistem analis, programmer, dan lainnya). Teliti apakah ada
perencanaan pegawai, pola karier, program pendidikan dan pelatihan
teknis/manajerial perlu sungguh sungguh diperhatikan.
c. Actuating
Apakah pucuk pimpinan memberikan arahan yang kongkrit, leading dalam bentuk
memberikan pelatihan, pembinaan, mendorong motivasi, dan sebagainya sehingga
personil knowledge worker, pegawai profesional yang mempunyai karakeristik spesifik
yang ada dapat bekerja sebaik-baiknya.
d. Controlling
Bagaimana mekanisme pengawasan oleh pucuk pimpinan dalam arti memonitor apakah
kinerja atau realisasi pelaksanaan kegiatan menyimpang, favourable ataukah unfavourable bila dibandingkan dengan yang telah direncanakan.
2.2. Audit Manajemen Pengembangan Sistem
Materi yang tercakup dalam manajemen pengemangan sistem aplikasi computer mencakup
antara lain: a). Prosedur Pengembangan (Procedures Development), b). Tes Kelayakan
(Acceptance Testing), c). Konversi (Conversion), d). Operasi dan Perawatan (Operation and
Maintenance), e). Standardisasi (Methods standards, Performance standards, Documentation
standards, Project-control standards, Post-audit standards)
a. Teliti buku petunjuk prosedur tetap pengembangan sistem untuk menentukan adanya
kebijaksanaan dan pedoman.
b. Teliti buku petunjuk prosedur untuk menentukan apakan standar secara keseluruhan
cukup lengkap.
c. Evaluasi kecermatan dan kelengkapan buku petunjuk tersebut, dan yakinkan bahwa
petunjuk dimutakhirkan secara kontinyu.
d. Teliti dokumentasi pengembangan sistem untuk menentukan apakah telah sesuai
dengan prosedur.
e. Lakukan wawancara dengan manajemen, pengembangan sistem, dan pemakai
sehubungan dengan kecukupan prosedur pengembangan sistem.
f. Teliti standarisasi pemograman.
g. Teliti bagan arus, tabel keputusan, dan pengkodean yang dipilih untuk membuktikan
bahwa standar pemograman dan prosedur telah diikuti.
h. Lakukan wawancara dengan pemakai untuk mengetahui tingkat partisipasi mereka
dalam proses pengembangan sistem.

i.

j.
k.
l.
m.
n.
o.
p.
q.
r.
s.
t.
u.
v.
w.
x.
y.
z.

Teliti dokumen dan persetujuan untuk membuktikan bahwa pemakai benar-benar


memahami sistem (mengerti mengenai input, prosedur pengolahan, pengendalian, dan
keluaran sistem).
Teliti kertas kerja quality assurance untuk menentukan keterlibatannya dalam proses
pengembangan sistem.
Teliti standar pengujian sistem untuk menentukan kelengkapannya.
Lakukan wawancara dengan staf auditor intern dan pemakai untuk menentukan
keterlibatan mereka dalam pengujian sistem.
Teliti data yang diuiji dan output yang dihasilkan sistem baru, untuk meyakinkan apakah
pengujian tersebut cukup lengkap.
Teliti hasil program dan rangkaian pengujian sistem, yang mencakup bagan arus dan
analisis logika, untuk meyakinkan bahwa logika program benar.
Teliti hasil pengujian sistem terhadap data yang salah dan yang benar untuk meyakinkan
bahwa sistem telah di uji secara layak.
Teliti prosedur rekonsiliasi output menurut pilot testing dengan output menurut parallel
testing.
Teliti hasil rekonsiliasi untuk meyakinkan bahwa perbedaan yang ada telah dikoreksi
oleh pengembangan sistem.
Teliti rencana konversi data dari satu sistem ke sistem yang lain untuk menentukan
apakah rencana tersebut cukup menjamin bahwa data dalam file baru tidak berubah.
Teliti laporan ketidaksesuaian untuk pembuktian adanya koreksi yang layak dari
kesalahan yang terjadi.
Lakukan pengujian terhadap konversi file dengan cara menelusuri data yang tercatat
dari file semula ke file baru dan sebaliknya.
Teliti laporan akhir mengenai penelaahan implementasi sistem dari tim penguji.
Lakukan wawancara dengan operator komputer dan pengembangan sistem untuk
menentukan kebijaksanaan dan prosedur apa yang mengatur perubahan program.
Teliti dokumentasi atas perubahan program yang dipilih untuk menentukan apakah
kebijaksanaan dan prosedur telah diikuti.
Teliti dokumentasi atas perubahan program untuk menentukan apakah perubahan
tersebut telah disetujui.
Teliti hasil pengujian yang dilakukan terhadap program yang dimodifikasi untuk
mengetahui bahwa modifikasi program telah dibuat secarda benar.
Bandingkan kode sumber pada program semula dengan kode sumber pada program
yang telah dimodifikasi, untuk menentukan bahwa modifikasi telah disetujui, jika
perubahan program tersebut menimbulkan implikasi pengendalian yang penting.

aa. Pilih program aplikasi yang tidak ada dokumentasi perubahannya, bandingkan kode
program yang ada sekarang dengan kode program yang sama tahun sebelunmya untuk
meyakinkan bahwa memang benar-benar tidak ada perubahan program.
bb. Teliti apakah dokumentasi sistem cukup lengkap.
Dokumentasi sistem meliputi: proposal sistem, prosedur fungsional sistem
komputerisasi (functional specification), spesifikasi sistem komputerisasi (system
specification),
Dokumentasi program dan data tes (program specification), dokumentasi data (data
dictionary), manual operasional sistem komputerisasi (user manual). Dokumentasi
program yang sebaiknya ada: program flowchart, decision table, Copy source program,
listing parameter, penjelasan naratif tentang program (narrative description).
Dokumentasi harus dapat berfungsi sebagai: dasar untuk komunikasi antar teknisi
ataupun teknisi dengan user, sumber pengendalian (akuntansi), dan sebagai Roadmap
bagi auditing.
cc. Teliti kebijakan peranan auditor (quality assurance) pada pengembangan sistem dan
dasar pemikiran akan pentingnya keterlibatan quality assurance tersebut.
dd. Teliti apakah dalam pengendalian pengembangan sistem sudah ditetapkan prosedur
standard tertulis proses pengembangan sistem, metodologi formal yang baku (tertulis),
standard manajemen proyek pengembangan aplikasi (development team), peranan
steering-committee, user, team, supporting unit, apakah manajer proyek aplikasi
ditangani oleh teknisi komputer atau dari mpihak user.
ee. Teliti mengenai prosedur dan konvensi pemrograman:
Apakah diadakan standar dalam programming, antara lain programming structures.
Pendekatan pemrogram per tim atau individu programmer.
Terstruktur atau tidak atau object oriented programming
Kebijakan bahasa program (programming language).
Konvensi dalam naming, indentation, paragraph-number
Standard dokumentasi, testing, data generation, diagram/chart.
Software aid yang disediakan.
Fasilitas penggunaan library, function, pre-written moduls.
ff. Teliti apakah prosedur tes keandalan pengembangan sistem sudah memadai, adakah:
Pengujian Program (program testing)
String test.
System test.
Pilot test.
Parallel run/ test.
Pengesahan atau acceptance test.

Tinjauan pada post implementasi, pola monitor, pelaporan dan evaluasi (perlu
maintenance team)
Pengendalian perubahan program (program change request)

2.3. Audit Pengendalian Manajemen Sumber Data


Hal-hal yang perlu diaudit dalam kaitannya dengan manajemen sumber data ini ialah antara
lain:
a. Teliti apakah para user dapat membagi data (data sharing among users).
b. Teliti apakah ada fungsi Data Administrator (DA) yang bertugas menangani administrasi
dan kebijakan mengenai data design (user perspective).
c. Teliti apakah ada fungsi DataBase Administrator (DBA) yang bertugas menangani
masalah teknik pengelolaan sumber data.
d. Teliti apakah DA dan DBA dapat berfungsi sebagai media penengah saat konflik
meningkat dalam lingkungan data yang dibagi (Shared Data).
e. Teliti kebijaksanaan akses database (access controls).
f. Teliti kebijaksanaan/ketersediaan Data dictionary/directory, system file handling
controls serta file handling controls, Audit-trail, Trigger policy.
g. Teliti kebijakan tentang pola update antar lokasi, database induk, apakah pemutakhiran
data dilakukan secara lokal dengan file transaksi atau langsung ke master-file di
computer induk (server) pada komputer lokal hanya ada alamat untuk proses updating
saja (server address), dan lainnya.
h. Teliti mengenai file handling controls
i. Teliti mekanisme existence controls
Grandfather, father, son strategy
Dual recording mirroring strategy
Dumping
Logging
Resedual dumping
Differential files/shadow paging
2.4. Audit Pengendalian Manajemen Mutu
Kebijakan tentang quality assurance ini menyangkut masalah kepedulian dan komitmen
pimpinan terhadap aspek mutu atau kualitas jasa informasi yang mereka berikan kepada para
penggunanya. Jadi sistem komputerisasi yang dibangun untuk para user harus benar-benar
sesuai dengan kebutuhan mereka. Pembangunan sistem komputerisasi yang baik, berkaitan
dengan segala hal yang mencakup kegiatan pengembangan sistem, implementasi,
pengoperasian, dan perawatan sistem aplikasi, perlu diteliti:

a. apakah kegiatan-kegiatan tersebut sungguh-sungguh telah dilakukan sesuai dengan


kaidah standar yang telah ditetapkan, dan apakah (sistem) informasi yang akan
dihasilkan dapat mencapai tujuan serta sasaran hasil dan mutu yang dikehendaki.
b. Teliti apakah pengguna (user) makin menuntut (demanding) bahwa jasa yang mereka
terima harus memenuhi mutu tertentu yang sesuai dengan satisfaction level tertentu.
c. Teliti apakah ada unit yang bertanggungjawab dan memonitor defect product.
d. Teliti apakah ada mekanisme untuk menemonitor apakah service agar user satisfied
terhadap produk/jasa sistem informasi telah dikelola dengan baik.
e. Teliti apakah para pimpinan organisasi makin menyadari untuk lebih menggalakkan
fungsi quality assurance, mengembangkan budaya mutu, khususnya membantu
kesadaran mutu dan bagaimana menetapkan sasaran kualitas ke anggota development
team.
f. Teliti apakah pimpinan (atau unit yang ditugasi) telah menetapkan, mengelola, dan
mensosialisasikan standar, khususnya yang berkaitan dengan sistem informasi.
g. Teliti apakah pimpinan (atau unit yang ditugasi) memonitor apakah standar sudah
dipatuhi.
h. Teliti apakah pimpinan atau unit yang ditugasi mengkaji bidang-bidang yang perlu
perbaikan, terutama yang berkaitan dengan masalah kualitas.
i. Teliti apakah pimpinan atau unit yang ditugasi memberikan pelatihan-pelatihan tentang
peningkatan mutu produk/jasa.
2.5. Audit Pengendalian Manajemen Keamanan
Dalam rencana kerja audit terhadap pengendalian keamanan, perlu dilakukan hal-hal sebagai
berikut:
a. Teliti security management controls, apakah sudah ada kebijakan pengamanan
terhadap:
Ancaman kebakaran
Ancaman banjir
Perubahan tegangan sumber energi
Kerusakan struktural dan pengamanan untuk mengantisipasi kerusakan structural
misalnya memilih lokasi perusahaan yang jarang terjadi gempa dan angin ribut.
Polusi
Penyusup
Virus, apakah ada preventif, seperti menginstall anti virus dan mengupdate secara rutin,
melakukan scan file yang akan digunakan. Atau secara detektif, melakukan scan secara
rutin, atau korektif, memastikan backup data bebas virus, pemakaian antivirus terhadap
file yang terinfeksi.

b.

c.
d.
e.
f.
g.
h.
i.
j.
k.

Hacking.
Pengendalian keamanan fisik.
Pengendalian keamanan data dan fasilitas pengolahan.
Adanya data-log, file-protection, access restriction, back-up & recovery.
Teliti mengenai security management controls atas data communication, apakah sudah
ada kebijakan pengamanan:
Facilities security controls
Library controls
On-line access controls
Controls deteksi atas kegagalan sistem pengamanan
Recovery dari kegagalan sistem Pengamanan
Devices, Remote terminal, channels, multiplexor, control unit
Concepts, Modulasi, transmission mode, direction
Online real-time system
Distributed Data Processing
Networking
Security Protection
Self Protection
Dapatkan informasi dari manajemen mengenai penggunaan fasilitas pengamanan,
library, dan pengendalian pengamanan sistem on-line,
Teliti master security plan untuk menentukan kecukupan dan kelengkapan pengendalian
pengamanan sistem,
Teliti hasil pengujian pengendalian pengamanan sistem dan periksa penilaian
manajemen atas hasil pengujian tersebut,
Amati fasilitas pengamanan sistem untuk memastikan cara kerja pengendaliam akses
siste, konstruksi, dan lokasi seperti yang ditetapkan oleh manajemen,
Amati library untuk menentukan apakah prosedur pembatasan akses program,
dokumen, dan file selama digunakan telah efektif,
Amati lokasi terminal komputer untuk memastikan bahwa akses ke dalam sistem telah
terlindung secara efektif,
Teliti wewenang akses ke dalam sistem untuk menentukan apakah konsistensi dengan
pemisahan fungsi dan dapat menjaga kerahasiaan data,
Teliti metoda pengindentifikasi pemakai untuk menentukan apakah hanya pemakai yang
berwenang yang dapat menggunakan sistem,
Teliti metoda pengendalian komunikasi akses data untuk meyakinkan bahwa akses oleh
penyadap kecil kemungkinannya,

l.
m.

n.

o.
p.
q.
r.
s.

t.

u.
v.
w.
x.

Pelajari laporan auditor intern mengenai pengendalian pengamanan sistem dan Teliti
simpulan mereka atas kecukupan pengendalian,
Dapatkan informasi dari manajemen mengenai jenis dan lokasi peralatan pemadam
kebakaran, dan pastikan adanya prosedur yang harus diikuti oleh staf sistem
(pengolahan data) berbasis komputer jika terjadi bahaya kebakaran,
Dapatkan informasi dari manajemen mengenai peralatan untuk mendeteksi akses ke
ruang komputer yang dilakukan tanpa ijin, dan pastikan adanya prosedur yang harus
diikuti ketika akses tanpa ijin terdeteksi,
Amati fasilitas pengamanan sistem untuk memastikan keberadaan, jumlah, dan lokasi
peralatan pendeteksi akses komputer,
Teliti hasil pengujian pengamanan sistem untuk menentukan kecukupan peralatan
deteksi akses komputer,
Dapatkan informsi dari manajemen mengenai alat untuk memastikan otentik tidaknya
penggunaan sistem on-line,
Teliti daftar pengguna komputer dan periksa catatan mengenai pendeteksian dan tindak
lanjut dari kegagalan pengamanan sistem,
Teliti prosedur darurat mengenai penggunaan sistem off-line selama adanya kegagalan
sistem on-line untuk memastikan bahwa pengendalian terhadap ketepatan dan
kelengkapan transaksi sudah memadai,
Diskusikan dengan data entry operator mengenai prosedur darurat tersebut untuk
meyakini bahwa mereka telah mengerti prosedur tersebut dan pengendalian yang
terkait,
Periksa tata cara pemulihan untuk memastikan apakah manajemen telah mengantisipasi
seluruh kemungkinan risiko pengamanan,
Teliti hasil pengujian atas rencana pengamanan untuk memastikan bahwa rencana
tersebut benar-benar meminimalkan kemungkinan kehilangan data dan kerigian materi,
Amati library dan periksa adanya back-up master file dan back-up transaction file untuk
memastikan bahwa prosedur pemulihan data telah diikuti.
Teliti mengenai kebijakan pengendalian akhir apabila ancaman keamanan benar-benar
telah terjadi, pengendalian akhir apa yang dilaksanakan:
Teliti pedoman rencana pemulihan menjadi keadaan normal setelah terjadi bencana:
Rencana Darurat (Emergency Plan)
Rencana Backup (Backup Plan)
Rencana Pemulihan (Recovery Plan)
Rencana Pengujian (Test Plan)
Apakah ada kebijaksanaan asuransi
Pengaturan adanya peralatan komputer dan peralatan lainnya sabagai cadangan (backup-site), jika terjadi masalah pada perlatanyang diopersikan. Dimana pun peralatan

komputer cadangan berada, cadangan tersebut harus diuji coba secara berkala untuk
menjalankan program komputer yang ada,
Pengaturan dan penempatan perangkat lunak cadangan dan dokumentasinya di lokasi
yang berbeda.Perngkat lunak cadangan harus selalu di mutakhirkan untuk menjamin
tidak ada perbedaan dengan program yang dioperasikan,
Perbaikan data yang memungkinkan recovery master file, dan transaction file,
Pengaturan pegawai yang bertanggungjawab untuk menangani masalah yang terjadi.

2.6. Audit Pengendalian Manajemen Operasi


Hal-hal yang perlu diperiksa dalam kaitannya dengan audit pengendalian manajemen operasi
adalah sebagai berikut:
a. Teliti buku petunjuk sistem dan prosedur operasi untuk menentukan kecukupan dan
kelengkapannya,
b. Amati kegiatan operator komputer untuk menentukan apakah mereka menaati
prosedur operasi tetap mengenai pengoperasian peralatan yang bersangkutan,
c. Amati prosedur penataan dan kerapihan ruang komputer untuk menghindari
kemungkinan kehilangan/ kerusakan perangkat keras maupun perangkat lunak.
d. Amati apakah sudah ada ketentuan fungsi-fungsi yang harus dilakukan operator
komputer maupun fasilitas operasi otomatis.
e. Amati apakah sudah ada penjadwalan kerja pada pemakaian hardware/software.
f. Amati apakah sudah ada pedoman perawatan hardware, apakah dapat berjalan baik.
g. Tanyakan apakah sudah ada pengendalian perangkat keras berupa hardware controls
dari produsen untuk deteksi hardaware malfunction :
Redundant Character Check
Duplicate Process Check
Echo Check
Equipment Check
Validity Check
Operational Controls
Controls dan Equipment Cross Reference
Pengendalian Software
Handling Errors
Program Protection
File Protection
Controls and System Complexity Cross Reference
h. Amati apakah sudah ada pedoman pengoperasian Jaringan (Network Operation).
Pengendalian yang dilakukan ialah seperti memonitor dan memelihara jaringan dan

pencegahan terhadap akses oleh pihak yang tidak bewenang. Pengendalian sistem
komunikasi data antara lain ialah:
Jalur komunikasi (kabel coaxial, satelit, microwave)
Hardware (ports, modem, concentrator)
Cryptology (dalam komunikasi data disebut encryption)
Software komunikasi (firewall)
i. Teliti apakah ada petunjuk Persiapan dan pengentrian Data (Preparation and Entry
Data)
j. Teliti apakah sudah ada Pengendalian Produksi (Production Control), antara lain tentang:
Penerimaan dan pengiriman input dan output.
Penjadwalan kerja.
Manajemen pelayanan.
Peningkatan pemanfaatan komputer.
k. Teliti apakah sudah ada Standard operating procedures (SOP), antara lain tentang:
Penjadwalan kerja pengoperasian komputer
Sasaran kinerja komputer (computer performance, computer time, utilization,response
time. dan sebagainya)
Prosedur Job Run
Console Log
Staff Time Record
File Control Standard
Prosedur pengawasan dan hal-al tak terduga
l. Perangkat keras
Dapatkan informasi mengenai buatan, model, ukuran, dan nomor seri komputer dan
perangkat keras lainnya,
Teliti brosur penjual atau dokumentasi lain untuk menentukan apakah ada pengendalian
perangkat keras,
Dapatkan informasi dari manajemen dan staf unit sisfo apakah pengendalian yang ada
telah dimanfaatkan,
Jika pengendalian intern tidak dimanfaatkan, diskusikan denga manajemen untuk
menentukan pengaruhnya terhadap struktur pengendalian intern,
Evaluasi efektivitas pengendalian perangkat keras,jika perlu gunakan bantuan tenaga
teknis,
Teliti dokumentasi operasi untuk menentukan kecukupan prosedur penaganan
kesalahan operator, pengendalian, media, dan pemulihan,
Teliti kontrak pemeliharaan perangkat keras, untuk menentukan apakah pemeliharaan
preventif dan perbaikan telah diatur di dalamnya.

m. Pengendalian perangkat lunak


Dapatkan informasi dari manajemen mengenai perangkat lunak yang digunakan dan
nama penjualnya termasuk sistem operasi dan pemanfaatannya, untuk mengetahui
pengaruhnya terhadap struktur pengendalian intern,
Dapatkan informasi dari manajemen mengenai pengendalian perangkat lunak yang
digunakan,
Jika pengendalian tidak digunakan, diskusikan dengan manajeman mengenai
pengaruhnya terhadap struktur pengendalian intern,
Dapatkan informasi mengenai pengendalian atas penggunaan system modification
utilities untuk mayakinkan bahwa pengoperasian sistem sudah memadai,
Teliti daftar pemakaian komputer serta laporan aktivitas pemakaian dan perubahan
perangkat lunak yang tidak diotoritaskan,
Evaluasi efektivitas pengendalian perangkat lunak, jika perlu manfaatkan bantuan
tenaga teknis komputer.
3. PROGRAM KERJA AUDIT PENGENDALIAN APLIKASI
3.1. Boundary Controls
Pengendalian batas-batas sistem aplikasi (boundary controls) ialah bahwa dalam suatu sistem
aplikasi komputer perlu jelas desainnya, mencakup hal-hal:
a. Apakah ruang lingkup sistem aplikasi dan hubungan antar-muka (interface) cukup jelas.
b. Amati apakah tiap sistem komputerisasi sudah jelas ruang-lingkupnya: apa dokumen
inputnya, dari mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya
(user), siapa sponsornya (pemegang kewenangan), subsistem dan keterkaitannya.
c. Teliti apakah tiap sistem aplikasi telah jelas subsistem-subsistem atau modul-modulnya.
d. Teliti apakah sudah ada Audit Trail Controls in Boundary Environment:
Identify of the would be user of the system
Authentication information supplied
Resources requested
Action priveledge requested
Terminal identifier
Start anfd finish time
Number of sign-on attempts
Resources provide/denied
Action priviledge allowed/denie.
e. Teliti apakah Audit Trail Controls tersebut sudah benar-benar dijalankan dan apakah
secara periodik telah direview.

f. Dibuat laporan series mengnai nasabah/pelanggan tertentu


g. Dikaji apakah ada transaksi yang ada indikasi ubnormal
h. Amati apakah ada hal-hal yang mencolok, misalnya perbedaan signifikan antara current
behavior dengan pas behavior.
i. Teliti penggunaan komputer, misalnya apakah start-finish time dapat dianalisa
mengenai kewajaran penggunaan computer time, dan sebagainya.
3.2. Audit Pengendalian Input
3.2.1. Batch data entry
Input merupakan salah satu tahap sistem komputerisasi yang paling krusial, karena itu:
3.2.1.1. Bersifat Prevention Objective
a. Apakah sudah dibuat pedoman kerja sehingga secara preventif dapat mengurangi
kemungkinan data transaksi yang ditulis oleh pelaku transaksi salah (error).
b. Apakah sudah disiapkan manual (buku pedoman kerja/prosedur tertulis) untuk caracara mengisi doukmen input/worksheet/memasukkan data ke file komputer.
c. Apakah sudah dilakukan pelatihan bagi para pengguna, para pengisi dokumen, petugas
input, atau operatornya secara memadai.
d. Evaluasi apakah letak/ lingkungan/ warna dan bentuk layar perekaman cukup baik
sehingga tidak melelahkan pertugas atau cenderung membuat kesalahan.
e. Teliti adakah faktor-faktor yang menentukan kenyaman perekaman data dan
kekurangnyamanan yang dapat meningkatkan kesalahan yang disebabkan oleh
kejenuhan dan kelelahan.
f. desain formulir/ dokumen yang baik, jelas dan mudah pengisiannya, dan sebagainya.
g. Pengendalian lain mialnya ialah pembatasan access secara fisik (contoh ruang ATM),
identifikasi terminal dan operatornya (password tertentu), proteksi dari fragmentasi.
h. Teliti apakah pada tahap Batch Data Preparation (tahap persiapan-persiapan sebelum
perekaman), sudah dibuat pedoman editing kode atau isian-isian nomor tertentu, dan
pembundelan (batching), apakah pada waktu batching dibuat total controls untuk
jumlah lembar dokumen, jumlah uang, dan sebagainya.
i. Apakah pada tahap batch Data Entry (tahap pemasukan data ke komputer), sudah ada
cek terprogram oleh peralatan input/terminal/mesin data entry system (mesin perekam
data yang kini sudah jarang digunakan, bahkan sudah tidak ada lagi).
j. Teliti prosedur tertulis mengenai pengendalian dan pengoperasian computer untuk
setiap aplikasi guna memastikan bahwa peng-input-an transaksi dapat diandalkan.

k. Teliti prosedur kegiatn pencatatan dan penyesuaian kontrol jumlah batch untuk
memastikan bahwa tidak ada transaksi yang dihilangkan, diduplikasi, atau diubah tanpa
terdeteksi.
l. Teliti pengujian validasi masukan untuk memastikan kecukupannya dalam pendeteksian
kesalahan transaksi yang diterima dari penyiap data, dan kesalahan yang terjadi selama
peng-input-an.
m. Teliti dokumentasi dan file untuk memastikan kecukupan audit trail.
3.2.1.2. Pengendalian Bersifat Detection Objective
a. Teliti apakah sudah ada validasi terprogram terhadap personal identification number
(PIN), validasi kesesuaian kode/ identitas./ PIN/ Account-ID antara yang dientri dengan
yang ada di file komputer
b. Teliti apakah sudah ada validasi terprogram, misalnya mengenai tanggal lahir, tanggal
dokumen, tanggal transaksi, , validasi atas field tertentu, misalnya tanggal (Februari
tidak mengenal tanggal 30 atau 31, dan sebagainya), pengujian kelasifikasi/ validitas
kode
c. Apakah sudah dilakukan pengecekan terprogram (validation) terhadap data input
berdasar kriteria tertentu, misalnya jumlah lembar dokumen (jumlah record yang
dihitung komputer) sudah sesuai (sama) dengan yang tertulis pada record batch.
d. Teliti dan dapatkan informasi mengenai prosedur untuk memastikan kelengkapan
prosedur pembuatan, penginputan, dan pengendalian kesalahan batch.
e. Teliti format dan distribusi dokumen sember untuk menentukan pengaruhnya terhadap
pencegahan kesalahan yang mungkin terjadi,
f. Lakukan rekonsiliasi antara daftar batch dengan daftar batch yang dikirimkan dan daftar
batch yang salah, untuk memastikan adanya pengendalian yang memadai atas
pembuatan batch.
g. Teliti dokumen logika program untuk memastikan bahwa logika dan pengujian
validasinya efektif.
h. Teliti prosedur vertifikasi data untuk memastikan bahwa error terdeteksi.
i. Jenis pengujian lain misalnya cek karakter yang sahih/ misalnya uji:
field (numeric test)
Limit test (misalnya umur tidak boleh melebihi 35 tahun)
Check digit test
Data echo check/ test.
3.2.1.3. Pengendalian Bersifat Correction Objective
a. Apakah sudah diatur pedoman atau prosedur pembetulan data apabila ternyata
terdapat data salah yang lolos ke sistem (prosedur koreksinya).

b. Bila kesalahan Keying Error, apakah cara cara pelaksanaan pembetulan dilakukan
dengan merekam ulang (pembetulan data).
c. Bila Source Error, artinya kesalahan bukan di pihak sistem pengolahan data, melainkan
dari sumbernya, apakah cara pembetulannya dengan diklarifikasi kepada asal datanya.
d. Teliti koreksi kesalahan untuk memastikan bahwa error yang terjadi dan dapat lolos ke
komputer harus segera dikoreksi.
3.2.2. On-line data entry
a. Teliti Entry Data & Validation pada sistem on-line real time karena seringkali sudah tidak
dengan dokumen lagi (paperless), data lazimnya langsung dientri ke sistem komputer,
misalnya dengan workstation, automatic teller machine, atau point of sales: apakah
mesin-mesin tersebut sudah dilengkapi dengan software yang antara lain berisi fungsi
validasi terprogram.
b. Apakah sistem komputerisasi tersebut masalah jejak pemeriksaan (audit trail) sudah
diatur secara memadai.
c. Apakah Entry point, lokasi atau kode lokasi masuknya data input ke sistem komputer
tersebar sudah dikelola dengan baik.
d. Apakah sudah dibuat way-out procedure kalau terjadi gangguan, misalnya listrik atau
saluran komunikasi, mungkin akan ada problem recovery point, di mana starting point
proses harus diulang kembali.
e. Teliti prosedur tertulis mengenai peng-input-an data untuk memastikan apakah
prosedur tersebut jelas dan lengkap.
f. Teliti bentuk tampilan pada layar monitor dan dialog komputer untuk memastikan
apakah secara efektif dapat mengurangi kesalahan yang mungkin terjadi pada saat
peng-input-an.
g. Teliti hasil pengujian validasi peng-input-an data untuk memastikan efektivitasnya
dalam pendeteksian kesalahan.
h. Teliti dokumentasi dan file untuk memastikan kecukupan audit trail,
3.3. Pengendalian proses
Pengendalian proses (processing controls) ialah pengendalian intern untuk mendeteksi jangan
sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya
kesalahan proses. Kemungkinan yang paling besar untuk menimbulkan terjadinya error adalah
kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan antar
subsistem atupun kesalahan teknis lainnya. Kemungkinan terjadinya kesalahan lain ialah
programmer salah menterjemahkan spesifikasi yang diberikan oleh sistem analis, program
dibuat dengan tidak mengikuti standar (struktur, language, tidak dites dengan memadai).

Kesalahan yang levelnya tinggi adalah sistem (dan program-programnya) dibuat tidak sesuai
dengan kebutuhan pemakasi (usernya).
Selama proses berlangsung di dalam suatu program atau antar program sebaiknya selalu
lakukan cek untuk kontrol. Kontrol yang dilakukan misalnya batch controls untuk mengecek
kesesuaian hitungan komputer terhadap record data dengan nilai yang tertulis pada batch
header record, perlu audit trail berupa laporan tercetak. Bentuk pemeriksaan pengendalian
lainnya misalnya adalah:
a.
b.
c.
d.
e.
f.

Apakah sudah diatur mengenai Processing logic check


Lakukan Run-to-run check
Teliti keterkiatan, keterpaduan dan konsistensi Inter-sub-systems check
Teliti mengenai mekanisme File and program check
Teliti ketersediaan dan efektivitas Audit trail linkage
Lakukan misalnya ialah pemeriksaan label file, pengujian identifikasi record, pengujian
kode transaksi, sequence test, anticipation control, validasi untuk mendeteksi error
pengolahan, arithmetic accuracy test, dual field input, data reasonable test, data limit
test, cross footing test, pengendalian saldo subsistem ((system balancing controls,) dan
inter subsystem totals, serta run to run totals.
g. Teliti kecukupan mekanisme jejak audit. Salah satu bentuknya ialah perlunya laporan
kegiatan pengolahan untuk pelacakan bila terjadi masalah, tersedia dokumentasi
program untuk trace-back, adanya laporan pemakaian file yang dapat dilacak bila ada
masalah, dan rancangan break points. Break points adalah mekanisme yang dirancang
untuk mengantisipasi bila ada system down, maka starting point dalam recovery-nya
jelas. Hal ini menjadi makin penting untuk suatu job-run yang runtime-nya panjang.
Suatu proses panjang yang terhenti secara tidak normal akan mengakibatkan proses
ulang dari awal atau dari suatu titik tertentu yang disiapkan.
h. Teliti dokumentasi baik mengenai program aplikasi atas pengujian validasi maupun
mengenai hasil pengujian validasi untuk memastikan bahwa data yang salah dan
transaksi yang tidak sesuai terdeteksi
i. Dapatkan daftar kesalahan dan Teliti koreksi yang telah dilakukan dan pastikan apakah
koreksinya dilakukan segera
j. Teliti processing activity output, dokumentasi program dan activity data file untuk
memastikan kecukupan audit trail
k. Dapatkan informasi mengenai pengendalian harware/software, misalnya tentang
Processor controls
Error detection and correction
Multiple execution states
Timing controls

Component replication
Real memory controls
Error detection and correction
Access controls
Virtual memory controls
Operating system integrity
Nature of reliable operating system
Operating system integrity threats
Operating system integrity flaws
Reference monitors and kernels
Design and implementation considerations
Certification of operating systems
Deteksi kemungkinan adanya problem with programming style
Handle rounding correctly
Print run-to-run control totals
Minimize human intervention
Understand hardware/software numerical hazards
Use redundant calculations
Avoid closed routine

Teliti ketersediaan dan efektivitas Accounting audit trail, misalnya apakah terdapat tipe-tipe
transaksi tertentu yang men-trigger transaski lain, misalnya layanan order dapat mengenerate
back-order atau purchase requisition. Auditor harus waspada. Teliti, jika program performs
suatu set kalkulasi yang kompleks, maka harus segera terdapat record yang dapat dievaluasi
kesesuaian antara input-proses-outputnya.

Teliti ketersedaan dan efektivitas Operational audit trail


Teliti atau tanyakan tentang Resources consumption
Hardware (used of CPU, peripheral, memory, storage, communication facilities)
Software (used of compilers, subroutine library, mana-gement facilities,
communication software)
Data (file accessed, frequency of access to data items, ways data used, number of
back-up made)
Personnel (number of operators intervention required, use of offline storage).
Teliti Data related to security sensitive events, Data collected related to logging,
password or access priviledge can be evaluate.
Hardware malfunctions
User specified events
Periksa mengenai exixtence controls : checkpoint and restart controls

3.4. Audit Pengendalian output


a. Teliti dokumentasi prosedur operasi tetap atas penanganan output, untuk memastikan
bahwa pihak yang berkepentingan menerima laporan sebagaimana mestinya.
b. Periksa dan minta dokumentasi atau pedoman mengenai prosedur distribusi output
c. Minta penjelasan mengenai Batch Output Production and Distribution controls
Stationary Supplies Storage Controls
Report Program Execution Controls
Queuing/Spooling/Printer0file Controls
Printing Controls
Report Collection Controls
User/Client Services Review Controls
Report Distribution Controls
User Output Controls
Storage Controls
Retention Controls
Destruction Controls
d. Minta penjelasan dan/atau teliti pengendalian pada sistem remote/on-line processing,
mengenai Source Controls, Distrinution Controls, Communication Controls, Receipt
ControlsDisposition Controls, Retention Controls, Deletion Controls
3.5. Pengendalian aplikasi pada pemakai
3.5.1. Data capture
a. Teliti buku petunjuk pemakaian untuk menentukan kelengkapan dokumentasi prosedur
dan pengendalian,
b. Teliti format dokumen sumber dan pengamanannya untuk menentukan pengaruhnya
terhadap pencegahan kesalahan yang mungkin terjadi,
c. Teliti struktur organisasi pemakai untuk menentukan bahwa tidak ada pegawai yang
melakukan pekerjaan yang seharusnya tidak boleh digabung,
d. Teliti dokumen sumber dan daftarnya untuk mengidentifikasikan penyiap dan penyetuju
bukti,
e. Teliti hasil rekonsiliasi antar batch untuk memastikan bahwa kesalahan telah terungkap
dengan benar dan telah ditindaklanjuti sebagaimana mestinya.
3.5.2. Output
a. Teliti dokumentasi prosedur operasi tetap bagi pemakai untuk memastikan apakah
penelaah dan pengujian output dapat mendeteksi kesalahannya.

b. Tgeliti apakah sudah ada mekanisme Pengendalian keluaran (output controls) ialah
pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak
akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang-orang
yang tidak berhak. Kemungkinan resiko yang dihadapi yang terkait dengan keluaran
ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak lengkap, terlambat
atau data tidak uptodate, banyak item data yang tidak relevan, bias, dibaca oleh pihak
yang tidak berhak. Dalam sistem yang sudah lebih terbuka (menggunakan jaringan
komuni-kasi publik) potensi akses oleh hacker, cracker atau orang yang tidak berwenang
lainnya menjadi makin tinggi.
c. Apakah sudah diterapkan metoda pengendalian bersifat preventive objective misalnya
ialah perlunya disediakan tabel pelaporan: jenis laporan, periode pelaporan, dan siapa
pengguna, serta check-list konfirmasi tanda terima oleh penggunanya.
d. Apakah sudah ada prosedur permintaan laporan rutin/on-demand, atau permintaan
laporan baru.
e. Apakah sudah dilakukan pengendalian bersifat detection objective misalnya ialah cek
antar program pelaporan, perlunya dibuat nilai-nilai subtotal dan total yang dapat
diperbandingkan untuk mengevaluasi keakurasian laporan, judul dan kolomkolom
laporan perlu didesain dengan sungguh-sungguh.
f. Apakah sudah dilakukan pengendalian yang bersifat corrective objective misalnya ialah
prosedur prosedur klaim ketidakpuasan pelayanan, tersedianya help-desk dan contact
person, persetujuan dengan users mengenai service level yang disepakati.
g. Apakah jenis output, bentuk/format laporan, akurasi, pengguna (katagori/kerahasiaan)
dan ketepatan jadwal pelaporan, apakah laporan akurat dan sesuai dengan yang
dibutuhkan, apakah keluaran tepat sasaran kepada yang berhak.
3.6. Pengendalian Data/ File/ Database
Perlu diperhatikan bahwa pada uraian di depan telah disinggung bahwa salah satu unsur
pengendalian umum adalah manajemen sumber data (data resources management controls).
Apabila kebutuhan spesifik aplikasi memang perlu adanya tambahan pengendalian on-top dari
yang telah didesain secara umum pada pengendalian umum, tiap-tiap aplikasi bisa
menambahkan kebutuhan spesifiknya. Untuk itulah amati, pelajari dokumentasi atau minta
penjelasanteknisi mengenai hal-hal yang berkaitan dengan database tersebut.
Misalnya menyangkut:
a. Akses database (access controls) yang spesifik pada file aplikasi.
b. Existence controls, dilihat dari sudut pandang atau lingkup aplikasi saja.
c. Audit-trail