Pengendalian

Umum
&
Pengendalian
Aplikasi

Pengertian Pengendalian Internal

Menurut
Gramling,
Rittenberg,
dan
Johnstone (2012: 208), Internal control is
a process related to the achievement of
the
organizations
objectives.
Organizations identify the risks to
achieving those objectives and implement
various controls to mitigate those risks.
Pengendalian internal diperlukan untuk
mengidentifikasi risiko agar proses bisnis
perusahaan tidak terganggu.

Pengertian Pengendalian Internal

Menurut Standar Profesi Audit Internal (SPAD) yang dikutip
oleh Tunggal (2007, hal. 1), Pengendalian Internal adalah
tindakan yang diambil oleh manajemen, dewan pengawas,
atau pihak lain, termasuk komite audit, untuk mengelola
resiko dan meningkatkan kemungkinan pencapaian tujuan
organisasi. Manajemen melakukan tindakan - tindakan
seperti perencanaan, pemantauan dan sebagainya untuk
memberikan jaminan yang wajar atas pencapaian tujuan
tersebut.
Menurut Rama & Jones (2008, hal. 8), pengendalian internal
(internal control) mencakup kebijakan - kebijakan, prosedur
- prosedur, dan sistem informasi yang digunakan untuk
melindungi aset - aset perusahaan dari kerugian atau
korupsi, dan untuk memelihara keakuratan data keuangan.

Pengendalian Internal
Jadi
dapat
disimpulkan
bahwa
pengendalian
internal
adalah
pengendalian dalam suatu organisasi
bertujuan
untuk
menjaga
aset
perusahaan, pemenuhan terhadap
kebijakan dan prosedur, kehandalan
dalam proses, dan operasi yang
efisien

Tujuan Pengendalian
Internal
Menurut Gondodiyoto (2007: 260), tujuan disusunnya system
control atau pengendalian internal komputer adalah sebagai
berikut:
Meningkatkan pengamanan (improve safeguard) aset
sistem informasi (data/catatan akuntansi (accounting
records) yang bersifat logical assets, maupun physical
assets seperti hardware, infrastructures, dan sebagainya).
Meningkatkan integritas data (improve data integrity),
sehingga dengan data yang benar dan konsisten akan
dapat dibuat laporan yang benar.
Meningkatkan efektifitas sistem (improve system
effectiveness).
Meningkatkan efisiensi sistem (improve system efficiency).

Tujuan Sistem Pengendalian Internal

Menurut Mulyadi (2001, hal. 163) Tujuan
sistem pengendalian internal direncanakan
atau dirancang dengan tujuan untuk :
Menjaga kekayaan organisasi,
Mengecek ketelitian dan kehandalan data
akuntasi,
Mendorong efisiensi, dan
Mendorong dipatuhinya kebijakan
manajemen.

Penggolongan Pengendalian Internal

Pengendalian internal harus diterapkan terhadap setiap
sistem dan aplikasi, hal ini dilakukan untuk mengurangi
exposure yang selalu muncul pada pencatatan yang buruk,
akuntansi yang tidak tepat, interupsi bisnis, pengambilan
keputusan yang buruk, penipuan dan penggelapan,
pelanggaran hukum terhadap peraturan, peningkatan biaya
dan hilangnya aset perusahaan.
Oleh sebab itu manajemen harus menyadari pentingnya
pengendalian untuk menjaga sistem dari penggunaan secara
tidak tepat, untuk mengurangi timbulnya kesalahan dan
untuk
memaksimalkan
hasil
dari
sistem
operasi.
Pengendalian ini digolongkan menjadi 2 golongan yaitu :
General controls (pengendalian umum).
Application controls (pengendalian aplikasi).

DIT SISTEM INFORMAS

General controls
(pengendalian umum)

Pengendalian Umum (General Control)

Menurut Sawyer, Dittenhofer, & Scheiner (2005, hal. 549),
general control consist of those controls in the IS and user
environment that are pervasive over all or most
application. They include such controls as segregation of
incompatible duties, system development procedures,
data security, all administrative controls, and disaster
recovery capabilities.
Menurut Gondodiyoto (2007, hal. 301) pengendalian
umum didefinisikan sebagai sistem pengendalian internal
komputer yang berlaku umum meliputi seluruh kegiatan
komputerisasi sebuah organisasi secara menyeluruh.
Artinya ketentuan ketentuan dalam pengendalian
tersebut berlaku untuk seluruh kegiatan komputerisasi
yang digunakan di perusahaan tersebut.

Contoh Pengendalian Umum

Pengendalian umum juga dapat diartikan
sebagai pengendalian yang tidak terkait
langsung ke suatu aplikasi tertentu.
Misalnya dalam contoh ATM di atas,
ketentuan bahwa masuk ke ruang ATM
tidak boleh memakai helm. Adanya CCTV
di ruang ATM dan ketentuan adanya
SATPAM di situ adalah dapat dikategorikan
dengan pengendalian umum (ketentuanketentuan tersebut tidak langsung dengan
transaksi pengambilan uang di mesin
ATM).

Ruang lingkup pengendalian umum

Ruang lingkup yang termasuk dalam pengendalian umum
(pengendalian perspektif manajemen) diantaranya adalah :
Pengendalian manajemen puncak (top management
controls).
Pengendalian
manajemen
pengembangan
sistem
(information system management controls).
Pengendalian manajemen sumber data (data resources
management controls).
Pengendalian manajemen operasi (operations management
controls).
Pengendalian
manajemen
keamanan
(security
administration management controls).
Pengendalian manajemen jaminan
kualitas (quality
assurance management controls).

Unsur Pengendalian Umum

Dari beberapa pengendalian umum
tersebut, berdasarkan ruang lingkup
dari penulisan skripsi ini, maka yang
akan dibahas adalah :
Pengendalian
Manajemen
Operasi
(Operational Management Controls)
Pengendalian Manajemen Keamanan
(Security Management Controls)

Operational Management Controls

Menurut Gondodiyoto (2007, hal. 331) pengendalian
manajemen operasi merupakan jenis pengendalian internal
yang didesain untuk pengelolaan sumber daya dan operasi
IT pada suatu organisasi. Pengendalian manajemen operasi
disusun dengan tujuan untuk menciptakan kerangka kerja
organisasi, pendayagunaan sumber daya informasi, dan
pembagian tugas yang baik bagi suatu organisasi yang
menggunakan sistem berbasis teknologi informasi.
Pemisahan tugas dan fungsi
Pengendalian personil
Pengendalian perangkat keras
Pengendalian jaringan
Manajemen operasi

Pemisahan tugas dan fungsi

Pemisahan tugas dan fungsi didesain untuk memastikan bahwa
fungsi fungsi yang tidak sejalan (atau seharusnya - cek),
seperti : fungsi analisis/desain dan pemprograman dengan operasi
komputer (mencakup penyiapan transaksi, otorisasi, proses entri,
dan pelaporan) telah dipisahkan. Terdapat dua pemisahan fungsi
yaitu :
Pemisahan fungsi departement IT dengan non IT (users)
Pemisahan fungsi ini bertujuan untuk memisahkan antara
pemakai dengan departement IT sehingga meningkatkan
pengendalian terhadap aktivitas IT.
Pemisahan fungsi dalam departement IT
Fungsi fungsi departement IT dapat dipisahkan berdasarkan
fungsi sistem dan pemrograman, operasi komputer,
pengendalian dan penjadwalan input/output, pemeliharaan
media (library).

Pengendalian personil
Personil mempunyai peranan penting dalam pengendalian sistem.
Pengendalian personil dapat diindikasikan oleh hal-hal berikut :
Adanya prosedur penerimaan dan pemilihan pegawai
Adanya program
peningkatan keahlian
pegawai melalui
pelatihan yang berhubungan dengan bidang tugasnya
Adanya evaluasi atas pekerjaan yang dilakukan pegawai
Administrasi atas gaji dan prosedur promosi yang jelas
Penggunaan uraian tugas (job description)
Pemilihan dan pelatihan pegawai
Penyediaan (supervisi) dan penilaian
Penggiliran pekerjaan (job rotation) dan keharusan mengambil
cuti
Adanya jenjang karier serta sarana dan aturan untuk
mencapainya

Pengendalian perangkat keras

Pengawasan terhadap akses fisik

Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik
terhadap perangkat komputer perlu diawasi.
Pengaturan lokasi fisik
Lokasi ruang komputer merupakan pertimbangan yang penting dalam pengendalian
keamanan komputer
Penggunaan alat pengamanan
Alat alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari
kemungkinan kerusakan
Pengendalian operasi perangkat keras
Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk
menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian
perangkat tersebut
Pengendalian perangkat lunak
Pengendalian perangkat lunak didesain untuk memastikan keamanan dan kehandalan
sistem
Pengendalian keamanan data
Pengendalian keamanan data merupakan suatu tindakan pengendalian untuk menjaga
keamanan datayang tersimpan didalam media penyimpanan agar tidak hilang dan rusak,
atau diakses oleh orang yang tidak berhak.

Pengendalian jaringan

Alat bantu (tools) penting yang dapat digunakan oleh operator untuk
mengelola wide area network adalah network control terminal. Network control
terminal menyediakan akses kepada software system yang khusus untuk
mengelola jenis fungsi dibawah ini agar dapat berjalan dengan baik, yaitu :
Memulai dan menghentikan jaringan dan proses
Memonitor aktivitas jaringan
Mengganti nama line komunikasi
Mengenerate statistic system
Mensetting ulang panjangnya antrian
Menambah frekuensi backup
Menanyakan status sistem
Mengirimkan system warning dan status message
Memeriksa lintasan data pada line komunikasi
Network control terminal juga dapat digunakan untuk menjalankan fungsi yang
sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari
sudut pengamanan harta dan data integrity, network control terminal adalah
komponen yang sangat penting pada suatu jaringan.

Manajemen operasi
Saat ini fungsi sistem yang sekarang
digunakan pada manajemen operasi
adalah komputer mikro secara stand
alone, multi user atau jaringan (network)
atau dalam bentuk client server.
Service level agreements
Kepustakaan file
Fungsi help desk
Capacity planning
Outsource

Security Management Controls (1)

Menurut Gondodiyoto (2007, hal. 345) pengendalian
internal terhadap manajemen keamanan (security
management controls) dimaksudkan untuk menjamin
agar aset sistem informasi tetap aman. Aset sumber
daya informasi mencakup fisik (perangkat mesin dan
fasilitas penunjangnya) serta aset tak berwujud (non
fisik, misalnya data/informasi, dan program aplikasi
komputer).
Kebijakan keamanan IT (IT security policy)
Beberapa aspek serangan potensial
Mitos-mitos seputar keamanan komputer
Kebijakan keamanan komputer
Personil dan kebijakan keamanan komputer

Security Management Controls (2)

Menurut Weber (1999 : 256), Pengendalian Manajemen Keamanan

meliputi perlindungan terhadap asset dan fungsi sistem informasi, yang
dapat diimplementasi. Berikut beberapa ancaman terhadap sistem
informasi beserta cara penanganannya:
Kebakaran
Tindakan pengamanan untuk ancaman kebakaran adalah :
Memiliki alarm kebakaran otomatis yang diletakkan di ruangan
dimana aset aset sistem informasi berada.
Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah
dijangkau.
Gedung tempat penyimpanan aset sistem informasi dibangun dari
bahan yang tahan api.
Banjir
Tindakan pengamanan untuk ancaman kebanjiran, antara lain :
Memiliki atap, dinding dan lantai yang dibuat dari bahan yang tahan
air.
Perubahan tegangan sumber energi
Tindakan pengamanan untuk mengatasi perubahan tegangan sumber
energi listrik, dapat menggunakan stabilizer ataupun Uninterruptible

Security
Management
Controls
(3)

Polusi
Tindakan pengamanan untuk mengantisipasi polusi adalah dengan
membuat
situasi kantor bebas debu, tidak memperbolehkan
membawa binatang peliharaan serta melarang pegawai membawa
atau meletakkan minuman di dekat peralatan komputer.
Virus dan Worm
Tindakan pengamanan untuk mengantisipasi virus dan worm adalah :
Preventif, dapat dengan menginstal anti virus dan di-update
secara berkala, melakukan scan atas file yang akan digunakan.
Detektif, melakukan scan secara rutin untuk mendeteksi adanya
virus maupun worm.
Korektif, memastikan back up data bebas virus dan worm,
pemakaian anti virus terhadap file yang terinfeksi.

DIT SISTEM INFORMAS

Application controls
(pengendalian aplikasi)

Pengendalian Aplikasi (Application Control)

Menurut Ruppel (2008, hal. 537-538) application
controls help ensure the completeness and
accuracy of transaction processing, authorization,
and validity edit checks, numerical sequence
checks, and manual follow up of the exception
report are example of application controls.
Menurut Gondodiyoto (2007, hal. 372-373)
pengendalian aplikasi (appliaction controls)
adalah sistem pengendalian intern (internal
control) pada sistem informasi berbasis teknologi
informasi
yang
berkaitan
dengan
pekerjaan/kegiatan/aplikasi
tertentu
(setiap
aplikasi memiliki karakteristik dan kebutuhan
pengendalian yang berbeda).

Contoh Pengendalian
Aplikasi
Pengendalian aplikasi disebut juga pengendalian
transaksi, karena didesain berkaitan dengan
transaksi pada aplikasi tertentu.
Misalnya apabila nasabah akan mengambil uang di
ATM, setelah memasukkan kartu akan dimina PIN,
atau setelah memasukkan nilai uang yang akan
diambil, ATM akan mengecek sapakah saldo cukup,
atau jumlahnya diijinkan sesuai dengan mengecek
apakah saldo cukup, atau jumlahnya diijinkan sesuai
dengan ketentuan bank. Pengendalian berupa PIN
dan limit pengambilan uang tersebut hanya berlaku
di ATM, tidak berlaku di kegiatan lain.

Unsur Pengendalian Aplikasi

Terdapat beberapa unsur dalam pengendalian aplikasi,
pengendalian aplikasi pada dasarnya terdiri dari :
Pengendalian batas sistem (boundary controls)
Pengendalian masukan (input controls)
Pengendalian proses pengolahan data (process controls)
Pengendalian keluaran (output controls)
Pengendalian file/database (file/database controls)
Pengendalian komunikasi aplikasi (communication
controls)
Namun yang akan dibahas dalam penulisan skripsi ini
meliputi boundary controls, input controls, output controls.

Pengendalian batas sistem (boundary controls)

Menurut Gondodiyoto (2007, hal. 374-375) yang dimaksud
boundary adalah interface antara users dengan sistem
berbasi teknologi informasi. Tujuan utama boundary controls
adalah antara lain :
Untuk mengenal identitas dan otentik/tidaknya pemakai
sistem, artinya suatu sistem yang didesain dengan baik
seharusnya dapat mengidentifikasi dengan tepat siapa
users tersebut, dan apakah identitas diri yang dipakainya
otentik.
Untuk menjaga agar sumber daya sistem informasi
digunakan oleh user dengan cara yang ditetapkan.
Contoh dari pengendalian batasan :
Otoritas akses ke sistem aplikasi
Identitas dan otentisitas pengguna

Pengendalian masukan (input controls)

Menurut
Gondodiyoto
(2007,
hal.
377-378)
pengendalian masukan (input controls) dirancang
dengan tujuan untuk mendapat keyakinan bahwa data
transaksi input adalah valid, lengkap, serta bebas dari
kesalahan dan penyalahgunaan. Input controls ini
merupakan pengendalian aplikasi yang penting karena
input yang salah akan menyebabkan output juga keliru.
Mekanisme masuknya data input ke sistem dapat
dikategorikan ke dalam dua cara yaitu :
Batch system (delayed processing systems)
On line transaction processing system (pada
umumnya bersifat real time system)

Batch system (delayed processing systems)

Pada sistem pengolahan data secara batch processing system, tiap transaksi
(misalnya formulir sensus, kartu pencoblosan pemilihan ketua umum, atau
answer sheet ujian calon mahasiswa) dibundel dalam jumlah lembar tertentu
untuk direkam. Demikian pula sistem batch dalam siklus akuntansi keuangan
(book keeping untuk mencatat transaksi ke dalam jurnal, posting ke buku besar
dan buku pembantu, serta pengolahan untuk menghasilkan laporan keuangan)
dilakukan tidak pada saat transaksi itu terjadi. Sistem pengolahan data lebih
bersifat back office system, yaitu semata-mata untuk mengolah data dokumendokumen akuntansi yang transaksinya sudah lewat. Jadi pengolahan datanya
tertunda (delayed processing). Pada sistem batch ini orientasi utamanya adalah
sistem pengolahan data (dahulu disebut sistem pengolahan data elektronik,
electronic data processing, EDP).
Data input yang akan dimasukkan ke sistem informasi berbasis teknologi pada
hakikatnya dapat dikelompokan dalam tiga tahapan, yaitu (1) data capture
(penangkapan data, pengisian dokumen sumber atau source document), (2)
data preparation (penyiapan data untuk di entry), (3) data entry (pemasukan
data) merupakan proses merekam atau memasukan data ke komputer, suatu
proses mengubah data ke dalam bentuk yang dapat dibaca oleh mesin (machine
readable form).

On line transaction processing system

On line transaction processing system (pada umumnya

bersifat real time system)
Cara pemrosesan data input yang lain yang lebih lazim
pada saat ini adalah dengan online transaction processing
system. Pada sistem tersebut data masukan dientri dengan
workstation/terminal atau jenis input device seperti ATM
(automatic teller machine) dan point of sales (POS).
Meskipun online bisa saja dengan memakai pola batch,
tetapi biasanya online dikaitkan dengan real time system,
artinya updating data di komputer bersamaan dengan
terjadinya transaksi.
Contoh dari pengendalian input :
Otoritas dan validasi masukan
Transmisi dan konversi data
Penanganan kesalahan

Pengendalian keluaran (output controls)

Pengendalian keluaran merupakan pengendalian yang dilakukan

untuk menjaga output sistem agar akurat, lengkap, dan digunakan
sebagaimana mestinya. Pengendalian keluaran (output controls) ini
didesain untuk menjamin agar output / informasi dapat disajikan
secara akurat, lengkap, mutakhir, dan didistribusikan kepada
orang-orang yang berhak (para user) secara cepat dan tepat waktu.
Yang termasuk pengendalian keluaran antara lain adalah :
Rekonsiliasi keluaran dengan masukan dan pengolahan
Rekonsiliasi keluaran dilakukan dengan cara membandingkan
hasil keluaran dari sistem dengan dokumen asal.
Penelaahan dan pengujian hasil-hasil pengolahan
Pengendalian ini dilakukan dengan cara melakukan penelaahan,
pemeriksaan dan pengujian terhadap hasil-hasil pengolahan dari
sistem. Proses penelaahan dan pengujian ini biasanya dilakukan
oleh atasan langsung pegawai.

Pendistribusian keluaran
Pengendalian
ini
didesain
untuk
memastikan
bahwa
keluaran
didistribusikan kepada pihak yang berhak,
dilakukan secara tepat waktu dan hanya
keluaran yang diperlukan saja yang
didistribusikan.
Contoh dari pengendalian output :
Rekonsiliasi keseluruhan
Penelaahan dan pengujian hasil pengolahan
Distribusi keluaran

Sifat-Sifat Pengendalian Internal

Menurut Gondodiyoto (2007, hal. 137), pengendalian internal digolongkan

dalam preventive, detection, corrective :
Preventive control, yaitu pengendalian internal yang dirancang dengan
maksud untuk mengurangi kemungkinan (atau mencegah/menjaga
jangan sampai terjadi kesalahan, kekeliruan, kelalaian, error) maupun
penyalahgunaan (kecurangan, fraud)
Detection control, yaitu pengendalian yang didisain dengan tujuan
agar apabila data direkam (di-entry)/dikonfersi dari media sumber
(media input) untuk di transfer ke sistem komputer dapat dideteksi
apabila terjadi kesalahan (maksudnya tidak sesuai dengan kriteria
yang ditetapkan).
Corrective control, ialah pengendalian yang sifatnya jika terdapat data
yang sebenarnya error tetapi tidak terdeteksi oleh program validasi,
harus ada prosedur yang jelas tentang bagaimana melakukan
pembetulan terhadap data yang salah dengan maksud untuk
mengurangi kemungkinan kerugian atau kesalahan/ penyalahgunaan
tersebut sudah benar-benar terjadi.

Kelompok Pegendalian
Internal
Pengendalian intern dikelompokkan dalam
pengendalian
yang
bersifat
wajib
(mandatory) dan yang opsional
Jika ada peraturan dari pemerintah DKI bahwa
setelah jam 24.00 ruang ATM harus dikunci
dalam rolling-door misalnya, maka ketentuan
tersebut adalah mandatory.
Jika ketentuan pengamanan ruang ATM
tersebut
tidak
harus
dilakukan,
maka
termasuk
pengendalian
yang
bersifat
opsional.

Aktivitas Pengendalian
Menurut Weygandt (2011: 102), terdapat
enam prinsip aktivitas pengendalian,
yaitu:
Penetapan tanggung jawab
Pembagian tugas
Prosedur dokumentasi
Pengendalian fisik
Verifikasi internal yang dilakukan secara
independen
Pengendalian sumber daya manusia

Fungsi Internal Auditor

Menurut Hunton et.al. dalam Basalamah (2011: 17), seorang auditor TI sebaiknya
ampu melakukan pekerjaan-pekerjaan sebagai berikut:
Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup
analisis terhadap risiko dan pengendalian atas aplikasi-aplikasi seperti ebusiness, sistem perencanaan sumber daya perusahaan.
Memberikan asersi (assurance) atas proses-proses tertentu, seperti audit dengan
prosedur-prosedur tertentu yang disepakati bersama dengan auditee mengenai
lingkup asersi.
Memberikan asersi atas aktifitas pengolahan data pihak ketiga dengan tujuan
untuk memberikan asersi bagi pihak lain yang memerlukan informasi mengenai
aktifitas pengendalian data yang dilakukan oleh pihak ketiga tersebut.
Pengujian penetrasi, yaitu upaya untuk mengakses sumber daya informasi guna
menemukan kelemahan-kelemahan yang ada dalam pengolahan data tersebut.
Memberikan dukungan atas pekerjaan audit keuangan yang mencakup evaluasi
atas risiko dan pengendalian TI yang dapat mempengaruhi kehandalan sistem
pelaporan keuangan.
Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan-catatan
komputer dalam investigasi kecurangan.