Anda di halaman 1dari 43

Preventif Control adalah suatu langkah pencegahan yang diambil sebelum

keadaan darurat, kehilangan, atau masalah terjadi. Ini termasuk penggunaan alarm
dan kunci, pemisahan tugas (untuk mencegah perekam uang tunai dari kas dan
mengendalikan persediaan personil dari pengendalian persediaan) ditambah umum
lainnya dan kebijakan-kebijakan otorisasi khusus.
Bisa diartikan bahwa preventif control adalah mengendalikan sistem di muka
sebelum proses dimulai dengan menerapkan hal-hal yang merugikan untuk masuk
ke dalam sistem , sehingga dirancang untuk mencegah kesalahan atau
penyimpangan dari terjadi (misalnya : pengolahan voucher hanya setelah tanda
tangan telah diperoleh dari personil yang tepat)
Contoh :
1. Sistem pengendalian intern (internal control) dimana penerapan
kebijaksanaan-kebijaksanaan, metode-metode dan prosedur-prosedur
didalam sistem pengendalian intern dimaksudkan untuk mencegah hal-hal
yang tidak baik yang mengganggu masukan, proses dan hasil dari sistem
supaya sistem dapat beroperasi seperti yang diharapkan.
2. Melindungi kas dari pencurian atau penyalahgunaan mulai saat diterima
sampai disetorkan ke bank
Detective control adalah sesuatu yang dirancang untuk menemukan kesalahan
atau penyimpangan setelah mereka telah terjadi (missalnya : departemen
memeriksa tagihan telepon untuk panggilan pribadi).
Detektif kontrol dirancang untuk mendeteksi kesalahan dan penyimpangan yang
telah terjadi dan untuk menjamin prompt mereka koreksi. Kontrol ini merupakan
biaya operasi yang terus-menerus dan sering kali mahal, tapi perlu.
kontrol ini bertujuan pula untuk menekan dampak dari kesalahan karena dapat
mengindetifikasikan suatu kesalahan dengan cepat.
Contoh :

Menemukan pencurian atau penyalahgunaan kas

Sumber penerimaan kas

Penjualan tunai

Penerimaan lewat pos

Penerimaan lewat bank


Recovery Controls adalah Membantu mengurangi pengaruh dari suatu
event yang hilang melalui prosedur recovery data atau mengembalikan data yang
hilang melalui prosedur recovery data. Misal, memperbaiki data yang terkena virus.
Kategori lainnya mencakup :
1. Deterrent Control
2. Application Control (kontrol aplikasi)
Untuk memperkecil dan mendeteksi operasi-operasi perangkat lunak yang tidak
biasa.
1. Transaction Control (kontrol transaksi)
Untuk menyediakan kontrol di berbagai tahap transaksi (dari inisiasi sampai output,
melalui kontrol testing dan kontrol perubahan).
Recovery dalam basis data adalah file atau database yang telah dibetulkan dari
kesalahan, kehilangan atau kerusakan datanya. Ada beberapa strategi untuk
melakukan back up dan recovery, yaitu :
1. Strategi Grandfather-Father-Son.
Biasanya strategi ini digunakan untuk file yang disimpan di media simpanan luar
pita magnetik. Strategi ini dilakukan dengan menyimpan tiga generasi file induk
bersama-sama dengan file transaksinya.
1. Strategi Pencatatan Ganda (Dual Recording).
Strategi ini dilakukan dengan menyimpan dua buah salinan database yang
lengkap secara terpisah dan menyesuaikan keduanya secara serentak. Jika terjadi
kegagalan transaksidalam perangkat keras dapat digunakan alat pengolah kedua
yang akan meng-gantikan fungsi alat pengolah utama jika mengalami kerusakan.
Jika alat pengolah utama tidak berfungsi, secara otomatis program akan dipindah
(men-switch) ke alat pengolah kedua dan database kedua menjadi database
utama. Strategi dual recording ini sangat tepat untuk aplikasi aplikasi yang
databasenya tidak boleh terganggu dan selalu siap. Tetapi hal yang harus
dipertimbangkan adalah biayanya, karena harus menggunakan dua buah alat
pengolah dan dua buah database.
1. Strategi Dumping.
Dumping dilakukan dengan menyalin semua atau sebagian dari database ke
media back up yang lain (berupa pita magnetik dan disket). Dengan strategi ini
rekonstruksi dilakukan dengan merekam kembali (restore) hasil dari dumping ke
database di simpanan luar utama dan mengolah transaksi terakhir yang sudah
mempengaruhi database sejak proses dumping berakhir.

Contoh :
Penggunaan alat-alat pengaman fisik dapat berupa :
(a) Saluran air yang baik yang dapat mencegah meluapnya air kedalam gedung
bila terjadi banjir atau hujan lebat.
(b) Tersedianya alat pemadam kebakaran di tempat-tempat yang strategis dan
mudah dijangkau bila terjadi kebakaran.
(c) Digunakan UPS (Uninteruptible Power System) untuk mengatasi bila arus
listrik tiba-tiba terputus sehingga proses pengolahan data tidak terganggu dan
dapat dilanjutkan atau dihentikan seketika. UPS berisi accu yang dapat
menggantikan fungsi arus listrik terputus dan dapat tahan berjam-jam.
(d) Stabilizer untuk menghasilkan arus listrik.
(e) Pemakaian AC (Air Conditioning) untuk mengatur temperatur ruangan.
Temperatur yang ideal ini berkisar antara 10C s/d 35C.
(f) Dipasang alat pendeteksi kebakaran atau bila timbul asap yang merupakan
tanda-tanda mulai terjadi kebakaran.

Deterrent control digunakan untuk merujuk kepada suatu kepatuhan


(compliance) dengan peraturan-peraturan external maupun regulasi-regulasi yang
ada.
Contoh :
Pemisahan tugas akan mengurangi kesempatan yang memungkinkan seseorang
dalam posisi yang dapat melakukan sekaligus menutupi kekeliruan atau ke
tidakberesan dalam pelaksanaan tugasnya sehari-hari. Oleh sebab itu tanggung
jawab untuk memberikan otorisasi transaksi, mencatat transaksi dan menyimpan
aktiva perlu dipisahkan ditangan karyawan yang berbeda dengan pemisahan ini
maka tidak ada seorangpun yang menjalankan dua atau tiga fungsi secara
bersama, Hal ini dapat menghindari terjadi kolusi , effensi pelaksanaan tugas lebih
dicapai, serta terhindar dari kesalahan adanya cross check.

1. Apakah yang dimaksud dengan control effectiveness? Berikan contohnya?


Jawab
Control Effectiveness adalah pengendalian secara efektif dimana audit internal
adalah suatu fungsi penilaian yang idenpenden dalam suatu organisasi untuk
menguji dan mengevaluasi kegiatan organisasi yang dilaksanakan. Tujuan audit
internal adalah membantu para anggota organisasi / perusahaan agar dapat

melaksanakan tanggungjawabnya secara efektif. Untuk itu auditor internal akan


melakukan analisis, penilaian dan mengajukan saran-saran. Tujuan Audit mencakup
pula pengembangan pengawasan yang efektif dengan biaya yang wajar. Selain itu
juga audit internal merupakan suatu aktivitas indenpenden, keyakinan objectif dan
konsultasi yang dirancang untuk memberikan nilai tambah dan meningkatkan
operasi organisasi/perusahaan. Audit pun harus membantu organisasi/perusahaan
mencapai tujuannya dengan menerapkan sistematis dan berdisplin untuk
mengevaluasi dan meningkatkan efektivitas manajemen resiko, pengendalian dan
proses pengaturan dan pengelolaan organisasi.
Monitoring bertujuan untuk memastikan agar sistem internal kontrol berjalan secara
efektif. Monitoring merupakan salah satu dari 5 komponen internal kontrol (4 yang
lainnya: risk assesment, control environment, control activities, information and
communication). Manfaat yang didapatkan apabila monitoring direncanakan dan
dilaksanakan dengan baik adalah :
(a)
Masalah-masalah internal kontrol dapat diidentifikasi dan diperbaiki dengan
segera
(b)
Menghasilkan informasi yang lebih akurat dan reliabel sebagai dasar
pengambilan keputusan
(c)
waktu

Membantu mempersiapkan laporan keuangan secara akurat dan tepat

(d)

Melakukan evaluasi dan penilaian mengenai efektivitas internal kontrol

Beberapa contoh prosedur monitoring sistem internal kontrol yang dapat dilakukan
misalnya:
1. Evaluasi dan pengujian kontrol (testing of controls) oleh bagian internal audit
secara berkala
2. Membuat program continuous monitoring dalam sistem informasi
3. Melakukan pengawasan dan review atas kontrol yang ada
(misalnya reconciliation review)
4. Evaluasi atas efektivitas the tone at the top
5. Diskusi antara komite audit dengan auditor internal dan eksternal
6. Review quality assurance atas departemen internal audit
Ruang lingkup audit intern mencakup pengujian dan pengevaluasian kelayakan dan
keefektifan pengendalian intern dan kualitas kinerja yang berdasarkan tanggung
jawab yang telah ditetapkan termasuk :

1. Mereview reliabilitas dan integritas informasi keuangan dan operasional yaitu


untuk membantu para anggota organisasi untuk agar dapat menyelesaikan
tanggung jawabnya secara efektif, untuk tujuan tersebut pengawasan
internal menyediakan bagi mereka berbagai analisis, penilaian, rekomendasi,
nasihat dan informasi sehubungan aktivitas yang diperiksa.
2. Mereview sistem yang ada untuk memastikan kepatuhannya kepada
kebijakan rencana, hukum, dan peraturan yang dapat mempengaruhi secara
signifikan terhadap operasi dan pelaporan, serta menentukan apakah
organisasi mematuhi hal tersebut atau tidak.
3. Mereview sarana pengamanan aktiva, dan bila dipandang perlu
memverifikasi keberadaan aktiva tersebut.
4. Menilai keekonomisan dan efisiensi penggunaan sumber daya, dalam hal ini
keekonomisan berarti menggunakan sumber daya secara hati-hati dan
bijaksana agar diperoleh hasil terbaik, sedangkan efisiensi berarti
kemampuan untuk meminimalisir kerugian dan pemborosan sumber daya
dan menghasilkan suatu out put.
5. Mereview operasi atau program untuk menentukan apakah hasilnya
konsisten dengan sasaran dan tujuan yang akan ditetapkan, dan menentukan
apakah operasi dan program dilaksanakan sesuai dengan perencanaannya.

1. Merurut Anda, mengapa seorang IT Audit harus menganut Ethical behavior


sesuai dengan ISACA? Berikan contoh tindakan Auditor yag sesuai dengan
etika dan yang melanggar ethika.
Jawab
Karena seorang IT audit harus menggunakan metodologi audit sebagai berikut :

Audit subject : menentukan apa yang akan diaudit.

Audit objective : menentukan tujuan dari audit.

Audit scope : menentukan sistem, fungsi, dan bagian dari organisasi yang
secara spesifik/khusus akan diaudit.

Preaudit planning : mengidentifikasi sumber daya & SDM yang dibutuhkan,


menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit,
menentukan lokasi audit.

Audit procedures & steps for data gathering : menentukan cara melakukan
audit untuk memeriksa & menguji kontrol, menentukan siapa yang akan
diwawancara.

Evaluasi hasil pengujian & pemeriksaan : spesifik pada tiap organisasi.

Prosedur komunikasi dengan pihak manajemen : spesifik pada tiap organisasi.

Audit report preparation (menentukan bagaimana cara mereview hasil audit):


evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi
yang diaudit.
Sehingga perlu adanya pemeliharaan oleh para professional dan ketaatan terhadap
standar-standart pemeriksaan profesional yang dapat digunakan seharusnya
dilakukan dalam berbagai aspek pekerjaan pemeriksa system informasi.
CIA Triad membentuk prinsip-prinsip inti keamanan informasi :
1. Kerahasiaan (Confidentiality)
Audit berkewajiban untuk menjaga banyak rahasia rahasia organisasi/perusahaan,
rahasia para staff dan rahasia pribadi. Audit juga harus menjaga informasi rahasia
ini tersembunyi dan mendapat kepercayaan dari user / pegawai , kolega, dan
regulator setiap hari.
1. Integritas (Integrity)
Audit harus bertindak dengan integritas serta mampu mengembangkan kebijakan
yang sehat dan menegakkan / menjaga user tanpa bias. Audit juga harus
menunjukkan kesalahan dan kesalahan, dengan tenang dan objektif dalam rangka
menegakkan kebaikan bersama. Audit harus mencari dan membela kebenaran
dalam segala situasii untuk menemukan jati dirinya.
1. ketersediaan (Availability)
Bahkan ketika kita mungkin merasa terlalu lelah untuk melakukannya, kita harus
tersedia untuk konsultasi ke pengusaha dan kolega kita. Terdapat terlalu sedikit
profesional keamanan data dan diperlukan nasihat kita sering, terutama ketika
nasihat yang dicari memiliki nilai tinggi hasil.
Menjadi tersedia berarti kita harus mengatur waktu kita dengan baik, untuk
memastikan bahwa kita bekerja pada tugas-tugas yang benar-benar penting dan
tidak semata-mata yang mendesak. Risiko profesional influencer dan kita harus
yakin untuk mempengaruhi hasil dalam situasi yang benar-benar penting.
Etika secara umum didefinisikan sebagai perangkat moral dan nilai. Dari definisi
tersebut dapat dikatakan bahwa etika berkaitan erat dengan moral dan nilai-nilai
yang berlaku. Contoh Auditor sesuai dengan etika adalah
Para akuntan diharapkan oleh masyarakat untuk berlaku jujur, adil dan tidak
memihak serta mengungkapkan laporan keuangan sesuai dengan kondisi
sebenarnya.

Etika-etika yang harus dimiliki para auditor akuntan :


1. Sensitivitas Etika (Ethical Sensitivity)
Penelitian dalam akuntansi difokuskan pada etika akuntan dalam hal kemampuan
pengambilan keputusan dan perilaku etis. Jika auditor tidak mengakui sifat dasar
etika dalam keputusan, skema moralnya tidak akan mengarah pada masalah etika
tersebut. Jadi kemampuan untuk mengakui sifat dasar etika dari sebuah keputusan
merupakan sensitivitas etika (ethical sensitivity).
1. Komitmen Organisasi dan Profesional (Organizational and Professional
Commitment)
Komitmen organisasi dan profesional menggambarkan intensitas dari
identifikasi individual, tingkat keterlibatan dalam organisasi atau profesi.
Identifikasi ini mengsyaratkan beberapa tingkat persetujuan dengan tujuan
dan nilai organisasi atau profesi, termasuk moral atau nilai etika.
Komitmen organisasi atau profesional dapat didefinisikan sebagai :
1. sebuah kepercayaan dan dukungan terhadap tujuan dan nilai organisasi
dan/atau profesi
2. sebuah keinginan untuk menggunakan usaha yang sungguh-sungguh guna
kepentingan organisasi dan/atau profesi
3. keinginan untuk memelihara keanggotaan dalam organisasi dan/atau profesi
Auditor memiliki tanggungjawab untuk merencanakan dan melaksanakan audit
untuk memperoleh tingkat keyakinan yang memadai tentang apakah laporan
keuangan itu telah terbebas dari kesalahan penyajian yang material, baik
disebabkan oleh kekeliruan maupun oleh kecurangan. Karena sifat audit dan
berbagai karateristik kecurangan auditor dapat memperoleh tingkat keyakinan,
walaupun tidak mutlak, bahwa kesalahan penyajian yang material dapat dideteksi.
Auditor tidak bertanggungjawab untuk merencanakan dan melaksanakan audit
guna memperoleh keyakinan yang memadai bahwa kesalahan penyajian baik
disebabkan oleh kekeliruan maupun oleh kecurangan, yang tidak material terhadap
laporan keuangan dapat dideteksi.
Contoh Auditor melanggar etika :
Manipulasi laporan keuangan PT KAI
Dalam kasus tersebut, terdeteksi adanya kecurangan dalam penyajian laporan
keuangan. Ini merupakan suatu bentuk penipuan yang dapat menyesatkan investor
dan stakeholder lainnya. Kasus ini juga berkaitan dengan masalah pelanggaran
kode etik profesi akuntansi.
Pemberian Honorarium

Auditor menggunakan pendekatan audit model baru atas obyek auditnya dan
mengatakan kepada pimpinan auditan bahwa ia memiliki gagasan yang dapat
menghasilkan restitusi pajak yang sudah terlanjur dibayar oleh pihak auditan pada
waktu-waktu yang lalu. Untuk itu, maka auditor mengusulkan agar honorarium
yang akan diterimanya atas jasa yang diberikannya adalah sebesar 50% dari jumlah
restitusi pajak tersebut. Perlu dicatat bahwa jasa pelayanan audit pada kantor
akuntan publik dikompensasikan dengan honorarium.
Kesepakatan pembayaran honorarium yang bersyarat merupakan pelanggaran dari
etika profesi karena terdapat implikasi negatif yang dapat terjadi apabila
kompensasi dibayarkan secara bersyarat. Honorarium yang dibayar umumnya
didasarkan atas seluruh biaya yang dikeluarkan oleh auditor dalam pemberian jasa
auditnya.
1. Jelaskan tujuan dari IT Auditing menurut bahasa Anda?
Jawab
IT Audit adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk
menentukan apakah sistem informasi dan sumber-sumber yang berkaitan dapat
menjaga aset, memelihara data dan integritas sistem dengan cukup, menyediakan
informasi yang relevan dan dapat diandalkan, mencapai tujuan organisasi yang
efektif, menggunakan sumber-sumber secara efisien, dan memiliki efek
pengendalian internal yang memberikan jaminan yang layak bahwa tujuan
operasional dan pengendalian akan tercapai.
IT audit juga dapat di artikan sebagai Proses pengumpulan dan evaluasi fakta/bukti
untuk menentukan apakah sistem (terkomputerisasi) dengan tujuan :
Menjaga aset
Memelihara integritas data
Memampukan komunikasi & akses informasi
Mencapai tujuan operasional secara efektif
Mengkonsumsi sumber daya secara efisien
Tujuan IT audit adalah memberikan bantuan atau jasa kepada manajemen
/organisasi perusahaan secara berkesinambungan mengenai temuan-temuan
kesalahan (error) dan ketidakberesan (irregularities) dengan cara memberikan
analisis, penilaian, rekomendasi, dan komentar mengenai pengendalian dengan
prosedur yang telah ditetapkan.
Manfaat Audit IT :
1. a. Pada saat Implementasi (Pre-Implementation Review)

Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan
kebutuhan ataupun memenuhi acceptance criteria.

Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.

Mengetahui apakah outcome sesuai dengan harapan manajemen.

1. b. Pada saat sistem live (Post-Implementation Review)

Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada
dan saran untuk penanganannya.

Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan


sistem, perencanaan strategis, dan anggaran pada periode berikutnya.

Bahan untuk perencanaan strategis dan rencana anggaran di masa


mendatang.

Memberikan reasonable assurance bahwa sistem informasi telah sesuai


dengan kebijakan atau prosedur yang telah ditetapkan.

Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan


dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang
berwewenang melakukan pemeriksaan.

Membantu dalam penilaian apakah initial proposed values telah terealisasi


dan saran tindak lanjutnya.

1. Apa alasannya mengapa harus dilakukan Risk Based IT Auditing?


Jawab
Karena dengan menggunakan pendekatan risk based IT audit dapat lebih
mefokuskan terhadap masalah parameter risk assesment yang diformulasikan
pada risk based audit plan.
Risk assesment dapat mengetahui risk matrix sehingga dapat membantu internal
auditor untuk menyusun risk audit matrix. Manfaat yang akan diperoleh internal
auditor apabila menggunakan risk based audit approach, antara lain internal auditor
akan lebih efisien & efektif dalam melakukan audit, sehingga dapat meningkatkan
kinerja Departemen Internal Audit.
Dengan menggunakan risk asssment maka dapat mengetahui lebih jauh risiko-risiko
potensial yang mungkin dihadapi oleh perusahaan. Proses risk assesment terdiri
dari langkah-langkah sebagai berikut :

Mengidentifikasi risiko-risiko bisnis yang melekat (inherent business risks)


dalam aktivitas perusahaan.


Mengevaluasi efektivitas sistem pengendalian (control systems) dalam rangka
monitoring inherent risk dari aktivitas bisnis (control risk)

Menggambarkan risk matrix yang didasarkan atas inherent business


risks dan control risk.Risk assesment dapat dilakukan dengan pendekatan
kuantitatif maupun kualitatif.
Parameter yang biasa digunakan dalam metodologi risk assesment antara lain :
1)

Trend industri & faktor lingkungan lain.

2)

Kompleksitas & volume aktivitas bisnis.

3)

Perubahan dari fokus bisnis & lini bisnis (busines lines).

4)

Perubahan dari praktek & kebijakan akuntansi (accounting practices / policies).

5)
Adanya perbedaan atas kinerja yang substansial dari Anggaran (Budget)
Perusahaan.
Terdapat tiga aspek dalam Risk Based Auditing, yaitu

Penggunaan faktor risiko (risk factor) dalam audit planning

Identifikasi independent risk & assesment

Partisipasi dalm inisiatif risk management & processes.

Cakupan dari risk based internal audit termasuk dilakukannya identifikasi atas
inherent business risks dan control risk yang potensial. Departemen Internal Audit
dapat melakukan review secara periodik tiap tahun atas risk based internal audit
dikaitkan dengan audit plan. Manajemen puncak (Board of Director) dan Komite
Audit dapat melakukan assessment atas kinerja (performance) dari risk based
internal audit untuk mengetahui realibilitas, keakuratan dan obyektivitasnya. Profil
risiko (Risk profile) atas risk based internal audit didokumentasikan dalam audit
plan yang dibuat oleh Departemen Internal Audit. Risk profile tersebut dapat
digunakan untuk melakukan evaluasi apakah metodologi risk assesment telah
rasional. Manfaat diterapkannya pendekatan risk based internal audit antara lain
dapat meningkatkan efisiensi dan efektivitas internal auditor dalam melakukan
audit, sehingga secara tidak langsung dapat meningkatkan kinerja Departemen
Internal audit.

1. Apa yang dimaksud dengan Audit Risk?


Jawab

Audit Risk adalah


1. Resiko bahwa informasi / laporan keuangan mungkin berisi materi kesalahan
yang mungkin tak terdeteksi selama audit
2. Resiko auditor mengeluarkan pendapat wajar tanpa pengecualian padahal
dalam laporan tersebut terdapat salah saji yang material
Model Audit risk terdiri dari :

Inherent risk adalah Resiko dari salah saji material menganggap perusahaan
tidak memiliki kontrol internal dimana resiko yang terkait dengan sifat kegiatan,
Faktor yang relevan (aturan-aturan yang rumit pada formulir klaim, kurangnya
bimbingan-bimbingan)

Control risk adalah Resiko bahwa salah saji material tidak terdeteksi oleh
kontrol internal. Dalam pengertian luas, pengendalian risiko adalah resiko bahwa
salah saji material dalam informasi tidak diaudit tidak akan terdeteksi dan dikoreksi
oleh manajemen prosedur pengendalian internal secara tepat waktu.

Detection risk adalah Resiko bahwa auditor tidak akan mendeteksi salah saji
material menggunakan prosedur analisis atau pengujian substantif

Overall audit risk adalah digunakan untuk menggambarkan risiko bahwa


auditor akan mengeluarkan opini yang tidak pantas
Yang harus dilakukan oleh Auditor adalah

Auditor akan selalu punya resiko audit karena auditor tidak menguji semua
transaksi.

Oleh karenanya Auditor harus berusaha untuk menurunkan atau mengurangi


resiko audit sampai tahap cukup rendah untuk diterima (biasanya 5%).

1. Activities apa saja yang perlu dilakukan dalam tahap IT Audit Planning?
Jawab
Tahapan IT audit yaitu :
(a)

Memperoleh pemahaman tentang misi bisnis, sasaran, tujuan dan proses.

(b)
Identifikasi menyatakan isi (kebijakan, standar, pedoman, prosedur, dan
struktur organisasi)
(c)

Evaluasi penilaian resiko dan analisis dampak privasi

(d)

Melakukan analisa resiko.

(e)

Melakukan pengendalian internal review.

(f)

Mengatur ruang lingkup pemeriksaan dan tujuan dari pemeriksaan.

(g)

Mengembangkan pendekatan pemeriksaan atau strategi pemeriksaan.

(h)
Menugaskan sumber daya manusia untuk memeriksa dan menyebutkan
logistik yang telah dijanjikan
Tahapan Planning audit teknologi sebagai berikut :

Tahap Persiapan (Pre Audit)

Penetapan obyek dan lingkup audit


Kesepakatan audit dengan auditee
Penyusunan kriteria audit
Penyusunan Audit Plan
Pembentukan Tim audit
Metoda pengumpulan sumber bukti

Tahap Pelaksanaan Audit (Onsite audit)

Pengumpulan data sekunder dan primer


Wawancara
Observasi lapangan
Pengukuran
Analisa sumber bukti

Tahap Pelaporan (Post Audit)

Analisa sumber bukti


Temuan
Penyusunan Rekomendasi
Klarifikasi Temuan dan Rekomendasi pada auditee
Rencana tindak
Pelaporan

1. Jelaskan apa yang dimaksud dengan Compliance test dan substantive test,
berikan contohnya masing?
Jawab

Compliance test

Menentukan apakah kontrol sesuai dengan kebijakan dan prosedur manajemen,jika


tes kepatuhan memberikan bukti bahwa kontrol yang berfungsi dengan baik, bukti
yang mendasari dianggap dapat diandalkan, dan CPA dapat mengurangi tingkat
validasi dan prosedur tinjauan analitis.
Berikut tiga prosedur pemeriksaan biasanya digunakan dalam melakukan pengujian
sesuai :

Penyelidikan personil mengenai kinerja tugasnya

Mengamati tindakan personil

Memeriksa dokumentasi untuk bukti kinerja karyawan dalam melaksanakan


fungsi

Contoh Compliance Test ( Test Kepatuhan )


Memeriksa faktur untuk memastikan bahwa menerima dokumen dan bukti
pengiriman barang disediakan ketika faktur diberikan untuk pembayaran. Tes
kepatuhan harus diterapkan untuk transaksi sepanjang tahun di bawah audit sejak
laporan keuangan mencerminkan transaksi dan peristiwa-peristiwa sepanjang
tahun. Tes kepatuhan dapat dilakukan pada subjektif atau dasar statistik.

Substantive test

Adalah tes integritas pengolahan secara aktual.


Tiga bentuk tes substantif :

Tes transaksi (yang seringkali dilakukan bersamaan dengan Tes Kepatuhan)

Tes keseimbangan

kajian analitis prosedur.

Contoh Substantive test


Para Nasabah mencek saldo rekening untuk memverifikasi kebenaran jumlah.
Pengujian transaksi dan saldo mengumpulkan bukti validitas dari perlakuan
akuntansi transaksi dan saldo. Sistem tersebut dirancang untuk mengidentifikasi

kesalahan dan penyimpangan. Sampling statistik dapat digunakan dalam


menentukan akurasi angka laporan keuangan. Pengujian transaksi dapat dilakukan
terus-menerus sepanjang tahun atau audit pada atau mendekati tanggal neraca.
Ketika jejak CPA faktur penjualan dari jurnal ke buku besar untuk kebenaran, itu
disebut tes transaksi. Ketika CPA membandingkan saldo buku kas dengan saldo
buku, ini adalah ujian saldo. Tes ini dilakukan di dekat atau pada akhir tahun tanggal
pelaporan. Tes substantif lain menghitung biaya bunga atas utang perusahaan dan
memeriksa jumlah dalam catatan keuangan. Analytical Review memeriksa prosedur
melibatkan hubungan kewajaran dalam laporan keuangan item dan mengungkap
variasi dari tren. Prosedur yang dapat diterapkan untuk keseluruhan informasi
keuangan, data keuangan segmen, dan unsur-unsur individu. Jika hubungan tampak
masuk akal, bukti-bukti yang menguatkan ada saldo account.

1. Apakah yang dimaksud dengan General Control Audit dan Application Control
Audit? Berikan contohnya ?
Jawab

General Control Audit

Pemeriksaan secara keseluruhan untuk semua bidang organisasi/perusahaan dan


mencakup kebijakan dan praktek yang didirikan oleh manajemen untuk
memberikan keyakinan memadai bahwa tujuan tertentu akan dicapai.
Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam
sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang
digunakan untuk melakukan pemrosesan data
Adapun aturan-aturan Pengendalian Umum sebagai berikut :

Kontrol akuntansi internal diarahkan pada operasi akuntansi

Kontrol operasional yang bersangkutan dengan hari-hari operasi

kontrol administratif yang bersangkutan dengan efisiensi operasional dan


kepatuhan terhadap kebijakan manajemen

Organisasi logis kebijakan keamanan dan prosedur

Secara keseluruhan kebijakan untuk desain dan penggunaan dokumen dan


catatan

Prosedur dan fitur untuk memastikan akses terhadap aset yang berwenang

Kebijakan keamanan fisik untuk semua data center

Contoh IT General Control meliputi :


(a) Manajemen TI
Keterlibatan Manajemen senior
IT perencanaan (strategis dan operasional)
Layanan perjanjian tingkat
Hukum kepatuhan
Organisasi TI
(b) Keamanan Fisik
Kontrol akses fisik ke fasilitas, ruang komputer, peralatan jaringan, sistem output
dan lain lain.
(c) Keamanan Informasi
Keamanan kebijakan
Keamanan manajemen
Logical kontrol akses
(d) Kelangsungan Systems
Backup data dan sistem
Kapasitas manajemen
Masalah manajemen
Kesinambungan perencanaan
Operations management
Konfigurasi manajemen
(e) Perubahan dan Manajemen Konfigurasi
Bisnis perubahan manajemen
Technical change management
(f) Pengembangan Sistem
Pengembangan metodologi
Project management
User / pelanggan partisipasi
Kualitas manajemen
Dokumentasi

Application Control Audit

Application control Audit adalah proses pemeriksaan suatu aplikasi program dimana
digunakan secara spesifik dalam suatu aplikasi sistem informasi untuk
meminimalkan dan mendeteksi prilaku software yang tidak normal.
Application Control Audit melibatkan tinjauan terhadap resiko dan kontrol internal
yang berhubungan dengan komputer tertentu aplikasi (atau sekelompok aplikasi)
yang melakukan fungsi tertentu (seperti Payroll, e-Niaga, General Ledger, Sumber

Daya Manusia, Mahasiswa Pendaftaran dan Rekaman, Treasury Workstation, dan


lain-lain).
Wilayah yang dicakup oleh aplikasi kontrol ini meliputi:

Kontrol Masukan

Contohnya : Suntingan dan lain lain

Kontrol Pemrosesan / Pengolahan

Contohnya : manipulasi input data ke dalam sistem

Kontrol Keluaran

Contohnya : baik file untuk segera menggunakan atau masukan sistem lain atau
bahkan kontrol distribusi laporan, mikrofilm, dan lain-lain

Kontrol Basis Data

Contohnya : Mempunyai tempat penyimpanan yang aman dari orang-orang yang


tidak berkepentingan.

Kontrol Telekomunikasi

Contohnya : Memberikan PIN untuk para pengguna.


Tujuan pengendalian aplikasi (Application Control Audit) dimaksudkan untuk
memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara
benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.

10. Apakah definisi Risk (resiko) menurut Anda? Dan cara menanggulanginya?
Jawab
Resiko adalah pusat dari asuransi selain itu juga selalu berada pada pusat
kehidupan itu sendiri atau seringkali disebut sebagai suatu ketidak pastian di masa
yang akan datang tentang kerugian (uncertainty of loss).
Istilah risiko (risk) dapat juga dalam arti benda atau objek pertanggungan subject
(matter insured) dan bencana / bahaya (perils). Kapal, muatan barang, mobil,
bangunan dan lain-lain adalah beberapa contoh dari benda-benda pertanggungan.
Angin ribut, gempa bumi banjir, kecurian adalah beberapa contoh dari
bencana/bahaya yang dapat menimbulkan kerugian bila terjadi.
Cara untuk menanggulangi resiko :
1. Menghindari/menekan kemungkinan terjadinya resiko.

Misalnya dg memenuhi standard keamanan perusahaan (dengan memasang sistem


keamanan yg memadai atau menyediakan petugas terlatih untuk mengatasi
kebakaran).
1. Menanggung sendiri resiko yg terjadi.
Seorang pengusaha harus memiliki dana taktis yang tidak sedikit untuk membiayai
resiko yang terjadi.
1. Untuk tingkat kepastian yang lebih tinggi, pengusaha sepertinya harus mulai
memikirkan untuk mengkombinasikan cara di atas dengan mengalihkan
resiko (risk transfer) pada pihak lain, dalam hal ini perusahaan asuransi.

Jenis-jenis Resiko :
1. Resiko Keuangan
2. Resiko Produksi
3. Resiko operasional dan pemasaran
4. Resiko sumber daya manusia
SISTEM PENGENDALIAN MANAJEMEN
Sistem pengendalian manajemen dapat diklasifikasikan ke dalam
5 (lima) jenis, yaitu:
1. pengendalian pencegahan (preventive controls),
2. pengendalian deteksi (detective controls),
3. pengendalian koreksi (corrective controls),
4. pengendalian pengarahan/langsung (directive controls),
5. pengendalian pengganti (compensating controls).
Kelima jenis pengendalian di atas dapat dijelaskan sebagai
berikut.
1. Pengendalian Pencegahan (Preventive Controls)
Pengendalian pencegahan dimaksudkan untuk mencegah
terjadinya suatu kesalahan. Pengendalian ini dirancang untuk

mencegah hasil yang tidak diinginkan sebelum kejadian itu


terjadi. Pengendalian pencegahan berjalan efektif apabila
fungsi atau personil melaksanakan perannya. Contoh
pengendalian pencegahan meliputi: kejujuran, personil yang
kompeten, pemisahan fungsi, reviu pengawas dan
pengendalian ganda.
Sebagaimana pepatah mengatakan: lebih baik mencegah
daripada mengobati demikian pula dengan pengendalian.
Pengendalian pencegahan jauh lebih murah biayanya dari
pada pengendalian pendeteksian. Ketika dirancang ke dalam
sistem, pengendalian pencegahan memperkirakan kesalahan
yang mungkin terjadi sehingga mengurangi biaya
perbaikannya. Namun demikian, pengendalian pencegahan
tidak dapat menjamin tidak terjadinya kesalahan atau
kecurangan sehingga masih dibutuhkan pengendalian lain
untuk melengkapinya. Untuk itu, pengendalian pencegahan
perlu dilengkapi dengan pengendalian deteksi dan
pengendalian koreksi.
2. Pengendalian Deteksi (Detective Controls)
Sesuai dengan namanya pengendalian deteksi dimaksudkan
untuk mendeteksi suatu kesalahan yang telah terjadi.
Rekonsiliasi bank atas pencocokan saldo pada buku bank
dengan saldo kas pada buku organisasi merupakan contoh
pengendalian deteksi atas saldo kas.
Pengendalian deteksi biasanya lebih mahal daripada
pengendalian pencegahan, namun tetap dibutuhkan dengan

alasan berikut. Pertama, pengendalian deteksi dapat mengukur


efektivitas pengendalian pencegahan. Kedua, beberapa
kesalahan tidak dapat secara efektif dikendalikan melalui
sistem pengendalian pencegahan sehingga harus ditangani
dengan pengendalian deteksi ketika kesalahan tersebut terjadi.
Pengendalian deteksi meliputi reviu dan pembandingan seperti:
catatan kinerja dengan pengecekan independen atas kinerja,
rekonsiliasi bank, konfirmasi saldo bank, kas opname,
penghitungan fisik persediaan, konfirmasi atas piutang/utang
dan sebagainya.
3. Pengendalian Koreksi (Corrective Controls)
Pengendalian koreksi melakukan koreksi masalah-masalah
yang teridentifikasi oleh pengendalian deteksi. Tujuannya
adalah agar supaya kesalahan yang telah terjadi tidak terulang
kembali. Masalah atau kesalahan dapat dideteksi oleh
manajemen sendiri atau oleh auditor. Apabila masalah atau
kesalahan terdeteksi oleh auditor, maka wujud pengendalian
koreksinya adalah dalam bentuk pelaksanaan tindak lanjut dari
rekomendasi auditor.
Contoh: dijumpai adanya distribusi sembako kepada pihakpihak
yang tidak memenuhi kriteria untuk dibantu oleh pejabat
kelurahan. Atas dasar pengaduan, lurah setempat mengambil
langkah perbaikan dengan menarik kembali bantuan tersebut
dan mendistribusikan kepada pihak-pihak yang berhak dan
memberikan sanksi kepada oknum pejabat yang telah
melakukan penyimpangan sesuai dengan ketentuan yang

berlaku.
4. Pengendalian Pengarahan (Directive Controls)
Pengendalian pengarahan adalah pengendalian yang dilakukan
pada saat kegiatan sedang berlangsung dengan tujuan agar
kegiatan dilaksanakan sesuai dengan kebijakan atau ketentuan
yang berlaku.
Contoh: kegiatan supervisi yang dilakukan langsung oleh
atasan kepada bawahan atau pengawasan oleh mandor
terhadap aktivitas pekerja.
5. Pengendalian Pengganti (Compensating Controls)
Pengendalian kompensatif dimaksudkan untuk memperkuat
pengendalian karena terabaikannya suatu aktivitas
pengendalian. Pengawasan langsung pimpinan terhadap
kegiatan pegawainya pada suatu organisasi kecil karena
ketidak-adanya pemisahan fungsi merupakan contoh
pengendalian pengganti.

Tujuan Perancangan Sistem Pengendalian Manajemen

Secara singkat fungsi pengendalian bertujuan untuk


mengidentifikasi terjadinya deviasi atau penyimpangan atas
pelaksanaan kegiatan dibandingkan dengan perencanaan sebagai
umpan balik untuk melakukan tindakan koreksi atau perbaikan
bagi pimpinan dalam mencapai tujuan organisasi. Secara luas
fungsi pengendalian juga mencakup usaha pencegahan
kemungkinan terjadinya suatu deviasi atau penyimpangan. Sistem

pengendalian manajemen mencakup pengendalian yang bersifat


preventif berupa perancangan suatu sistem pengendalian maupun
pengendalian yang bersifat pendeteksian.
Dari definisi pengendalian intern menurut Committee of
Sponsoring Organizations of the Treadway Commission (COSO)
sebagaimana telah diuraikan sebelumnya, diketahui bahwa
pengendalian manajemen adalah suatu proses yang dipengaruhi
oleh dewan komisaris suatu entitas, manajemen, dan personil lain,
dirancang untuk menyediakan keyakinan yang memadai berkaitan
dengan pencapaian tujuan dalam beberapa kategori:
- efektivitas dan efisiensi kegiatan,
- keterandalan pelaporan keuangan,
- ketaatan pada peraturan dan ketentuan yang berlaku.
(UJANG SU
Data adalah sesuatu yang belum mempunyai arti bagi penerimanya dan masih
bersifat mentah, sehingga memerlukan adanya suatu pengolahan. Data bisa
berwujut suatu keadaan, gambar, suara, huruf, angka, bahasa ataupun simbolsimbol lainnya yang bisa kita gunakan sebagai bahan untuk melihat lingkungan,
obyek, kejadian ataupun suatu konsep. Sedangkan, Informasi adalah hasil
pengolahan dari sebuah model, formasi, organisasi, ataupun suatu perubahan
bentuk dari data yang memiliki nilai tertentu, dan bisa digunakan untuk menambah
pengetahuan bagi yang menerimanya. Dalam hal ini, data bisa dianggap sebagai
obyek dan informasi adalah suatu subyek yang bermanfaat bagi penerimanya.
Informasi juga bisa disebut sebagai hasil pengolahan ataupun pemrosesan data.

Perbedaan data dan informasi


Data mencakup fakta dan angka-angka yang relative tidak berarti, yang diubah
menjadi informasi oleh suatu pengolah informasi.Informasi memiliki arti bagi
pemiliknya. Pengolah informasi menyediakan informasi dalam bentuk lisan maupun
tertulis. Informasi berasal dari sumber-sumber internal maupun lingkungan dan
digunakan untuk membuat keputusan untuk memecahkan masalah. Komputer
mula-mula digunakan sebagai system informasi akutansi (SIA) tapi kemudian

disadari memiliki nilai potensi sebagai suatu sitem informasi manajemen (SIM).
Selanjutnya perhatian meluas pada system pendukung keputusan (decision support
system) DSS, kantor virtual (virtual office) dan systemberbasis pengetahuan
(knowledge-based system). Kelima bidang aplikasi ini membentuk system informasi
berbasis computer (Computer Based Information Sistem) CBIS.Sejumlah perusahaan
yang mula-mula menggunakan computer membentuk departemen computer dan
memberi mereka tanggung jawab atas pengembangan system. Praktekini berlanjut
dengan unit-unit meliputi para specialist informasi seperti analisis system,
pengelola database, specialist jaringan, programmer damoperator. Kita menamakan
jasa informasi untuk menggambarkan unit ini.
Perbedaan di antara kedua terma ini adalah sebagai berikut:

a. Setiap sistem informasi diawali dengan DATA dan diakhiri dengan INFORMASI

b. Data adalah fakta yang sudah tercatat secara sempurna atau yang akan selesai
pencatatannya pada masa datang menyangkut peristiwa-peristiwa tertentu. Faktafakta ini kadang-kadang berdiri sendiri, tidak berkaitan satu sama lain dan tak
terbatas jumlahnya. Data juga didefinisikan sebagai masukan atau bahan mentah
bagi informasi.
Dengan kata lain, data adalah kumpulan fakta dan hasil observasi yang sudah
dihimpun dari komunitas statistik tertentu dan sudah selesai pemasukannya ke
dalam komputer untuk diolah dan dikeluarkan hasilnya. Contoh-contoh data adalah:
nama, usia, pekerjaan, tingkat pendidikan, pendapatan rata-rata, dan lain-lain.

c. Informasi adalah hasil pengolahan data atau kumpulan hasil yang sudah didapat
dari komputer. Dengan kata lain, informasi adalah kumpulan data yang sudah
dihimpun dan diolah dengan metode apa saja sehingga siap-pakai atau bermanfaat
bagi resipien atau penggunanya. Dengan demikian, informasi merepresentasikan
output dalam sistem informasi dan berpengaruh terhadap pengambilan keputusan
yang berlainan.

d. Pengguna informasi memasukkan data ke dalam komputer, mengolah, dan


mengurutkannya. Kemudian ia melakukan langkah-langkah tertentu terhadap
datanya sehingga dapat menghasilkan informasi yang berharga dan bermanfaat.
Setiap kumpulan informasi pun menjadi ilmu pengetahuan. Inilah tugas terakhir
informasi. Informasi terbaru ini digunakan untuk memperkuat dan mengoreksi

informasi sebelumnya sekaligus untuk melengkapi fakta-fakta atau gagasan baru


bagi penerima dan pengguna informasi.

e. Biasanya, sesuatu yang merupakan data dalam bentuk angka, tabel dan grafiks
kadang-kadang bisa menjadi informasi dalam bentuk teks, frase, dan gambargambar ilustratif. Data bisa berupa teks, angka, gambar atau bentuk apa pun.
Di era informasi seperti sekarang ini, isu keamanan menjadi sebuah hal yang sangat
penting. Tiap individu dan perusahaan berusaha keras untuk bisa memastikan
keamanan bagi komputernya yang menyimpan data dan informasi penting dan
berharga milik mereka. Semakin banyak dan beragamnya ancaman tentunya
membuat kita sebagai pengguna teknologi membutuhkan pengetahuan yang lebih
lengkap tentang bagaimana cara menghadapi ancaman tersebut. Dengan
pengetahuan yang baik, kita dapat mengurangi risiko yang dapat timbul di
kemudian hari.
Berikut ini adalah beberapa cara untuk memproteksi diri anda dan asset berharga
anda berupa data dan informasi, dari risiko yang mengancam.

Menjaga informasi penting tentang pribadi atau bisnis dengan baik.

Biasakan untuk tidak membicarakan informasi rahasia anda di tempat umum.


Kadang kala tanpa kita sadari, kita membicarakan tentang hal-hal confidential di
tempat umum, misalnya saat berbincang melalui ponsel di sebuah restoran. Bisa
saja ada orang yang menguping pembicaraan bisnis tersebut, dan mengambil
keuntungan dari hal tersebut.
Sebelum meninggalkan komputer/laptop anda, jangan lupa untuk mengunci (lock)
dahulu. Data-data yang ada di komputer anda mungkin perlu dirahasiakan dari
rekan kerja anda. Lebih baik mencegah daripada membiarkan ada kesempatan
penyalahgunaan oleh orang lain.
Selain itu, sangat penting bagi kita untuk berhati-hati dalam berbagi informasi
pribadi di dunia online. Informasi seperti tanggal lahir, nama pasangan, atau
nomor handphone bisa dimanfaatkan oleh orang yang tidak bertanggung jawab
untuk melakukan tindakan kejahatan pada anda. Cobalah selektif dalam berbagi
informasi tersebut, karena bisa juga mengganggu privasi anda

Backup file anda secara rutin.

Walaupun teknologi saat ini sudah begitu canggih, tidak ada metode keamanan
yang menjamin 100% efektif. Kejadian-kejadian yang tidak kita inginkan dapat
terjadi kapan saja. Tindakan preventif perlu kita lakukan agar jika pada suatu saat
terjadi, kita tidak disulitkan oleh kejadian tersebut.

Backup lah data-data penting anda secara rutin. Media yang bisa anda gunakan
untuk backup antara lain adalah dengan burn data ke CD atau DVD. Anda juga bisa
menyalin data-data tersebut ke flashdisk atau external harddisk. Saat ini juga
banyak terdapat layanan backup data berbasis web yang bisa anda gunakan.
Banyak pilihan yang tersedia, tinggal kesadaran kita sebagai pengguna untuk
melakukannya.

Menggunakan internet secara sehat dan aman.

Anda bisa memulainya dengan membiasakan diri tidak mengunjungi situs yang
tidak jelas sumbernya, karena ada risiko penyebaran malware (softwareperusak).
Beberapa browser telah memiliki mekanisme untuk secara otomatis memunculkan
notifikasi pada pengguna sebelum masuk ke suatu situs yang berbahaya. Namun,
sebaiknya anda sendiri yang melindungi diri anda dengan tidak memasuki situssitus tersebut.
Tindakan lain yang bisa anda lakukan adalah dengan menghapus email
spam diinbox anda tanpa perlu membukanya. Email spam yang terkirim berisiko
berisimalware yang bisa secara otomatis masuk dan terinstalasi ke komputer anda.
Selain itu, jangan sembarang meng-click sesuatu di internet, karena tanpa kita
sadari mungkin hal itu sudah mengakibatkan bahaya pada komputer dan data-data
kita. Tutuplah pop-ups yang muncul dengan menekan tombol X di sudut kanan
atas, untuk menghindari risiko yang mungkin muncul.
***
Tindakan dan perilaku anda pada saat menggunakan komputer dan perangkat
teknologi lainnya berpengaruh terhadap keamanan diri dan aset berharga anda
yang berupa data dan informasi. Perilaku yang bertanggung jawab dari kita sebagai
pengguna dapat mengurangi risiko kejahatan dan penyalahgunaan di dunia online,
sekaligus meningkatkat kenyamanan dalam penggunaan teknologi.
Keamanan sistem komputer adalah untuk menjamin sumber daya tidak digunakan
atau dimodifikasi orang tak terotorisasi. Pengamanan termasuk masalah teknis,
manajerial, legalitas dan politis.

Keamanan sistem terbagi menjadi tiga, yaitu :


1. Keamanan eksternal (external security).
Berkaitan dengan pengamanan fasilitas komputer dari penyusup (hacker) dan
bencana
seperti kebakaran dan kebanjiran.
2. Keamanan interface pemakai (user interface security).
Berkaitan dengan identifikasi pemakai sebelum pemakai diijinkan mengakses
program dan data yang disimpan.
3. Keamanan internal (internal security).
Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat
keras dan sistem operasi yang menjamin operasi yang handal dan tak terkorupsi
untuk menjaga integritas program dan data.
Istilah keamanan (security) dan proteksi (protection) sering digunakan secara
bergantian. Untuk menghindari kesalahpahaman, istilah keamanan mengacu ke
seluruh masalah keamanan, dan istilah mekanisme proteksi mengacu ke
mekanisme sistem yang digunakan untuk memproteksi/melindungi informasi pada
sistem komputer.
Proteksi Sistem Operasi
Proteksi adalah mekanisme sistem operasi untuk mengontrol akses terhadap
beberapa objek yang diproteksi dalam sistem operasi. Objek-objek tersebut bisa
berupa perangkat keras (seperti CPU, memori, disk, printer, dll) atau perangkat
lunak (seperti program, proses, berkas, basis data, dll). Di beberapa sistem, proteksi
dilakukan oleh sebuah program yang bernama reference monitor. Setiap kali ada
pengaksesan sumber daya PC yang diproteksi, sistem pertama kali akan
menanyakan reference monitor tentang keabsahan akses tersebut. Reference
monitor kemudian akan menentukan keputusan apakah akses tersebut
diperbolehkan atau ditolak.
Secara sederhana, mekanisme proteksi dapat digambarkan dengan
konsep domain. Domain adalah himpunan yang berisi pasangan objek dan hak
akses. Masing-masing pasangan domain berisi sebuah objek dan beberapa akses
operasi (seperti read, write, execute) yang dapat dilakukan terhadap objek tersebut.
Dalam setiap waktu, setiap proses berjalan dalam beberapa domain proteksi. Hal itu
berarti terdapat beberapa objek yang dapat diakses oleh proses tersebut, dan
operasi-operasi apa yang boleh dilakukan oleh proses terhadap objek tersebut.
Proses juga bisa berpindah dari domain ke domain lain dalam eksekusi.
Contoh Proteksi pada berkas
Perlindungan terhadap berkas dapat dilakukan dengan berbagai macam cara. Pada
bagian ini, kita akan membahas secara detil mekanisme yang diterapkan dalam
melindungi sebuah berkas.
1. Tipe Akses Pada Berkas
Salah satu cara untuk melindungi berkas dalam komputer kita adalah dengan
melakukan pembatasan akses pada berkas tersebut. Pembatasan akses yang
dimaksudkan adalah kita, sebagai pemilik dari sebuah berkas, dapat menentukan

operasi apa saja yang dapat dilakukan oleh pengguna lain terhadap berkas
tersebut. Pembatasan ini berupa sebuah permission atau pun not permitted
operation, tergantung pada kebutuhan pengguna lain terhadap berkas tersebut. Di
bawah ini adalah beberapa operasi berkas yang dapat diatur aksesnya:
1. Read: Membaca dari berkas
2. Write: Menulis berkas
3. Execute: Meload berkas kedalam memori untuk dieksekusi.
4. Append: Menambahkan informasi kedalam berkas di akhir berkas.
5. Delete: Menghapus berkas.
6. List: Mendaftar properti dari sebuah berkas.
7. Rename: Mengganti nama sebuah berkas.
8. Copy: Menduplikasikan sebuah berkas.
9. Edit: Mengedit sebuah berkas.
Selain operasi-operasi berkas diatas, perlindungan terhadap berkas dapat dilakukan
dengan mekanisme yang lain. Namun setiap mekanisme memiliki kelebihan dan
kekurangan. Pemilihan mekanisme sangatlah tergantung pada kebutuhan dan
spesifikasi sistem.
2. Akses List dan Group
Hal yang paling umum dari sistem proteksi adalah membuat akses tergantung pada
identitas pengguna yang bersangkutan. Implementasi dari akses ini adalah dengan
membuat daftar akses yang berisi keterangan setiap pengguna dan keterangan
akses berkas dari pengguna yang bersangkutan. Daftar akses ini akan diperiksa
setiap kali seorang pengguna meminta akses ke sebuah berkas. Jika pengguna
tersebut memiliki akses yang diminta pada berkas tersebut, maka diperbolehkan
untuk mengakses berkas tersebut. Proses ini juga berlaku untuk hal yang
sebaliknya. Akses pengguna terhadap berkas akan ditolak, dan sistem operasi akan
mengeluarkan peringatan Protection Violation.
Masalah baru yang timbul adalah panjang dari daftar akses yang harus dibuat.
Seperti telah disebutkan, kita harus mendaftarkan semua pengguna dalam daftar
akses tersebut hanya untuk akses pada satu berkas saja. Oleh karena itu, teknik ini
mengakibatkan 2 konsekuensi yang tidak dapat dihindarkan:
1. Pembuatan daftar yang sangat panjang ini dapat menjadi pekerjaan yang sangat
melelahkan sekaligus membosankan, terutama jika jumlah pengguna dalam sistem
tidak dapat diketahui secara pasti.
2. Manajemen ruang harddisk yang lebih rumit, karena ukuran sebuah direktori
dapat berubah-ubah, tidak memiliki ukuran yang tetap.
Kedua konsekuensi diatas melahirkan sebuah teknik daftar akses yang lebih
singkat. Teknik ini mengelompokkan pengguna berdasarkan tiga kategori:
1. Owner
: User yang membuat berkas.
2. Group
: Sekelompok pengguna yang memiliki akses yang sama terhadap
sebuah berkas, atau men-share sebuah berkas.
3. Universe : Seluruh pengguna yang terdapat dalam sistem komputer.
Dengan adanya pengelompokkan pengguna seperti ini, maka kita hanya
membutuhkan tiga field untuk melindungi sebuah berkas. Field ini diasosiasikan

dengan 3 buah bit untuk setiap kategori. Dalam sistem UNIX dikenal bit rwx dengan
bit r untuk mengontrol akses baca, bit w sebagai kontrol menulis dan bit x sebagai
bit kontrol untuk pengeksekusian. Setiap field dipisahkan dengan field separator.
3. Pendekatan Sistem Proteksi yang Lain
Sistem proteksi yang lazim digunakan pada sistem komputer selain diatas adalah
dengan menggunakan password (kata sandi) pada setiap berkas. Beberapa sistem
operasi mengimplementasikan hal ini bukan hanya pada berkas, melainkan pada
direktori. Dengan sistem ini, sebuah berkas tidak akan dapat diakses selain oleh
pengguna yang telah mengetahui password untuk berkas tersebut. Akan tetapi,
masalah yang muncul dari sistem ini adalah jumlah password yang harus diingat
oleh seorang pengguna untuk mengakses berkas dalam sebuah sistem operasi.
Masalah yang lain adalah keamanan password itu sendiri. Jika hanya satu password
yang digunakan, maka kebocoran password tersebut merupakan malapetaka bagi
pengguna yang bersangkutan. Sekali lagi, maka kita harus menggunakan password
yang berbeda untuk setiap tingkatan yang berbeda.

Keamanan Sistem Operasi


Pengguna sistem komputer sudah tentu memiliki data-data dan informasi yang
berharga baginya. Melindungi data-data ini dari pihak-pihak yang tidak berhak
merupakan hal penting bagi sistem operasi. Inilah yang disebut keamanan
( security).
Sebuah sistem operasi memiliki beberapa aspek tentang keamanan. Aspek-aspek
ini berhubungan terutama dengan hilangnya data-data. Sistem komputer dan datadata di dalamnya terancam dari aspek ancaman (threats), aspek penyusup
( intruders), dan aspek musibah.
Dari aspek ancaman, secara umum sistem komputer menghadapi ancaman
terbukanya data-data rahasia, pengubahan data-data oleh orang yang tidak berhak,
juga pelumpuhan sistem dengan adanya Denial of Service(DoS).
Dari aspek penyusup, saat ini banyak orang mencoba masuk ke dalam sistem
operasi dengan berbagai macam tujuan. Ada yang hanya sekedar mencoba
menjebol sistem operasi ( hacking), ada yang mencoba mengambil keuntungan dari
tindakan penjebolah itu ( cracking).
Tidak hanya disusupi oleh manusia, sistem operasi juga menghadapi ancaman
keamanan dari program-program penyusup, yang disebut malicious
program atau malware. Malware adalah program yang menyusup ke dalam sistem
operasi dan memiliki tujuan-tujuan tertentu seperti mengambil data-data pribadi,
mengambil alih komputer, dan seringkali bertujuan merusak. Yang termasuk
kategori malware adalah virus, keylogger,worm, trojan, dan sypware.
Sebuah sistem operasi memiliki beberapa aspek tentang keamanan.
Terdapat dua masalah penting, yaitu :
a. Kehilangan data (data loss)
Dapat disebabkan karena :Bencana (Kebakaran, Banjir, Gempa bumi, Perang,

Kerusuhan, Binatang),Kesalahan perangkat keras dan perangkat lunak (Ketidak


berfungsian pemroses, Disk atau tape yang tidak terbaca, Kesalahan
telekomunikasi, Kesalahan program (bugs) Kesalahan/kelalaian manusia (Kesalahan
pemasukan data, Memasang tape atau disk yang
salah, Eksekusi program yang
salah, Kehilangan disk atau tape),Kehilangan data dapat diatasi dengan mengelola
beberapa backup dan backup ditempatkan jauh dari data yang online.
b. Penyusup (hacker)
Terdiri dari :
Penyusup pasif, yaitu yang membaca data yang tak diotorisasi dan Penyusup aktif,
yaitu yang mengubah data yang tak diotorisasi.
Kategori penyusupan :
Penyadapan oleh orang dalam, Usaha hacker dalam mencari uang,Spionase militer
atau bisnis.
Perkembangan dunia internet saat ini membawa konsekuensi meningkatnya resiko
keamanan terhadap sistem operasi. Oleh karena itu, sistem operasi harus memiliki
ketahanan keamanan. Bagi kebanyakan pengembang sistem operasi saat ini,
keamanan adalah salah satu permasalahan utama.
Sasaran pengamanan adalah menghindari, mencegah dan mengatasi ancaman
terhadap sistem. Kebutuhan keamanan sistem komputer dikategorikan tiga aspek,
yaitu :
1. Kerahasiaan (secrecy).
Adalah keterjaminan bahwa informasi disistem komputer hanya dapat diakses
oleh pihak-pihak yang diotorisasi dan modifikasi tetap menjaga konsistensi dan
keutuhan data di sistem.
2. Integritas (integrity).
Adalah keterjaminan bahwa sumber daya sistem komputer hanya dapat
dimodifikasi oleh pihak-pihak yang diotorisasi.
3. Ketersediaan (availability).
Adalah keterjaminan bahwa susmber daya sistem komputer tersedia bagi pihakpihak yang diotorisasi saat diperlukan.
Tipe-tipe ancaman terhadap keamanan sistem dapat dimodelkan dengan
memandang fungsi sistem komputer sebagai penyedia informasi. Berdasarkan
fungsi ini, ancaman terhadap sistem komputer dapat dikategorikan menjadi empat
ancaman, yaitu :
1. Interupsi (interuption).
Sumber daya sistem komputer dihancurkan atau menjadi tak tersedia atau tak
berguna. Interupsi merupakan ancaman terhadap ketersediaan. Contoh :
penghancuran bagian perangkat keras, seperti harddisk, pemotongan kabel
komunikasi.
2. Intersepsi (interception).
Pihak tak diotorisasi dapat mengakses sumber daya. Interupsi merupakan
ancaman terhadap kerahasiaan. Pihak tak diotorisasi dapat berupa orang atau
program komputer. Contoh : penyadapan untuk mengambil data rahasia,
mengetahui file tanpa diotorisasi.

3. Modifikasi (modification).
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya.
Modifikasi merupakan ancaman terhadap integritas. Contoh : mengubah nilai-nilai
file data, mengubah program sehingga bertindak secara berbeda, memodifikasi
pesan-pesan yang ditransmisikan pada jaringan.
4. Fabrikasi (fabrication).
Pihak tak diotorisasi menyisipkan/memasukkan objek-objek palsu ke sistem.
Fabrikasi merupakan ancaman terhadap integritas. Contoh : memasukkan pesanpesan palsu ke jaringan, penambahan record ke file.
Untuk memproteksi Sistem Operasi, maka cara yang dapat dilakukan adalah
dengan membuat identifikasi pemakai ketika login disebut otentifikasi pemakai
(user authentication). Kebanyakan metode otentifikasi didasarkan pada tiga cara,
yaitu :
1. Sesuatu yang diketahui pemakai (misalnya : Password, Kombinasi kunci,
kombinasi kata, dsb.)
2. Sesuatu yang dimiliki pemakai (misalnya : Badge, Kartu Identitas, Kunci, dsb)
3. Sesuatu mengenai (ciri) pemakai (misalnya : Sidik jari, sidik suara, foto, tanda
tangan)
PENGENDALIAN & SISTEM INFORMASI AKUNTANSI
OKTOBER 23, 2010 | AMY HUMAIRA
Ancaman-ancaman atas SIA

Salah satu ancaman yang dihadapi perusahaan adalah kehancuran karena


bencana alam dan politik, seperti :

Kebakaran atau panas yang berlebihan

Banjir, gempa bumi

Badai angin, dan perang

Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak
berfungsinya peralatan, seperti :
Kegagalan hardware

Kesalahan atau terdapat kerusakan pada software, kegagalan sistem operasi,


gangguan dan fluktuasi listrik.

Serta kesalahan pengiriman data yang tidak terdeteksi.

Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja,


seperti :
Kecelakaan yang disebabkan kecerobohan manusia

Kesalahan tidak disengaja karen teledor

Kehilangan atau salah meletakkan

Kesalahan logika

Sistem yang tidak memenuhi kebutuhan perusahaan

Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja,


seperti :

sabotase

Penipuan komputer

Penggelapan

Beberapa ancaman (threats) lainnya adalah :

1. Merekrut karyawan yang tidak kualified Hiring of unqualified


2. Pelanggaran hukum oleh karyawan (Violation of employment law)
3. Perubahan yang tidak diotorisasi opada file induk pembayaran (master
payroll file)
4. Ketidakakuratan data waktu (Inaccurate time data)
5. Ketidakakuratan proses pembayaran
6. Pencurian atau kecurangan pendistribusian pembayaran
7. Kehilangan atau tidak terotorisasi data pembayaran
8. Performansi jelek
Mengapa ancaman-ancaman SIA meningkat?

Peningkatan jumlah sistem klien/server memiliki arti bahwa informasi


tersedia bagi para pekerja yang tidak baik.

Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak


pemakai, mereka lebih sulit dikendalikan daripada sistem komputer utama
yang terpusat.

WAN memberikan pelanggan dan pemasok akses ke sistem dan data mereka
satu sama lain, yang menimbulkan kekhawatiran dalam hal kerahasiaan.

Lingkungan Pengendalian

Lingkungan pengendalian terdiri dari faktor-faktor berikut ini :

1. Komitmen atas integritas dan nilai-nilai etika


2. Filosofi pihak manajemen dan gaya beroperasi
3. Struktur organisasional
4. Badan audit dewan komisaris
5. Metode untuk memberikan otoritas dan tanggung jawab
6. Kebijakan dan praktik-praktik dalam sumber daya manusia
7. Pengaruh-pengaruh eksternal
AKTIVITAS PENGENDALIAN
Aktivitas pengendalian bertujuan untuk mengarahkan karyawan agar karyawan
dapat bertindak sesuai dengan arahan manajer.

Aktivitas yang terkait dengan pelaporan keuangan. Meliputi:


Perancangan dokumen yang baik dan penggunaan dokumen bernomor urut
tercetak; Pemisahan tugas; Otorisasi atas transaksi; Pengamanan yang
memadai; Cek independen atas kinerja rekan sekerja; Penilaian (valuation)
atas jumlah yang mesti dicatat yang tepat

Aktivitas yang terkait dengan pemrosesan informasi, meliputi


pengendalian umum dan pengendalian aplikasi. Aktivitas ini membantu
memastikan reliabilitas dan integritas sistem informasi yang memproses
informasi keuangan maupun informasi non keuangan.

Aktivitas pengendalian yang lain yang relevan dengan pelaporan keuangan adalah
review atas kinerja, yang meliputi:
1. Membandingkan anggaran dan nilai aktual
2. Menganalisis kaitan antar data, melakukan investigasi dan tindakan korektif
3. Review atas kinerja fungsional atau area tertentu
Aktivitas Pengendalian

Secara umum, prosedur-prosedur pengendalian termasuk dalam satu dari


lima kategori berikut ini :

1. Otorisasi transaksi dan kegiatan yang memadai


2. Pemisahan tugas
3. Desain dan penggunaan dokumen serta catatan yang memadai

4. Penjagaan aset dan catatan yang memadai


5. Pemeriksaan independen atas kinerja
Aktivitas pengendalian dapat berupa:
Pengendalian pengolahan informasi mencakup:

Otorisasi semestinya terhadap transaksi

Dokumen dan catatan

Pengecekan independen

Pemisahan tugas

Pengendalian fisik

Review terhadap kinerja

PENGENDALIAN UMUM
Meliputi:

Pengendalian organisasi.

Pengendalian dokumentasi.

Pengendalian akuntabilitas aktiva.

Pengendalian praktik manajemen.

Pengendalian operasi pusat informasi

Pengendalian otorisasi

Pengendalian akses

PENGENDALIAN ORGANISASI
Organisasi menetapkan hubungan kerja antara karyawan dan unit organisasi.
Struktur organisasi dirancang sedemikian rupa sehingga menghasilkan organisasi
yang independen. Organisasi yang independen adalah struktur organisasi yang
memisahkan wewenang dan tanggung jawab sedemikian rupa sehingga fungsi yang
tidak kompatibel dipisahkan. Selain melalui pemisahan tugas, pengendalian juga
dicapai dengan monitoring.
Dalam sistem manual, karyawan yang menangani aktiva mesti dipisahkan dari
karyawan yang memiliki otorisasi untuk melaksanakan suatu transaksi dan
karyawan yang bertanggung jawab untuk mencatat transaksi.

Sistem informasi memiliki tanggung jawab untuk merekam dan memproses data.
Oleh karena itu sistem informasi mesti independen dari semua departemen yang
menggunakan data dan informasi tersebut. Departemen pengguna adalah
departemen yang memiliki tanggung jawab untuk menginisiasi dan mengotorisasi
transaksi. Selain itu, fungsi pengembangan sistem mesti dipisahkan dari sistem
pemrosesan transaksi.
PENGENDALIAN DOKUMENTASI
Dokumentasi yang baik berguna untuk efisiensi dalam perbaikan bug sistem, untuk
efisiensi dalam pengembangan tambahan aplikasi baru, serta untuk pelatihan
karyawan dalam mengenalkan sistem aplikasi.
Dokumentasi yang diperlukan meliputi:

Kebijakan terkait dengan sistem, seperti kebijakan pengembangan


sistem, kebijakan pengujian sistem, kebijakan operasi computer, dan
kebijakan penanganan bencana dan keamanan sistem.

Dokumentasi aplikasi sistem, seperti flowchart, data flow diagram, kode


rekening, deskripsi prosedur, prosedur koreksi kesalahan, prosedur
pengendalian, deskripsi file (termasuk kamus data), format output sistem,
dan deskripsi input output sistem.

Dokumentasi program.

Dokumentasi data

Dokumentasi operasi

Dokumentasi untuk pengguna.

PENGENDALIAN AKUNTABILITAS AKTIVA


Sumber daya perusahaan (aktiva) perlu dijaga. Cara menjaga aktiva tersebut antara
lain:

Penggunaan buku pembantu dalam catatan akuntansi

Rekonsiliasi (seperti rekonsiliasi kas dan persediaan)

Prosedur acknowledgement sebagai bentuk wujud pertanggungjawaban atas


aktiva yang ditangani oleh seseorang atau suatu bagian.

Penggunaan log dan register

Review oleh pihak independent

PENGENDALIAN PRAKTIK MANAJEMEN

Meliputi kebijakan dan praktik sumber daya manusia, komitmen terhadap


kompetensi, praktik perencanaan, praktik audit, dan pengendalian pengembangan
sistem aplikasi (prosedur perubahan sistem dan prosedur pengembangan sistem
baru).
PENGENDALIAN APLIKASI
Meliputi:

Pengendalian otorisasi,

Pengendalian input, dapat berupa edit test pada saat data diinputkan ke
dalam layar komputer (validity check, limit check, field check, relationship
check), dapat berupa batch control total (amount control total, hash total dan
record count) jika data diinputkan secara batch.

Pengendalian proses, dapat berupa manual cross check dan pengendalian


proses yang lain.

Pengendalian output. Output mesti didistribusikan ke pihak yang tepat.

Tinjauan menyeluruh konsep-konsep pengendalian


Apakah definisi dari pengendalian internal itu ?
Pengendalian internal adalah rencana organisasi dan metode bisnis yang
dipergunakan untuk menjaga aset, memberikan informasi yang akurat dan andal,
mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong
kesesuaian dengan kebijakan yang telah ditetapkan.

Apakah pengendalian manajemen itu ?

Pengendalian manajemen meliputi tiga keutamaan :

Merupakan bagian tanggung jawab manajemen yang utuh.

2
Dirancang untuk mengurangi kesalahan, ketidak teraturan, dan mencapai
tujuan organisasi.
3. Berorientasi dan berusaha untuk membantu karyawan mencapai tujuan
perusahaan.
TUJUAN PENGENDALIAN INTERNAL:

Efektivitas dan efisiensi operasi

Reliabilitas pelaporan keuangan

Kesesuaian dengan aturan dan regulasi yang berlaku

Proses Pengendalian Internal :


l
Proses Pengendalian Internal adalah sebuah proses yang dirancang untuk
memastikan bahwa tujuan-tujuan organisasi dapat dicapai, yaitu :

Pelaporan keuangan yang handal

Efektivitas dan efisiensi operasional organisasi

Dipatuhinya semua hukum dan peraturan-peraturan yang diterapkan.

Apakah unsur-unsur dari pengendalian internal?

Lingkungan pengendalian

Penetapan risiko

Aktivitas pengendalian

Informasi dan komuniaksi

Monitoring/supervisi

Apakah terdapat pemisahan fungsi dan tugas pada bagian akuntansi?

Tidak ada perangkapan fungsi / tugas oleh satu individu atau satu
departemen.

Apakah dilaksanakan audit internal?

Audit internal sebagai aktivitas evaluasi secara independen dalam organisasi.

Klasifikasi pengendalian internal

Prosedur-prosedur pengendalian khusus yang digunakan dalam sistem


pengendalian internal dan pengendalian manajemen mungkin
dikelompokkan menggunakan empat kelompok pengendalian internal berikut
ini:

1. Pengendalian untuk Pencegahan, Pengendalian untuk Pemeriksaan, dan


Pengendalian Korektif
2. Pengendalian umum dan Pengendalian aplikasi
3. Pengendalian Administrasi dan Pengendalian Akuntansi
4. Pengendalian Input, proses, dan output
STRUKTUR PENGENDALIAN INTERNAL

Struktur pengendalian internal menurut COSO

Lingkungan Pengendalian Internal

Penaksiran Risiko

Aktivitas Pengendalian

Informasi dan Komunikasi

Monitoring

LINGKUNGAN PENGENDALIAN INTERNAL


Lingkungan pengendalian internal merefleksikan seluruh sikap dan kesadaran
dewan direksi, komite audit, manager, pemilik, dan karyawan mengenai pentingnya
pengendalian internal sebuah perusahaan. Lingkungan pengendalian merupakan
dasar dari seluruh komponen pengendalian internal yang lain.
Lingkungan pengendalian meliputi:
Filosofi manajemen dan gaya operasi. Manajer perlu menjadi contoh perilaku
etis dengan mentaati kode etik perusahaan. Manajer perlu menyusun kode etik
secara formal. Manajer mesti menekankan pentingnya pengendalian internal dan
memperlakukan setiap personel dengan wajar dengan dengan penuh respek.
Integritas dan nilai-nilai etika. Perilaku etis dan tidak etis manajer dan seluruh
karyawan akan berdampak besar terhadap keseluruhan struktur pengendalian
internal, menciptakan suasana yang secara signifikan mempengaruhi validitas
proses pelaporan keuangan. Manajemen mesti secara proaktif memastikan bahwa
semua karyawan benar-benar sadar dengan standard etika perusahaan. Manajemen
juga mesti membuat kebijakan yang mendukung karyawan untuk mencapai tujuan
jangka panjang dan bukan tujuan jangka pendek.
Komitmen terhadap kompetensi. Perusahaan mesti merekrut karyawan yang
kompenen dan dapat dipercaya yang memiliki inisiatif dan kreativitas untuk
bereaksi secara cepat terhadap kondisi bisnis yang dinamis. Perusahaan mesti
memilih personil yang memiliki pengetahuan dan ketrampilan yang memadai untuk
menyelesaikan setiap tanggung jawab yang diberikan kepada karyawan tersebut.
Dewan direksi atau komite audit. Dewan direksi semestinya menunjuk komite
audit untuk mengawasi praktik dan kebijakan akuntansi dan pelaporan keuangan
perusahaan. Komite audit merupakan perantara antara dewan direksi dan auditor
internal/eksternal.
Struktur organisasi. Struktur organisasi merupakan rerangka hubungan formal
antar personil perusahaan untuk mencapai tujuan organsisasi.
Pemberian wewenang dan tanggung jawab. Perusahaan mesti memiliki
deskripsi pekerjaan untuk setiap karyawan. Pendelegasian wewenang dan tanggung

jawab mesti dilakukan dengan baik. Perubahan terhadap sistem informasi mesti
dilakukan melalui persetujuan tertulis.
Kebijakan dan praktik sumber daya manusia. Setiap karyawan baru mesti
dikenalkan dengan pengendalian internal, kebijakan etika dan kode etik
perusahaan. Perusahaan mesti perduli dengan undang-undang dan peraturan
ketenagakerjaan yang ditetapkan oleh pemerintah. Perusahaan mesti memastikan
terwujudnya lingkungan kerja yang aman dan sehat. Perusahaan dapat
menyelenggarakan sarana konseling untuk karyawan yang bermasalah. Perusahaan
punya prosedur yang baik untuk karyawan yang berhenti bekerja.
Penilaian Resiko

Perusahaan menghadapi jenis-jenis ancaman berikut ini :

1. strategis melakukan hal yang salah


2. Operasional melakukan hal yang benar, tetapi dengan cara yang salah
3. Keuangan adanya kerugian sumber daya keuangan, pemborosan,
pencurian atau pembuatan kewajiban yang tidak tepat
4. informasi menerima informasi yang salah atau tidak relevan, sistem yang
tidak andal, dan laporan yang tidak benar atau menyesatkan

Perusahaan yang menerapkan sistem EDI harus mengidentifikasi ancamanancaman yang akan dihadapi oleh sistem tersebut, yaitu :

1. Pemilihan teknologi yang tidak sesuai


2. Akses sistem yang tidak diotorisasi
3. Penyadapan transmisi data
4. Hilangnya integritas data
5. Transaksi yang tidak lengkap
6. Kegagalan sistem
7. Sistem yang tidak kompatibel
Beberapa ancaman menunjukkan resiko yang lebih besar karena probabilitas
kemunculannya lebih besar, misalnya :

Perusahaan lebih mungkin menjadi korban penipuan komputer daripada


serangan teroris

Resiko dan penyingkapan harus diperhitungkan bersama-sama

PENAKSIRAN RISIKO
Manajemen mesti mengidentifikasi dan menaksir risiko yang relevan yang dapat
mencegah perusahaan mencapai tujuan organisasi. Manajer juga mesti menyusun
rencana untuk mengelola risiko yang telah diidentifikasi.

Mengidentifikasi risiko internal yang signifikan.

Mengidentifikasi risiko eksternal yang signifikan.

Menyusun analisis risiko.

Manajemen risiko yang relevan.

MONITORING
Tujuan monitoring adalah menaksir kualitas struktur pengendalian internal dari
waktu ke waktu melalui aktivitas monitoring. Contoh aktivitas monitoring: supervisi
atas aktivitas karyawan dari hari ke hari dan audit atas catatan akuntansi.
PAPARAN RISIKO
Setiap perusahaan menghadapi paparan risiko. Paparan risiko dapat berasal dari
pihak internal maupun eksternal perusahaan, seperti dari karyawan, konsumen,
hacker, pelaku criminal dan bencana alam.
Tipe risiko

kesalahan yang tidak disengaja

kesalahan yang disengaja

pencurian aktiva

menjebol keamanan perusahaan

tindak kekerasan dan bencana alam

Paparan terhadap risiko dipengaruhi oleh:

Frekuensi kejadian. Contoh: penjualan.

Kerentanan sebuah aktiva. Contoh kas sangat rentan.

Besarnya nilai rupiah.

Masalah yang memperbesar paparan risiko yang dihadapi perusahaan:

Kolusi

Kurangnya penegakan disiplin

Kejahatan komputer

Contoh kejahatan komputer:

Pencurian hardware dan software

penggunaan komputer tanpa otorisasi untuk kepentingan personal

modifikasi atau penggunaan program untuk melakukan kejahatan

Komputer rentan terhadap tindak kejahatan karena:

Komputer mengakibatkan pemusatan data dan pemrosesan data

jejak audit dalam lingkungan SIA tidak sejelas dalam lingkungan manual

Komputer powerful tetapi kompleks dan rentan

Dalam menerapkan pengendalian, perusahaan mesti mempertimbangkan manfaat


dan biaya untuk menerapkan pengendalian tersebut.
Informasi dan Komunikasi
Mengidentifikasi dan merekam informasi yang relevan untuk pelaporan keuangan
mengkomunikasikan informasi yang relevan dengan format yang sesuai

Harus dipastikan bahwa SIA menghasilkan pelaporan keuangan yang andal.

Semua transaksi yang diproses adalah transaksi yang valid dan terotorisasi

semua transaksi yang valid mesti direkam dan diinputkan tepat waktu
dengan cukup detail sehingga transaksi dapat diklasifikasikan dengan
semestinya.

semua data input akurat dan lengkap

semua transaksi yang telah diinput diproses dengan baik

semua output yang diperlukan disajikan sesuai dengan aturan yang ada
untuk menghasilkan informasi yang akurat dan andal

semua transaksi dicatat dalam periode akuntansi yang tepat

Akuntan harus memahami berikut ini :

1. Bagaimana transaksi diawali

2. Bagaimana data didapat dalam bentuk yang dapat dibaca oleh mesin
atau data diubah dari dokumen sumber ke bentuk yang dapat dibaca
oleh mesin
3. Bagaimana file komputer diakses dan diperbarui
4. Bagaimana data diproses untuk mempersiapkan sebuah informasi
5. Bagaimana informasi dilaporkan

Hal-hal tersebut membuat sistem dapat melakukan jejak audit (audit trail).

Jejak audit muncul ketika transaksi suatu perusahaan dapat dilacak di


sepanjang sistem mulai dari asalnya sampai tujuan akhirnya pada laporan
keuangan.

Perbedaan Audit Through Computer, Audit Around The Computer dan Audit With
The Computer
(berhubung besok ujian, post ini akan diedit belakangan :))

Teknik Audit Berbantuan Komputer atau Computer Assisted Audit Technique dapat
dibagi menjadi tiga jenis, yaitu:

Audit Through The Computer


Audit Around The Computer
Audit With The Computer
Audit Through The Computer
Audit through the computer adalah audit yang dilakukan untuk menguji sebuah
sistem informasi dalam hal proses yang terotomasi, logika pemrograman, edit
routines, dan pengendalian program. Pendekatan audit ini menganggap bahwa
apabila program pemrosesan dalam sebuah sistem informasi telah dibangun
dengan baik dan telah ada edit routines dan pengecekan pemrograman yang cukup
maka adanya kesalahan tidak akan terjadi tanpa terdeteksi. Jika program berjalan
seperti yang direncanakan, maka semestinya output yang dihasilkan juga dapat
diandalkan.
Audit Around The Computer
Audit around the computer adalah pendekatan audit dimana auditor menguji
keandalan sebuah informasi yang dihasilkan oleh komputer dengan terlebih dahulu

mengkalkulasikan hasil dari sebuah transaksi yang dimasukkan dalam sistem.


Kemudian, kalkulasi tersebut dibandingkan dengan output yang dihasilkan oleh
sistem. Apabila ternyata valid dan akurat, diasumsikan bahwa pengendalian sistem
telah efektif dan sistem telah beroperasi dengan baik.
Jenis audit ini dapat digunakan ketika proses yang terotomasi dalam sistem cukup
sederhana. Kelemahan dari audit ini adalah bahwa audit around the computer tidak
menguji apakah logika program dalam sebuah sistem benar. Selain itu, jenis
pendekatan audit ini tidak menguji bagaimana pengendalian yang terotomasi
menangani input yang mengandung error. Dampaknya, dalam lingkungan IT yang
komplek, pendekatan ini akan tidak mampu untuk mendeteksi banyak error.
Audit With The Computer
Audit jenis inilah yang sering disebut dengan teknik audit berbantuan komputer. Jika
pendekatan audit yang lain adalah audit terhadap sistem informasinya, pendekatan
audit with the computer adalah penggunaan komputer untuk membantu
pelaksanaan audit. Singkatnya, ketika kita melaksanakan audit menggunakan ACL
atau excel, itulah audit with the computer.

Contoh around the computer:

1. Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin) , artinya


masih kasat mata dan dilihat secara visual.
2. Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.
3. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah
menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan
sebaliknya.
4. Item komputer yang diterapkan masih sederhana.
5. Sistem komputer yang diterapkan masih menggunakan software yang umum
digunakan, dan telah diakui, serta digunakan secara massal.

Contoh audit through the computer:

1. Sistem aplikasi komputer memroses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk
meneliti keabsahannya.
2. Bagian penting dari struktur pengendalian intern perusahaan terdapat di
dalam komputerisasi yang digunakan.

3. Sistem logika komputer sangat kompleks dan memiliki banyak fasilitas


pendukung.
4. Adanya jurang yang besar dalam melaksanakan audit secara visual, sehingga
memerlukan pertimbangan antara biaya dan manfaatnya.
Cara pengolahan pendekatan file-based approach : Data dikelola dari sekumpulan
program-program aplikasi yang menyajikan service bagi pengguna akhir, setiap
program aplikasi mendefinisikan dan mengatur setiap data.
Kelemahan :

Pemisahan dan pembatasan data

Jika data dibatasi pada sejumlah file terpisah, maka akan lebih sukar untuk
mendapatkan data yang seharusnya tersedia.

Duplikasi data

Duplikasi akan menyebabkan pemborosan, Pemborosan waktu dan biaya untuk


mencari data karena harus dilakukan lebih dari sekali. Duplikasi juga dapat
mendorong kearah hilangnya integritas data; dengan kata lain tidak ada konsistensi
data.

Query yang dibatasi/perkembang biakan aplikasi program

Para pemakai mempunyai pandangan, file-based systems terbukti telah lebih baik
dibandingkan sistem manual. Konsekwensinya muncul kebutuhan untuk query.
Bagaimanapun, filebased system bergantung kepada pengembang aplikasi, siapa
yang harus menulis query atau laporan yang diperlukan. Hasilnya dua hal dapat
teerjadi. Dalam beberapa organisasi jenis query atau laporan yang diproduksi
formatnya telah ditetapkan. Tidak ada fasilitas untuk meminta bentuk lainnya yang
tidak direncanakan (disebut spur-of-the-moment atau khusus/ad-hoc) query tehadap
datanya sendiri maupun jenis data lainnya yang tersedia.
Konsep Basis Data
Ketika pengguna memikirkan record di dalam suatu basis data, mereka secara
intuitif akan merasa bahwa urut-urutan record yang ditampilkan dalam sebuah
laporan merupakan cerminan dari urut-urutan penyimpanan record tersebut di
dalam disk komputer. Suatu sistem I manajemen basis data dapat menampilkan
data ini dalam suatu urut-urutan yang logis dan i secara intuisif tepat, meskipun
masing-masing record dari basis data tersebut dapat tersebar,; di banyakyife dan
terletak di seluruh penjuru ruang penyimpanan komputer.
Dua sasaran utama dari konsep basis date adalah untuk meminimalkan
pengulangan data "dan untuk memperoleh independensi data. Pengulangan data
seperti yang telah dibahas sebelumnya dalam bab iniakan membuang-buang

ruang penyimpanan, memperlambat pemrosesan record, dan moigundang


ketidakkonsistenan data.