RINGKASAN MATERI KULIAH

SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

Audit Atas Sistem Informasi Berbasis Teknologi Informasi

OLEH :

KELOMPOK 1

I GEDE ADITYA MAHENDRA (1607611006)

ASTRID TRESNANTY (1607611011)
PUTU DIAH KRISNA JUNITASARI (1607611015)

PROGRAM PENDIDIKAN PROFESI AKUNTAN

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS UDAYANA
2016
 AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI
INFORMASI

1. Memahami Tujuan Audit Sistem Informasi dan Pendekatan yang Digunakan

Tujuan dari audt sistem informasi adalah untuk mereviu dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Keika menjalankan audit
sistem informasi, auditor harus memastikan enam tujuan audit berikut terpenuhi:
a. Keamanan secara keseluhuran yaitu tindakan pengamanan secara keseluruhan
bertujuan untuk melindungi peralatan komputer,program, komunikasi dan data
dari akses yang tidak sah, modifikasi yang tidak sah, maupun perusakan.
b. Pengembangan dan akuisisi program, tujuan audit ini adalah memastikan
bahwa seluruh pengembangan dan akuisisi program telah dilakuka sesuai
dengan otorisasi manajemen secara umum maupun khusus. Peran auditor
dalam pengmbangan sistem harus dibatasi pada reviu independen atas aktivitas
pengembangan sistem. untuk menjaga indenpendensi, auditor tidak boleh
membantu dalam mengembangan sistem.
Dua kesalahan yang mungkin terjadi dalam pengembangan sistem adalah:
1) Kesalahan dalam pemograman pemograman yang tidak sengaja yang
disebabkan karena kesalahan dalam memehami spesifikasi sistem atau
kecerobohan dalam pemograman.
2) Instruksi-instruksi yang tidak sah yang dilakukan dengan sengaja untuk
dimasukkan ke dalam program.
c. Memodifikasi program, tujuan audit ini adalah untuk memastikan bahwa
seluruh modifikasi program yang dilakukan telah mendapatkan persetujuan dan
otorisasi dari manajemen.
d. Pemrosesan komputer, tujuan audi ini adalah untuk memastikan agar seluruh
pemrosesan transaksi, arsi-arsip, lapora dan catatan komputer lainnya akurat
dan lengkap.
e. Data sumber, tujuan audit ini adalah untuk memastikan agar sumber data yang
tidak akurat atau otorisasi yang tidak tepat dapat teridentifikasi dan tertangani
sesuai dengan kebijakan manaemen.
f. Arsip data, tujuan audit ini adala untuk memastikan agar arsip-arsip data
komputer telah akurat, lengkap dan rahasia.
 Pendekatan evaluasi pengendalian internal yang digunakan dalam audit
sistem informasi akuntansi menggunakan pendekatan audit berbasis risiko (risk
based audit approach), yang memeberikan kerangka untuk melakukan audit sistem
informasi. Dalam pendekatan audit berbasis risiko, langkah-langkah yang harus
dilakukan terdiri dari:
1) Memahami ancaman (kecurangan dan kesalahan) yang dihadapi oleh
perusahaan. Ini merupakan suatu daftar kejadian yang tidak disengaja
maupun kecurangan yang disengaja dan kerusakan yang dialami oleh
sistem tersebut.
2) Mengidentifikasi prosedur pengendalian untuk mencegah, mendeteksi atau
mengoreksi ancaman tersebut. Ini terdiri dari semua pengendalian yang
diterapkan oleh manajemen dan yang harus direviu oleh auditor serta diuji,
dalam rangka mengurangi ancaman.
3) Evaluasi atas prosedur pengendalian. Pengendalian dievaluasi dengan dua
cara:
a. Reviu sistem untuk menentukan apakah prosedur pengendalian
sudah dijalankan.
b. Uji pengendalian yang dilakukan untuk menentukan apakah
pengendalian yang sudah ada berjalan sebagaimana yang
diinginkan.
4) Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya
terhadap sifat, waktu atau keluasan prosedur audit. Jika auditor
menentukan bahwa resiko pengendalian terlalu tinggi karena sistem
pengendalian tidak memadai, auditor harus mendapatkan lebih banyak
bukti, bukti audit yang lebih baik, atau bukti audit yang tepat waktu.
Kelemahan pengendalian di satu areadapat diterima jika ada pengendalian
pengganti (compensating control) di area lain.

2. Merancang Suatu Rencana Untuk Mengevaluasi Pengendalian Internal

Dalam Sistem Informasi
Rancangan suatu rencana untuk mengevaluasi pengendalian internal dalam
sistem informasi menggunakan pendekatan audit berbasis resiko digunakan untuk
mengevaluasi keenam tujuan audit sebagaimana dijelaskan sebelumnya. Kerangka
audit untuk mengevaluasi pengendalian internal dalam sistem inforasi dipaparkan
sebagai berikut:

Tujuan Audit 1 : Keamananan Secara Keseluruhan

Kerangka audit berbasis-risiko untuk memenuhi tujuan audit ini adalah
sebagai berikut:
1. Jenis kesalahan (error) dan kecurangan (fraud) yang mungkin terjadi
dalam mengevaluasi tujuan audit antara lain:
a. Pencurian piranti keras atau kerusakan piranti keras yang disengaja
maupun tidak disengaja
b. Kehilangan, pencurian, atau akses tidak sah terhadap prgram, data
dan sumber-sumber sistem lainnya.
c. Kehilangan, pencurian atau pengungkapan yang tidak sah atas data
yang sifatnya rahasia.
d. Modifikasi yang tidak sah atau penggunaan program dan arsip data
secara tidak sah.
e. Gangguan atas aktivitas-aktivitas bisnis yang utama.

2. Prosedur pengendalian yang seharusnya diterapakan/ ada anatara lain:

a. Rencana perlindungan atau pengamanan informasi
b. Pembatasan akses fisik terhadap peralatan komputer
c. Pembatasan akses logis terhadap sistem dengan menggunakan
pengendalian otentikasi dan otorisasi.
d. Pengendalian atas penyimpanan data dan transmisi data
e. Prosedur perlindungan terhadap serangan virus
f. Prosedur pencadangan data dan pemulihan data
g. Rancangan sistem toleransi-kegagalan
h. Rencana untuk mengatasi kerusakan sistem
i. Pemeliharaan pencegahan
j. Firewall
k. Asuransi atas kerusakan besar dan gangguan aktivitas bisnis yang
utama

3. Prosedur audit untuk mereviu sistem, terdiri dari:

a. Inspeksi dilokasi tempat penyimpanan peralatan komputer
b. Reviu keamanan atau perlindungan informasi dan rencana untuk
mengatasi kerusakan sistem
c. Wawancara dengan personil sistem informasi mengenai prosedur
keamanan
 d. Reviu atas kebijakan dan prosedurakses fisik dan akses logis
e. Reviu kebijakan dan prosedur pencadangan dan pemulihan arsip
f. Reviu kebijakan dan prosedur penyimpanan dan transmisi data
g. Reviu kebijakan dan prosedur untuk meminimalisisr kegagalan
sistemn
h. Reviu kontrak pemeliharaan dengan vendor
i. Memeriksa log/catatan akses sistem
j. Memeriksa kebijakan asuransi untuk menangani kerusakan besar
dan gangguan aktivitas bisnis utama

4. Prosedur audit untuk menguji pengendalian, terdiri dari:

a. Mengganti dan menguji prosedur akses ke lokasi tempat
penyimpanan peralatan komputer
b. Mengamati penyiapan penyimpanan dan pencadangan data on-site
maupun off-site
c. Menguji prosedur pemberian dan modifikasi atas user ID dan kata
kunci
d. Menyelediki bagaimana cara untuk mengatasi akses-akses yang
tidak sah
e. Memverifikasi keluasan dan efektivitas enskripsi data
f. Memverifikasi keefektifan pengendalian transmisi data
g. Memverifikasi keefektifan penggunaan firewall dan prosedur
perlindungan atas virus
h. Memverifikasi penggunaan pemeliharaan pencegahan dan
penggunaan tenaga listrik cadangan / UPS (uninterruptable power
supply)
i. Memverifikasi jumlah dan keterbatasan cakupan asuransi
j. Memeriksa hasil dari simulasi rencana pemulihan kerusakan data

5. Pengendalian pengganti yang mungkin ada antara lain:

a. Kebijakan personil yang mendukung termasuk pemisahan tugas
b. Pengendalian penggunaan yang efektif.

Tujuan Audit 2 : Pengembangan dan Akuisisi Program

Kerangka audit berbasis risisko untuk mengevaluasi tujuan audit atas
pengembangan dan akuisisi program terdiri dari:
1. Jenis kesalahan (error) dan kecurangan (fraud) yang mungkin terjadi
dalam mengevaluasi tujuan audit antara lain:
 a. Kesalahan dalam pemgraman yang tidak disengaja atau
kode program yang tidak sah

2. Prosedur pengendalian yang seharusnya diterapakan/ ada anatara lain:

a. Mereviu persetujuan lisensi piranti lunak
b. Pengelolaan otorisasi pengembangan program dan perolehan
piranti lunak
c. Pengelolaan dan persetujuan pengguna atas spesifikasi
pemograman
d. Pengujian secara menyeluruh atas program-program baru,
termasuk melakukan user-acceptance test
e. Dokumentasi sistem yang lengkap, termasuk persetujuannya.

3. Prosedur audit untuk mereviu sistem, terdiri dari:

a. Reviu independen atas proses pengembangan sistem
b. Reviu kebijakan dan prosedur pengembangan/ perolehan sistem
c. Reviu kebijakan dan prosedur otorisasi sistem dan persetujuan
d. Reviu standar evaluasi pemograman
e. Reviu standar pemograman dan dokumentasi sistem
f. Reviu atas uji spesifikasi, uji data dan hasil pengujian
g. Reviu atas kebijakan fan prosedur uji persetujuan
h. Reviu atas kebijakan dan prosedur perolehan persetujuan lisensi
piranti lunak
i. Diskusi dengan manajemen, para pengguna, dan personil sistem
informasi terkait dengan prosedur pengembangan.

4. Prosedur audit untuk menguji pengendalian, terdiri dari:

a. Wawancara dengan pengguna atas keterlibatan mereka dalam
perolehan/pengembangan sistem dan implementasinya
b. Reviu notulensi rapat tim pengembangan untuk membuktikan
keterlibatannya dalam pengembangan /perolehan sistem
c. Verifikasi pengelolaan dan persetujuan sign-off pengguna pada
setiap tahap-tahap pengembangan
d. Reviu atas pengujian spesifikasi, pengujian data, hasil
pengujiannya
e. Reviu atas persetujuan lisensi piranti lunak

5. Pengendalian pengganti yang mungkin ada antara lain:

a. Pengendalian pemrosesan yang kuat
b. Pemrosesan independen atas pengujian data leh auditor
Tujuan Audit 3 : Modifikasi Program
Kerangka audit berbasis risisko untuk mengevaluasi tujuan audit atas
modifikasi program terdiri dari:
1. Jenis kesalahan (error) dan kecurangan (fraud) yang mungkin terjadi
dalam mengevaluasi tujuan audit antara lain:
a. Kesalahan dalam pemograman yang tidak disengaja atau kode program
yang tidak sah

2. Prosedur pengendalian yang seharusnya diterapakan/ ada anatara lain:

a. Daftar komponen program yang akan dimodifikasi
b. Manajemen otorisasi dan persetujuan atas modifikasi program
c. Persetujuan pengguna atas spesifikasi perubahan program
d. Tes menyeluruh ata perubahan program, termasuk melakukan user
acceptance test
e. Dokumentasi lengkap atas perubahan program, termasuk
persetujuannya
f. Pemisahan pengembangan pengujian dan hasil dari setiap versi
program
g. Perubahan yang diterapkan oleh personil yang independen dari
pengguna dan pemograman
h. Pengendalian atas akses logika

3. Prosedur audit untuk mereviu sistem, terdiri dari:

a. Reviu kebijakan, prosedur, dan standar modifikasi program
b. Reviu standar dokumentasi untuk modifikasi program
c. Reviu dokumentasi akhir dari modifikasi program
d. Reviu pengujian modifikasi program dan prosedur pengujian
persetujuan
e. Reviu uji spesifikasi, uji data dan hasil pengujiannya
f. Reviu kebijakan dan prosedur uji persetujuan
g. Reviu standar evaluasi pemograman
h. Diskusi kebijakan dan prosedur modifikasi dengan manajemen,
para pengguna dan personil sistem
i. Reviu kebijakan dan prosedur pengendalian atas akses logis.

4. Prosedur audit untuk menguji pengendalian, terdiri dari:

 a. Verifikasi pengguna dan manajemen atas persetujuan sign-off
untuk perubahan program
b. Verifikasi bahwa komponen program yang akan dimodifikasi telah
diidentifikasi dan ada dalam daftar
c. Verifikasi bahwa prosedur uji perubahan program dan
doumentasinya sudah sesuai dengan standar
d. Verifikasi bahwa pengendalian akses logis sudah diterapkan atas
perubahan dalam program
e. Mengamati implementasi perubahan program
f. Verifikasi bahwa pemisahan pengembangan, pengujian dan hasil
dari setiap versi program telah dilakukan
g. Verifikasi bahwa perubahan tidak dilakukan oleh pengguna atau
personil pemograman
h. Pengujian atas perubahan program yang tidak sah atau kesalahan
dalam perubahan program dengan menggunakan kode sumber dari
program pembanding lainnya, pemrosesan ulang atau simulasi
paralel.

5. Pengendalian pengganti yang mungkin ada antara lain:

a. Pengendalian pemrosesan yang kuat
b. Pengujian independen atas perubahan program yang tidak sah atau
kesalahan dalam perubahan program.

Tujuan Audit 4: Pemrosesan Komputer

1. Krangka audit berbasis resiko untuk mengevaluasi tujuan audit atas
pemprosesan komputer terdiri dari:
a. Kegagalan untuk mendeteksi input data yang salah, tidak lengkap atau
tidak sah
b. Kegagalan untuk memperbaiki kesalahan yang ditandai dengan adanya
prosedur pengeditan data
c. Adanya kesalahan ke dalam arsip atua database selama proses
pemuktahiran
d. Distribusi atau pengungkapan output komputer yang tidak tepat
e. Ketidakakuratan dalam pelaporan secara disengaja maupun tidak
disengaja
2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
a. Melakukan pengeditan data secara berkala
b. Pengguna label yang tepat utuk setiap arsip internal dan ekternal
c. Rekonsiliasi atas batch total
d. Prosedur koreksi kesalahan yang efektif
e. Pelaksanaan dokumentasi yang dapat dipahami dan menjalankan
manualnya
f. Supervisi yang kompeten atas pengoperasian komputer
g. Penanganan input dan output data yang efektif oleh personil
pengendalian data
h. Penyusunan daftar perusabah arsip dan ikhtisarnya untuk direviu oleh
departemen pengguna
i. Pemeliharaan atas kondisi lingkungan yang tepat dalam fasilitas
komputer

3. Prosedur audit untuk mereviu sistem, terdiri dari:

a. Reviu dokumentasi asministrasif untuk standar pengendalian
pemprosesan
b. Reviu dokumentasi sistem untuk pengeditan data dan pengendalian
pemprosesan lainnya
c. Reviu pelaksanaan dokumentasi untuk kelengkaoan dan kejelasan
d. Reviu salinan daftar kesalahan, laporan batch total dan daftar perubahan
arsip
e. Mengamati pengoperasian komputer dan fungsi pengendalian data
f. Membahas pengendalian pemprosesan dan output dengan operator dan
supervisor sistem informasi

4. Prosedur audit untk menguji pengendalian, terdiri dari:

a. Evaluasi kecukupan standar dan prosedur pengendalian pemprosesan
b. Evaluasi kecukupan dan kelengkapan pengendalian pengeditan data
c. Verifikasi ketepatan prosedur pengendalian pemrosesan dengan
mengamati pengoperasian komputer dan pengendalian data
d. Verifikasi bahwa output dari sistem aplikasi telah didistribusi dengan
benar
e. Rekonsiliasi sampel batch total dari sistem aplikasi telah didistribusikan
dengan benar
f. Menelusuri kesalahan dalam sampel pengeditan data untuk memastikan
adanya penanganan yang tepat
g. Verifikasi akurasi pemprosesan transaksi yang sensitif
 h. Verifikasi akurasi transaksi yang dihasilkan oleh komputer
i. Mencari kode-kode yang salah atau tidak sah dengan melakukan
analisis logika program
j. Mengecek akurasi dan kelengkapan pengendalian pemprosean dengan
menggunakan pengujian data
k. Memotinor sistem pemproses online dengan menggunakan teknik audit
yang terkini
l. Menghasilkan kembali laporan-laporan tertentu untuk menguji akurasi
dan kelengkapan

5. Pengendalian pengganti yang mungkin ada antara lain:

Pengendalian pengguna yang kuat dan pengendalian sumber data yang
efektif

Tujuan Audit 5: Sumber Data

Kerangka audit berbasis resiko untuk mengevaluasi tujuan audit atas
pengedalian sumber data terdiri dari:
1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi
dalam mengevauasi tujuan audit ini antara lain:
Sumber data yang tidak akurat atau tidak sah

2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:

a. Penanganan input sumber data oleh personil pengendalian secara
efektif
b. Otorisasi pengguna atas sumber data input
c. Penyusunan dan rekonsiliasi total batch control
d. Mencatat setiap penerimaan, pergerakan dan disposisi semua sumber
data input
e. Verifikasi digit cek
f. Verifikasi kunci
g. Penggunaan dokumen pengembalian
h. Pengeditan data secara rutin
i. Reviu departemen pengguna atas daftar perubahan arsip dan ikhtisarya
j. Prosedur yang efektif untuk mengeroksi dan memasukkan ulang data
yang salah.

3. Prosedur audit untuk mereviu sistem, terdiri dari

a. Reviu dokumentasi mengenai tanggungjawab funsi pengendalian data
b. Reviu administratif dokumentasi untuk standar pengendalian data
c. Reviu metode otorisasi dana memeriksa tanda tangan otorisasi
 d. Reviu dekomentasi untuk mengidentifikasi langkah-langkah
pemprosesan serta pengendalian dan isi sumder data
e. Dokumentasi pengendalian sumber data dengan menggunakan matriks
input pengendalian
f. Mendiskusikan pengendalian atas sumber data dengan personil
pengendalian, para pengguna sistem dan para manager

4. Prosedur audit untuk menguji pengendalian, terdiri dari

a. Memantau dan mengevaluasi operasi departemen pengendalian dan
prosedur pengendaliannya
b. Verifikasi pemeliharaan yang tepat dan pengguna catatan (log)
pengendalian data
c. Mengevaluasi bagaimana cara menangani kesalahan-kesalahan yang
tercatat (error log items)
d. Memeriksa sumber data untuk melihat apakah otorisasinya sudah
tepat
e. Rekonsiliasi batch total dan tindak lanjut atas penyimpangan yang
terjadi
f. Menelusuri disposisi atas kesalahan yang ditandai oleh adanya
pengeditan data

5. Pengendalian pengganti yang mungkin ada antara lain

Pengendalian pengguna yang kuat dan pengendalian pemprosesan yang
efektif

Tujuan Audit 6: Arisp Data

Kerangka audit berbasis resiko untuk mengevaluasi tujuan audit
pengendalian atas arsip data tersendiri dari:
1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi
dalam mengevaluasi tujuan ini antara lain:
a. Perusak data yang tersimpan karena eror, piranti keras dan piranti
lunak yang multifungsi, dan tindakan sabotase dan vandalisme yang
disengaja
b. Modifikasi atau pengungkapan atas data yang tersimpan secara tidak
sah
2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
a. Penyimpangan data dalam arsip dokumen yang aman dan pembatasan
akses fisik terhadap arsip-arsip data
b. Pengendalian atas akses logis dan matriks pengendalian akses
c. Penggunaan label arsip dan mekanisme perlindungan penulisan yang
tepat
d. Pengendalian pemuktahiran yang berkelanjutan
e. Enkripsi data untuk data yang sifatnya rahasia
f. Piranti lunak untuk perlindungan terhadap virus
g. Cadangan seluruh arsip data secara off-site
h. Prosedur titik-titik pengecekan dan peosedur pengembalian data
(rollback) untuk memfasilitasi pemulihan sistem.

3. Prosedur audit untuk mereviu sistem, terdiri dari:

a. Reviu dokumentasi untuk operasi perpustakaan arsip
b. Reviu kebijakan dan prosedur akses logis
c. Reviu standar untuk perlindungan atas virus, penyimpanan data off-
site, dan prosedur pemulihan sistem
d. Reviu pengendalian untuk pemuktahiran berkelanjutan, enkripsi data,
konversi arsip dan ekonsiliasi total arsip utama dengan total
pengendalian independen
e. Memerika rencana pemulihan kerusakan sistem
f. Mendiskusikan prosedur pengendalian arsip dengan para manajer dan
operator

4. Prosedur audit untuk menguji pengendalian, terdiri dari:

a. Memantau dan mengevaluasi operasi perpustakaan arsip
b. Mereviu catatab pemberian password dan modifikasinya
c. Memantau dan mengevaluasi posedur penanganan arsip oleh personil
operasi
d. Memantau persiapan dan penyimpanan cadangan arsip off-site
e. Verifikasi efektifitas pengguna prosedur perlindungan atas virus
f. Verifikasi pengendalian pemuktahiran berkelanjutan dan enkripsi data
g. Verifikasi kelengkapan, keberlakuan, dan pengujian rencana
pemulihan kerusakan
h. Rekonsiliasi total diarsip utama dengan total pengendalian yang
dilakukan secara terpisah
 i. Memantau prosedur yang digunakan untuk mengendalikan konversi
arsip

5. Pengendalian pengganti yang mungkin ada antara lain:

a. Pengendalian pengguna dan pemprosesan data yang kuat
b. Pengendalian keamanan komputer yang efektif

3. Memahami Penggunaan Piranti Lunak Computer Audit Dan Perannya

Dalam Menunjang Audit Sistem Informasi
Computer assisted audit techniques (CAATS) merupakan suatu piranti
lunak audit, yang juga disebut dengan program yang menjalankan fungsi audit,
sehingga mampu mengotomisasi atau menyederhanakan proses audit. Dua piranti
lunak yang paling sering digunakan adalah audit control languange (ACL) dan
interactive data extraction and analysis (IDEA). CAATS idealnya cocok untuk
memeriksa arsip-arsip data yang besar untuk mengidentifikasi catatan-catatan
yang dibutuhkan untuk melakukan audit dengan seksama.
Untuk menggunakan CAATS auditor memutuskan tujuan audit,
mempelajari mengenai arsip dan database yang akan diaudit, merancang laporan
audit, dan menentukan bagaimana menghasilkan laporan tersebut. Informasi ini
dicatat pada lembar spesifikasi dan dimasukkan ke dalam sistem. Program
CAATS menggunakan spesifikasi untuk menghasilkan suatu program audit.
Program tersebut menggunakan salinan data langsung perusahaan (untuk
menghindari masuknya kesalahan) untuk melakukan prosedur audit dan
menghasilkan laporan audit tertentu. CAATS tidak dapat menggantikan penilaian
auditor atau membebaskan auditor dari fase/tahapan audit lainnya. Misalnya,
auditor harus menyelidiki unsur-unsur dalam laporan pengecualian, verifikasi total
arsip tersebut terhadap sumber informasi lainnya, dan memerikasa serta
mengevaluasi sampel audit.
CAATS khususnya berguna untuk perusahaan yang memiliki proses bisnis
yang kompleks, operasi yang terdistribusi, volume transaksi yang tinggi atau
penggunaan aplikasi dan sistem yang sangat beragam. Berikut ini adalah beberapa
kegunaan utama CAATS:
a. Melakukan query arsip data untuk menarik catatan-catatan yang memenuhi
kriteria tertentu
b. Menghasilkan, memuktahirkan, membandingkan, mengunduh dan
menggabungkan arsip
c. Mengikhtisarkan, mengurutkan dan menyaring data
d. Mengakses data dari beragam format yang berbeda dan mengkonversi data ke
dalam format umum
e. Memeriksa catatan-catatan untuk menguji kualitas, kelengkapan, konsistensi
dan kebenarannya
f. Stratifikasinya catatan-catatan, memilih dan menganalisis sampel statistik
g. Menguji risiko-risiko tertentu dan mengidentifikasi bagaimana cara untuk
mengendalikan risiko tersebut
h. Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya
i. Melakukan uji analisis, seperti analisis rasio dan tren, mencari pola data yang
tidak diperkirakan atau data yang tidak dapat dijelaskan yang mungkin
mengidentifikasikan adanya kecurangan.
IT Risk dan Kontrol : Bank Mandiri

Dunia memasuki era digital, era media sosial, dimana hampir seluruh
aktivitas manusia dari bangun tidur hingga keesokan harinya dapat diketahui dari
media sosial. Perkembangan teknologi informasi (TI) yang begitu pesat bagaikan
dua sisi mata pisau, yang apabila tidak digunakan dengan bijak justru dapat
melukai pengguna TI itu sendiri. Bank Mandiri sendiri sejauh ini telah merasakan
akibat dari pisau bernama TI ini. Pertengahan tahun 2014, Bank Mandiri menjadi
korban dari salah satu bentuk pencurian bernama skimming dengan total
kerugian 3 Milliar Rupiah. Dampak dari kasus ini sangatlah besar, hingga Bank
Indonesia mengeluarkan instruksi khusus untuk menghadapi skimming ini.
Bank Indonesia melalui Peraturan Bank Indonesia mendefinisikan
Teknologi Informasi adalah teknologi terkait sarana komputer, telekomunikasi dan
sarana elektronis lainnya yang digunakan dalam pengolahan data keuangan dan
atau pelayanan jasa perbankan.
Teknologi Informasi merupakan aset penting dalam operasional yang
dapat meningkatkan nilai tambah dan daya saing bank Mandiri. Penggunaan TI
tentu tidak lepas dari berbagai risiko, untuk itulah diperlukan apa yang disebut IT
Governance & IT Risk Management. Sesuai definisi IIA, IT Governance terdiri
atas leadership, kerangka organisasi berupa personil dalam organasisasi, dan suatu
proses yang memastikan bahwa Teknologi Informasi organisasi mendukung
organisasi dalam pencapaian tujuan. Keberhasilan penerapan IT Governance
tersebut sangat tergantung pada komitmen seluruh unit kerja di Bank, baik
penyelenggara maupun pengguna Teknologi Informasi. Penerapan IT Governance
dilakukan melalui penyelarasan Rencana Strategis Teknologi Informasi dengan
strategi bisnis Bank Mandiri, optimalisasi pengelolaan sumber daya, pemanfaatan
Teknologi Informasi (IT value delivery), pengukuran kinerja dan penerapan
manajemen risiko yang efektif.
Untuk dapat menerapkan manajemen risiko yang efektif, diperlukan
keterlibatan dan pengawasan Dewan Komisaris dan Direksi, penyusunan dan
penerapan kebijakan dan prosedur terkait Teknologi Informasi, serta proses
identifikasi, pengukuran, pemantauan dan pengendalian risiko yang
berkesinambungan. Selain itu, kedepan Bank Mandiri dituntut pula untuk
mengantisipasi kebutuhan akan infrastruktur Teknologi Informasi yang memadai
dalam rangka menghadapi implementasi Basel II.

Pemanfaatan TI oleh Bank Mandiri

1. Enterprise Resource Planning Systems. ERP adalah sebuah sistem software
yang membantu bank mandiri dalam mengintegrasikan seluruh proses bisnis
dalam satu database. Keuntungan perusahaan dalam mengimplementasikan
ERP salah satunya adalah online real time processing, sehingga pengambilan
keputusan dapat dilakukan sewaktu-waktu. Bank Mandiri yang memiliki
beberapa proses bisnis tentu amat bergantung dengan adanya ERP ini.
2. Electronic Data Interchange EDI adalah proses transfer data secara elektronik
antar satu atau beberapa pihak dengan standar format yang disetujui. Maksud
dari standar format yang disetujui adalah data yang akan dikirim harus
disesuaikan/dienkripsi dengan format standar yang berlaku dan juga disetujui
oleh penerima. Penyesuaian ke dalam format standar tersebut bisa
menggunakan software khusus yang dikenal sebagai translation software.
Selain lebih cepat, EDI juga dapat menghemat baik dari segi waktu maupun
biaya, karena proses manual yang terjadi pada pengiriman dokumen fisik tidak
diperlukan lagi. EDI merupakan salah satu teknologi paling awal yang
digunakan dalam Supply Chain Management (SCM). Alur bisnis yang terjadi
antara perusahaan dengan trading partner maupun supplier menjadi lebih
mudah dan cepat dengan adanya EDI. Bentuk pengaplikasian EDI di Bank
Mandiri salah satunya adalah penyediaan fasilitas Mandiri Cash management
bagi Mayora Indah untuk meningkatkan kemudahan dan efisiensi dalam
proses pembayaran ke pihak ketiga. Mayora Indah dapat memanfaatkan
jaringan elektronik (e-channel) Bank Mandiri untuk melakukan pembayaran
kepada vendor atau rekanan secara langsung tanpa perlu datang ke bank atau
menandatangani warkat perintah pembayaran. Teknisnya, Mayora dapat
 mengirim instruksi transaksi pembayaran ke Bank Mandiri secara real time
online dengan aplikasi yang dihubungkan dengan Enterprise Resource
Planning (ERP) Mayora.

Layanan Perbankan Melalui Media Elektronik atau selanjutnya disebut

Electronic Banking (e-banking) adalah layanan yang memungkinkan nasabah
Bank untuk memperoleh informasi, melakukan komunikasi, dan melakukan
transaksi perbankan melalui media elektronik antara lain ATM, m-banking,
electronic fund transfer, internet banking.
IT Controls
Bank melaksanakan verifikasi terhadap akurasi dan kelengkapan dari
transaksi dan melaksanakan prosedur otorisasi, sesuai dengan ketentuan intern.
Kegiatan pengendalian sistem informasi dapat digolongkan dalam dua kriteria,
yaitu pengendalian umum dan pengendalian aplikasi.
1. Pengendalian umum (general control) meliputi pengendalian terhadap
operasional pusat data, sistem pengadaan dan pemeliharaan
software,pengamanan akses, serta Kelompok 5 9A BPKP 7 pengembangan
dan pemeliharaan sistem aplikasi yang ada. Pengendalian umum ini diterapkan
terhadap mainframe, server, dan users workstation, serta jaringan internal
eksternal. Salah satu bentuk pengendalian umum adalah dibentuknya Disaster
Recovery Center (DRC) sebagai alternative ketika Data Center tidak bisa
diakses.
2. Pengendalian aplikasi (application controls) diterapkan terhadap program
yang digunakan Bank dalam mengolah transaksi dan untuk memastikan
bahwa semua transaksi adalah benar, akurat dan telah diotorisasi secara benar.
Berikut adalah bentuk pengendalian aplikasi pada Bank Mandiri:
a. Menggunakan sistem keamanan standar internasional dengan enkripsi SSL
128 bit (Secure Socket Layer 128 bit Encryption) yang akan mengacak
data transaksi
b. Pengamanan pintu akses dengan Firewall (ISP>Web Server>Data
Server>Host)
c. Proses pendaftaran melalui ATM Mandiri atau Cabang Bank Mandiri
 d. Proses aktivasi di www.bankmandiri.co.id dengan Access ID & Access
Code
e. Mouse over Warning Access, pada saat login untuk mengingatkan web
sitepalsu
f. Verifikasi user dengan User ID & PIN Internet Banking pada saat login
g. Auto Logoff (Session Time Out ) jika Nasabah lupa log-out
h. Seluruh aktifitas nasabah di Internet Banking Mandiri akan tercatat oleh
sistem
i. Nasabah dapat melihat seluruh aktifitas yang dilakukan pada Internet
Banking Mandiri selama jangka waktu tertentu
j. Notifikasi melalui e-mail dan SMS* untuk setiap transaksi yang dilakukan
k. Limit transaksi per hari hingga Rp. 10.000.000,
l. Verifikasi transaksi dengan Token PIN Mandiri

Peran Auditor Internal Bank Mandiri

Untuk memenuhi tanggung jawab terkait TI, fungsi audit internal
setidaknya harus:
1. Mengidentifikasi dan melakukan risk assessment atas risiko TI organisasi
2. Memiliki auditor dengan kompetensi memadai di bidang TI dan mampu
menggunakan teknik audit berbasis teknologi
3. Memasukkan TI organisasi sebagai bagian dari rencana audit tahunan
4. Melakukan Assessment terhadap IT Governance, management, dan
technical controls

Beberapa risiko yang menjadi fokus audit, akan dipantau secara bankwide
melalui mekanisme continuous auditing sehingga deteksi atas indikasi
penyimpangan dapat diketahui lebih dini. Deteksi atas penyimpangan tersebut
dapat diketahui dengan memanfaatkan indikator risiko yang melebihi threshold
yang ditetapkan. Hasil dari continuous auditing akan disampaikan kepada unit
terkait untuk segera dilakukan koreksi, sementara itu jika memerlukan evaluasi
lebih jauh maka dapat dilakukan on site dan surprised audit oleh internal audit.
Dengan menerapkan strategi continuous auditing maka coverage audit atas risiko-
risiko tertentu dapat dilakukan secara luas dan intensif. Terhadap risiko utama
yang tidak dapat dipantau melalui mekanisme continuous auditing, maka
dilakukan audit secara on site ataupun on desk.
 Referensi

Indonesia, I. A. 2015. Modul Chartered Accountant Sistem Informasi Dan

Pengendalian Internal. Jakarta Pusat: Ikatan Akuntan Indonesia.

https://www.academia.edu/10152636/Mandiri_IT_Risks_and_Controls (diakses
Tanggal 1 Nopember 2016)