Anda di halaman 1dari 38

KATA PENGANTAR

Syukur kehadirat Tuhan Yang Mahaesa senantiasa selalu memberikan taufiq dan
hidayanya kepada kita semua, baik kesehatan maupun kesempatan dalam memberikan
dorongan dan motivasi sehingga terselesainya tugas ini.
Selanjutnya kami selaku mahasiswa yang membuat makalah audit yang mengenai
Sistem Teknologi Informasi Terhadap Audit , sebagai salah satu persyaratan untuk
melengkapi tugas yang dimasudkan, maka kami menulis sebuah Makalah dengan judul:
AUDIT SISTEM INFORMASI

Materi ini ditulis berdasarkan informasi yang didapatkan dari hasil perkuliahan serta
media jaringan komunikasi internet dan informasi dari reference bacaan lainnya yang
mendukung.

Pada struktur pembahasan makalah ini kemungkinan jauh dari sasaran dan
kesempurnaan yang diharapkan , maka kami selaku penulis mengharapkan respon yang
positif agar tulisan makalah kami ini dapat diterima oleh Dosen Pembimbing.
Kiranya atas sumbangan fikiran baik dari dosen pembimbing, maupun teman-teman
sekelompok kami ucapkan terima kasih.

Makassar, 28 November 2017

Penulis

1
DAFTAR ISI

Kata Pengantar 2

Bab I. Pendahuluan

I.I Latar Belakang 3

I.II Rumusan Masalah 3

I.III Tujuan Penulisan

I.IVManfaat Penulisan 4

I.IV Sistematika Penulisan 5

Bab II. Pembahasan

II.I Audit Sistem Informasi 1 6

II.II Audit Sistem Informasi 2 29

Bab III. Penutup

III.I Kesimpulan 37

III.II Saran 37

Daftar Pustaka 38

2
BAB 1

PENDAHULUAN

1.1 Latar Belakang

Audit merupakan sebuah kegiatan yang melakukan pemeriksaan untuk menilai dan
mengevaluasi sebuah aktivitas atau objek seperti implementasi pengendalian internal pada
sistem informasi akuntansi yang pekerjaannya ditentukan oleh manajemen atau proses fungsi
akuntansi yang membutuhkan kemajuan. Proses auditing telah menjadi sangat rapi di
Amerika Serikat, khususnya pada bidang profesional accounting association. Akan tetapi,
baik profesi audit internal maupun eksternal harus secara terus menerus bekerja keras untuk
meningkatkan dan memperluas teknik, karena profesi tersebut akan menjadi tidak mampu
untuk mengatasi perkembangan dalam teknologi informasi dan adanya tuntutan yang semakin
meningkat oleh para pemakai informasi.

Meskipun berbagai macam tipe audit dilaksanakan, sebagian besar audit menekankan pada
sistem infromasi akuntansi dalam suatu organisasi dan pencatatan keuangan dan pelaksanaan
operasi organisasi yang efektif dan efisien.

Secara garis besar perlunya pelaksanaan audit dalam sebuah perusahaan yang telah
mempunyai keahlian dalam bidang teknologi informasi yaitu antara lain: Kerugian akibat
kehilangan data, kerugian akibat kesalahan pemrosesan komputer, pengambilan keputusan
yang salah akibat informasi yang salah, kerugian karena penyalahgunaan komputer
(Computer Abused), Nilai hardware, software dan personil sistem informasi, dan terakhir
pemeliharaan kerahasiaan informasi.

Tujuan audit sistem informasi dapat dikelompokkan ke dalam dua aspek utama, yaitu:
Conformance (Kesesuaian) pada kelompok tujuan ini audit sistem informasi difokuskan
untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu: Confidentiality (kerahasiaan),
Integrity (integritas), Availability (ketersediaan), dan compliance (kepatuhan). Berikutnya
adalah Performance(Kinerja)- pada kelompok tujuan ini audit sistem informasi difokuskan
untuk memperoleh kesimpulan atas aspek kinerja, yaitu : effectiveness (efektifitas),
efficiency (efisiensi), reliability (kehandalan).

3
Terakhir, audit yang dilaksanakan sesuai tipe perusahaan yaitu opersional, compliance,
pengembangan sistem, internal control, financial, dan kecurangan audit. Empat jenis auditor
yang dilibatkan dalam menyelenggarakan audit yang di list adalah:

1. Internal auditor adalah karyawan perusahaan, yang pada umumnya melaksanakan


compliance, operasional, pengembangan sistem, pengawasan intern, dan kecurangan
audit.
2. Eksternal auditor adalah akuntan publik independen yang ditugaskan oleh perusahaan,
secara khusus melaksanakan audit keuangan. Dalam berbagai macam audit keuangan,
eksternal auditor dibantu oleh internal auditor. Akan tetapi, auditor eksternal yang
bertanggung jawan untuk menegaskan kewajaran laporan keuangan.
3. Government auditor melaksanakan pemenuhan audit atau menguji laporan perusahaan
atas pengawasana yang menyangkut para pegawai pemerintahan. Sebagai contoh,
pemeriksa bank pemerintahan melaksanakan audit bank, auditor yang ditugaskan oleh
auditor negara yang umumnya melaksanakan audit daerah dan para pegawai
pemerintah.
4. Fraud auditor, mengkhususkan dalam menyelidiki kecurangan dan bekerja secara
tertutup dengan internal auditor dan pengacara. Fraud examminer misalnya : kesatuan
FBI penyelidikan kecurangan, perusahaan besar akuntan publik, IRS, dan perusahaan
asuransi.

1.2 Rumusan Masalah


1. Apa yang dimaksud dengan Audit Sistem Informasi ?
2. Apa tujuan dari Audit Sistem Informasi ?
3. Bagaimana pelaksanaan Audit Sistem Informasi baik itu dalam berbasis risiko,
kendali dan komputer ?
1.3 Tujuan Penulisan
1. Agar Mahasiswa dapat memahami dan mengerti tentang apa yang dimaksud dengan
Audit Sistem Informasi
2. Agar Mahasiswa dapat memahami dan mengerti apa tujuan dari Audit Sistem
Informasi
3. Agar Mahasiswa dapat memahami dan mengerti bagaimana konteks pelaksanaan dari
Audit Sistem Informasi
1.4 Manfaat Penulisan

4
Penulisan makalah tentang Audit Sistem Informasi ,memberikan manfaat agar kita
dapat mengenal, memahami, dan mengerti materi tentang Audit Sistem Informasi serta
dapat menambah pengetahuan kita
1.5 Sistematika Penulisan
Sistematika penulisan makalah ini adalah sebagai berikut :

BAB I : PENDAHULUAN
Dalam bab ini penulis menjelaskan tentang latar belakang dalam penulisan, serta
sistematika penulisan.
BAB II : PEMBAHASAN
Dalam bab ini penulis mengemukakan tentang pengertian dan tujuan audit sistem
informasi serta proses audit sistem informasi yang terdiri dari audit sistem informasi
berbasis risiko, audit sistem informasi berbasis kendali, audit sistem informasi berbasis
komputer.
BAB III : PENUTUP
Dalam bab ini penulis memberikan kesimpulan dan saran serta meminta kritik dan saran
jika ada suatu kesalahan dalam penulisan.

5
BAB II
PEMBAHASAN

II.I BAB 13 : Audit Sistem Informasi 1

Tanggung Jawab Auditor Internal

Tekonologi Informasi (TI) terus menembus struktur kehidupan bisnis. Auditor internal perlu
memahami dan mengevaluasi berbagai risiko serta peluang yang terkait dengan teknologi
informasi karena beberapa alasan:

Cepatnya pertumbuhan teknologi


Penggunaan siste informasi yang lebih luas di setiap fungsi organisasi yang semakin
erat hubungannya satu sama lain
Penggunaan mainframe, pemrosesan terdistribusi, dan komputer pribadi yang disertai
meningkatnya persentase penggunaan di antara para karyawan dan manajer organisasi
Peningkatan yang luas atas informasi yang tersedia bagi para manajer
Penurunan skeptisme mengenai akurasi dara yang diproses melalui sistem informasi
Pergeseran manajemen sistem dari bidang keilmuan para ahli pemrogram ke para
pengguna akhir
Peningkatan pengetahuan akan sistem informasi dalam masyarakat umum mengarah
pada semakin tersebar luasnya kemampuan untuk menangani data
Peningkatan penggunaan Local Area Network (LAN), dan lingkungan komputasi
yang terdistribusi
Peningkatan penggunaan basis data personal
Peningkatan pengguaan sistem perusahaan secara keseluruhan

Para auditor internal harus mampu memahami dan dapat bekerja dengan sistem informasi
yang kompleks. Perusahaan baik yang berorientasi pada laba maupun nirlaba didukung oleh
sistem yang sering kali membingungkan penggunaannya,; sistem ini melakukann transaksi
tanpa intervensii manusia, ribuan data dalam bentuk elektronik, berkomunikasi secara
interaktif dengan para pelanggan , pemasok, mengoperasikan mesin, dna membuat laporan
keuangan.

Agar para auditor internal dapat memberikan kontribusi yang signifikan ke organisasi,
mereka harus mampu menggunakan sistem informasi dan memahami berbagai risiko yang

6
terkait dengan penggunaannya.agar dapat mencapai pemahaman ini dibutuhkan penidikan
yang bersifat teknis dan praktis. para auditor internal harus mengerahui berbagai istilah,
konsep, dan aplikasi praktis teknologi informasi.

Para eksekutif dan manajer operasional berpaling ke karyawan bagian audit internal untuk
membantu memberikan penilaian yang realistis mengenai berbagai risiko dalam organisasi
mereka. Sejalan dengan semakin banyaknya pemrosesan terdistribusi dan komputer pribadi,
banyak lapisan jaringan, banyaknya penyimpanan data, menurunnya tingkat penelaahan
transaksi oleh karyawan, serta cepatnya perubahan sistem aplikasi, membuat pihak
manajemen benar-benar membutuhkan auditor internal yang dapat melihat gambaran
umumnya.

Berbagai fungsi pemrosesan data yang umum, kontrolnya, serta tanggung jawab audit
internal dibagi menjadi dua bagian:

1. Kontrol umum, yang mencakup kontrol lingkungan yang umum untuk semua sistem
informasi dalam organisasi
2. Kontrol aplikasi, yang diterapkan untuk aplikasi bisnis tertentu.

Kemajuan peranti lunak dan peranti keras membutuhkan beberapa topik khusus:
Peranti lunak yang dipasok oleh vendor
Komputer pribadi dan komputasi penggunaan akhir
Pemrosesan data terdistribusi
Efektivitas dan efisiensi sistem
Dokumentasi
Persyaratan hukum

Komponen Sistem Informasi

Peranti Keras

Sistem peranti keras yang digunakan dalam bisnis dapat dikategorikan ke dalam empat
kelompom: server, PC, minikomputer, dan mainframe. Pembagian ini tidak didasarkan pada
ukuran fisik sistem, tetapi lebih pada kemampuan pemrosesan mereka kecepatan,
penyimpanan, dan kapasitas untuk memproses aplikasi yang canggih.

7
Server adalah sistem yang menerima permintaan dari sistem lainnya, menghubungi klien, dan
memproses permintaan tersebut.

PC adalah sistem yang lebih kecil dan yang memiliki sejumlah kecil peralatan input/ output.
Tidak seperti mainframe dan minikomputer, lebih ekonomis memperuntukkan sebuah PC
bagi pengguna tunggal. PC yang lebih besar sering kali di bagi dalam sebuah departemen dan
mungkin dihubungkan dalam sebuah local area network (LAN), yaitu sebuah jaringan
dengan jarak maksimum antara dua titik, biasanya kurang dari satu mil.

Minikomputer seringkali berfungsi sebagai komputer pusat dalam perusahaan kecil dan
menengah. Mesin-mesin ini juga digunakan untuk berbagai departemen atau divisi dari
organisasi yang lebih besar untuk memenuhi permintaan khusus seperti analisis sains atau
akuntansi departemen yang sangat banyak menggunakan mesin, hingga menjadi tidak efisien
untuk menggunakan mainframe. Minikomputer digunakan sebagai server untuk
mengendalikan biaya peranti lunak dengan cara memungkinkan jumlah maksimum lisensi
yang digunakan pada saat yang bersamaan.

Mainframe dulunya adalah tulang punggung dari industri pemrosesan data dan merupakan
tempat penyimpanan utama data bagi kebanyakan perusahaan menengah ke atas. Beberapa
komponen dasar dari sistem informasi adalah central processing unit (CPU), peralatan
komunikasi, tape drive magnetis, printer impact, printer non-impact, konsol, dan terminal

Central Processing Unit. Fungsi CPU adalah sebagai otak dari komputer. CPU menerima
input dari berbagai peralatan periferal, memproses data sesuai dengan perintah yang
diberikan oleh satu atau beberapa program komputer, serta memberikan output dalam
berbagai bentuk.

Tape drive magnetis. Tape drive membaca dan menulis data, secara beruntun, ke dalam pita
magnetis. Alat ini mungkin merupakan alat yang paling umum untuk menyimpan data dalam
jumlah besar.

Densitas adalah ukuran tentang seberapa banya data dapat dikemas dalam satu inci pita
komputer.

Disk Drive. Walaupun penyimpanan dengan pita dapat diandalkan dan tidak mahal,
kelemahan utamanya adalah kenyataan bahwa data harus dibaca secara berurutan

8
Printer impact. Printer ini adalah peralatan periferal yang sangat bervariasi dalam hal
kecapatan, penampilan output, dan kapasitasnya. Salah satu jenis printer impact, disebut
sebagai printer baris, memukul pita dan mencetak pada halaman satu baris sekaligus.

Jenis yang jauh lebih lambat dari printer impact menggunakan piringan data untuk
memukul pit dan membuat ketikan yang mirip dengan ketikan yang dihasilkan oleh mesin
ketik.

Printer dot matriks menggunakan berbagai pin metal untuk membuat hasil yang mirip dengan
berbagai karakter serta simbol yang digunakan dalam teks, juga untuk grafiknya. Printer dot
matriks lebih lambat dari printer baris.

Printer non-impact. Jenis yang umum dari printer ini adalah printer laser, yang dapat
mencetak banyak sekali teks atau grafik dengan sempurna. Jenis umum dari printer non-
impact adalah printer ink-jet dan printer bubble-jet.

Konsol. Konsol mainframe atau minikomputer adalah sebuah terminal yang berfungsi
sebagai pusat perintah untuk interaksi manusia agar dapat mengontrol sistem tersebut. Para
operator memasukkan perintah. Merespons pertanyaan dari sistem operasi, dan secara
umummemonitori sistem tersebut dari konsol.

Terminal. Peralatan terminal, yang biasanya disebut sebagai terminal cathode-ray tube
(CRT) atau terminal tampilan video, adalah salah satu bentuk peranti keras input/output yang
paling banyak digunakan.

Peranti Lunak

Peranti lunak memberikan perintah pada prosesor sistem. Investasi pada peranti lunak,
termasuk pembelian paket peranti lunak, gaji karyawan untuk mengembangkan dan
memelihara program, serta biaya perawatan yang harus dibayar ke vendor, sering kali secara
substansial melebihi biaya peranti keras.

Peranti lunak aplikasi. Peranti lunak aplikasi melakukan pemrosesan kegiatan bisnis
organisasi dan terdiri atas serangkaian program. Keserbagunaan komputer kini digunakan
secara komersial. Sistem dapat dikembangkan dari spesifikasi atau di beli dari vendor dan
dimodifikasi.

9
Merupakan hal yang penting untuk mengetahui bahwa meskipun kode sumber dan kode
objek harus selalu sesuai, namun tidak demikian halnya dengan komputer. Kita dapat
membuat sebuah salinan dari kode sumber, mengubah perintahnya, menyusun versi yang
dimodifikasi serta menghancurkan sumber yang dimodifikasi setelah membuat kode objek
yang baru.

Peranti lunak sistem. Peranti lunak sistem operasi mengelola operasi internal komputer itu
sendiri. Peranti lunak sistem operasi, disediakan oleh vendor peranti keras atau oleh
organisasi peranti lunak independen, memberikan kemampuan untuk menjadwalkan
pekerjaan, mengelola beberapapengguna secara simultan, membaca dan menulis beberapa
arsip, mentransmisikan data antarberbagai peralatan, melakukan pemeriksaan keamanan
tertentu, menangani kesalahan tertentu, menyediakan mekanisme untuk pengembangan
program, serta mendukung komunikasi interaktif online. Program utility yang lengkap
melakukan banyak pekerjaan rutin instalansi pemrosesan data.

Modifikasi data dalam berbagai arsip adalah perhatian utama. Data Handling Utilities (DHU)
atau Data File Utilities (DFU) adalah alat yang lengkap dan memiliki potensi berbahaya.
DFU dapat digunakan untuk masuk ke dalam arsip data dan mengubah data tersebut di
tempatnya tanpa perlu membuka program pemrosesan. Utilitas ini penting untuk
memperbaiki beberapa kesalahan yang terjadi dalam konversi sistem komputer, ketika akhir
yang abnormal atau ketidaksesuaian sistem terjadi, serta ketika arsip rusak.

Oleh karena itu peranti lunak sistem melakukan interface antara peranti keras tertentu dengan
peranti lunak aplikasi ketika peranti lunak sistem tersebut beroperasi, peranti lunak sistem
tersebut cenderung menjadi khusus mesin.

Organisasi Data dan Metode Pemrosesan Data

Struktur kontrol ysng dibutuhkan sistem informasi suatu organisasi sangat berbeda sesuai
dengan jenis pemrosesan yang dilakukan serta tingkat teknologi yang digunakan. Berikut ini
adalah tiga metode pemrosesan dasar yang saat ini digunakan:

Pemrosesan secara Batch

Teknik yang paling tua untuk memproses data adalah pemrosesan secara batch. Berbagai
kelas transaksi dikelompokkan menjadi satu, serta diproses sekaligus oleh sistem. Metode ini

10
adalah metode lama untuk memproses data dalam jumlah yang sangat besardan menawarkan
kontrol pada tingkat yang paling tinggi. Total manual dari tiap barang dan nilai uangnya
dapat diperbandingkan dengan total yang dihasilkan oleh mesin. Dalam berbagai aplikasi,
batch dibaca oleh program edit khusus yang memvalidasi data tersebut dan menghitung
totalnya. Apabila totalnya salah, sumber kesalahan akan diidentifikasi, dan batch tersebut
akan diperbaiki serta dimasukkan ulang.

Entri Online/ Pemrosesan Batch (Memo Post)

Aplikasi memo post menyediakan entri, permintaan, dan edit data secara online, tetapi
memperbarui arsip utama dengan pemrosesan secara batch. Setelah arsip utama diperbarui,
salinan memo dari arsip utama yang baru akan dibuat. Arsip memo tersebut diperbarui
dengan entri data dan digunakan untuk pemrosesan permintaan selama hari tersebut. Setelah
penyesuaian, arsip memo tersebut dapat digunakan untuk memasukkan transaksi ke arsip
utama selama pemrosesan batch pada malam berikutnya.

Onine Real Time

Aplikasi yang dijalankan secara online real time memperbarui arsip sistem setelah data
dimasukkan ke dalam terminal. Hasilnya, data tersebut selalu merupakan data terbaru. Tidak
seperti pemrosesan batch, pemrosesan secara online real time tidak memungkinkan untuk
dilakukan kontrol melalui nilai total. Pembaruan dapat masuk kapan saja dari terminal mana
pun yang terhubung dengan mainframe. Sistem ini dapat menghadirkan risiko yang lebih
tinggi bagi organisasi daripada aplikasi yang berorientasi pada batch. Kontrol yang ketat
sangatlah penting, termasuk jejak audit dengan identifikasi operator terminal, password
khusus untuk transaksi yang penting, kartu intelijen, dan pembatasan ke fungsi terminal.

Di dalam sistem evaluasi, seorang auditor perlu mempertimbangkan risiko bawaan dari
berbagai segmen yang termasuk dalam sistem. Dalam mengevaluasi risiko bawaan, auditor
perlu mempertimbangkan:

Risiko kecurangan
Nilai penting sistem tersebut dalam kegiatan operasional
Keunggulan kkmpetitif yang diberikan oleh sistem tersebut
Teknologi yang digunakan oleh sistem tersebut

Kontrol Sistem Informasi

11
Kontrol dalam sistem informasu adalah alat yang digunakan untuk mengelola segala
kerusakan yang terjadi tanpa disengaja dan untuk membantu mencapai tujuan dari pihak
manajemen. Alat ini berbeda dari alat yang digunakan dalam lingkungan manual karena:

Sumber data terkadang independen dari pengguna data


Jejak transaksi dari input ke output jarang tampak oleh mata manusia
Adanya kebutuhan atas kejelasan jika tidak terdapat pertimbangan manusia
Dokumentasi harus akurat dan dapat digunakan
Tanggungjawab informasi pengguna dibagi dengan fasilitas pemrosesan SI

Agar dapat meringkas berbagai kesulitan yang ada, terdapat sejumlah faktor yang
menghalangi pengembangan sistem kontrol yang memadai, yaitu:

Pengumpulan fakta dan evaluasi dapat saja tidak lengkap


Para pengguna semakin meyakini apa pun yang mereka temukan dalam laporan
sistem tersebut hanya karena laporan bersalah dari sistem informasi.
Kurang terdapat arah yang jelas dan sesuai
Pihak manajemen senior mungkin tidak melakukan tanggung jawabnya atas sistem
kontrol pada tingkat dasar karena masalah tersebut terlalu teknis
Berbagai kesalah dapat muncul dalam desain sistem
Komunikasi sering kali tidak baik di antara para karyawan bagian sistem, pengguna,
dan pihak manajemen, hingga para pengguna gagal untuk mengidentifikasi kontrol
mana yang dibutuhkan untuk menangani berbagai transaksi, pemrosesan data, serta
menerima output informasi
Pemrograman yang tidak bertanggung jawab dapat memasukkan perintah ke dalam
sistem agar dapat menyimpangkan aktiva demi kepentingannya sendiri

Kontrol harus dimasukkan ke dalam setiap sistem dan aplikasi untuk mengurangi hal-hal
yang mungkin timbul seperti catatan yang kurang baik, akuntansi yang tidak tepat, gangguan
bisnis, pengambilan keputusan yang buruk, penipuan dan penggelapan, pelanggaran atas
ketentuan hukum atau peraturan, peningkatan biaya, hilangnya aktiva, serta hilangnya posisi
kompetitif dalam pasar.

Kontrol Umum

12
Kontrol umum terdiri atas berbagai kontrol dalam sistem informasi dan lingkungan pengguna
yang tersebar di seluruh aplikasi. Kontrol ini termasuk berbagai kontrol seperti pemisahan
tugas, prosedur pengembangan sistem, keamanan data, seluruhnkontrol administratif dan
kemampuan pemulihan dari bencana

Kontrol Organisasi

Deskripsi

Kontrol organisasi meliputi tanggung jawab dan otoriras yang memadai untuk aktivitas EDP.
Tanggung jawab semacam ini haruslah mencukupi untuk memungkinkan aktivitas SI
memenuhi tujuan organisasi secara efisien dan efektif

Di dalam SI, efisien ditingkatkan melalui pengelompokan fungsi yang tepat.


Pengelompokkan yang utama adalah

Operasi dan produksi: mengubah dokumen sumber tertulis ke bentuk yang dapat
dikenali oleh mesin; konsol operasional, peralatan periferal, dan perlengkapan
tambahan; memelihara perpustakaan untuk berbagai arsip data dan program; dan
membentuk kelompok kontrol yang mengawasi produk, membuat catatan,
menyeimbangkan input dan output, serta memastikan bahwa berbagai jadwal dipenuhi
Pengembangan proyek: mengembangkna sistem dan mendesain berbagai metode serta
persyaratan baru.
Layanan teknnis: memilih peranti lunak dan menyediakan perawatan.

Audit Internal

Telaah atas kontrol organisasi biasanya dimulai dengan pengenalan sistemnya. Para auditor
internal bisa mengetahui dengan benar sistem tersebut dengan cara menelaah kebijakan
manajemen, struktur organisasi, deskripsi kerja, laporan tenaga kerja dan lembur, prosedur
operator sistem.

Para auditor internal harus menelaah catatan rotasi kerja dan kadwal cuti. Mereka harus
memastikan bahwa semua orang dalam aktivitas SI benar-benar mengambil cuti setiap
tahunnya dan secara fisik jauh dari operasi perusahaan.

13
Siklus Hidup Pengembangan Sistem

Deskripsi

Siklus hidup pengembangan sistem harus melibatkan seluruh pihak yang berkepentingan
dlaam sistem yang sedang diciptakan atau diperbaiki. Para pihak yang berkepentingan
tersebut adalah orang orang yang memiliki kepentingan organisasional dalam operasi rutin
sistem. Mereka di arahkan melalui sesi desain kelompok yang mengidentifikasi dan
menetapkan persyaratan pengguna. Keterlibatan dari kelompok yang luas didukung oleh
prosedur pengujian yang lebih disiplin dan lengkap untuk memastikan bahwa sistem tersebut
akan memenuhi persyaratan desainnya.

Di luar proses pengembangan, pengawasan terus-menerus atas fungsi pemrosesan data


semakin menjadi aktivitas kelompok. Komite pelaksana SI adalah faktor peting dalam
keterlibatan manajemen di dalamnya dan dalam mengawasi fungsi SI. Fungsi fungsi komite
pelaksana mereka harus meliputi:

Menyetujui berbagai kebijakan SI


Menyetujui rencana jangka panjang dan jangka pendek untuk sistem, pengawasan
kemajuan desain sistem, dan pengembangan sistem
Pengawasan umum atas implementasi, pelatihan, dan operasi sistem yang baru
tersebut
Pengawasan terus-menerus atas kecukupan serta akurasi peranti lunak dan peranti
keras yang digunakan
Penilaian atas pengaruh teknologi bru tersebut pada operasi SI organisasi

Berikut ini adalah tahapan penting dan kontrol siklus hidup pengembangan sistem terkait:

Permintaan atas desain sistem. Permintaan tertulis harus diserahkan oleh para pengguna yang
memiliki otoriasasi yang menyebutkan kebutuhan bisnis. Permintaan tersebut harus
dikatalogkan secara benar dan ditelaah oleh komite pelaksana atau komite alokasi tenaga
kerja lainnya.

Studi Kelayakan. Pada tahap ini pertanyaan dasar yang berkaitan dengan biaya/ manfaat
dijawab. Sebuah studi atas sistem yang ada saaat ini dan kebutuhan analisis, biaya, waktu
implementasi, dan potensi risiko harus dimasukkan ke dalam studi kelayakan.

14
Kesimpulannya, para pengguna, komite pelaksana, dan pihak manajemen SI harus meberikan
persetujuan tertulis atau penolakan tertulis atas proyek tersebut.

Desain sistem tingkat tinggi. Proyek yang diterima dan didanai di luar tahap kelayakan
diteruskan ke dlaam tahap desain sistem tingkat tinggi. Tahap tahap utamanya meliputi:

Analisis input, pemrosesan, dan output dari sistem yang telah ada
Analisis persyaratan pengguna secara terinci
Spesifikasi fungsional mencantumkan hal-hal yang seharusnya dicapai oleh sistem
tersebut dari perspektif bisnis
Alternatif

Desain sistem terinci. Bersama dengan spesifikasi umum, analisis sistem, dengan bantuan
dari pengguna, membuat cetak biru teknis dari sistem tersebut. Hal-hal berikut ini seringkali
dimasukkan ke dalam desain sistem yang terperinci:

Spesifikasi program terinci


Tata letak arsip
Tata letak laporan dan tampilan online
Bagan alir sistem
Narasi siste secara keseluruhan
Prosedur konversi dara
Rencana-rencana pengujian
Penetapan elemen data

Pemberian kode dan pengujian program. Di tahap ini program akan diberi kode seusai dengan
spesifikasi program tertentu yang dikembangkan dalam thap desain sistem
terperincipengujian di formalisasikan dan ditelaah oleh para pengguna serta pihak manajemen
proyek. Pengujian biasanya dilakukan dalam dua tahap: (1) pengujian unit, dengan setiap
program diuji secara terpisah; (2) pengujian sistem dengan serangkaian program dijalankan
secara beruntun.

Pengujian adalah salah satu bagian terpenting dari pengembangan dan perawatan sistem.
Pengujian merupakan pemeriksaan kualitas terakhir untuk memastikan bahwa sistem tersebut
bekerja sebagaimana mestinya.

15
Konversi. Apabila sebuah sistem yang lebih tua digantikan, arsip-arsip datanya harus
dikonversikan ke format yang baru. Proses ini adalah proses pengembangan sistem segi tiga
bermuda. Apabila mmonversi dilakukan secara manual, sebagian dari arsip bisa jadi rusak
karena kesalahan memasukkan data.

Implementasi. Sebelum implementasi, telaah terakhir atas hasil konversi dan tanda tangan
manajemen sebagai pengguna akhir harus didapatkan. Berbagai jenis implementasi harus
diperitmbangkan,termasuk implementasi bertahap, terarah, dan serentak.

Perawatan. Setelah implementasi, sistem tersebut masih tetap dalam tahap perawatan hingga
sistem digantikan. Kontrol atas perubahan akan mencegah atau mengurangi penurunan
kualitas sistem sepanjang waktu.

Audit Internal

Para auditor internal harus berhubungan dengan para ahli dalam penugasan khusus. Mereka
harus berpengetahuan, hati-hati, dan membantu tetapi mereka juga harus mempertahankan
independensi dan mengamati tujuan organisasi yang lebih luas. Berikut ini adalah beberapa
hal yang arus dicoba untuk dipastikan oleh para auditor internal ketika mereka terlibat dalam
dan menelaah studi kelayakan dan sistem:

Studi tersebut harus dibuat oleh tim yang terdiri atas perwakilan semua departemen
yang berkepentingannya harus dipertimbangkan
Pertimbangan harus diberikan pada kelemahan kontrol yang diidentifikasi melalui
audit
Spesifikasi harus mempertimbangkan pertumbuhan jangka panjang selanjutnya
Pertimbangan harus diberikan atas resiko penipuan atau hilangnya kontrol
Para pengguna harus menyetujui sistem yang di usulkan
Estimasi anggaran haruslah wajar dan dapat dilaksanakan
Persayaratan input dan output harus ditetapkan dengan jelas
Rencana konversi yang wajar harus di formulasikan
Otorisasi yang ditulis dengan benar harus didapat untuk setiap tahapan siklus hidup
pengembangan sistem

Seorang auditor juga harus waspada atas kegagalan pihak manajemen untuk mengenali dan
mengambil tindakan atas proyek yang pada akhirnya tidak akan berhasil baik. Bukti umum

16
potensi terjadinya masalah meliputi penundaan yang lama dan atau pembengkakan anggara
yang cukup besar

Keamanan Data

Deskripsi

Data mungkin merupakan aktiva yang paling penting. Kontrol atas akses ke data menentukan
kerentanan organisasi terhadap manipulasi secara tidak sengaja maupun penipuan atas aktiva.

Arsip dilindungi melalui sistem keamanan logis. Hal ini disebut juga sebagai kontrol akses
logis. Akses logis berbeda dari kontrol akses fisik. Kontrol akses fisik mencegah orang-
orang memiliki akses ke peranti keras, tempat penyimpanan tape, dan lain-lain.

Fungsi yang paling penting dari sistem keamanan data adalah otentikasi pengguna. Beberapa
peranti lunak keamanan data dipasok oleh vendor peranti keras dalam sistem operasi untuk
peranti keras mereka. Vendor independen telah mengembangkan peranti lunak keamanan
umum yang diantara fungsinya yang lain, dapat meningkatkan efektivitas kontrol pasword.
Peranti lunak keamanan data dapat meliputi hal-hal seperti:

Enkripsi password agar tidak dapat dilacak, bahkan oleh pemrogram


Perubahan wajib password setelah beberapa hari lamanya sesuai dengan yang
ditetapkan
Struktur yang membutuhkan pasword

Di samping kontrol password, peranti lunak keamanan data juga memonitori dan mengontrol
akses ke berbagai sumber daya. Berikut ini adalah beberapa fitur umum dari mainframe
beruang lingkup penuh paket peranti lunak keamanan data:

Akses ke arsip dan transaksi online dapat dibentuk sesuai dengan tiap orang dan
departemen
ID pengguna dapat dicabut jika terlalu banyak upaya untuk masuk ke dalam dengan
password yang tidak valid
Transaksi dapat dibatasi ke terminal dan/atau karyawan tertentu
Operasi terminal dapat dibatasi berdasarkan jam per hari atau berdasarkan jumlah hari
dalam seminggu

17
Batas waktu habis dapat dibuat sehingga memaksa terminal untuk mati setelah
suatu periode tanpa aktivitas
Sistem keamanan menampilkan waktu terakhir dna tanggal ID digunakan ketika
pengguna masuk ke dalamnya
Sistem tersebut dapat diatur untuk membutuhkan entri password di setiap transaksi
ketika transaksi-transaksi tersebut meliputi informasi yang sangat sensitif.

Sistem keamanan global memiliki banyak fitur dari yang dijelaskan di atas. Sistem-sistem
semacam ini menyediakan kontrol yang kuat dalam lingkungan mainframe atau
minikomputer.

Audit Internal

Tiap organisasi berbeda dalam hal tingkat implementasi keamanan data mereka. Akan tetapi,
terdapat sejumlah aturan untuk lingkup keamanan yang baik.

Pertama, dan paling utama, tanggung jawab atas keamanan sistem informasi terletak pada
pihak manajemen senior organisasi

Pihak manajemen seiior harus mengawasi bahwa:

Masalah akan ditentukan


Kebijakan organisasi di buat
Struktur kepatuhan diimplementasi

Para auditor internal ditantang untuk memiliki kompetensi teknis agar dapat melakukan
penelaahan atas kontrol keamanan sistem yang beroperasi. Perbedaan besar standar peranti
keras serta kekuatan dan kelemahannya menciptakan kebutuhan pelatihan yang lebih
terperinci dan berkelanjutan.

Peran utama auditor internal adalah mengevaluasi efektivitas sistem keamanan saat ini dan,
jika kelemahan ditemukan, untuk merekomendasikan sistem terbaik yang sesuai dengan
praktik bisnis organisasi serta faktor risikonya.

Keamanan Fisik

Deskripsi

18
Keamanan fisik mungkin merupakan kontrol yang paling mendasar dalam organisasi. Pada
masa awalpemrosesan data, sebelum penyebaran penggunaan terminal online, kotrol akses
tuang komputer sangatlah penting. Walaupun beban atas keamanan data kini telah bergeser
ke kontrol peranti lunak akses logis yang canggih, keamanan fisik masih merupakan
penjagaan umum dari berbagai risiko. Area-areasensitivitas dapat dikategorikan ke dalam tiga
area umum, yaitu:

Akses fisik
Pencemaran lingkungan
Perlindungan kebakaran dan banjir

Akses tidak sah. Pusat data dan/atau bangunan operasional yang aman dengan aktivitas
pemrosesan yang signifikan, harus membatasi akses hanya ke orang-orang yang memilliki
otoritasi. Beberapa teknik khusus untuk menerapkan kontrol ini meliputi:

Akses kartu: kartu yang secara magnetis diberi kode, dikeluarkan untuk orang-orang
yang memiliki otoritas, digunakan dengan memasukkannya ke dalam sebuah slot
yang membaca informasi di kartu tersebut dan mentransmisikannya ke komputer
keamanan.
Sistem akses biometrik. Teknologi ini tepat jika keamanan fisik yang menyeluruh
dibutuhkan. Sistem ini bergantung pada karakteristik fisik untuk mengotensikasi akses
permintaan individual.

Desain pusat komputer. Tingkatkeamanan yang signifikan dari keamanan fisik dapat dicapai
hanya melalui perencanaan yang baik. Beriut ini adalah beberapa faktor yang harus di
pertimbangkan dalam pusat komputer:

Pusat data harus dalam lokasi yang tersembunyi


Pusat data yang berada dalam wilayah rawan gempa bumi, bajir, atau bencana alam
lainnya harus memiliki prosedur yang tepat untuk memungkinkan sistem tersebut
beroperasi selama dan/atau setelah bencana alam
Ruang komputer itu sendiri harus tertutup oleh dinding
Tempat penyimpanan tape atau media penyipanan lainnya harus tahan api
Jumlah pintu untuk memasuki ruang komputer harus dimininalkan
Pintu darurat harus dikunci dari luar dan diberi peringatan

19
Pencegahan kebakaran. Walaupun merupakan hal yang penting bagi organisasi untuk
mengembangkan kemampuan pemulihan dari bencana kebakaran, merupakan hal yang
bahkan jauh lebih penting lagi untuk mencegah bencana itu sendiri.

Suplai tenaga listrik. Organisasi utilitas masyarakat tidak dapat dijadikan tempat bergantung
untuk memasok listrik yang sama sekali tanpa gangguan. Dua pendekatan dasar untuk sistem
cadangan listrik yang biasanya digunakan adalah: (1) diesel umum atau bentuk lain dari
pembangkit listrik independen jangka panjang; (2) sistem jangka pendek yang
memungkinkan penonaktifkan sistem komputer secara teratur sebelum baterai kehabisan
tenaga.

Berbagai ancaman. Sejumlah ancaman muncul dari aktivitas rutin dalam pusat komputer. Hal
ini meliputi potensi bahaya berikut:

Air dari pipa yang menyemprot, bocor, atau usaha pemadaman, dapat menyebabkan
hubungan pendek atau tumpukan residu yang sulit atau tidak mungkin untuk
disingkirkan
Peralatan elektronis, seperti peruncing pensil dan pemoles lantai, yang beroperasi di
dekat tape, disk, serta prosesor komputer dan tidak dilengkapi dengan peredam, dalam
menyebabkan gangguan elektromagnetik yang memengaruhi pemrosesan data
secara akurat
Listrik statis dari lantai k=yang kurang baik, tutup laintai yang memiliki kualitas
pelepas listrik statis, atau kontrol kelembapan yang kurang baik, dapat memengaruhi
pemrosesan yang kurang akurat.
Rokok, pipa rokok, dan asap rokok dapat meninggalkan residu lengket di permukaan
apa pun di dalam atau di luar komputer.

Ketika terjadi kesalahan peranti keras, maka kesalahan tersebut harus dilaporkan. Sistem
operasi canggih mencatat log peranti keras internal yang memingkinkan para teknisi lapangan
untuk menentukan kesalahan peranti keras yang terjadi. Beberapa langkah yan disarankan
untuk program perawatan yang memadai adalah sebagai berikut:

Kesalahan fungsi perlengkapan harus didaftar


Kegagalan fungsi harus dilaporkan ke karyawan bagian perbaikan dari penjual
Kegagalan fungsi yang dilaporkan harus ditindaklanjuti untuk melihat apakah
kegagalan tersebut telah diteliti dan diperbaiki

20
Kegagalan fungsi yang tidak rutin terjadi harus diteliti hingga dapat diatasi

Audit Internal

Para auditor internal harus memastikan bahwa kontrol peranti keras berjalan dan berhasil.
Beberapa dari langkah audit yang dapat diambil adalah:

Wawancarai operator dan pengguna mengenai keandalan peralatan


Pastikan tindakan apa yang diambil oleh para auditor komputer jika terjadi kegagalan
fungi peranti keras
Periksa laporan kegagalan, daftar kerusakan mesin, dan laporan perawatan untuk
mengonfirmasikan pernyataan lisan
Tentukan apakah peralatan pengendalian suhu dan kelembapan dipasang dan
berfungsi, serta konfirmasikan spesifikasi lingkungan dari produsen
Telaah daftar yang dihasilkan oleh peralatan suhu dan kelembapan serta statistik
operasionalnya untuk memastikan sejjauh mana kegagalan peralatan dan sejauh mana
peralatan tersebut berjalan kembali jika terdapat kerusakan peralatan
Telaah daftar harian komputer dan laporan penggunaan peralatan periodik untuk
melihat apakah jadwal perawatan dari produsen diikuti
Bandingkan lamanya waktu kerusakan yang sesungguhnya dengan lamanya waktu
yang dianggap normal
Pastikan apakah peralatan dikirim untuk perawatan pada waktu yang paling tepat
Pastikan bahwa peralatan deteksi kebakaran dan pemadam api ada di tempatnya serta
telah diperiksa kemampuan operasinya seperti yang telah disyaratkan.

Auditor internal menyarankan beberapa perbaikan dalam sistem, merekomendasikan


pembuatan tujuan perawatan untuk semua peranti keras, serta ditindaklanjuti untuk melihat
bahwa kontrol dibentuk untuk meniadakan kredit yang salah ke pemasok

Perencanaan Kontijensi dan Pemulihan dari Bencana

Deskripsi

Layanan online kini merupakan bagian integral dari rutinitas harian. Hasilnya, ketersediaan
SI merupakan hal yang snagat penting bagi keberlanjutan banyak organisasi. Biasanya
orgsnisasi kemampuan yang memadai untuk pulih dari bencana akan dilengkapi dengan:

21
Penyimpanan data, program, sistem operasi, dan dokumentasi utama, di luar lokasi
kantor
Dokumentasi perencanaan yang berisi langkah-langkah terperinci yang harus
dilakukan ketika terjadi bencana
Kesepakatan cadangan dengan lokasi-lokasi alternatif lainnya.

hot side sangat terkenal di kalangan perusahaan. Hot side biasanya dilengkapi dengan
koneksi telekomunikasi yang ekstensif, karena pemrosesan secara online merupakan hal yang
sangat penting bagi perusahaan.

Alternatif lainnya adalah perjanjian timbal balik dengan dua atau lebih perusahaan sepakat
untuk berbagi sumber daya sistem jika terjadi bencana.

Terakhir cold site kadang kala digunakan ketika pemulihan cepat dari bencana ukanlah hal
yang sangat penting. Cold site adalah bangunan dengan listrik, AC, koneksi telekomunikasi ,
lantai yang tinggi untuk peralatan komputer, serta persyaratan lingkungan lainnya.

Banyak organisasi bergantung pada kombinasi antara cold site dan hot site. Setelah terjadi
bencana besar, hot side digunakan untuk menyediakan layanan yang sangat penting sambil
menunggu cold site dipersiapka.biasanya tingkat penggunaan per jam untuk hot site adalah
hal yang substansial. Hot site sering kali secara fisik jauh dari pusat data yang asli.

Audit Internal

Audit internal harus menjawa dua pertanyaan mendasar kepada pihak manajemen eksekutif.
Dapatkah organisasi bertahan hidup dalam bencana sistem informasi yang besar? Jika
demikian seberapa besar kemungkinan tingkat dan pengaruh dari bencana tersebut?

Oleh karena sistem dan organisasi sangat berbeda satu sama lain, merupakan hal yang tidak
mungkin untuk menyajikan daftar dari semua langkah yang dibutuhkan untuk menelaah
kemampuan pemulihan organisasi dari bencana.

Penyimpanan

Deskripsi

Merupakan hal yang biasa bagi pusat data modern untuk menghasilkan ribuan disk dan/ atau
arsip tape dalam waktu seminggu. Arsip-arsip ini meliputi cadangan data saat ini untuk
digunakan jika terjadi bencana, dan arsip untuk penyimpanan permanen. Kontrol program

22
dibutuhkan untuk memastikan bahwa arsip-arsip ini diberi label serta disimpan dengan benar.
Jika tidak, arsip yang salah dapat dimasukkan ke dalam aplikasi atau arsip yang baik dapat
secara tidak sengaja terhapus.

Sistem manajemen arsip harus meliputi pertimbangan keamanan serta pengelolaan rotasi
arsip ke dan dari penyimpangan di luar lokasi kantor. Banyak organisasi kini
menstransmisikan arsip cadangan yang juah, mungkin tidak dijaga, yang dimungkinkan
dengan adanya kemajuan dalam telekomunikasi, termasuk perluasan bandwidth dan serat
optik.

Label eksternal dilampirkan secara fisik ke media yang dapat dipindahkan, seperti gulungan
tape, paket disket, atau disket. Penggunaan label eksternal adalah proses yang sederhana
untuk diterapka, tetapi kadang dapat mengakibatkan kesalahan pemberian label, karena
bergantung pada kerajinan operator komputer. Tanpa adanya komtrol tambahan, arsip dapat
dengan mudah hilang.

Di dalam pusat data yang sangat besar, label tape eksternal tidak digunakan dan kepercayaan
penuh diberikan pada sistem manajemen tape. Katalog manajemen tape itu sendiri harus
dibuat cadangannya; jika tidak, gangguan besar atas pemrosesan dapat terjadi karena identitas
tape mungkin hilang.

Arsip-arsip pada disk yang tetap atau yang dapat dipindahkan biasanya dikelola oleh sistem
operasi, yang menelusuri semua arsip dalam VTOC( volume table of contents). Asis data
yang canggih dan arsip-arsip yang lebih rumit biasanya dikendalikan melalui katalog sistem

Audit Internal

Kehilangan data dapat menjadi masalah serius dan nyata bagi organisasi. Konsentrasi atas
informasi pada media magnetis menambah masalahnya. Auditor internal harus mengajukan
pertanyaan berikut:

Bagaimana cara label internal digunakan?


Apakah label eksternal digunakan jika memungkinkan?
Apakah manajemen tape atau manajemen disk atau sistem manajemen arsip tersedia?
Apakah sudah terjadi terminasi abnormal disebabkan oleh ruang disk yang tidak
mencukupi?
Apakah rangkaian daTa generasi (konsep bertingkat) di pelihara?

23
Apakah tape dan media lainnya disimpan dengan benar?
Apakah faktor-faktor lingkungan yang terkait (kelembapan dan suhu) dionitori dan
dikontrol?
Apakah arsip diberi nama sesuai dengan standarnya?

Sistem Operasi

Deskripsi

Sistem operasi adalah jantung komputer. Tanpa kontrol yang memadai atas implementasi dan
perawatannya, organisasi akan sering mengalami waktu kerusakan yang lama, pemrosesan
yang salah, dan penipuan komputer yang sulit untuk dideteksi.

Sistem operasi dan peranti lunak sistem terkait lainnya adalah rangkaian dari sistem yang
saling berhubungan dengan sejumlah besar pilihan yang dipilih oleh pemrogram sistem.
Pilihan tersebut memungkinkan sistem operasi untuk mencocokkan dengan tepat lingkungan
peranti keras dan peranti lunak organisasi.

Ketika peranti lunak dipertimbangkan untuk dibeli, pemrogram sistem harus menentukan
apakah dibutuhkan hubungan (hook) dengan sistem operasi. Jika demikian, paket peranti
lunak tersebut harus di-install ulang setiap kali terdapat versi baru dari sistem operasi-karena
hook memodifikasi sistem operasi untuk memungkinkan peranti lunak tertentu bekerja.

Merupakan hal yang sangat penting bagi komponen-komponen peranti lunak dari sistem
operasi untuk tetap diperbarui. Kadang kala, vendor menghentikan dukungan untuk versi
sistem operasi yang lama. Pemrosesan di organisasi dengan sistem operasi yang lama
berisiko dalam hal seringnya terjadi kerusakan karena sumber dari sistem operasi gagal dan
kadang sangat sulit untuk diidentifikasi tanpa bantuan para ahli dari vendor.

Audit Internal

Kontrol sistem operasi, karena kerumitannya mungkin merupakan hal yang paling sulit untuk
ditelaah bagi auditor internal. Analisis yang mendalam atas kontrol sistem operasi
membutuhkan bantuan ahli audit SI yang sangat terlatih. Akan tetappi, banyak kontrol atas
sistem operasi dan perawatannya mencerminkan praktik kontrol tradisional. Berikut ini
adalah beberapa pertanyaan yang harus ditanyakan oleh seorang auditor internal:

Apakah prosedur kontrol perubahan yang tepat telah digunakan?

24
Apakah versi sistem opersi terus diperbarui?
Apakah utilitas canggihtertentu tetap dibatasi hanya untuk personel yang perlu
menggunakanya?
Apakah tugas dipisahkan secara memadai?
Dll

Telekomunikasi

Deskripsi

Sistem informasi secara rutin mentrasnmisikan data dalam jumlah besar dari satu titik ke titik
lainnya. Auditor internal harus menilai integitas, keamanan, keandalan, dan kinerja jaringan
organisasi untuk menetapkan apakah data tersebut akurat dan tepat waktu. Ada beberapa
masalah yang umumnya dihadapi dalam semua sistem telekomunikasi:

Data dapat dihilangkan, diubah, atau diduplikasi selama transmisi


Jaringan dapat tidak bisa dioperasikan selama suatu periode waktu
Informasi rahasia dapat diekstraksi melalui berbagai teknik penyadapan atau yang
disebut sebagai penyadapan pasif
Waktu respons transmisi dapat menjadi begitu lambat sehingga pelanggan merasa
jengkel atau fungsi bisnis terpengaruh secara negatif
Orang-orang yang tidak memiliki otorisasi dapat memasukkan pesan dengan tujuan
penipuan ke daam jaringan
Jaringan telekomunikasi yang kurang baik desainnya dapat mengakibatkan niaya yang
berlebihan jika perlengkapan yang tidak sesuai dibeli.

Kini tersedia berbagai kontrol teknis hingga secara signifikan dapat mengurangi risiko yang
berkaitan dengan transmisi data. Ada beberapa kontrol telekomunikasi yang saat ini
digunakan:

Penyusunan pesan: nomor pesan dimasukkan ke dalam setiap catatan yang


ditransmisikan
Enkripsi: data yang ditransmisikan dipecah-pecah dengan menggunakan algoritma
matematis rumit untuk melakukan enkode data

25
Algoritma pemeriksaan sendiri: berbagai teknik matematis yang canggih seperti
pemeriksaan berlebih yang berulangdigunakan untuk menetapkan apakah ada
informasi yang diubah selama transmisi
Peranti lunak pemonitor jaringan: transmisi berjalan melalui banyak siaran publik dan
privat serta perlengkapan telekomunikasi lainnya.
Panggilan kembali otomatis: banyak basis data komersial yang telah diakses dan,
dalam beberapa kasus, dirusak atau diubah untuk penipuan oleh para hacker.
Saluran khusus: bagi organisasi yang mentransfer jumlah tertentu data secara rutin,
saluran khusus memberikan tingkat keamanan dan kualitas transmisi tingkat tinggi
Prosedur penyetelan ulang/ pemulihan: telekomunikasi dapat rusak tanpa peringatan.

Audit Internal

Keluasan auditor menelaah kontrol telekomunikasi tentu saja akan bergantung pada tingkat
kebergantungan organisasi pada telekomunikasi. Jika telekomunikasi digunakan sebagai alat
utama untuk permintaan, kontrol sederhana yang terkait dengan peranti keras mungkin sudah
cukup. Jika dana yang sedang ditransfer atau saldo aktiva diubah melalui komunikasi jarak
jauh, kontrol tambahan mungkin dibutuhkan.

Berikut ini adalah beberapa pertanyaan yang harus ditanyakan oleh auditor internal berkaitan
dengan telekomunikasi:

Apakah standar dan kebijakan untuk kontrol jaringan telah ditegakkan?


Bagi aplikasi jaringan yang sangat penting, apakah terdapat kontrol pengguna yang
tepat, misalnya, pemanggilan kembali?
Apakah terdapat jejak audit untuk semua transaksi yang ditransmisikan melalui
jaringan?
Sudahkah jaringan mengalami cukup banyak gangguan dan masalah lainnya hingga
membutuhkan peranti lunak pemonitor?
Apakah enkripsi digunakan untuk data yang sensitif?

Ketika organisasi mentransfer data secara elektronis ke organisasi lainnya, electronic data
interchange (EDI) menjadi makin penting. EDI didesain dengan format terstandardisasi yang
memungkinkan pemrosesan data secara konsisten dan akurat. Mekanisme yang tersedia
meliputi media pertukaran fisik, komunikasi poin ke poin, dan layanan pihak ketiga, seperti

26
value added network (VAN). VAN adalah jaringan privat yang menjual kapasitas ke pihak
ketiga.

Perubahan Program

Deskripsi

Perubahan program sering kali dilakukan dan lingkupnya luas. Auditor internal harus
menentukan apakah perubahan diotorisasi, diuji, dan diimplementasikan dengan benar. Tanpa
sistem kontrol perubahan yang memadai, merupakan hal yang tidak mungkin untuk bersandar
pada integritas pemrosesan dari aplikasi terpisah.

Kontrol semacam itu akan tampak lebih kuat. Sayangnya, pemrogram yang bertanggung
jawab untuk memelihara program pemeriksaan cetakan dapat memasukkan logika yang salah
untuk penipuan ke dana organisasi yang tepat.

Kontrol tradisional, paling tidak dalam sistem utang usaha tempat cek yang dicetak dengan
komputer tidak secara terpisah ditelaah oleh karyawan yang memiliki informasi tentang hal
tersebut, akan mendeteksi penipuan ini hanya setelah terjadinya kejadian tersebut.

Penipuan komputer hanya terjadi kadang-kadang, sementara kesalahan pemrosesan data dan
hilangnya data terjadi setiap hari. Sejalan dengan waktu organisasi kehilangan sejumlah besar
data karena perubahan yang: (1) tidakdiuji dengan baik, (2) tidak diimplementasikan dengan
baik atau di-install pada saat yang salah, (3) diimplementasikan tanpa pemberitahuan dan
pelatihan yang memadai bagi pengguna; dan (4) diimplementasikan tanpa penelaahan tingkat
supervisor yang memadai atas dampak bisnis/ teknik dari perubahan tersebut.

Program kontrol perubahan yang baik meliputi elemen-elemen berikut ini:

Keamanan: program dapat saja membuat perubahan atas salinan uji program
komputer, tetapi hanya pustakawan yang benar-benar memindahkan program ujinya
ke dalam lingkungan produksi
Jejak audit: sejarah terperinci atas semua perubahan program dan JCL (job control
Language), harus dipelihara
Jaminan kualitas: sistem kontrol perubahan memberikan kerangka kerja untuk sistem
telaah kualitas SI

27
Ketentuan untuk perubahan darurat: di luar upaya yang ditujukan untuk pengujian dan
penjaminan kualitas, program kadang kala akan tetap berhenti berjalan atau
memberikan hasil yang salah.
Kode sumber dan penelusuran perubahan JCL: di luar jejak audit yang dapat
menunjukkan program mana yang diubah dan kapan, daftar terperinci dari setiap baris
kode sumber yang telah diubah juga seharusnya tersedia.

Perubahan atas paket peranti lunak vendor mencerminkan masalah yang khusus. Vendor
peranti lunak biasanya mengirimkan pada pelanggan mereka satu atau lebih versi tiap
tahunnya. Jika organisasi tersebut belum menyesuaikan paket peranti lunak dari vendor
tersebut, instalasi versi baru setelah pengujian biasanya dilakukan langsung.

Audit Internal

Tidak seorang pun-pengguna, pihak manajemen, pemrogram, atau operator- yang dilayani
dalam suasana perubahan yang tidak terkontrol dan selalu penuh kejutan. Sementara kontrol
perubahan dapat dianggap ileh beberapa orang sebagai overhead yang tidak perlu,
kenyataannya kontrol perubahan mengurangi jam pemrograman yang dihabiskan untuk
perawatan.

Peranti Keras

Deskripsi

Keandalan dari peranti kers secara signifikan telah meningkat bersama dengan setiap
generasi baru dari peranti keras. Akan tetapi,peranti keras akan terus menjadi potensi sumber
kesalahan sistem dalam masa mendatang. Kontrol dasar peranti keras yang dapat mengurangi
peluang terjadinya berbagai kesalahan yaitu:

Pemeriksaan karakter yang berlebihan: walaupun kontrol ini memiliki banyak bentuk
dalam konfigurasi peranti keras penjual tertentu, kontrol ini selalu didasarkan pada
prinsip redudancy.
Pemeriksaan proses duplikasi: suatu fungsi khusus dilakukan dua kali dan hasil-
hasilnya diperbandingkan
Pemeriksaan peralatan: kontrol elektronik dibentuk dalam sirkuit untuk mendeteksi
kesalahan dan memberi perluang mencoba kembali secara otomatis.

28
Audit Internal

Audit internal harus mengetahui kebutuhan atas kontrol dasar peranti keras, terutama dalam
area telekomunikasi. Jika vendor tidak menyediakan kontrol peranti keras yang memadai,
auditor tersebut harus menelaah kontrol pengganti atas pengguna dan peranti lunak untuk
memastikan bahwa beberapa kemampuan ada untuk menangkap kesalahan peranti keras.

II.II BAB 14 : Audit Sistem Informasi II

Control aplikasi

Kontrol aplikasi adalah kontrol yang memberikan jaminan bahwa aplikasi tertentu akan di
proses sesuai dengan spesifikasi pihak manajemen dan bahwa pemprosesan tersebut akurat,
tepat waktu, diotorisasi, dan lengkap. Berikut ini adalah daftar eksposur yang timbul dari
pemrosesan aplikasi beserta kontrolnya-input, pemrosesan, dan output-untuk mengurangi
eksposur-eksposur tersebut :

Kehilangan input : Transaksi yang ditransmisikan dari suatu lokasi ke lokasi


lainnya, sangat rawan untuk hilang
Duplikasi input : Hal ini dapat terjadi jika ketika ada input yang dianggap
hilang (padahal tidak)
Penatatan input yang tidak akurat : nomor-nomor yang salah atau kesalahan
eja adalah contoh-contoh yang umum.
Informasi yang hilang : hal ini sudah pasti membuat input menjadi tidak
lengkap
Transaksi yang tidak tercatat : hal ini meliputi tidak hanya kecerobohan tanpa
sengaja, tapi juga merupakan akibat dai pencurian dan penggelapan
Otorisasi : otorisasi meliputi gabungan banyak transaksi mungkin diperlukan
karena jumlah transaksi yang sangat besar tetapi ketiadaan focus pihak
manajemen pada pos-pos individual dapat meloloskan transaksi yang
seharusnya tidak terjadi
Transaksi : transaksi yang dimulai oleh sistem meliputi pemesanan kembali
persefiaan secara otomatis dan pembayaran kepada pemasok. Jika semuanya
normal, program tersebut akan bertindak sebagai control. Akan tetapi, sebagai
situasi yang tidak diantisipasi oleh desainnya dapat menimbulkan kesulita
yang serius.

29
Outpu dikirim secara tdak benar : informasi outout dikirim ke orang yang
salah. Outpu terlambat dikirim ke tujuannya hingga tidak lagi bernilai. Output
tidak benar
Banyak kesalahan yang terdeteksi : analisis yang lengkap secara fisik tidak
mungkin dilakukan dan/atau adanya pesanan yang belum terpenuhi
(backlogs)yang mengganggu.
Pemrosesan yang tidak lengkap : kesalahan pemrograman atau kesalahan
administrative
Pemrosesan yang dilakukan terlambat : pemrosesan terebut mungkin benar,
tetapi pengendalian bagian terkait mungkin tidak tepat waktu
Hilang : Arsip hilang ketika berada dalam pemrosesan. Mundurnya orang-
orang yang ahli, ditambah dengan tidak adanyadokumentasi yang memadai.

KONTROL OUTPUT

Deskripsi

Kontrol input membantu memperkuat hubungan yan lemah dalam rantai kegiatan
sistem informasi (SI). Semua cara pemerikasaan dan penyeimbangan dapat dibangun ke
dalam program untuk memastikan pemrosesan, penyimpanan, dan penarikan data yang benar,
tetapi semua ini tidaklah berguna jika komputer diberi data yang salah atau tidak lengkap dari
semua. Kontrol input dapat diebntuk untuk membantu.

* Jumlah total (ash total) : nilai total ini tidak memiliki arti tertentu tetapi berguna sekali
karena mereka menambah jumlah numeric dari informasi keuagan untuk mencegah
kehilangan selama pemrosesan aplikasi.

* Pemeriksaan format (format chek) : pemeriksaan ini menunjukkan bahwa data


dimasukkan ke dalam bentuk yang sesuai dengan field telah ditetapkan.

* Pemeriksaan batas (limit chek) : pemeriksaan ini memastikan input tidak melebihi
kisaran yang numeric yang ditetapkan, seperti jam kerja mingguan maksimum

* Pemeriksaan kewajaran ( reasonableness chek) : pemeriksaan ini dilakukan melalui


perbandingan input dengan informasi lainnya yang tersedia dalam catatan ang ada.
Pemeriksaan ini dapat mendeksi data yang salah

30
* Pemeriksaan field : pemeriksaan ini menunjukkna kelengkapan informasi, seperti
alamat untuk pelanggan baru

* Pemeriksaan numerik (numerical chek) : pemeriksaan ini memastikan bahwa data


alfabetis tidak dimasukkan ke dalam field yang dikhususn=kan untuk data numerik

* Perbandingan historis (historical comparation) : pemeriksaan ini menunjukkan apakah


informasi yang ada saat ini dapat dibandingkan dengan informasi sebelumnya

* Pemeriksaan urutan (sequence checking) : pemeriksaan ini memverifikasi urutan


alfanumerik dari field kunci dalam bagian dara yang akan diproses

* Pemeriksaan kelebihan beban (overflow checking) : pemeriksaan ini adalah


pemeriksaan progrmatis untuk menegah kelebihan kapasitas memori atau field dalam
menerima data ( biasanya numeric).

* Angka pemeriksaan (check digit) : control ini adalah fungsi dari angka lainnya dalam
sebuah angka dan memungkinkan alogaritma mamtematis menetapkan apakah angka
tersebut telah diketik dengan benar

* Verifikasi ketikan (keystroke verification) : dengan memasukkan data ke dalam


keyboard kedua kalinya,input yang salah dapat dideteksi melalui sinyal mekanis

* Otorisasi dan persetujuan (authorization and approval) : Terdapat dua jenis otorisasi;
pertama adalah izit, di muka, persetujuan terjadi setelah terdapat kenyataan dan
menganggap bahwasejenis atau telaah dilakukan

* Rekonsiliasi dan penyeimbangan (reconsiliation and balancing) : : terdapat dua jenis


rekonsiliasi, pertama bertujuan untuk menganalisis perbedaan; yang kedua untuk
membuat uji persamaan.

* Label arsip (file label) : Label ini mengidentifikasi transaksi, arsip, output.

Kriteria control input adalah sebagai berikut :

Transaksi pembaruan : Proses ini melibatkan data dalam jumlah besar dan biasanya
terulang.

31
Permintaan : transasi ini tidak mengubah arsip, tetapi dapat mengakibatkan
pembaharuan atas pemeliharaan arsip sebagai hasil dari permintaan.

Perbaikan kesalahan : transaksi ini menybabkan kesulitan paling besar dan merupakan
transaksi yang paling sulit di control. Sudah jelas bahwa masalah selalu ada jika
perbaikan kesalahan harus dilakukan.

Audit Internal

Sebagian besar darisemua kesalahan yang masuk ke dalam sistem adalah hasil dari
kesalahan input. Auditor internal harus menganggarkan sebagian besar dari jam kerja total
para karyawan untuk menelaah kembali control input.

Kontrol Pemrosesan

Deskripsi

Biasanya, control pemrosesan telah diterapkan ke ruang mesin.Tujuannya adalah


untuk menegah menghilangkan keinginan melakukan manipulasi data yang tidak baik sera
utnuk memastikan operasi yang memuaskan dan berkelanjutan atas peranti keras (hardware)
dan peranti lunak.

Auditor Internal

Tujuan dari auditor internal dalam menelaah control pemrosesan adalah untuk menilai
apakah aplikasi tersebut memproses data secara akurat dan tepat waktu, sesuai dengan
keinginan pihak manajemen, dan tidak ada modifikasi secara tidak ssah atas data.

Kontrol Output

Deskripsi

Control output menentukan akurasi dan kewajaran informasi yang diproseses. Control
output juga meliputi penyimpanan laporan output. Total catatan yang harus sesuai dengan
total input catatan. Formulir yang telah diberi nomor terlebih dahulu dapatmembantu
mengotrol output karena nomor ini dapat dipertanggungjawabkan. Sebagai contoh nomor
formulir cek peggajian dapat diperhitungkan dengan atatan inputnya. Kontrol output juga

32
meliputi penanganan yang tepat atas berbagai pengecualian. Ketika data yang valid ditolak,
kesalahan tersebut mungkin terletak pada kerusakan mesin atau kesalahan operator.

Audit Internal

Beberapa langkah yang khusus yang dapat dilakukan adalah :

Tetapkan kelompok control atau pengguna menyeimbangkan dan


merekonsiliasi output
Tetapkan apakah pengecualian ditandai dalam laporan
Pelajari jumlah total dalam laporan untuk kewajarannya.
Tetapkan apakah laporan relevan, tepat waktu, andal dan teratur dengan benar
Tetapkan apakah daftar kelompok control menggunakan daftar untuk
memastikan bahwa semua laporan telah diterima
Tetapkan apakah aplikasi tersebut memiliki mekanisme untuk membuat
salinan ekstra dari laporan tanpa benar-benar harus menjalankan kembali
keseluruhan aliran pemrosesan
Tetapkan apakah judul laporan berarti, apakah laporan tersebut diberi nomor,
diberi tanggal, dan apakah laporan tersebut memperlihatkan entitas organisasi
untuk siapa laporan tersebut dietak.
Tetapkan apakah kebijakan retensi yang tepat telah dibuat untuk output
aplikasi seperti laporan salinan kertas dan microfiche
Tetapkan apakah standar pelaporan telah dipenuhi.

Auditor internaljuga harus menetapkan bahwa laporan output dibuang dengan cara yang
benar.

Jejak Audit

Transaksi harus dapat ditelusuri dari awal mulainya, di sepanjang langkah


selanjutnya, hingga ke pelaporan final pengarsipan. Kemampuan ini memungkinkan
verifikasi transaksi serta perbaikan kesalahan.

Audit Internal

Para auditor internal harus memberikan kontribusi untuk memasukkan jejak transaksi.
Mereka seharusnya tidak mendikte jejak tertentu; yang akan mempengaruhi independensi
33
mereka. Akan tetapi mereka harus mampu memuaskan dirinya sendiri dan pihak manajemen,
bahwa jejak transaksi dan control yang dibutuhkan telah ditegakkan.

Dampak E-Business

Perbedaan utama antara bisnis tradisional dan E-Business adalah bahwa pelanggan
tidak secara disik hadir atau sedang, dalam proses komunikasi dengan seorang wakil
perusahaan ketika transaksi terjadi. Transaksi tersebut terjadi melalui internet. E-Business
dianggap oleh banyak orang sebagai perubahan yang paling berarti dalam bisnis abad ini.
Dalam menangani E-Business, purusahaan harus mempertimbangkan masalah yang sama dan
juga jumlah data yang akan diizinkan untuk diakses oleh para mitranya dan portal yang
akan digunakan.

Peranti lunak yang digunakan Vendor

Deskripsi

Dalam banyak industri, berbagai aplikasi yang oleh organisasi yang berbeda hamper
sama, hingga memungkinkan pengembangan paket peranti lunak oleh vendor eksternal.
Paket ini biasanya terdiri atas sebuah rangkaian program dan dokumentasinya.Kini makin
banyak vendor peranti lunak yang memberikan banyak pilihan yang memungkinakan
organisasi menyesuaikan paket tersebut dengan lingkungan bisnisnya.

Peranti lunak untuk keseluruhan perusahaan

Peranti lunak untuk keseluruhan erusahaan adalah salah satu jenis peranti lunak
pasokan vendor yang telah menarik pehatian selama ini di berbagai perusahaan raksasa dan
makin menarik perhatian banyak perusahaan besar hingga perusahaan menengah. Sistem ini
biasnya menyediakan entri tunggal ke dalam sistem dan meniadakan mentalitas stovepipe
oleh karena itu, entri penjualan akan memperbaharui data kredit, pembelian dan jadwal
produksi yang dibutuhkan, dalam lingkungan real-time. Auditor internal perlu dilibatkan
secara dekat dalam aplikasi semacam itu karena keluasan dari perekayasaan ulang yang
melibatkan dan biaya untuk implementasi.Perekayasaan ulang biasanya dibutuhkan untuk
mengurangi semua control-kontrol tradisional yang biasanya menjadi tempat bergantung
auditor internal, auditor harus memonitor penyesuaian peranti lunak demi kepentingan
dirinya. Sementara itu jika vendor biasanya mendukung semua versi peranti luna mereka, di

34
masa mendatang mereka bisa saja tidak melakukannya lagi, semakin banyak penyesuaian,
maka akan semakin sedikit realisasi manfaat yang bisa didapatkan perusahaan dari
peningkatan peranti lunak yang relative mudah.

Audit Internal

Auditor harus berfokus pada dua factor utama ketika menelaah paket peranti lunak
yang dipaksa oleh vendor:

1. Proses evaluasi dan pemilihan


2. Perawatan integritas paket peranti lunak tersebut sepanjang waktu.

Komputasi Personal dan Pengguna Akhir

Deskripsi

Perkembangan TI yang pesat telah merangsang berbagai aktivitas pemrosesan informasi pada
tingkat pengguna akhir.

Auditor Internal

Penelaahan auditor internal harus atas komputasi pengguna akhir harus diarahakan pada
aplikasi yang lebih tinggi resikonya.

Pemrosesan Terdistribusi

Deskripsi

Teknologi informasi telah berubah secara mendasar dalam 30 tahun belakangan ini. Pada
awal-awal pemrosesan data, kebanyakan perusahaan memproses semua transaksi dalam
mainframe pusat dan melakukan pemrosesan yang tidak penting dalam komputer kecil`

Auditor Internal

Pemrosesan terdistribusi memberikan tantangan yang signifikan bagi auditor internal.

Dokumentasi

Deskripsi

35
Dokumentasi harus menjelaskan proses yang akan dilakukan oleh program dalam sistem
tersebut.

Auditor Internal

Para auditor internal harus menelaah prosedur yang ada berkenaan dengan pembuatan
dokumentasi.

Efisiensi dalam Sistem Informasi

Deskripsi

Aktivitas SI Membutuhkan sistem akuntansi yang memadai.

Auditor Internal

Para auditor internal harus melakukan evaluasi untuk menetapkan apakah sumber daya
personel, properti, dan ruang digunakan secara efisien dan ekonomis.

Ketentuan Hukum

Deskripsi

Ketentuan hukum dapat membuat perubahan yang signifikan dalam sistem SI dan aplikasi.
Selain kebutuhan manajemen dan para pengguna, ketentuan UU dan aturan hukum harus
diperhitungkan.

Auditor Internal

Para auditor internal harus memerhatikan bukan hanya kepatuahn yang sesungguhnya, tetapi
juga harus memerhatikan bagaimanan kepatuhan semacam itu dapat dibuktikan jika ada
keraguan atas hal tersebut.

36
BAB III
PENUTUP

III.I Kesimpulan

Para auditor internal harus mampu memahami dan dapat bekerja dengan sistem
informasi yang kompleks. Perusahaan baik yang berorientasi pada laba maupun nirlaba
didukung oleh sistem yang sering kali membingungkan penggunaannya,; sistem ini
melakukann transaksi tanpa intervensii manusia, ribuan data dalam bentuk elektronik,
berkomunikasi secara interaktif dengan para pelanggan , pemasok, mengoperasikan mesin,
dna membuat laporan keuangan.

Agar para auditor internal dapat memberikan kontribusi yang signifikan ke organisasi,
mereka harus mampu menggunakan sistem informasi dan memahami berbagai risiko yang
terkait dengan penggunaannya.agar dapat mencapai pemahaman ini dibutuhkan penidikan
yang bersifat teknis dan praktis. para auditor internal harus mengerahui berbagai istilah,
konsep, dan aplikasi praktis teknologi informasi.

Para eksekutif dan manajer operasional berpaling ke karyawan bagian audit internal untuk
membantu memberikan penilaian yang realistis mengenai berbagai risiko dalam organisasi
mereka. Sejalan dengan semakin banyaknya pemrosesan terdistribusi dan komputer pribadi,
banyak lapisan jaringan, banyaknya penyimpanan data, menurunnya tingkat penelaahan
transaksi oleh karyawan, serta cepatnya perubahan sistem aplikasi, membuat pihak
manajemen benar-benar membutuhkan auditor internal yang dapat melihat gambaran
umumnya.

III.II Saran

Untuk pengembangan lebih lanjut maka penulis memberikan saran yang sangat
bermafaat dan dapat membantu mahasiswa dalam membuat makalah tentang Audit Sistem
Informasi untuk masa yang akan datang, yaitu : Perlunya penambahan tugas
dalam membuat makalah tentang Audit Sistem Informasi , agar mahasiswa jurusan
akuntansi ebih mengerti dan memahami tentang materi ini dan melakukan proses diskusi di
kelas dalam mata kuliah Audit Internal dengan membahas topik yang sama, sehingga
setiap kekurangan dalam penulisan makalah dapat saling dilengkapi melalui proses diskusi.

37
DAFTAR PUSTAKA

Sawyer B.Lawrence, JD, CIA, PA.2006.Audit Internal.Jakarta: Salemba Empat

38