APR

GENERAL AND APPLICATION

08
CONTROL INFORMATION SYSTEM
A. General Control
General Control adalah kebijakan dan prosedur yang berhubungan dengan aplikasi
sistem informasi dan mendukung fungsi dari application control dengan cara membantu
menjamin keberlangsungan sistem informasi yang ada. Tujuannya untuk menjamin
pengembangan dan implementasi aplikasi secara tepat, serta menjamin integritas dari
program, data files dan operasi komputer. Bentuk IT general control yang sering digunakan :
1. IT Organization Structure
2. Logical access controls over system, applications, and data
3. System development life cycle controls
4. Program change management controls
5. Data center physical security controls
6. System and data backup and recovery controls
7. Computer operation controls
General Control berlaku untuk semua komponen sistem , proses , dan data untuk
sebuah organisasi atau sistem lingkungan tertentu, termasuk :
1. Tata kelola TI, 6. Manajemen pengguna,
2. Manajemen risiko, 7. Keamanan logis,
3. Manajemen sumber daya, 8. Keamanan fisik,
4. Operasional TI, 9. Manajemen perubahan,
5. Pengembangan aplikasi dan pemeli- 10. Backup dan recovery, dan
haraan, 11. kelangsungan usaha.
Tujuan utamanya adalah untuk memahami :
a. tujuan audit di setiap daerah kontrol umum dan
b. sifat dari tes dimana auditor melakukan untuk mencapai tujuan tersebut.

Adapun jenis-jenis dari general control adalah sebagai berikut.

a. Operating System Controls
Memverifikasi bahwa kebijakan dan pengendalian prosedur keamanan cukup ketat
untuk melindungi sistem operasi terhadap :
 hardware failure,
 software efforts,
 destructive acts by employees or hackers,
 virus infection
b. Data Management Controls
Tujuan dari data management control adalah melindungi terhadap akses tidak sah atau
kerusakan data & memadai backup data. Adapun control tersebut meliputi kontrol
terhadap :
 access  encryption, user authorization tables, inference controls and biometric
devices are a few examples;
 backup  grandfather-father-son and direct access backup; recovery procedures
c. Organizational Structure Controls
Tujuan dari organizational structure control adalah
 menentukan apakah fungsi telah diidentifikasi dan dipisahkan sesuai dengan tingkat
paparan potensial;
 menentukan apakah pemisahan ditopang lingkungan kerja yang mempromosikan
hubungan formal antara tugas-tugas yang tidak kompatibel.
Control terhadap review organizational & systems documentation, observe behavior,
and review database authority tables.
d. Systems Development Controls
Tujuan dari system development control adalah untuk memastikan bahwa :
 Kegiatan SDLC diterapkan secara konsisten dan sesuai dengan kebijakan
manajemen
 sistem diterapkan bebas dari kesalahan bahan dan penipuan
 sistem ini dinilai tidak diperlukan dan dibenarkan di berbagai pos pemeriksaan di
seluruh SDLC
 dokumentasi sistem cukup akurat dan lengkap untuk memfasilitasi kegiatan audit dan
pemeliharaan
Controls: systems authorization techniques, good development procedures, internal
audit team participation, appropriate testing of system
e. Systems Maintenance Controls
Tujuan system maintenance controls adalah mendeteksi program pemeliharaan yang
tidak sah dan menentukan bahwa :
 prosedur perawatan melindungi aplikasi dari perubahan yang tidak sah
 aplikasi bebas dari kesalahan bahan
 perpustakaan Program dilindungi dari akses yang tidak sah
Controls: authorization requirements for program maintenance, appropriate
documentation of changes, adequate testing of program changes, reconciling program
version numbers, review programmer authority table, test authority table
f. Computer Center Security And Control
Computer center objectives menentukan bahwa :
 kontrol keamanan fisik yang memadai melindungi organisasi dari eksposur fisik
 pertanggungan asuransi pada peralatan yang memadai untuk mengkompensasi
organisasi dari penghancuran , atau kerusakan
 dokumentasi Operator yang memadai untuk menangani operasi rutin serta
kegagalan sistem
 rencana pemulihan bencana organisasi memadai dan layak
Controls: well-planned physical layout, backup and disaster recovery planning, review
critical application list
g. Internet and Intranet Controls
Internet & Intranet objectives: menentukan bahwa pengendalian komunikasi...
 dapat mendeteksi dan memperbaiki pesan yang benar akibat kerugian dan
kegagalan peralatan
 dapat mencegah dan mendeteksi akses ilegal baik secara internal maupun dari
Internet
 akan membuat sia-sia data yang berhasil ditangkap oleh pelaku
 cukup untuk menjaga integritas dan keamanan data yang terhubung ke jaringan
 Controls:
 equipment failure : line checks (parity & echo),and backups
 subversive threats : access controls, encryption of data, and firewalls
 message contro : sequence numbering, authentication, transaction logs, request-
response polling.
h. Electronic Data Interchange (EDI) Controls
 Semua transaksi EDI diautorisasi, divalidasi, dan sesuai dengan kebijakan organisasi
 Tidak ada organisasi yang tidak sah yang mendapatkan akses ke catatan data base
 Mitra dagang resmi hanya memiliki akses ke data yang disetujui
 Kontrol yang memadai di tempat untuk memastikan transaksi EDI lengkap
Controls : sophisticated authorization & validation techniques, access controls, audit trail
modules and controls.
i. Personal Computer Controls
 Pengawasan dan operasi prosedur yang memadai untuk mengkompensasi
kurangnya pemisahan antara tugas pengguna, programmer, dan operator
 Akses ke mikrokomputer, file data, dan file program dibatasi untuk petugas yang
berwenang
 Prosedur cadangan berada di tempat untuk mencegah data dan kehilangan program
dari kegagalan hardware
 Sistem seleksi dan akuisisi prosedur menghasilkan aplikasi yang berkualitas tinggi,
bebas dari kesalahan, dan dilindungi dari perubahan yang tidak sah
Controls: increased supervision, access & security controls, backup controls, systems
development and maintenance controls, systems development and acquisition controls.

B. Application Control
Application control ini merupakan lingkup dari general control, sehingga apabila
terjadi kelemahan dalam general control maka dapat berdampak terhadap berbagai jenis
aplikasi yang telah dirancang dalam sebuah perusahaan. Application control dirancang
khusus untuk memenuhi persyaratan pengendalian yang harus diterapkan pada aplikasi
tertentu sehingga data hasil pemrosesan aplikasi tersebut mampu diyakini keandalannya.
Tujuan pengendalian aplikasi menurut Anies S.M. Basalamah (2011, 197) adalah
untuk memperoleh keyakinan bahwa :
1. setiap transaksi telah diproses dengan lengkap dan hanya diproses satu kali;
2. setiap data transaksi berisi informasi yang lengkap dan akurat;
3. setiap pemrosesan transaksi dilakukan dengan benar dan tepat;
4. hasil-hasil pemrosesan digunakan sesuai dengan maksudnya; dan
5. aplikasi-aplikasi yang ada dapat berfungsi secara berkesinambungan.
 KLASIFIKASI APPLICATION CONTROL
NO. Application Control Keterangan
1. Input Control A. Pengendalian otorisasi masukan a. prosedur-prosedur persetujuan yang menjelaskan bagaimana
dan oleh siapa data akan mulai di-entry;
b. formulir yang diberi nomor urut atau pra nomor sehingga
dapat diminta pertanggungjawabannya apabila ada nomor
yang hilang;
c. penelaahan oleh tim pengendali untuk mengidentifikasi
transaksi yang diproses dalam bentuk batch; dan
d. sistem pengawasan pencatatan aktivitas untuk mengetahui
frekuensi kesalahan yang terjadi maupun kejadian-kejadian
yang tidak semestinya.
2. B. Pengendalian validasi Numeric and Pengendalian ini menetapkan suatu field tertentu apakah harus
masukan Alphabetic Check diisi dalam bentuk angka (numerik) atau huruf (alfabetis).
3. Logic Check Pengendalian ini bertujuan untuk menguji atau membandingkan
antara nilai suatu logic tertentu dengan Gambaran keadaan yang
sebenarnya.
4. Sign Check Pengendalian ini menguji apakah suatu field tertentu memiliki
simbol atau tanda matematis yang sesuai baik positif/negatif.
5. Valid Field Size Pengendalian ini menguji apakah suatu field tertentu memiliki
Check besaran tertentu misalnya suatu field harus berisikan enam digit
karakter.
6. Limit Check Pengujian ini menguji apakah suatu field berisi masukan data
dalam besaran yang berada pada batas maksimum yang masih
ditentukan.
7. Valid Code Check Pengendalian ini menguji apakah suatu transaksi masukan
tertentu memiliki kode yang sama dengan yang ada di dalam
daftar komputer.
8. Range Test Pengujian ini menguji apakah suatu field berisi data dalam
besaran yang berada pada kisaran batas minimum dan
maksimum yang diperbolehkan.
NO. Application Control Keterangan
9. Sequence Check Pengendalian ini menguji urutan data yang dimasukkan pada
field tertentu.
10. Check-Digit Pengendalian ini dilakukan dengan menghitung suatu angka
Verification tertentu untuk memastikan bahwa nilai yang sebenarnya tidak
diubah.
11. C. Pengendalian transmisi Echo-check Pengendalian yang dilakukan dengan mengirimkan data kembali
data  pengendalian ini ke user atau operator untuk dibandingkan dengan data aslinya
bertujuan untuk sehingga user memperoleh keyakinan bahwa data telah diinput
mencegah agar data yang dengan benar.
12. akan dip0072oses tidak Redundancy check Pengendalian dilakukan dengan meminta user atau operator
hilang, tidak ditambah, untuk memasukan sebagian dari data selain data yang telah
dan tidak diubah sehingga ditransmisikan.
13. keaslian data benar-benar Completeness test Pengujian ini dilakukan terhadap setiap transaksi untuk
masih tetap terjaga. membuktikan bahwa semua data yang diperlukan telah
dimasukkan.
14. D. Pengendalian konversi Verifikasi fisik Terminal komputer dapat dilengkapi dengan fasilitas umpan balik
data  Pengendalian ini yang secara otomatis menunjukan suatu tanda yang dapat
dilakukan dengan proses digunakan sebagai pengujian visual oleh user.
15. mengubah data dari Penggunaan check Penggunaan angka periksa berguna untuk memeriksa atau
sumber asalnya ke dalam digit menguji validitas angka karena apabila terdapat angka yang tidak
bentuk yang dapat dibaca sesuai dengan angka asalnya maka akan dianggap sebagai
oleh mesin. Konversi data angka yang salah.
16. yang dilakukan tetap Penggunaan batch Penggunaan pengendalian ini dilakukan dengan membandingkan
harus mempertahankan control total total batch keluaran dengan total batch semula untuk
keaslian datanya. mengidentifikasi apabila terjadi perbedaan.
17. E. Pengendalian Error log Pengendalian ini dilakukan dengan mencatat semua transaksi
penanganan kesalahan yang salah sehingga dapat diperbaiki sesegera mungkin.
18.  Pengendalian juga Suspended file Pengendalian ini berjalan dengan menunda pelaksanaan
perlu dilakukan atas pemrosesan suatu file dimana kesalahan dalam file tersebut
transaksi-transaksi yang tetap berada di dalam file sampai selesai diperbaiki.
NO. Application Control Keterangan
19. salah supaya transaksi Laporan kesalahan Laporan ini bertujuan untuk mengidentifikasi mengenai catatan
yang demikian tidak yang ada, kesalahan dalam data, serta sebab-sebabnya.
diproses.

20. Pengendalian A. Pemeliharaan ketepatan batch control total Pengendalian ini dilakukan dengan membandingkan total batch
proses  data keluaran dengan total batch semula untuk mengidentifikasi
Pengendalian apabila terjadi perbedaan.
21. proses run-to-run control Pengendalian ini menggunakan jumlah dalam pengendalian
merupakan total keluaran yang berasal dari satu proses sebagai jumlah
pengendalian pengendalian masukan dalam proses berikutnya.
22. yang ada transaction log Pengendalian ini akan mencatat segala aktivitas yang terjadi
pada setiap dalam pemrosesan komputer.
23. aplikasi yang fallback procedures Pengendalian ini bertujuan untuk mengumpulkan dan
terlah mengendalikan transaksi yang seharusnya telah diproses apabila
terprogram sistem tetap beroperasi.
24. dengan restart procedures Pengendalian ini dimaksudkan untuk memulai pemakaian
berbagai kembali sistem setelah dilakukan pemberhentian aktivitas sistem.
25. program recovery Pengendalian ini digunakan untuk mengembalikan kondisi
yang spesifik. procedures semula apabila terjadi kejadian yang tidak semestinya pada
Pengendalian sistem.
26. ini berperan B. Pengujian terprogram zero balancing Pengendalian ini dilakukan untuk membuktikan bahwa dua
untuk atas batasan dan check jumlah dalam pembukuan yang dilakukan mempunyai angka
meyakini memadainya pengolahan yang sama sehingga apabila kedua jumlah tersebut dikurangkan
apakah  suatu program aplikasi akan menghasilkan angka nol.
proses telah biasanya telah dilengkapi
27. dilakukan dengan fitur untuk crossfooting check Pengendalian ini bertujuan untuk meyakini apakah penjumlahan
secara benar, menguji kelengkapan, ke bawah (footing) sudah dilakukan dengan benar. Jumlah
sesuai keakuratan, dan kelogisan seluruh hasil penjumlahan ke samping harus sama dengan
dengan data yang diproses. Para jumlah seluruh hasil penjumlahan ke bawah.
instruksi, programmer telah
28. diproses mendesain sedemikian overflow check Pengendalian ini digunakan untuk menentukan apakah besarnya
hanya satu rupa agar program
NO. Application Control Keterangan
kali tanpa buatannya memiliki hasil pemrosesan melebihi besarnya register yang dialokasikan
ada pengendalian yang untuk menyimpannya.
pemrosesan mumpuni.
29. ganda, dan C. Pengendalian atas file  File-file yang ada a. penggunaan label eksternal untuk memudahkan pengguna
diproses harus dikendalikan dengan tujuan untuk dalam mengadministrasikan file;
secara tepat. pencegahan dari pemakaian oleh orang yang b. penggunaan label internal yang hanya dapat dibaca oleh
tidak punya otorisasi. komputer dengan program atau aplikasi khusus; dan
c. teknik rekonsiliasi untuk menyamakan jumlah record pada
permulaan file data dengan perubahan-perubahan yang telah
dilakukan.
30. Pengendalian keluaran  Pengendalian Rekonsiliasi Pengendalian ini bertujuan untuk memperoleh jaminan bahwa
keluaran merupakan pengendalian yang keluaran dengan masukan telah diproses dengan benar sehingga hasilnya juga
meyakini bahwa hasil pemrosesan data telah masukan dan benar. Rekonsiliasi dilakukan secara terprogram oleh komputer
sah, lengkap, cermat, dan didistribusikan pengolahan maupun secara manual dengan membandingkan jumlah
kepada pihak-pihak yang berhak. Jangan keluaran dan jumlah masukan.
31. sampai informasi yang telah di-entry dan Penelaahan dan Laporan-laporan yang dihasilkan dari proses pengolahan data
diolah dengan cermat datanya kemudian pengujian hasil perlu ditelaah dan diuji kemudian dibandingkan dengan dokumen
disajikan secara tidak tapat, tidak andal, dan pengolahan transaksi asalnya. Penelaahan juga dilakukan atas daftar revisi
tidak mutakhir penyajiannya. file-file induk.
32. Pendistribusian Keluaran hanya didistribusikan kepada para pemakai yang
keluaran memiliki otorisasi secara tepat waktu. Pada hasil keluaran juga
hendaknya mencantumkan siapa saja pihak yang memang
punya otorisasi untuk memperoleh hasil keluaran itu sehingga
pendistribusian dari keluaran dapat dilakukan secara tepat tanpa
adanya pendistribusian yang sia-sia.
33. Pengawasan Pengawasan dilakukan dengan menjaga keamanan keluaran,
terhadap catatan menghindari perbaikan yang tidak material terhadap file,
(record) mengurangi biaya perlengkapan komputerisasi, dan
mengendalikan keluaran-keluaran yang tidak diperlukan.