MAKALAH AUDIT INTERNAL

“BAB 13 & 14 – AUDIT SISTEM INFORMASI I & II”

Kelompok 2:
Steffani Jaya (16 13 066)
Yuliana Hartono (16 13 072)
Arni (16 13 080)
Eva Christiana Paliling (16 13 082)
Viona Arnica Tanambe (18 13 901)

Kelas: Akuntansi E

JURUSAN AKUNTANSI FAKULTAS EKONOMI

UNIVERSITAS ATMA JAYA MAKASSAR
2019
 BAB 13
AUDIT SISTEM INFORMASI - I

A. TANGGUNG JAWAB AUDITOR INETRNAL

Tekonologi Informasi (TI) terus menembus struktur kehidupan bisnis. Auditor internal perlu
memahami dan mengevaluasi berbagai risiko serta peluang yang terkait dengan teknologi
informasi karena beberapa alasan:

 Cepatnya pertumbuhan teknologi

 Penggunaan sistem informasi yang lebih luas di setiap fungsi organisasi yang semakin
erat hubungannya satu sama lain
 Penggunaan mainframe, pemrosesan terdistribusi, dan komputer pribadi yang disertai
meningkatnya persentase penggunaan di antara para karyawan dan manajer organisasi
 Peningkatan yang luas atas informasi yang tersedia bagi para manajer
 Penurunan skeptisme mengenai akurasi dara yang diproses melalui sistem informasi
 Pergeseran manajemen sistem dari bidang keilmuan para ahli pemrogram ke para
pengguna akhir
 Peningkatan pengetahuan akan sistem informasi dalam masyarakat umum mengarah
pada semakin tersebar luasnya kemampuan untuk menangani data
 Peningkatan penggunaan Local Area Network (LAN), dan lingkungan komputasi yang
terdistribusi
 Peningkatan penggunaan basis data personal
 Peningkatan pengguaan sistem perusahaan secara keseluruhan

Para auditor internal harus mampu memahami dan dapat bekerja dengan sistem informasi
yang kompleks. Perusahaan baik yang berorientasi pada laba maupun nirlaba didukung oleh
sistem yang sering kali membingungkan penggunaannya,; sistem ini melakukann transaksi
tanpa intervensii manusia, ribuan data dalam bentuk elektronik, berkomunikasi secara
interaktif dengan para pelanggan , pemasok, mengoperasikan mesin, dan membuat laporan
keuangan.

Agar para auditor internal dapat memberikan kontribusi yang signifikan ke organisasi,
mereka harus mampu menggunakan sistem informasi dan memahami berbagai risiko yang
terkait dengan penggunaannya.agar dapat mencapai pemahaman ini dibutuhkan pendidikan
yang bersifat teknis dan praktis. para auditor internal harus mengerahui berbagai istilah,
konsep, dan aplikasi praktis teknologi informasi.

Para eksekutif dan manajer operasional berpaling ke karyawan bagian audit internal untuk
membantu memberikan penilaian yang realistis mengenai berbagai risiko dalam organisasi
mereka. Sejalan dengan semakin banyaknya pemrosesan terdistribusi dan komputer pribadi,

1
banyak lapisan jaringan, banyaknya penyimpanan data, menurunnya tingkat penelaahan
transaksi oleh karyawan, serta cepatnya perubahan sistem aplikasi, membuat pihak
manajemen benar-benar membutuhkan auditor internal yang dapat melihat “gambaran
umumnya”.

Berbagai fungsi pemrosesan data yang umum, kontrolnya, serta tanggung jawab audit internal
dibagi menjadi dua bagian:

1. Kontrol umum, yang mencakup kontrol lingkungan yang umum untuk semua sistem
informasi dalam organisasi
2. Kontrol aplikasi, yang diterapkan untuk aplikasi bisnis tertentu.

Kemajuan peranti lunak dan peranti keras membutuhkan beberapa topik khusus:

 Peranti lunak yang dipasok oleh vendor

 Komputer pribadi dan komputasi penggunaan akhir
 Pemrosesan data terdistribusi
 Efektivitas dan efisiensi system
 Dokumentasi
 Persyaratan hukum

B. KOMPONEN SISTEM INFORMASI

Peranti Keras
Sistem peranti keras yang digunakan dalam bisnis dapat dikategorikan ke dalam empat
kelompom: server, PC, minikomputer, dan mainframe. Pembagian ini tidak didasarkan pada
ukuran fisik sistem, tetapi lebih pada kemampuan pemrosesan mereka – kecepatan,
penyimpanan, dan kapasitas untuk memproses aplikasi yang canggih.

Server adalah sistem yang menerima permintaan dari sistem lainnya, menghubungi klien, dan
memproses permintaan tersebut.

PC adalah sistem yang lebih kecil dan yang memiliki sejumlah kecil peralatan input/ output.
Tidak seperti mainframe dan minikomputer, lebih ekonomis memperuntukkan sebuah PC bagi
pengguna tunggal. PC yang lebih besar sering kali di bagi dalam sebuah departemen dan
mungkin dihubungkan dalam sebuah “local area network (LAN), yaitu sebuah jaringan
dengan jarak maksimum antara dua titik, biasanya kurang dari satu mil.

Minikomputer seringkali berfungsi sebagai komputer pusat dalam perusahaan kecil dan
menengah. Mesin-mesin ini juga digunakan untuk berbagai departemen atau divisi dari
organisasi yang lebih besar untuk memenuhi permintaan khusus seperti analisis sains atau
akuntansi departemen yang sangat banyak menggunakan mesin, hingga menjadi tidak efisien

2
untuk menggunakan mainframe. Minikomputer digunakan sebagai server untuk
mengendalikan biaya peranti lunak dengan cara memungkinkan jumlah maksimum lisensi
yang digunakan pada saat yang bersamaan.

Mainframe dulunya adalah tulang punggung dari industri pemrosesan data dan merupakan
tempat penyimpanan utama data bagi kebanyakan perusahaan menengah ke atas. Beberapa
komponen dasar dari sistem informasi adalah central processing unit (CPU), peralatan
komunikasi, tape drive magnetis, printer impact, printer non-impact, konsol, dan terminal

Central Processing Unit. Fungsi CPU adalah sebagai otak dari komputer. CPU menerima
input dari berbagai peralatan periferal, memproses data sesuai dengan perintah yang diberikan
oleh satu atau beberapa program komputer, serta memberikan output dalam berbagai bentuk.

Tape drive magnetis. Tape drive membaca dan menulis data, secara beruntun, ke dalam pita
magnetis. Alat ini mungkin merupakan alat yang paling umum untuk menyimpan data dalam
jumlah besar.

Densitas adalah ukuran tentang seberapa banya data dapat dikemas dalam satu inci pita
komputer.

Disk Drive. Walaupun penyimpanan dengan pita dapat diandalkan dan tidak mahal,
kelemahan utamanya adalah kenyataan bahwa data harus dibaca secara berurutan

Printer impact. Printer ini adalah peralatan periferal yang sangat bervariasi dalam hal
kecapatan, penampilan output, dan kapasitasnya. Salah satu jenis printer impact, disebut
sebagai printer baris, memukul pita dan mencetak pada halaman satu baris sekaligus.
Jenis yang jauh lebih lambat dari printer impact menggunakan “piringan data” untuk memukul
pit dan membuat ketikan yang mirip dengan ketikan yang dihasilkan oleh mesin ketik.

Printer dot matriks menggunakan berbagai pin metal untuk membuat hasil yang mirip dengan
berbagai karakter serta simbol yang digunakan dalam teks, juga untuk grafiknya. Printer dot
matriks lebih lambat dari printer baris.

Printer non-impact. Jenis yang umum dari printer ini adalah printer laser, yang dapat
mencetak banyak sekali teks atau grafik dengan sempurna. Jenis umum dari printer non-
impact adalah printer ink-jet dan printer bubble-jet.

Konsol. Konsol mainframe atau minikomputer adalah sebuah terminal yang berfungsi sebagai
pusat perintah untuk interaksi manusia agar dapat mengontrol sistem tersebut. Para operator
memasukkan perintah. Merespons pertanyaan dari sistem operasi, dan secara
umummemonitori sistem tersebut dari konsol.

Terminal. Peralatan terminal, yang biasanya disebut sebagai terminal cathode-ray tube (CRT)
atau terminal tampilan video, adalah salah satu bentuk peranti keras input/output yang paling
banyak digunakan.

3
Peranti Lunak
Peranti lunak memberikan perintah pada prosesor sistem. Investasi pada peranti lunak,
termasuk pembelian paket peranti lunak, gaji karyawan untuk mengembangkan dan
memelihara program, serta biaya perawatan yang harus dibayar ke vendor, sering kali secara
substansial melebihi biaya peranti keras.

Peranti lunak aplikasi. Peranti lunak aplikasi melakukan pemrosesan kegiatan bisnis
organisasi dan terdiri atas serangkaian program. Keserbagunaan komputer kini digunakan
secara komersial. Sistem dapat dikembangkan dari spesifikasi atau di beli dari vendor dan
dimodifikasi.

Merupakan hal yang penting untuk mengetahui bahwa meskipun kode sumber dan kode objek
harus selalu sesuai, namun tidak demikian halnya dengan komputer. Kita dapat membuat
sebuah salinan dari kode sumber, mengubah perintahnya, menyusun versi yang dimodifikasi
serta menghancurkan sumber yang dimodifikasi setelah membuat kode objek yang baru.

Peranti lunak sistem. Peranti lunak sistem operasi mengelola operasi internal komputer itu
sendiri. Peranti lunak sistem operasi, disediakan oleh vendor peranti keras atau oleh organisasi
peranti lunak independen, memberikan kemampuan untuk menjadwalkan pekerjaan,
mengelola beberapapengguna secara simultan, membaca dan menulis beberapa arsip,
mentransmisikan data antarberbagai peralatan, melakukan pemeriksaan keamanan tertentu,
menangani kesalahan tertentu, menyediakan mekanisme untuk pengembangan program, serta
mendukung komunikasi interaktif online. Program “utility” yang lengkap melakukan banyak
pekerjaan rutin instalansi pemrosesan data.

Modifikasi data dalam berbagai arsip adalah perhatian utama. Data Handling Utilities (DHU)
atau Data File Utilities (DFU) adalah alat yang lengkap dan memiliki potensi berbahaya. DFU
dapat digunakan untuk masuk ke dalam arsip data dan mengubah data tersebut di tempatnya
tanpa perlu membuka program pemrosesan. Utilitas ini penting untuk memperbaiki beberapa
kesalahan yang terjadi dalam konversi sistem komputer, ketika “akhir yang abnormal” atau
ketidaksesuaian sistem terjadi, serta ketika arsip rusak.
Oleh karena itu peranti lunak sistem melakukan interface antara peranti keras tertentu dengan
peranti lunak aplikasi ketika peranti lunak sistem tersebut beroperasi, peranti lunak sistem
tersebut cenderung menjadi “khusus mesin”.

C. ORGANISASI DATA DAN METODE PEMROSESAN DATA

Struktur kontrol ysng dibutuhkan sistem informasi suatu organisasi sangat berbeda sesuai
dengan jenis pemrosesan yang dilakukan serta tingkat teknologi yang digunakan. Berikut ini
adalah tiga metode pemrosesan dasar yang saat ini digunakan:

4
1. Pemrosesan secara Batch
Teknik yang paling tua untuk memproses data adalah pemrosesan secara batch. Berbagai kelas
transaksi dikelompokkan menjadi satu, serta diproses sekaligus oleh sistem. Metode ini adalah
metode lama untuk memproses data dalam jumlah yang sangat besardan menawarkan kontrol
pada tingkat yang paling tinggi. Total manual dari tiap barang dan nilai uangnya dapat
diperbandingkan dengan total yang dihasilkan oleh mesin. Dalam berbagai aplikasi, batch
dibaca oleh program edit khusus yang memvalidasi data tersebut dan menghitung totalnya.
Apabila totalnya salah, sumber kesalahan akan diidentifikasi, dan batch tersebut akan
diperbaiki serta dimasukkan ulang.

2. Entri Online/ Pemrosesan Batch (Memo Post)

Aplikasi memo post menyediakan entri, permintaan, dan edit data secara online, tetapi
memperbarui arsip utama dengan pemrosesan secara batch. Setelah arsip utama diperbarui,
salinan “memo” dari arsip utama yang baru akan dibuat. Arsip memo tersebut diperbarui
dengan entri data dan digunakan untuk pemrosesan permintaan selama hari tersebut. Setelah
penyesuaian, arsip memo tersebut dapat digunakan untuk memasukkan transaksi ke arsip
utama selama pemrosesan batch pada malam berikutnya.

3. Onine Real Time

Aplikasi yang dijalankan secara online real time memperbarui arsip sistem setelah data
dimasukkan ke dalam terminal. Hasilnya, data tersebut selalu merupakan data terbaru. Tidak
seperti pemrosesan batch, pemrosesan secara online real time tidak memungkinkan untuk
dilakukan kontrol melalui nilai total. Pembaruan dapat masuk kapan saja dari terminal mana
pun yang terhubung dengan mainframe. Sistem ini dapat menghadirkan risiko yang lebih
tinggi bagi organisasi daripada aplikasi yang berorientasi pada batch. Kontrol yang ketat
sangatlah penting, termasuk jejak audit dengan identifikasi operator terminal, password
khusus untuk transaksi yang penting, kartu intelijen, dan pembatasan ke fungsi terminal.

Di dalam sistem evaluasi, seorang auditor perlu mempertimbangkan risiko bawaan dari
berbagai segmen yang termasuk dalam sistem. Dalam mengevaluasi risiko bawaan, auditor
perlu mempertimbangkan:

 Risiko kecurangan
 Nilai penting sistem tersebut dalam kegiatan operasional
 Keunggulan kkmpetitif yang diberikan oleh sistem tersebut
 Teknologi yang digunakan oleh sistem tersebut

D. KONTROL SISTEM INFORMASI

5
Kontrol dalam sistem informasi adalah alat yang digunakan untuk mengelola segala kerusakan
yang terjadi tanpa disengaja dan untuk membantu mencapai tujuan dari pihak manajemen.
Alat ini berbeda dari alat yang digunakan dalam lingkungan manual karena:

 Sumber data terkadang independen dari pengguna data

 Jejak transaksi dari input ke output jarang tampak oleh mata manusia
 Adanya kebutuhan atas kejelasan jika tidak terdapat pertimbangan manusia
 Dokumentasi harus akurat dan dapat digunakan
 Tanggungjawab informasi pengguna dibagi dengan fasilitas pemrosesan SI

Agar dapat meringkas berbagai kesulitan yang ada, terdapat sejumlah faktor yang
menghalangi pengembangan sistem kontrol yang memadai, yaitu:

 Pengumpulan fakta dan evaluasi dapat saja tidak lengkap

 Para pengguna semakin meyakini apa pun yang mereka temukan dalam laporan sistem
tersebut hanya karena laporan bersalah dari sistem informasi.
 Kurang terdapat arah yang jelas dan sesuai
 Pihak manajemen senior mungkin tidak melakukan tanggung jawabnya atas sistem
kontrol pada tingkat dasar karena masalah tersebut terlalu teknis
 Berbagai kesalah dapat muncul dalam desain sistem
 Komunikasi sering kali tidak baik di antara para karyawan bagian sistem, pengguna,
dan pihak manajemen, hingga para pengguna gagal untuk mengidentifikasi kontrol
mana yang dibutuhkan untuk menangani berbagai transaksi, pemrosesan data, serta
menerima output informasi
 Pemrograman yang tidak bertanggung jawab dapat memasukkan perintah ke dalam
sistem agar dapat menyimpangkan aktiva demi kepentingannya sendiri

Kontrol harus dimasukkan ke dalam setiap sistem dan aplikasi untuk mengurangi hal-hal yang
mungkin timbul seperti catatan yang kurang baik, akuntansi yang tidak tepat, gangguan bisnis,
pengambilan keputusan yang buruk, penipuan dan penggelapan, pelanggaran atas ketentuan
hukum atau peraturan, peningkatan biaya, hilangnya aktiva, serta hilangnya posisi kompetitif
dalam pasar.

E. KONTROL UMUM
Kontrol umum terdiri atas berbagai kontrol dalam sistem informasi dan lingkungan pengguna
yang tersebar di seluruh aplikasi. Kontrol ini termasuk berbagai kontrol seperti pemisahan
tugas, prosedur pengembangan sistem, keamanan data, seluruh kontrol administratif dan
kemampuan pemulihan dari bencana. Pembahasan mengenai kontrol umum utama yang
ditemukan dalam kebanyakan lingkungan pemrosesan data terdapat dalam bagian berikut :

Kontrol Organisasional
6
Deskripsi
Kontrol organisasi meliputi tanggung jawab dan otoriras yang memadai untuk aktivitas EDP.
Tanggung jawab semacam ini haruslah mencukupi untuk memungkinkan aktivitas SI
memenuhi tujuan organisasi secara efisien dan efektif

Didalam SI, efisien ditingkatkan melalui pengelompokan fungsi yang tepat. Pengelompokkan
yang utama adalah

 Operasi dan produksi: mengubah dokumen sumber tertulis ke bentuk yang dapat
dikenali oleh mesin; konsol operasional, peralatan periferal, dan perlengkapan
tambahan; memelihara perpustakaan untuk berbagai arsip data dan program; dan
membentuk kelompok kontrol yang mengawasi produk, membuat catatan,
menyeimbangkan input dan output, serta memastikan bahwa berbagai jadwal dipenuhi
 Pengembangan proyek: mengembangkna sistem dan mendesain berbagai metode serta
persyaratan baru.
 Layanan teknis: memilih peranti lunak dan menyediakan perawatan.

Audit Internal
Telaah atas kontrol organisasional biasanya dimulai dengan pengenalan sistemnya. Para
auditor internal bisa mengetahui dengan benar sistem tersebut dengan cara menelaah
kebijakan manajemen, struktur organisasi, deskripsi kerja, laporan tenaga kerja dan lembur,
prosedur operator sistem.

Para auditor internal harus menelaah catatan rotasi kerja dan jadwal cuti. Mereka harus
memastikan bahwa semua orang dalam aktivitas SI benar-benar mengambil cuti setiap
tahunnya dan secara fisik jauh dari operasi perusahaan.

F. SIKLUS HIDUP PENGEMBANGAN SISTEM

Deskripsi
Siklus hidup pengembangan sistem harus melibatkan seluruh pihak yang berkepentingan
dlaam sistem yang sedang diciptakan atau diperbaiki. Para pihak yang berkepentingan tersebut
adalah orang – orang yang memiliki kepentingan organisasional dalam operasi rutin sistem.
Mereka di arahkan melalui sesi desain kelompok yang mengidentifikasi dan menetapkan
persyaratan pengguna. Keterlibatan dari kelompok yang luas didukung oleh prosedur
pengujian yang lebih disiplin dan lengkap untuk memastikan bahwa sistem tersebut akan
memenuhi persyaratan desainnya.

Di luar proses pengembangan, pengawasan terus-menerus atas fungsi pemrosesan data

semakin menjadi aktivitas kelompok. Komite pelaksana SI adalah faktor peting dalam

7
keterlibatan manajemen di dalamnya dan dalam mengawasi fungsi SI. Fungsi – fungsi komite
pelaksana mereka harus meliputi:

 Menyetujui berbagai kebijakan SI

 Menyetujui rencana jangka panjang dan jangka pendek untuk sistem, pengawasan
kemajuan desain sistem, dan pengembangan sistem
 Pengawasan umum atas implementasi, pelatihan, dan operasi sistem yang baru tersebut
 Pengawasan terus-menerus atas kecukupan serta akurasi peranti lunak dan peranti
keras yang digunakan
 Penilaian atas pengaruh teknologi bru tersebut pada operasi SI organisasi

Berikut ini adalah tahapan penting dan kontrol siklus hidup pengembangan sistem terkait:

Permintaan atas desain sistem. Permintaan tertulis harus diserahkan oleh para pengguna yang
memiliki otoriasasi yang menyebutkan kebutuhan bisnis. Permintaan tersebut harus
dikatalogkan secara benar dan ditelaah oleh komite pelaksana atau komite alokasi tenaga kerja
lainnya.

Studi Kelayakan. Pada tahap ini pertanyaan dasar yang berkaitan dengan biaya/ manfaat
dijawab. Sebuah studi atas sistem yang ada saaat ini dan kebutuhan analisis, biaya, waktu
implementasi, dan potensi risiko harus dimasukkan ke dalam studi kelayakan. Kesimpulannya,
para pengguna, komite pelaksana, dan pihak manajemen SI harus meberikan persetujuan
tertulis atau penolakan tertulis atas proyek tersebut.
Desain sistem tingkat tinggi. Proyek yang diterima dan didanai di luar tahap kelayakan
diteruskan ke dlaam tahap desain sistem tingkat tinggi. Tahap – tahap utamanya meliputi:

 Analisis input, pemrosesan, dan output dari sistem yang telah ada
 Analisis persyaratan pengguna secara terinci
 Spesifikasi fungsional mencantumkan hal-hal yang seharusnya dicapai oleh sistem
tersebut dari perspektif bisnis
 Alternatif

Desain sistem terinci. Bersama dengan spesifikasi umum, analisis sistem, dengan bantuan dari
pengguna, membuat cetak biru teknis dari sistem tersebut. Hal-hal berikut ini seringkali
dimasukkan ke dalam desain sistem yang terperinci:

 Spesifikasi program terinci

 Tata letak arsip
 Tata letak laporan dan tampilan online
 Bagan alir sistem
 Narasi siste secara keseluruhan
 Prosedur konversi dara

8
  Rencana-rencana pengujian
 Penetapan elemen data

Pemberian kode dan pengujian program. Di tahap ini program akan diberi kode seusai dengan
spesifikasi program tertentu yang dikembangkan dalam thap desain sistem terperincipengujian
di formalisasikan dan ditelaah oleh para pengguna serta pihak manajemen proyek. Pengujian
biasanya dilakukan dalam dua tahap: (1) pengujian unit, dengan setiap program diuji secara
terpisah; (2) pengujian sistem dengan serangkaian program dijalankan secara beruntun.

Pengujian adalah salah satu bagian terpenting dari pengembangan dan perawatan sistem.
Pengujian merupakan pemeriksaan kualitas terakhir untuk memastikan bahwa sistem tersebut
bekerja sebagaimana mestinya.
Konversi. Apabila sebuah sistem yang lebih tua digantikan, arsip-arsip datanya harus
dikonversikan ke format yang baru. Proses ini adalah proses pengembangan sistem “segi tiga
bermuda”. Apabila mmonversi dilakukan secara manual, sebagian dari arsip bisa jadi rusak
karena kesalahan memasukkan data.

Implementasi. Sebelum implementasi, telaah terakhir atas hasil konversi dan tanda tangan
manajemen sebagai pengguna akhir harus didapatkan. Berbagai jenis implementasi harus
diperitmbangkan,termasuk implementasi bertahap, terarah, dan serentak.
Perawatan. Setelah implementasi, sistem tersebut masih tetap dalam tahap perawatan hingga
sistem digantikan. Kontrol atas perubahan akan mencegah atau mengurangi penurunan
kualitas sistem sepanjang waktu.

Audit Internal
Para auditor internal harus berhubungan dengan para ahli dalam penugasan khusus. Mereka
harus berpengetahuan, hati-hati, dan membantu – tetapi mereka juga harus mempertahankan
independensi dan mengamati tujuan organisasi yang lebih luas. Berikut ini adalah beberapa
hal yang arus dicoba untuk dipastikan oleh para auditor internal ketika mereka terlibat dalam
dan menelaah studi kelayakan dan sistem:

 Studi tersebut harus dibuat oleh tim yang terdiri atas perwakilan semua departemen
yang berkepentingannya harus dipertimbangkan
 Pertimbangan harus diberikan pada kelemahan kontrol yang diidentifikasi melalui
audit
 Spesifikasi harus mempertimbangkan pertumbuhan jangka panjang selanjutnya
 Pertimbangan harus diberikan atas resiko penipuan atau hilangnya kontrol
 Para pengguna harus menyetujui sistem yang di usulkan
 Estimasi anggaran haruslah wajar dan dapat dilaksanakan
 Persayaratan input dan output harus ditetapkan dengan jelas
 Rencana konversi yang wajar harus di formulasikan

9
  Otorisasi yang ditulis dengan benar harus didapat untuk setiap tahapan siklus hidup
pengembangan sistem

Seorang auditor juga harus waspada atas kegagalan pihak manajemen untuk mengenali dan
mengambil tindakan atas proyek yang pada akhirnya tidak akan berhasil baik. Bukti umum
potensi terjadinya masalah meliputi penundaan yang lama dan atau pembengkakan anggaran
yang cukup besar

G. KEAMANAN DATA
Deskripsi
Data mungkin merupakan aktiva yang paling penting. Kontrol atas akses ke data menentukan
kerentanan organisasi terhadap manipulasi secara tidak sengaja maupun penipuan atas aktiva.
Arsip dilindungi melalui sistem keamanan logis. Hal ini disebut juga sebagai “kontrol akses
logis”. Akses logis berbeda dari kontrol akses fisik. Kontrol akses fisik mencegah orang-orang
memiliki akses ke peranti keras, tempat penyimpanan tape, dan lain-lain.

Fungsi yang paling penting dari sistem keamanan data adalah otentikasi pengguna. Beberapa
peranti lunak keamanan data dipasok oleh vendor peranti keras dalam sistem operasi untuk
peranti keras mereka. Vendor independen telah mengembangkan peranti lunak keamanan
umum yang diantara fungsinya yang lain, dapat meningkatkan efektivitas kontrol pasword.
Peranti lunak keamanan data dapat meliputi hal-hal seperti:

 Enkripsi password agar tidak dapat dilacak, bahkan oleh pemrogram

 Perubahan wajib password setelah beberapa hari lamanya sesuai dengan yang
ditetapkan
 Struktur yang membutuhkan pasword

Di samping kontrol password, peranti lunak keamanan data juga memonitori dan mengontrol
akses ke berbagai sumber daya. Berikut ini adalah beberapa fitur umum dari mainframe
beruang lingkup penuh paket peranti lunak keamanan data:

 Akses ke arsip dan transaksi online dapat dibentuk sesuai dengan tiap orang dan
departemen
 ID pengguna dapat dicabut jika terlalu banyak upaya untuk masuk ke dalam dengan
password yang tidak valid
 Transaksi dapat dibatasi ke terminal dan/atau karyawan tertentu
 Operasi terminal dapat dibatasi berdasarkan jam per hari atau berdasarkan jumlah hari
dalam seminggu
 Batas “waktu habis” dapat dibuat sehingga memaksa terminal untuk mati setelah suatu
periode tanpa aktivitas

10
  Sistem keamanan menampilkan waktu terakhir dna tanggal ID digunakan ketika
pengguna masuk ke dalamnya
 Sistem tersebut dapat diatur untuk membutuhkan entri password di setiap transaksi
ketika transaksi-transaksi tersebut meliputi informasi yang sangat sensitif.

Sistem keamanan “global” memiliki banyak fitur dari yang dijelaskan di atas. Sistem-sistem
semacam ini menyediakan kontrol yang kuat dalam lingkungan mainframe atau
minikomputer.

Audit Internal
Tiap organisasi berbeda dalam hal tingkat implementasi keamanan data mereka. Akan tetapi,
terdapat sejumlah aturan untuk lingkup keamanan yang baik.

Pertama, dan paling utama, tanggung jawab atas keamanan sistem informasi terletak pada
pihak manajemen senior organisasi
Pihak manajemen seiior harus mengawasi bahwa:

 Masalah akan ditentukan

 Kebijakan organisasi di buat
 Struktur kepatuhan diimplementasi

Para auditor internal ditantang untuk memiliki kompetensi teknis agar dapat melakukan
penelaahan atas kontrol keamanan sistem yang beroperasi. Perbedaan besar standar peranti
keras serta kekuatan dan kelemahannya menciptakan kebutuhan pelatihan yang lebih
terperinci dan berkelanjutan.

Peran utama auditor internal adalah mengevaluasi efektivitas sistem keamanan saat ini dan,
jika kelemahan ditemukan, untuk merekomendasikan sistem terbaik yang sesuai dengan
praktik bisnis organisasi serta faktor risikonya.

H. KEAMANAN FISIK
Deskripsi
Keamanan fisik mungkin merupakan kontrol yang paling mendasar dalam organisasi. Pada
masa awal pemrosesan data, sebelum penyebaran penggunaan terminal online, kotrol akses
ruang komputer sangatlah penting. Walaupun beban atas keamanan data kini telah bergeser ke
kontrol peranti lunak akses logis yang canggih, keamanan fisik masih merupakan penjagaan
umum dari berbagai risiko. Area-area sensitivitas dapat dikategorikan ke dalam tiga area
umum, yaitu:

 Akses fisik

11
  Pencemaran lingkungan
 Perlindungan kebakaran dan banjir

Akses tidak sah. Pusat data dan/atau bangunan operasional yang aman dengan aktivitas
pemrosesan yang signifikan, harus membatasi akses hanya ke orang-orang yang memilliki
otoritasi. Beberapa teknik khusus untuk menerapkan kontrol ini meliputi:

 Akses kartu: kartu yang secara magnetis diberi kode, dikeluarkan untuk orang-orang
yang memiliki otoritas, digunakan dengan memasukkannya ke dalam sebuah slot yang
membaca informasi di kartu tersebut dan mentransmisikannya ke komputer keamanan.
 Sistem akses biometrik. Teknologi ini tepat jika keamanan fisik yang menyeluruh
dibutuhkan. Sistem ini bergantung pada karakteristik fisik untuk mengotensikasi akses
permintaan individual.

Desain pusat komputer. Tingkatkeamanan yang signifikan dari keamanan fisik dapat dicapai
hanya melalui perencanaan yang baik. Beriut ini adalah beberapa faktor yang harus di
pertimbangkan dalam pusat komputer:

 Pusat data harus dalam lokasi yang tersembunyi

 Pusat data yang berada dalam wilayah rawan gempa bumi, bajir, atau bencana alam
lainnya harus memiliki prosedur yang tepat untuk memungkinkan sistem tersebut
beroperasi selama dan/atau setelah bencana alam
 Ruang komputer itu sendiri harus tertutup oleh dinding
 Tempat penyimpanan tape atau media penyipanan lainnya harus tahan api
 Jumlah pintu untuk memasuki ruang komputer harus dimininalkan
 Pintu darurat harus dikunci dari luar dan diberi peringatan

Pencegahan kebakaran. Walaupun merupakan hal yang penting bagi organisasi untuk
mengembangkan kemampuan pemulihan dari bencana kebakaran, merupakan hal yang bahkan
jauh lebih penting lagi untuk mencegah bencana itu sendiri.

Suplai tenaga listrik. Organisasi utilitas masyarakat tidak dapat dijadikan tempat bergantung
untuk memasok listrik yang sama sekali tanpa gangguan. Dua pendekatan dasar untuk sistem
cadangan listrik yang biasanya digunakan adalah: (1) diesel umum atau bentuk lain dari
pembangkit listrik independen jangka panjang; (2) sistem jangka pendek yang memungkinkan
penonaktifkan sistem komputer secara teratur sebelum baterai kehabisan tenaga.

Berbagai ancaman. Sejumlah ancaman muncul dari aktivitas rutin dalam pusat komputer. Hal
ini meliputi potensi bahaya berikut:

 Air dari pipa yang menyemprot, bocor, atau usaha pemadaman, dapat menyebabkan
hubungan pendek atau tumpukan residu yang sulit atau tidak mungkin untuk
disingkirkan

12
  Peralatan elektronis, seperti peruncing pensil dan pemoles lantai, yang beroperasi di
dekat tape, disk, serta prosesor komputer dan tidak dilengkapi dengan peredam, dalam
menyebabkan “gangguan” elektromagnetik yang memengaruhi pemrosesan data secara
akurat
 Listrik statis dari lantai k=yang kurang baik, tutup laintai yang memiliki kualitas
pelepas listrik statis, atau kontrol kelembapan yang kurang baik, dapat memengaruhi
pemrosesan yang kurang akurat.
 Rokok, pipa rokok, dan asap rokok dapat meninggalkan residu lengket di permukaan
apa pun di dalam atau di luar komputer.

Ketika terjadi kesalahan peranti keras, maka kesalahan tersebut harus dilaporkan. Sistem
operasi canggih mencatat log peranti keras internal yang memingkinkan para teknisi lapangan
untuk menentukan kesalahan peranti keras yang terjadi. Beberapa langkah yan disarankan
untuk program perawatan yang memadai adalah sebagai berikut:

 Kesalahan fungsi perlengkapan harus didaftar

 Kegagalan fungsi harus dilaporkan ke karyawan bagian perbaikan dari penjual
 Kegagalan fungsi yang dilaporkan harus ditindaklanjuti untuk melihat apakah
kegagalan tersebut telah diteliti dan diperbaiki
 Kegagalan fungsi yang tidak rutin terjadi harus diteliti hingga dapat diatasi

Audit Internal
Para auditor internal harus memastikan bahwa kontrol peranti keras berjalan dan berhasil.
Beberapa dari langkah audit yang dapat diambil adalah:

 Wawancarai operator dan pengguna mengenai keandalan peralatan

 Pastikan tindakan apa yang diambil oleh para auditor komputer jika terjadi kegagalan
fungi peranti keras
 Periksa laporan kegagalan, daftar kerusakan mesin, dan laporan perawatan untuk
mengonfirmasikan pernyataan lisan
 Tentukan apakah peralatan pengendalian suhu dan kelembapan dipasang dan
berfungsi, serta konfirmasikan spesifikasi lingkungan dari produsen
 Telaah daftar yang dihasilkan oleh peralatan suhu dan kelembapan serta statistik
operasionalnya untuk memastikan sejjauh mana kegagalan peralatan dan sejauh mana
peralatan tersebut berjalan kembali jika terdapat kerusakan peralatan
 Telaah daftar harian komputer dan laporan penggunaan peralatan periodik untuk
melihat apakah jadwal perawatan dari produsen diikuti
 Bandingkan lamanya waktu kerusakan yang sesungguhnya dengan lamanya waktu
yang dianggap normal
 Pastikan apakah peralatan dikirim untuk perawatan pada waktu yang paling tepat

13
  Pastikan bahwa peralatan deteksi kebakaran dan pemadam api ada di tempatnya serta
telah diperiksa kemampuan operasinya seperti yang telah disyaratkan.

Auditor internal menyarankan beberapa perbaikan dalam sistem, merekomendasikan

pembuatan tujuan perawatan untuk semua peranti keras, serta ditindaklanjuti untuk melihat
bahwa kontrol dibentuk untuk meniadakan kredit yang salah ke pemasok

I. PERENCANAAN KONTIJENSI DAN PEMULIHAN DARI BENCANA

Deskripsi
Layanan online kini merupakan bagian integral dari rutinitas harian. Hasilnya, ketersediaan SI
merupakan hal yang sangat penting bagi keberlanjutan banyak organisasi. Biasanya orgsnisasi
kemampuan yang memadai untuk pulih dari bencana akan dilengkapi dengan:

 Penyimpanan data, program, sistem operasi, dan dokumentasi utama, di luar lokasi
kantor
 Dokumentasi perencanaan yang berisi langkah-langkah terperinci yang harus
dilakukan ketika terjadi bencana
 Kesepakatan cadangan dengan lokasi-lokasi alternatif lainnya.

“hot side” sangat terkenal di kalangan perusahaan. Hot side biasanya dilengkapi dengan
koneksi telekomunikasi yang ekstensif, karena pemrosesan secara online merupakan hal yang
sangat penting bagi perusahaan.

Alternatif lainnya adalah perjanjian timbal balik dengan dua atau lebih perusahaan sepakat
untuk berbagi sumber daya sistem jika terjadi bencana.

Terakhir “cold site” kadang kala digunakan ketika pemulihan cepat dari bencana ukanlah hal
yang sangat penting. Cold site adalah bangunan dengan listrik, AC, koneksi telekomunikasi ,
lantai yang tinggi untuk peralatan komputer, serta persyaratan lingkungan lainnya.
Banyak organisasi bergantung pada kombinasi antara cold site dan hot site. Setelah terjadi
bencana besar, hot side digunakan untuk menyediakan layanan yang sangat penting sambil
menunggu cold site dipersiapka.biasanya tingkat penggunaan per jam untuk hot site adalah hal
yang substansial. Hot site sering kali secara fisik jauh dari pusat data yang asli.

Audit Internal
Audit internal harus menjawa dua pertanyaan mendasar kepada pihak manajemen eksekutif.
Dapatkah organisasi bertahan hidup dalam bencana sistem informasi yang besar? Jika
demikian seberapa besar kemungkinan tingkat dan pengaruh dari bencana tersebut?

14
Oleh karena sistem dan organisasi sangat berbeda satu sama lain, merupakan hal yang tidak
mungkin untuk menyajikan daftar dari semua langkah yang dibutuhkan untuk menelaah
kemampuan pemulihan organisasi dari bencana.

J. PENYIMPANAN
Deskripsi
Merupakan hal yang biasa bagi pusat data modern untuk menghasilkan ribuan disk dan/ atau
arsip tape dalam waktu seminggu. Arsip-arsip ini meliputi cadangan data saat ini untuk
digunakan jika terjadi bencana, dan arsip untuk penyimpanan permanen. Kontrol program
dibutuhkan untuk memastikan bahwa arsip-arsip ini diberi label serta disimpan dengan benar.
Jika tidak, arsip yang salah dapat dimasukkan ke dalam aplikasi atau arsip yang baik dapat
secara tidak sengaja terhapus.

Sistem manajemen arsip harus meliputi pertimbangan keamanan serta pengelolaan rotasi arsip
ke dan dari penyimpangan di luar lokasi kantor. Banyak organisasi kini menstransmisikan
arsip cadangan yang juah, mungkin tidak dijaga, yang dimungkinkan dengan adanya
kemajuan dalam telekomunikasi, termasuk perluasan bandwidth dan serat optik.

Label eksternal dilampirkan secara fisik ke media yang dapat dipindahkan, seperti gulungan
tape, paket disket, atau disket. Penggunaan label eksternal adalah proses yang sederhana untuk
diterapka, tetapi kadang dapat mengakibatkan kesalahan pemberian label, karena bergantung
pada kerajinan operator komputer. Tanpa adanya komtrol tambahan, arsip dapat dengan
mudah hilang.

Di dalam pusat data yang sangat besar, label tape eksternal tidak digunakan dan kepercayaan
penuh diberikan pada sistem manajemen tape. Katalog manajemen tape itu sendiri harus
dibuat cadangannya; jika tidak, gangguan besar atas pemrosesan dapat terjadi karena identitas
tape mungkin hilang.
Arsip-arsip pada disk yang tetap atau yang dapat dipindahkan biasanya dikelola oleh sistem
operasi, yang menelusuri semua arsip dalam VTOC( volume table of contents). Asis data yang
canggih dan arsip-arsip yang lebih rumit biasanya dikendalikan melalui katalog sistem

Audit Internal
Kehilangan data dapat menjadi masalah serius dan nyata bagi organisasi. Konsentrasi atas
informasi pada media magnetis menambah masalahnya. Auditor internal harus mengajukan
pertanyaan berikut:

 Bagaimana cara label internal digunakan?

 Apakah label eksternal digunakan jika memungkinkan?
 Apakah manajemen tape atau manajemen disk atau sistem manajemen arsip tersedia?

15
  Apakah sudah terjadi “terminasi abnormal” disebabkan oleh ruang disk yang tidak
mencukupi?
 Apakah rangkaian data generasi (konsep bertingkat) di pelihara?
 Apakah tape dan media lainnya disimpan dengan benar?
 Apakah faktor-faktor lingkungan yang terkait (kelembapan dan suhu) dimonitori dan
dikontrol?
 Apakah arsip diberi nama sesuai dengan standarnya?

K. SISTEM OPERASI
Deskripsi
Sistem operasi adalah jantung komputer. Tanpa kontrol yang memadai atas implementasi dan
perawatannya, organisasi akan sering mengalami waktu kerusakan yang lama, pemrosesan
yang salah, dan penipuan komputer yang sulit untuk dideteksi.

Sistem operasi dan peranti lunak sistem terkait lainnya adalah rangkaian dari sistem yang
saling berhubungan dengan sejumlah besar pilihan yang dipilih oleh pemrogram sistem.
Pilihan tersebut memungkinkan sistem operasi untuk mencocokkan dengan tepat lingkungan
peranti keras dan peranti lunak organisasi.

Ketika peranti lunak dipertimbangkan untuk dibeli, pemrogram sistem harus menentukan
apakah dibutuhkan “hubungan” (hook) dengan sistem operasi. Jika demikian, paket peranti
lunak tersebut harus di-install ulang setiap kali terdapat versi baru dari sistem operasi-karena
hook memodifikasi sistem operasi untuk memungkinkan peranti lunak tertentu bekerja.

Merupakan hal yang sangat penting bagi komponen-komponen peranti lunak dari sistem
operasi untuk tetap diperbarui. Kadang kala, vendor menghentikan dukungan untuk versi
sistem operasi yang lama. Pemrosesan di organisasi dengan sistem operasi yang lama berisiko
dalam hal seringnya terjadi kerusakan karena sumber dari sistem operasi gagal dan kadang
sangat sulit untuk diidentifikasi tanpa bantuan para ahli dari vendor.

Audit Internal
Kontrol sistem operasi, karena kerumitannya mungkin merupakan hal yang paling sulit untuk
ditelaah bagi auditor internal. Analisis yang mendalam atas kontrol sistem operasi
membutuhkan bantuan ahli audit SI yang sangat terlatih. Akan tetapi, banyak kontrol atas
sistem operasi dan perawatannya mencerminkan praktik kontrol tradisional. Berikut ini adalah
beberapa pertanyaan yang harus ditanyakan oleh seorang auditor internal:

 Apakah prosedur kontrol perubahan yang tepat telah digunakan?

 Apakah versi sistem opersi terus diperbarui?

16
  Apakah utilitas canggihtertentu tetap dibatasi hanya untuk personel yang perlu
menggunakanya?
 Apakah tugas dipisahkan secara memadai?
 Dll

L. TELEKOMUNIKASI
Deskripsi
Sistem informasi secara rutin mentrasnmisikan data dalam jumlah besar dari satu titik ke titik
lainnya. Auditor internal harus menilai integitas, keamanan, keandalan, dan kinerja jaringan
organisasi untuk menetapkan apakah data tersebut akurat dan tepat waktu. Ada beberapa
masalah yang umumnya dihadapi dalam semua sistem telekomunikasi:

 Data dapat dihilangkan, diubah, atau diduplikasi selama transmisi

 Jaringan dapat tidak bisa dioperasikan selama suatu periode waktu
 Informasi rahasia dapat diekstraksi melalui berbagai teknik penyadapan atau yang
disebut sebagai penyadapan pasif
 Waktu respons transmisi dapat menjadi begitu lambat sehingga pelanggan merasa
jengkel atau fungsi bisnis terpengaruh secara negatif
 Orang-orang yang tidak memiliki otorisasi dapat memasukkan pesan dengan tujuan
penipuan ke daam jaringan
 Jaringan telekomunikasi yang kurang baik desainnya dapat mengakibatkan niaya yang
berlebihan jika perlengkapan yang tidak sesuai dibeli.

Kini tersedia berbagai kontrol teknis hingga secara signifikan dapat mengurangi risiko yang
berkaitan dengan transmisi data. Ada beberapa kontrol telekomunikasi yang saat ini
digunakan:

 Penyusunan pesan: nomor pesan dimasukkan ke dalam setiap catatan yang

ditransmisikan
 Enkripsi: data yang ditransmisikan “dipecah-pecah” dengan menggunakan algoritma
matematis rumit untuk melakukan enkode data
 Algoritma pemeriksaan sendiri: berbagai teknik matematis yang canggih seperti
“pemeriksaan berlebih yang berulang”digunakan untuk menetapkan apakah ada
informasi yang diubah selama transmisi
 Peranti lunak pemonitor jaringan: transmisi berjalan melalui banyak siaran publik dan
privat serta perlengkapan telekomunikasi lainnya.
 Panggilan kembali otomatis: banyak basis data komersial yang telah diakses dan,
dalam beberapa kasus, dirusak atau diubah untuk penipuan oleh para “hacker”.

17
  Saluran khusus: bagi organisasi yang mentransfer jumlah tertentu data secara rutin,
saluran khusus memberikan tingkat keamanan dan kualitas transmisi tingkat tinggi
 Prosedur penyetelan ulang/ pemulihan: telekomunikasi dapat rusak tanpa peringatan.

Audit Internal
Keluasan auditor menelaah kontrol telekomunikasi tentu saja akan bergantung pada tingkat
kebergantungan organisasi pada telekomunikasi. Jika telekomunikasi digunakan sebagai alat
utama untuk permintaan, kontrol sederhana yang terkait dengan peranti keras mungkin sudah
cukup. Jika dana yang sedang ditransfer atau saldo aktiva diubah melalui komunikasi jarak
jauh, kontrol tambahan mungkin dibutuhkan.

Berikut ini adalah beberapa pertanyaan yang harus ditanyakan oleh auditor internal berkaitan
dengan telekomunikasi:

 Apakah standar dan kebijakan untuk kontrol jaringan telah ditegakkan?

 Bagi aplikasi jaringan yang sangat penting, apakah terdapat kontrol pengguna yang
tepat, misalnya, pemanggilan kembali?
 Apakah terdapat jejak audit untuk semua transaksi yang ditransmisikan melalui
jaringan?
 Sudahkah jaringan mengalami cukup banyak gangguan dan masalah lainnya hingga
membutuhkan peranti lunak pemonitor?
 Apakah enkripsi digunakan untuk data yang sensitif?

Ketika organisasi mentransfer data secara elektronis ke organisasi lainnya, electronic data
interchange (EDI) menjadi makin penting. EDI didesain dengan format terstandardisasi yang
memungkinkan pemrosesan data secara konsisten dan akurat. Mekanisme yang tersedia
meliputi media pertukaran fisik, komunikasi poin ke poin, dan layanan pihak ketiga, seperti
value added network (VAN). VAN adalah jaringan privat yang menjual kapasitas ke pihak
ketiga.

M. PERUBAHAN PROGRAM
Deskripsi
Perubahan program sering kali dilakukan dan lingkupnya luas. Auditor internal harus
menentukan apakah perubahan diotorisasi, diuji, dan diimplementasikan dengan benar. Tanpa
sistem kontrol perubahan yang memadai, merupakan hal yang tidak mungkin untuk bersandar
pada integritas pemrosesan dari aplikasi terpisah.

Kontrol semacam itu akan tampak lebih kuat. Sayangnya, pemrogram yang bertanggung
jawab untuk memelihara program pemeriksaan cetakan dapat memasukkan logika yang salah
untuk penipuan ke dana organisasi yang tepat.

18
Kontrol tradisional, paling tidak dalam sistem utang usaha tempat cek yang dicetak dengan
komputer tidak secara terpisah ditelaah oleh karyawan yang memiliki informasi tentang hal
tersebut, akan mendeteksi penipuan ini hanya setelah terjadinya kejadian tersebut.

Penipuan komputer hanya terjadi kadang-kadang, sementara kesalahan pemrosesan data dan
hilangnya data terjadi setiap hari. Sejalan dengan waktu organisasi kehilangan sejumlah besar
data karena perubahan yang: (1) tidakdiuji dengan baik, (2) tidak diimplementasikan dengan
baik atau di-install pada saat yang salah, (3) diimplementasikan tanpa pemberitahuan dan
pelatihan yang memadai bagi pengguna; dan (4) diimplementasikan tanpa penelaahan tingkat
supervisor yang memadai atas dampak bisnis/ teknik dari perubahan tersebut.
Program kontrol perubahan yang baik meliputi elemen-elemen berikut ini:

 Keamanan: program dapat saja membuat perubahan atas salinan uji program
komputer, tetapi hanya pustakawan yang benar-benar memindahkan program ujinya ke
dalam lingkungan produksi
 Jejak audit: sejarah terperinci atas semua perubahan program dan JCL (job control
Language), harus dipelihara
 Jaminan kualitas: sistem kontrol perubahan memberikan kerangka kerja untuk sistem
telaah kualitas SI
 Ketentuan untuk perubahan darurat: di luar upaya yang ditujukan untuk pengujian dan
penjaminan kualitas, program kadang kala akan tetap berhenti berjalan atau
memberikan hasil yang salah.
 Kode sumber dan penelusuran perubahan JCL: di luar jejak audit yang dapat
menunjukkan program mana yang diubah dan kapan, daftar terperinci dari setiap baris
kode sumber yang telah diubah juga seharusnya tersedia.

Perubahan atas paket peranti lunak vendor mencerminkan masalah yang khusus. Vendor
peranti lunak biasanya mengirimkan pada pelanggan mereka satu atau lebih “versi” tiap
tahunnya. Jika organisasi tersebut belum menyesuaikan paket peranti lunak dari vendor
tersebut, instalasi versi baru setelah pengujian biasanya dilakukan langsung.

Audit Internal
Tidak seorang pun pengguna, pihak manajemen, pemrogram, atau operator yang dilayani
dalam suasana perubahan yang tidak terkontrol dan selalu penuh kejutan. Sementara kontrol
perubahan dapat dianggap oleh beberapa orang sebagai overhead yang tidak perlu,
kenyataannya kontrol perubahan mengurangi jam pemrograman yang dihabiskan untuk
perawatan.

N. PERANTI KERAS
Deskripsi
19
Keandalan dari peranti kers secara signifikan telah meningkat bersama dengan setiap generasi
baru dari peranti keras. Akan tetapi,peranti keras akan terus menjadi potensi sumber kesalahan
sistem dalam masa mendatang. Kontrol dasar peranti keras yang dapat mengurangi peluang
terjadinya berbagai kesalahan yaitu:

 Pemeriksaan karakter yang berlebihan: walaupun kontrol ini memiliki banyak bentuk
dalam konfigurasi peranti keras penjual tertentu, kontrol ini selalu didasarkan pada
prinsip redudancy.
 Pemeriksaan proses duplikasi: suatu fungsi khusus dilakukan dua kali dan hasil-
hasilnya diperbandingkan
 Pemeriksaan peralatan: kontrol elektronik dibentuk dalam sirkuit untuk mendeteksi
kesalahan dan memberi perluang mencoba kembali secara otomatis.

Audit Internal
Audit internal harus mengetahui kebutuhan atas kontrol dasar peranti keras, terutama dalam
area telekomunikasi. Jika vendor tidak menyediakan kontrol peranti keras yang memadai,
auditor tersebut harus menelaah kontrol pengganti atas pengguna dan peranti lunak untuk
memastikan bahwa beberapa kemampuan ada untuk menangkap kesalahan peranti keras.

20
 BAB 14
AUDIT SISTEM INFORMASI – II

A. KONTROL APLIKASI
Kontrol aplikasi adalah kontrol yang memberikan jaminan bahwa aplikasi tertentu akan di
proses sesuai dengan spesifikasi pihak manajemen dan bahwa pemprosesan tersebut akurat,
tepat waktu, diotorisasi, dan lengkap. Berikut ini adalah daftar eksposur yang timbul dari
pemrosesan aplikasi beserta kontrolnya-input, pemrosesan, dan output-untuk mengurangi
eksposur-eksposur tersebut:

 Kehilangan input : Transaksi yang ditransmisikan dari suatu lokasi ke lokasi lainnya,
sangat rawan untuk hilang.
 Duplikasi input : Hal ini dapat terjadi jika ketika ada input yang dianggap hilang
(padahal tidak)
 Penatatan input yang tidak akurat : nomor-nomor yang salah atau kesalahan eja adalah
contoh-contoh yang umum.
 Informasi yang hilang : hal ini sudah pasti membuat input menjadi tidak lengkap
 Transaksi yang tidak tercatat : hal ini meliputi tidak hanya kecerobohan tanpa sengaja,
tapi juga merupakan akibat dai pencurian dan penggelapan
 Otorisasi : otorisasi meliputi gabungan banyak transaksi mungkin diperlukan karena
jumlah transaksi yang sangat besar tetapi ketiadaan focus pihak manajemen pada pos-
pos individual dapat meloloskan transaksi yang seharusnya tidak terjadi
 Transaksi : transaksi yang dimulai oleh sistem meliputi pemesanan kembali persefiaan
secara otomatis dan pembayaran kepada pemasok. Jika semuanya normal, program
tersebut akan bertindak sebagai control. Akan tetapi, sebagai situasi yang tidak
diantisipasi oleh desainnya dapat menimbulkan kesulita yang serius.
 Output dikirim secara tdak benar : informasi outout dikirim ke orang yang salah.
Outpu terlambat dikirim ke tujuannya hingga tidak lagi bernilai. Output tidak benar
 Banyak kesalahan yang terdeteksi : analisis yang lengkap secara fisik tidak mungkin
dilakukan dan/atau adanya pesanan yang belum terpenuhi (backlogs)yang
mengganggu.
 Pemrosesan yang tidak lengkap : kesalahan pemrograman atau kesalahan
administrative
 Pemrosesan yang dilakukan terlambat : pemrosesan terebut mungkin benar, tetapi
pengendalian bagian terkait mungkin tidak tepat waktu
 Hilang : Arsip hilang ketika berada dalam pemrosesan. Mundurnya orang-orang yang
ahli, ditambah dengan tidak adanyadokumentasi yang memadai.

21
B. KONTROL INPUT
Deskripsi
Kontrol input membantu memperkuat hubungan yang lemah dalam rantai kegiatan sistem
informasi (SI). Semua cara pemerikasaan dan penyeimbangan dapat dibangun ke dalam
program untuk memastikan pemrosesan, penyimpanan, dan penarikan data yang benar, tetapi
semua ini tidaklah berguna jika komputer diberi data yang salah atau tidak lengkap dari
semua. Kontrol input dapat dibentuk untuk membantu. Seharusnya terdapat jaminan bahwa
apapun yang diterima oleh mesin adalah data yang lengkap. Jika control dibuat dekat dengan
titik pembuatan transaksi, maka kehilangan akan dapat diminimalkan.
Kontrol input lainnya meliputi:

 Jumlah total (ash total) : nilai total ini tidak memiliki arti tertentu tetapi berguna sekali
karena mereka menambah jumlah numeric dari informasi keuagan untuk mencegah
kehilangan selama pemrosesan aplikasi.
 Pemeriksaan format (format chek) : pemeriksaan ini menunjukkan bahwa data
dimasukkan ke dalam bentuk yang sesuai dengan field telah ditetapkan.
 Pemeriksaan batas (limit chek) : pemeriksaan ini memastikan input tidak melebihi
kisaran yang numeric yang ditetapkan, seperti jam kerja mingguan maksimum
 Perbandingan input dengan informasi lainnya yang tersedia dalam catatan ang ada.
Pemeriksaan ini dapat mendeksi data yang salah
 Pemeriksaan field : pemeriksaan ini menunjukkna kelengkapan informasi, seperti
alamat untuk pelanggan baru
 Pemeriksaan numerik (numerical chek) : pemeriksaan ini memastikan bahwa data
alfabetis tidak dimasukkan ke dalam field yang dikhususn=kan untuk data numerik
 Perbandingan historis (historical comparation) : pemeriksaan ini menunjukkan apakah
informasi yang ada saat ini dapat dibandingkan dengan informasi sebelumnya
 Pemeriksaan urutan (sequence checking) : pemeriksaan ini memverifikasi urutan
alfanumerik dari field kunci dalam bagian dara yang akan diproses
 Pemeriksaan kelebihan beban (overflow checking) : pemeriksaan ini adalah
pemeriksaan progrmatis untuk menegah kelebihan kapasitas memori atau field dalam
menerima data ( biasanya numeric).
 Angka pemeriksaan (check digit) : control ini adalah fungsi dari angka lainnya dalam
sebuah angka dan memungkinkan alogaritma mamtematis menetapkan apakah angka
tersebut telah diketik dengan benar
 Verifikasi ketikan (keystroke verification) : dengan memasukkan data ke dalam
keyboard kedua kalinya,input yang salah dapat dideteksi melalui sinyal mekanis
 Otorisasi dan persetujuan (authorization and approval) : Terdapat dua jenis otorisasi;
pertama adalah izit, di muka, persetujuan terjadi setelah terdapat kenyataan dan
menganggap bahwasejenis atau telaah dilakukan

22
  Rekonsiliasi dan penyeimbangan (reconsiliation and balancing) : : terdapat dua jenis
rekonsiliasi, pertama bertujuan untuk menganalisis perbedaan; yang kedua untuk
membuat uji persamaan.
 Label arsip (file label) : Label ini mengidentifikasi transaksi, arsip, output.
Kriteria control input adalah sebagai berikut :

 Transaksi pembaruan: Proses ini melibatkan data dalam jumlah besar dan biasanya
terulang.
 Permintaan: Transasi ini tidak mengubah arsip, tetapi dapat mengakibatkan
pembaharuan atas pemeliharaan arsip sebagai hasil dari permintaan.
 Perbaikan kesalahan: Transaksi ini menybabkan kesulitan paling besar dan merupakan
transaksi yang paling sulit di control. Sudah jelas bahwa masalah selalu ada jika
perbaikan kesalahan harus dilakukan.

Audit Internal
Sebagian besar dari semua kesalahan yang masuk ke dalam sistem adalah hasil dari kesalahan
input. Auditor internal harus menganggarkan sebagian besar dari jam kerja total para
karyawan untuk menelaah kembali kontrol input.
Beberapa langkah penelaahan yang khusus:

 Tetapkan kintrol program apa, seperti edit secara online, yang telah dimasukkan ke
dalam system.
 Gunakan fasilita uji terintegrasi untuk menguji aplikasi tersebut atas control input yang
tidak memadai.
 Uji secara substantive data yang ada pada arsip utama dan transaksi.
 Dalam sistem batch, amati prosedur penyeimbangannya.
 Periksa dokumen untuk mendapatkan bukti otorisasi dan persetujuan.
 Dengan menggunakan pernati lunak audit (lihat bab berikutnya), tenntukan persentase
relatif dari transaksi yang menyajikan perbaikan dari input sebelumnya.
 Tetapkan apakah personel yang memasukkan data membuat keputusan bisnis yang
tidak benar dengan memperbaiki data yang penting tanpa mengonsultasikannya ke
orang yang merupakan asal data tersebut.
 Tetapkan apakah pengetikan kembali atau verifikasi entri data digunakan untuk data
yang sangat penting.

C. KONTROL PEMROSESAN
Deskripsi

23
Biasanya, kontrol pemrosesan telah diterapkan ke ruang mesin. Tujuannya adalah untuk
menegah menghilangkan keinginan melakukan manipulasi data yang tidak baik serta utnuk
memastikan operasi yang memuaskan dan berkelanjutan atas peranti keras (hardware) dan
peranti lunak.

Auditor Internal
Tujuan dari auditor internal dalam menelaah kontrol pemrosesan adalah untuk menilai apakah
aplikasi tersebut memproses data secara akurat dan tepat waktu, sesuai dengan keinginan
pihak manajemen, dan tidak ada modifikasi secara tidak sah atas data.
Beberapa langkah telaah khusus yang perlu diperhatikan adalah:

 Tetapkan apakah pemisahan tugas yang memadai telah dilakukan yaitu setiap orang
yang memiliki tanggung jawab pemrosesan tidak melakukan input data, menyebarkan
laporan, atau merekonsiliasi total kontrol.
 Tentukan apakah transaksi disimpan hingga arsip data dapat dibentuk ulang
 Tetapkan apakah jejak audit transaksi telah memadai untuk menelusuri data kembali
ke titik awalnya
 Tetapkan apakah label internal, arsip kontrol system, dan pemeriksaan tanggal
digunakan dalam aplikasi
 Verifikasi akurasi pemrosesan atas transaksi yang kritis dengan menggunakan metode
“data uji” atau “test base”
 Tetapkan apakah total antaroperasi dipelihara oleh kelompok kontrol data
 Amati pemrosesan rutin sistem dan catat apakah input konsol atau input operator
dibutuhkan untuk pemrosesan
 Tetapkan apakah gambaran pembaruan “sebelum dan setelah” dicetak ketika data
dimodifikasi pada arsip
 Tetapkan apakah tanggal, ID termina, dan orang yang bertanggung jawab tampak pada
jejak transaksi
 Tetapkan prosedur untuk memproses kembali transaksi sebelumnya ditemukan salah
 Pelajari prosedur operasi ulang/penyalaan ulang untuk aplikasi
 Telaah perintah operasi operator untuk kelengkapan dan akurasinya
 Pelajari catatan yang menunjukkan entri data ke dalam arsip parameter
 Pelajari catatan apapun yang dipelihara melalui operasi computer yang menunjukkan
kesalahan pemrosesan oleh aplikasi
 Jiak bantuan dari ahli audit SI tersedia, tetapkan apakah ringkasan dari operasi
program telah tersedia

D. KONTROL OUTPUT

24
Deskripsi
Kontrol output menentukan akurasi dan kewajaran informasi yang diproseses. Kontrol output
juga meliputi penyimpanan laporan output. Total catatan yang harus sesuai dengan total input
catatan. Formulir yang telah diberi nomor terlebih dahulu dapatmembantu mengotrol output
karena nomor ini dapat dipertanggungjawabkan. Sebagai contoh nomor formulir cek
peggajian dapat diperhitungkan dengan atatan inputnya.

Kontrol output juga meliputi penanganan yang tepat atas berbagai pengecualian. Ketika data
yang valid ditolak, kesalahan tersebut mungkin terletak pada kerusakan mesin atau kesalahan
operator.
Output sistem harus sesuai dengan standar berikut ini:

 Laporan: Laporan ini harus tepat waktu, akurat dan berarti

 Dokumen kerja: Dokumen ini berbentuk cek, saving bonds, pesanan pembelian, dan
lain-lain
 Dokumen referensi: Dokumen ini dugunakan untuk memperlihatkan apa yang terdapat
di computer jika fungsi computer terganggu
 Laporan kesalahan: Walaupun biasanya jumlahnya kecil, hal ini bisa saja rumit dan
sulit untuk ditangani. Laporan ini dikirim ke orang yang tepat untuk langkah
perbaikan, dan harus dikontrol untuk memastikan bahwa tindakan perbaikan telah
diambil dan laporan yang telah diperbaiki, dikembalikan

Audit Internal
Beberapa langkah yang khusus yang dapat dilakukan adalah :

 Tetapkan kelompok control atau pengguna menyeimbangkan dan merekonsiliasi

output
 Tetapkan apakah pengecualian ditandai dalam laporan
 Pelajari jumlah total dalam laporan untuk kewajarannya.
 Tetapkan apakah laporan relevan, tepat waktu, andal dan teratur dengan benar
 Tetapkan apakah daftar kelompok control menggunakan daftar untuk memastikan
bahwa semua laporan telah diterima
 Tetapkan apakah aplikasi tersebut memiliki mekanisme untuk membuat salinan ekstra
dari laporan tanpa benar-benar harus menjalankan kembali keseluruhan aliran
pemrosesan
 Tetapkan apakah judul laporan berarti, apakah laporan tersebut diberi nomor, diberi
tanggal, dan apakah laporan tersebut memperlihatkan entitas organisasi untuk siapa
laporan tersebut dietak.
 Tetapkan apakah kebijakan retensi yang tepat telah dibuat untuk output aplikasi
seperti laporan salinan kertas dan microfiche

25
  Tetapkan apakah standar pelaporan telah dipenuhi.
Auditor internal juga harus menetapkan bahwa laporan output dibuang dengan cara yang
benar.

E. JEJAK AUDIT
Deskrispsi
Transaksi harus dapat ditelusuri dari awal mulainya, di sepanjang langkah selanjutnya, hingga
ke pelaporan final pengarsipan. Kemampuan ini memungkinkan verifikasi transaksi serta
perbaikan kesalahan. Pada masa-masa ketika masih menggunakan system manual, jejak
tersebut nyata dan terus ada. Kini, system informasi telah membuat jejak tersebut tidak
tampak. Tidak ada hubungan langsung antara etri transaksi dengan penutupan transaksi.

Para auditor yang mengaudit disekitra computer berada dalam posisi yang lemah. Mereka
bergantung pada integritas jejak audit selama proses ini. Orang tersebut mungkin tidak
mengetahui apakah transaksi tersebut telah diselesaikan atau tidak. Ketiadaan jejak transaksi
dapat mencegah dilakukannya perbaikan atau penguatan bukti hasil
Jejak audit dan control ada tidak hanya untuk kenyamanan auditor, bukan juga harus menjadi
alat untuk manajemen. Fungsi jejak audit dan control adalah untuk menelusuri dan
memperbaiki pengecualian. Jejak tersebut membantu para personel memperbaiki kesalahan
dan mengontrol kualitas transaksi.

Audit Internal
Para auditor internal harus memberikan kontribusi untuk memasukkan jejak transaksi. Mereka
seharusnya tidak mendikte jejak tertentu; yang akan mempengaruhi independensi mereka.
Akan tetapi mereka harus mampu memuaskan dirinya sendiri dan pihak manajemen, bahwa
jejak transaksi dan control yang dibutuhkan telah ditegakkan.

Dalam hal verifikasi transaksi, para auditor internal dahulu lebih nyaman dengan berjalan
memalui jejak yang tampak – dari saldo akun ke catatan kegiatan, dari catatan suatu kegiatan
ke saldo akun, dan dari poin mana saja di dalam proses tersebut.

F. DAMPAK E-BUSSINESS
Perbedaan utama antara bisnis tradisional dan E-Business adalah bahwa pelanggan tidak
secara fisik hadir atau sedang dalam proses komunikasi dengan seorang wakil perusahaan
ketika transaksi terjadi. Transaksi tersebut terjadi melalui internet. E-Business dianggap oleh
banyak orang sebagai perubahan yang paling berarti dalam bisnis abad ini.

26
Dalam menangani E-Business, purusahaan harus mempertimbangkan masalah yang sama dan
juga jumlah data yang akan diizinkan untuk diakses oleh para “mitranya” dan portal yang
akan digunakan.

G. PERANTI LUNAK YANG DIGUNAKAN VENDOR

Deskripsi
Dalam banyak industri, berbagai aplikasi yang digunakan oleh organisasi yang berbeda
hampir sama, hingga memungkinkan pengembangan “paket” peranti lunak oleh vendor
eksternal. Paket ini biasanya terdiri atas sebuah rangkaian program dan dokumentasinya. Kini
makin banyak vendor peranti lunak yang memberikan banyak pilihan yang memungkinakan
organisasi menyesuaikan paket tersebut dengan lingkungan bisnisnya.

Sebagai contoh, sistem penggajian akan mensyaratkan salah satu dari banyak tabel pajak
dalam perhitungan gaji bersih, bergantung pada lokasi organisasi tersebut. Pilihan lainnya
adalah spesifikasi dari mata uang tertentu yang akan digunakan untuk semua atau sebagian
dari karyawan perusahaan. Umumnya, pilihan-pilihan ini tidak membutuhkan perubahan
pemrograman dan dilakukan seluruhnya oleh departemen pengguna.

H. PERANTI LUNAK UNTUK KESELURUHAN PERUSAHAAN

Peranti lunak untuk keseluruhan perusahaan adalah salah satu jenis peranti lunak pasokan
vendor yang telah menarik pehatian selama ini di berbagai perusahaan raksasa dan makin
menarik perhatian banyak perusahaan besar hingga perusahaan menengah. Sistem ini biasnya
menyediakan entri tunggal ke dalam sistem dan meniadakan mentalitas “stovepipe” oleh
karena itu, entri penjualan akan memperbaharui data kredit, pembelian dan jadwal produksi
yang dibutuhkan, dalam lingkungan real-time. Auditor internal perlu dilibatkan secara dekat
dalam aplikasi semacam itu karena keluasan dari perekayasaan ulang yang melibatkan dan
biaya untuk implementasi.

Perekayasaan ulang biasanya dibutuhkan untuk mengurangi semua control-kontrol tradisional

yang biasanya menjadi tempat bergantung auditor internal, auditor harus memonitor
penyesuaian peranti lunak demi kepentingan dirinya. Sementara itu jika vendor biasanya
mendukung semua versi peranti luna mereka, di masa mendatang mereka bisa saja tidak
melakukannya lagi, semakin banyak penyesuaian, maka akan semakin sedikit realisasi
manfaat yang bisa didapatkan perusahaan dari peningkatan peranti lunak yang relative
mudah.

Audit Internal

27
Auditor harus berfokus pada dua factor utama ketika menelaah paket peranti lunak yang
dipaksa oleh vendor: (1) Proses evaluasi dan pemilihan, dan (2) Perawatan integritas paket
peranti lunak tersebut sepanjang waktu.

Paket peranti lunak dari vendor mana pun yang akan dibeli harus melalui evaluasi yang
menyeluruh. Beberapa faktor yang harus dipertimbangkan meliputi:

 Stabilitas penjual
 Pengenalan dasar bagi pengguna
 Umur system
 Kepuasan pengguna saat ini
 Standar control kualitas vendor
 Kecepatan pemrosesan pada system organisasi
 Kecukupan dokumentasi
 Ketersediaan saluran khusus/help desk vendor
 Fleksibilitas system (misalnya, apakah system tersebut memiliki penulis laporan yang
memungkinkan para penguna mengembangkan laporan tanpa bantuan dari departemen
pemrograman?)

I. KOMPUTASI PERSONAL DAN PENGGUNA AKHIR

Deskripsi
Perkembangan TI yang pesat telah merangsang berbagai aktivitas pemrosesan informasi pada
tingkat pengguna akhir. Dengan kapasitas penyimpanan dalam ratusan bahkan ribuan
megabyte dan kecepatan pemrosesan dalam jutaan perintah per detik, PC kini dapat
memproses data transaksi dalam jumlah besar dalam waktu yang wajar.

Audit Internal
Penelaahan auditor internal harus atas komputasi pengguna akhir harus diarahakan pada
aplikasi yang lebih tinggi resikonya. Jika PC digunakan hanya untuk pembuatan memo yang
tidak rahasia sifatnya, tingkat penelaahan haruslah minimal,jika memang ada. Di lain pihak,
jika sistem PC digunakan untuk menagih pelanggan yang berjumlah jutaan dolar,auditor
internal harus mengincar sistem tersebut untuk ditelaah secara terperinci.

J. PEMROSESAN TERDISTRIBUSI
Deskripsi

28
Teknologi informasi telah berubah secara mendasar dalam 30 tahun belakangan ini. Pada
awal-awal pemrosesan data, kebanyakan perusahaan memproses semua transaksi dalam
mainframe pusat dan melakukan pemrosesan yang tidak penting dalam komputer kecil`

Audit Internal
Pemrosesan terdistribusi memberikan tantangan yang signifikan bagi auditor internal. Sistem
mungkin saja secara geografis terpisah, memiliki vendor yang berbeda, dan sulit untuk diaudit
dari segi teknis. Beberapa area yang harus ditelaah oleh auditor internal meliputi: pemisahan
tugas, standar pemograman, kontrol perubahan program, kontrol procedural, kontrol
keamanan data dan akses, integritas basis data, basos data terdistribusi “rangkaian jaringan”,
pembuatan cadangan dan pemulihan dari bencana, keahlian pengguna, dan telekomunikasi.

K. DOKUMENTASI
Deskripsi
Dokumentasi harus menjelaskan proses yang akan dilakukan oleh program dalam sistem
tersebut. Dokumentasi harus mengidentifikasi arsip-arsip data dan field dalam arsip-arsip
tersebut yang akan diproses. Dokumentasi harus menjelaskan laporan yang akan dibuat untuk
pengguna. Dokumentasi juga meliputi layar online. Dokumentasi harus menetapkan perintah
operasional untuk operator sistem.

Program dokumentasi yang komprehensif untuk system yang terkomputerisasi meliputi

bentuk-bentuk dokumentasi berikut ini:

 Dokumentasi sistem: Tujuan sistem, bagan alir yang menghubungkan langkah manual
dan terkomputerisasi, spesifikasi system untuk desain dan pengembangan, bentuk
input dan prosedurnya, format catatan, rincian dari jejak transaski, serta penyesuaian
dan prosedur kontrol
 Dokumentasi program: Narasi program yang dibutuhkan untuk memfasilitasi
perawatan setelah instalasi pertama kali, deskripsi bahasa kontrol pekerjaan, kartu
parameter, data uji program, daftar uji, perintah distribusi input/output, perintah
pemeliharaan data, informasi kontrol perubahan yang tepat, serta salinan pemintaan
perubahan program.
 Dokumentasi operasi: Perintah dibutuhkan untuk menjalankan aplikasi secara akurat
dan efisien, untuk menyamakan input dan output, untuk mendistribusikan laporan,
serta untuk memfasilitasi penyalaan ulang dan pemulihan.
 Dokumentasi perpustakaan: Prosedur untuk membuat cadangan dan pemeliharaan,
pembatasan akses ke data yang sensitif, dan pemulihan.
 Dokumentasi pengguna: Deskripsi naratif atas dokumentasi system dan diagram alir
umum; perintah untuk melengkapi formulir input dan transaksi, termasuk semua nilai

29
 kode yang dibutuhkan, prosedur kontrol untuk penyesuaian, rekonsiliasi, dan
pemeliharaan transaksi kontrol keseluruhan, arsip utama, dan hasil pemrosesan.
 Dokumentasi kontrol: Narasi atas poin-poin tertentu dalam system aplikasi
menunjukkan tempat pengguna, auditor internal, dan karyawan pemroses data, dapat
berharap enemukan kontrol danmetode dimana kecukupan dan keefektifannya dapat
diverifikasi.

Audit Internal
Para auditor internal harus menelaah prosedur yang ada berkenaan dengan pembuatan
dokumentasi. Didalam pengujian mereka, mereka harus memerhatikan dokumentasi program,
sistem, operasi dan prosedur pengguna. Para auditor internal harus secara khusus
memerhatikan dokumentasi atas prosedur kontrol perubahan, yang memungkinkan adanya
manipulasi.

Auditor internal harus menelaah dokumentasi perencanaan untuk melihat apakah dokumentasi
tersebut berisi informasi mengenai:

 Tujuan dan sasaran system

 Bagan alir system
 Deskripsi fungsi administrative dan mekanis
 Logika umum program untuk aplikasi baru
 Deskripsi data input
 Salinan dokumen sumber
 Deskripsi output system yang baru
 Katalog kontrol harus dimasukkan
 Pengecualian pelaporan dan tindakan yang harus dilakukan atas pengecualian tersebut
 Daftar arsip yang harus dipelihara, baik manual maupun yang dapat dibaca oleh mesin
 Jadwal pemeliharaan arsip
 Standar dokumentasi minimum untuk program

L. EFISIENSI DALAM SISTEM INFORMASI

Deskripsi
Aktivitas SI membutuhkan sistem akuntansi yang memadai. Aktivitas ini harus menetapkan
proyek kegiatan tertentu yang dibutuhkan untuk memenuhi tujuan pihak manajemen. Aktivitas
tersebut harus menetapkan metode dan pusat biaya terperinci untuk menelusuri dan
mengontrol kemajuan dari proyek atau kegiatan. Aktivitas tersebut harus mengakumulasi data
untuk mengukur biaya, memutuskan bagaimana cara membuat tarif tagihan, dan
membebankan biaya ke pengguna. Sistem biaya harus memenuhi tiga kebutuhan berbeda ini:

30
 1. Bagi para manajer SI, untuk mengukur efektivitas dan efisiensi biaya mereka sendiri,
untuk merencanakan beban kerja di masa mendatang, untuk membenarkan sumber
daya yang ditugaskan, dan untuk mentransfer biaya ke unit-unit pengguna.
2. Bagi para manajer senior, untuk mengetahui biaya system informasi dan untuk
mengetahui apakah hasilnya membantu dalam memenuhi tujuan perusahaan.
3. Bagi para pengguna, untuk memberi mereka informasi mengenai biaya layanan SI,
utnuk membantu mereka memutuskan apakah mereka dapat membayar layanan
tersebut, untuk menetapkan bagaimana layanan ini berhubungan dengan aktivitas
mereka sendiri, dan untuk memperlihatkan pada mereka bagaimana mereka di dalam
posisi mengontrol biaya tersebut.

Audit Internal
Para auditor internal harus melakukan evaluasi untuk menetapkan apakah sumber daya
personel, properti, dan ruang digunakan secara efisien dan ekonomis. Mereka harus
mengetahui apakah operasi memberikan hasil yang diharapkan.

M. KETENTUAN HUKUM
Deskripsi
Ketentuan hukum dapat membuat perubahan yang signifikan dalam sistem SI dan aplikasi.
Selain kebutuhan manajemen dan para pengguna, ketentuan UU dan aturan hukum harus
diperhitungkan.
Di sektor publik, undang-undang privasi telah ditegakkan di tingkat nasional dan negara
bagian. Undang-undang ini melarang pengumpulan dan penggunaan jenis informasi tertentu.
Berdasarkan Privacy Act of 1974 , lembaga-lembaga tingkat nasional yang berada dalam
yurisdiksi undang-undang tersebut diminta untuk membuat penjagaan administratif teknis, dan
fisik agar dapat memastikan privasi informasi pribadi.

Audit Internal
Fungsi audit internal sehubungan dengan undang-undang dan peraturan pemerintah lainnya
adalah para auditor harus memastikan bahwa semua ketentuan tersebut diketahui dengan baik.
Para auditor harus berkonsultasi dengan konsultan hukum untuk memahami ketentuan yang
ada dan langkah yang harus diambil berdasarkan ketentuan tersebut.

Para auditor internal harus memerhatikan bukan hanya kepatuhan yang sesungguhnya, tetapi
juga harus memerhatikan bagaimanan kepatuhan semacam itu dapat dibuktikan jika ada
keraguan atas hal tersebut.

31