3/18/2020
Pengertian Pengendalian Internal
AUDIT SISTEM INFORMASI
PENGENDALIAN INTERNAL
1 2
Pengendalian Internal
• Jadi dapat disimpulkan bahwa pengendalian
internal adalah pengendalian dalam suatu
organisasi bertujuan untuk menjaga aset
perusahaan, pemenuhan terhadap kebijakan dan
prosedur, kehandalan dalam proses, dan operasi
yang efisien
3 4
• Menurut Gramling, Rioenberg,dan Johnstone (2012:
208), “Internal control is a process related to the
achievement of the organization ’ s objectives.
Organizations identify the risks to achieving those objectives
and implement various controls to mitigate those risks”.
• Pe n ge n d a l i a n i n te rn a l d i p e rl u kan u nt u k
mengidentifikasi risiko agar proses bisnis
perusahaan tidak terganggu.
Tujuan Pengendalian Internal
• tujuan disusunnya system control atau pengendalian internal
komputer adalah sebagai berikut:
– Meningkatkan pengamanan (improve safeguard) aset sistem
informasi (data/catatan akuntansi (accounting records) yang
bersifat logical assets, maupun physical assets seperti
hardware, infrastructures, dan sebagainya).
– Meningkatkan integritas data (improve data integrity), sehingga
dengan data yang benar dan konsisten akan dapat dibuat
laporan yang benar.
– Meningkatkan efektifitas sistem (improve system effectiveness).
– Meningkatkan efisiensi sistem (improve system efficiency).
1
 3/18/2020

Tujuan Sistem Pengendalian Internal Penggolongan Pengendalian Internal

• Tujuan sistem pengendalian internal
direncanakan atau dirancang dengan tujuan
untuk :
– Menjaga kekayaan organisasi,
– Mengecek keteliAan dan kehandalan data
akuntasi,
– Mendorong efisiensi, dan
– Mendorong dipatuhinya kebijakan manajemen.
• Pengendalian internal harus diterapkan terhadap setiap sistem
dan aplikasi, hal ini dilakukan untuk mengurangi exposure yang
selalu muncul pada pencatatan yang buruk, akuntansi yang Adak
tepat, interupsi bisnis, pengambilan keputusan yang buruk,
penipuan dan penggelapan, pelanggaran hukum terhadap
peraturan, peningkatan biaya dan hilangnya aset perusahaan.
• Oleh sebab itu manajemen harus menyadari penAngnya
pengendalian untuk menjaga sistem dari penggunaan secara Adak
tepat, untuk mengurangi Ambulnya kesalahan dan untuk
memaksimalkan hasil dari sistem operasi. Pengendalian ini
digolongkan menjadi 2 golongan yaitu :
– General controls (pengendalian umum).
– Application controls (pengendalian aplikasi).

5 6

Pengaruh Komputer dalam Pengendalian Internal Dua Pendekatan Pengendalian

Tujuan audit SI dapat dicapai dengan baik jika manajemen

meningkatkan sistem kendali internalnya, yaitu dengan:
1. Separation of Duties
2. Delegation of Authority and Responsibility
3. Competent and Trustworthy Personnel
4. System of Authorizations
5. Adequate Documents and Records
6. Physical Control over Assets and Records
7. Adequate Management Supervision
8. independent Checks on Performance
9. Comparing Recorded Accountability with Assets

7 8

2
 3/18/2020

Kerangka Kendali Manajemen (#1) Kerangka Kendali Manajemen (#2)

Subsistem Manajemen Penjelasan Subsistem Manajemen Penjelasan

Top Management Mengendalikan peran top management dalam Security Management Tentang fungsi-fungsi utama yang dilakukan oleh
Controls perencanaan, organisasi, kepemimpinan, dan Controls administrator keamanan untuk mengidentifikasi
pengendalian fungsi SI ancaman terhadap fungsi SI serta untuk merancang,
implementasi, operasi dan merawat kontrol yang
Systems Development Menyediakan perspektif dari berbagai model proses
mengurangi kerugian yang mungkin ditimbulkannya
Management Controls pengembangan SI yang dapat digunakan sebagai dasar
pengumpulan dan evaluasi bukti Operations Tengtang fungsi utama yang dilakukan oleh manajemen
Management Controls operasi untuk memastikan operasi harian dari fungsi SI
Programming Tentang fase-fase utama dalam siklus hidup program
terkendali dengan baik
Management Controls dan kontrol-kontrol penting yang harus diuji dalam
setiap fase Quality Assurance Tentang fungsi-fungsi utama yang harus dilakukan oleh
Data Resource Tentang peran administrator data dan basis data serta Management Controls manajemen penjaminan kualitas untuk memastikan
Management Controls kontrol yang harus diuji dalam fungsi-fungsi yang bahwa pengembangan, implementasi, operasi dan
dilakukannya pemeliharaan SI sesuai dengan standar kualitas

9 10

Kerangka Kendali Aplikasi

Cooperation of public auditors (#1)
Sub-sistem Aplikasi Penjelasan
Pembatasan Berupa komponen yang menetapkan hubungan
The Information Technology Security Evaluation Criteria
(Boundary) (pembatasan) antara user dan sistem.
(ITSEC): sekumpulan kriteria untuk mengevaluasi keamanan
komputer dalam produk dan sistem
Input Berupa komponen yang menangkap (capture), menyiapkan, Trusted Computer System Evaluation Criteria (TCSEC): standar
dan memasukan perintah dan data kedalam sistem. US DoD (Department of Defense) berupa sekumpulan requirements
untuk menilai efektivitas kontrol keamanan komputer dalam sistem
Communication Berupa komponen yang mengirimkan data antar sub-sistem ISO 17799: terdiri atas ISO17799 (aka ISO 27002), yang
dan sistem. merupakan sekumpulan kontrol keamanan (a code of practice), dan
Processing Berupa komponen yang melaksanakan (memproses) ISO 27001 (dahulu BS7799-2), yang merupakan spesifikasi standar
pengambilan keputusan, perhitungan, klasifikasi, untuk Information Security Management System (ISMS).
pemesanan, peringkasan data dalam sistem. CISA/Certified Information Systems Auditor: sertifikasi IT

Database Berupa komponen yang mendefinisikan, menambah,

mengakses,memodifikasi, dan menghapus data dalam
sistem.
Output Berupa komponen yang mengambil dan mempresentasikan
data untuk user dari sistem.

11 12

3
 3/18/2020

Cooperation of public auditors-2

Sumber Daya
Pemisahan Delegasi yang
Fungsl
Control Objectives for Information and I Wewenang &
Tanggung Jawab
Kompeten dan
Terpercaya
related Technology (COBIT): sekumpulan best
practices (framework) untuk manajemen IT, berupa sekumpulan ukuran,
indikator, proses dan best practives untuk memaksimalkan manfaat Slstem
penggunaan IT, dan melakukan tata kelola serta kontrol IT dalam perusahaan Otor lsasl Aku ntabi lltas
Pencatatan
Information Technology Infrastructure Pengendalian
Library (ITIL): sekumpulan konsep dan praktek Information Internal
Technology Services Management (ITSM), pengembangan Information Dokumentast
Technology (IT) dan operasi IT. dan Pencatatan Super v lsl o leh
Manajemen
Committee of Sponsoring Organizations
of the Treadway Commission, atau disingkat COSO, Pengen dalian
Phis i k atas Aset
Eva luasl
Klner ja Secara
adalah suatu inisiatif untuk mengidentifikasi faktor-faktor yang menyebabkan dan Dokumen lndependen
penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi
kejadian tersebut. COSO telah menyusun suatu definisi umum untuk
pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan
untuk menilai sistem pengendalian mereka.

13 14

Pengendalian Umum (General Control)

• Menurut Sawyer, Di0 enhofer, & Scheiner (2005, hal. 549), general
control consist of those controls in the IS and user environment
that are pervasive over all or most applica5on. They include such
controls as segrega5on of incompa5ble du5es, system
development procedures, data security, all administra5ve controls,
and disaster recovery capabili5es.
PENGENDALIAN UMUM • Pengendalian umum didefinisikan sebagai sistem pengendalian
internal komputer yang berlaku umum melipuA seluruh kegiatan
komputerisasi sebuah organisasi secara menyeluruh. ArAnya
ketentuan – ketentuan dalam pengendalian tersebut berlaku
untuk seluruh kegiatan komputerisasi yang digunakan di
perusahaan tersebut.

15 16

4

Contoh Pengendalian Umum
• Pengendalian umum juga dapat diarAkan sebagai
pengendalian yang Adak terkait langsung ke suatu
aplikasi tertentu.
• Misalnya dalam contoh ATM di atas, ketentuan bahwa
masuk ke ruang ATM Adak boleh memakai helm. Adanya
CCTV di ruang ATM dan ketentuan adanya SATPAM di
situ adalah dapat dikategorikan dengan pengendalian
umum (ketentuan--ketentuan tersebut Adak langsung
dengan transaksi pengambilan uang di mesin ATM).
17
Unsur Pengendalian Umum
• Dari beberapa pengendalian umum tersebut,
berdasarkan ruang lingkup dari penulisan skripsi
ini, maka yang akan dibahas adalah :
– Pengendalian Manajemen Operasi (Opera5onal
Management Controls)
– Pengendalian Manajemen Keamanan (Security
Management Controls)
19
3/18/2020
Ruang lingkup pengendalian umum
• Ruang lingkup yang termasuk dalam pengendalian umum
(pengendalian perspekAf manajemen) diantaranya adalah :
– Pengendalian manajemen puncak (top management controls).
– Pengendalian manajemen pengembangan sistem (informa5on
system management controls).
– Pengendalian manajemen sumber data (data resources
management controls).
– Pengendalian manajemen operasi (opera5ons management
controls).
– Pengendalian manajemen keamanan (security administra5on
management controls).
– Pengendalian manajemen jaminan kualitas (quality assurance
management controls).
18
Opera- onal Management Controls
• Pengendalian manajemen operasi merupakan jenis pengendalian
internal yang didesain untuk pengelolaan sumber daya dan operasi
IT pada suatu organisasi. Pengendalian manajemen operasi
disusun dengan tujuan untuk menciptakan kerangka kerja
organisasi, pendayagunaan sumber daya informasi, dan
pembagian tugas yang baik bagi suatu organisasi yang
menggunakan sistem berbasis teknologi informasi.
– Pemisahan tugas dan fungsi
– Pengendalian personil
– Pengendalian perangkat keras
– Pengendalian jaringan
– Manajemen operasi
20
5
 3/18/2020

Pemisahan tugas dan fungsi Pengendalian personil

• Pemisahan tugas dan fungsi didesain untuk memasAkan bahwa fungsi
– fungsi yang Adak sejalan (atau seharusnya -- cek), seperA : fungsi
analisis/desain dan pemprograman dengan operasi komputer
(mencakup penyiapan transaksi, otorisasi, proses entri, dan
pelaporan) telah dipisahkan. Terdapat dua pemisahan fungsi yaitu :
– Pemisahan fungsi departement IT dengan non IT (users) Pemisahan
fungsi ini bertujuan untuk memisahkan antara
pemakai dengan departement IT sehingga meningkatkan
pengendalian terhadap akAvitas IT.
– Pemisahan fungsi dalam departement IT
Fungsi – fungsi departement IT dapat dipisahkan berdasarkan
fungsi sistem dan pemrograman, operasi komputer, pengendalian
dan penjadwalan input/output, pemeliharaan media (library).
• Personil mempunyai peranan penAng dalam pengendalian sistem.
Pengendalian personil dapat diindikasikan oleh hal--hal berikut :
– Adanya prosedur penerimaan dan pemilihan pegawai
– Adanya program peningkatan keahlian pegawai melalui pelaAhan
yang berhubungan dengan bidang tugasnya
– Adanya evaluasi atas pekerjaan yang dilakukan pegawai
– Administrasi atas gaji dan prosedur promosi yang jelas
– Penggunaan uraian tugas (job descrip5on)
– Pemilihan dan pelaAhan pegawai
– Penyediaan (supervisi) dan penilaian
– Penggiliran pekerjaan (job rota5on) dan keharusan mengambil
cuA
– Adanya jenjang karier serta sarana dan aturan untuk mencapainya

21 22

Pengendalian perangkat keras Pengendalian jaringan

• Pengawasan terhadap akses fisik • Alat bantu (tools) penAng yang dapat digunakan oleh operator untuk mengelola wide
Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap area network adalah network control terminal. Network control terminal menyediakan
perangkat komputer perlu diawasi. akses kepada soL ware system yang khusus untuk mengelola jenis fungsi dibawah ini agar
• Pengaturan lokasi fisik dapat berjalan dengan baik, yaitu :
Lokasi ruang komputer merupakan perAmbangan yang penAng dalam pengendalian keamanan – Memulai dan menghenAkan jaringan dan proses
komputer
– Memonitor akAvitas jaringan
• Penggunaan alat pengamanan
– MengganA nama line komunikasi
Alat – alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan
kerusakan – Mengenerate sta5s5c system
• Pengendalian operasi perangkat keras – MenseMng ulang panjangnya antrian
Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga – Menambah frekuensi backup
perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut – Menanyakan status sistem
• Pengendalian perangkat lunak – Mengirimkan system warning dan status message
Pengendalian perangkat lunak didesain untuk memasAkan keamanan dan kehandalan sistem
– Memeriksa lintasan data pada line komunikasi
• Pengendalian keamanan data
• Network control terminal juga dapat digunakan untuk menjalankan fungsi yang sejenis ke
Pengendalian keamanan data merupakan suatu Andakan pengendalian untuk menjaga keamanan
datayang tersimpan didalam media penyimpanan agar Adak hilang dan rusak, atau diakses oleh peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan
orang yang Adak berhak. harta dan data integrity, network control terminal adalah komponen yang sangat penAng
pada suatu jaringan.

23 24

6
 3/18/2020

Manajemen operasi Security Management Controls (1)

• Saat ini fungsi sistem yang sekarang digunakan pada • Menurut Gondodiyoto (2007, hal. 345) pengendalian internal
manajemen operasi adalah komputer mikro secara stand terhadap manajemen keamanan (security management controls)
dimaksudkan untuk menjamin agar aset sistem informasi tetap
alone, mul5 user atau jaringan (network) atau dalam
aman. Aset sumber daya informasi mencakup fisik (perangkat
bentuk client server. mesin dan fasilitas penunjangnya) serta aset tak berwujud (non
– Service level agreements fisik, misalnya data/informasi, dan program aplikasi komputer).
– Kepustakaan file – Kebijakan keamanan IT (IT security policy)
– Fungsi help desk – Beberapa aspek serangan potensial
– Mitos--mitos seputar keamanan komputer
– Capacity planning
– Kebijakan keamanan komputer
– Outsource – Personil dan kebijakan keamanan komputer

25 26

Security Management Controls (2) Security Management Controls (3)

• Menurut Weber (1999 : 256), Pengendalian Manajemen Keamanan melipuA perlindungan
terhadap asset dan fungsi sistem informasi, yang dapat diimplementasi. Berikut beberapa
ancaman terhadap sistem informasi beserta cara penanganannya:
– Kebakaran
• Tindakan pengamanan untuk ancaman kebakaran adalah :
• Memiliki alarm kebakaran otomaAs yang diletakkan di ruangan dimana aset – aset
sistem informasi berada.
• Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau.
• Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan yang tahan
api.
– Banjir
• Tindakan pengamanan untuk ancaman kebanjiran, antara lain :
• Memiliki atap, dinding dan lantai yang dibuat dari bahan yang tahan air.
– Perubahan tegangan sumber energi
• Tindakan pengamanan untuk mengatasi perubahan tegangan sumber energi listrik,
dapat menggunakan stabilizer ataupun Uninterrup5ble Power Supply (UPS) yang
mampu mengatasi masalah yang terjadi keAka tegangan listrik Aba – Aba turun.
– Polusi
• Tindakan pengamanan untuk menganAsipasi polusi adalah dengan membuat situasi
kantor bebas debu, Adak memperbolehkan membawa binatang peliharaan serta
melarang pegawai membawa atau meletakkan minuman di dekat peralatan komputer.
– Virus dan Worm
• Tindakan pengamanan untuk menganAsipasi virus dan worm adalah :
• PrevenAf, dapat dengan menginstal anA virus dan di--update secara berkala,
melakukan scan atas file yang akan digunakan.
• DetekAf, melakukan scan secara ruAn untuk mendeteksi adanya virus maupun
worm.
• KorekAf, memasAkan back up data bebas virus dan worm, pemakaian anA virus
terhadap file yang terinfeksi.

27 28

7

PENGENDALIAN APLIKASI
29
Contoh Pengendalian Aplikasi
• Pengendalian aplikasi disebut juga pengendalian
transaksi, karena didesain berkaitan dengan transaksi
pada aplikasi tertentu.
• Misalnya apabila nasabah akan mengambil uang di ATM,
setelah memasukkan kartu akan dimina PIN, atau setelah
memasukkan nilai uang yang akan diambil, ATM akan
mengecek sapakah saldo cukup, atau jumlahnya diijinkan
sesuai dengan mengecek apakah saldo cukup, atau
jumlahnya diijinkan sesuai dengan ketentuan bank.
Pengendalian berupa PIN dan limit pengambilan uang
tersebut hanya berlaku di ATM, Adak berlaku di kegiatan
lain.
31
3/18/2020
Pengendalian Aplikasi (Applica- on Control)
• Menurut Ruppel (2008, hal. 537--538) applica5on controls help
ensure the completeness and accuracy of transac5on processing,
authoriza5on, and validity edit checks, numerical sequence checks,
and manual follow up of the excep5on report are example of
applica5on controls.
• pengendalian aplikasi (appliac5on controls) adalah sistem
pengendalian intern (internal control) pada sistem informasi
berbasis teknologi informasi yang berkaitan dengan pekerjaan/
kegiatan/aplikasi tertentu (seAap aplikasi memiliki karakterisAk
dan kebutuhan pengendalian yang berbeda).
30
Unsur Pengendalian Aplikasi
• Terdapat beberapa unsur dalam pengendalian aplikasi,
pengendalian aplikasi pada dasarnya terdiri dari :
– Pengendalian batas sistem (boundary controls)
– Pengendalian masukan (input controls)
– Pengendalian proses pengolahan data (process controls)
– Pengendalian keluaran (output controls)
– Pengendalian file/database (file/database controls)
– Pengendalian komunikasi aplikasi (communica5on
controls)
• Namun yang akan dibahas dalam penulisan skripsi ini melipuA
boundary controls, input controls, output controls.
32
8

Pengendalian batas sistem (boundary controls)
• boundary adalah interface antara users dengan sistem berbasis
teknologi informasi. Tujuan utama boundary controls adalah
antara lain :
– Untuk mengenal idenAtas dan otenAk/Adaknya pemakai
sistem, arAnya suatu sistem yang didesain dengan baik
seharusnya dapat mengidenAfikasi dengan tepat siapa users
tersebut, dan apakah idenAtas diri yang dipakainya otenAk.
– Untuk menjaga agar sumber daya sistem informasi digunakan
oleh user dengan cara yang ditetapkan.
• Contoh dari pengendalian batasan :
– Otoritas akses ke sistem aplikasi
– IdenAtas dan otenAsitas pengguna
33
Batch system (delayed processing systems)
• Pada sistem pengolahan data secara batch processing system, Aap transaksi
(misalnya formulir sensus, kartu pencoblosan pemilihan ketua umum, atau answer
sheet ujian calon mahasiswa) dibundel dalam jumlah lembar tertentu untuk
direkam. Demikian pula sistem batch dalam siklus akuntansi keuangan (book
keeping untuk mencatat transaksi ke dalam jurnal, posAng ke buku besar dan buku
pembantu, serta pengolahan untuk menghasilkan laporan keuangan) dilakukan Adak
pada saat transaksi itu terjadi. Sistem pengolahan data lebih bersifat back office
system, yaitu semata--mata untuk mengolah data dokumen--dokumen akuntansi yang
transaksinya sudah lewat. Jadi pengolahan datanya tertunda (delayed processing).
Pada sistem batch ini orientasi utamanya adalah sistem pengolahan data (dahulu
disebut sistem pengolahan data elektronik, electronic data processing, EDP).
• Data input yang akan dimasukkan ke sistem informasi berbasis teknologi pada
hakikatnya dapat dikelompokan dalam Aga tahapan, yaitu (1) data capture
(penangkapan data, pengisian dokumen sumber atau source document), (2) data
prepara5on (penyiapan data untuk di entry), (3) data entry (pemasukan data)
merupakan proses merekam atau memasukan data ke komputer, suatu proses
mengubah data ke dalam bentuk yang dapat dibaca oleh mesin (machine readable
form).
35
3/18/2020
Pengendalian masukan (input controls)
• Pengendalian masukan (input controls) dirancang dengan
tujuan untuk mendapat keyakinan bahwa data transaksi
input adalah valid, lengkap, serta bebas dari kesalahan dan
penyalahgunaan. Input controls ini merupakan
pengendalian aplikasi yang penAng karena input yang salah
akan menyebabkan output juga keliru.
• Mekanisme masuknya data input ke sistem dapat
dikategorikan ke dalam dua cara yaitu :
– Batch system (delayed processing systems)
– On line transac5on processing system (pada umumnya
bersifat real 5me system)
34
On line transac- on processing system
• On line transac5on processing system (pada umumnya bersifat real 5me system)
• Cara pemrosesan data input yang lain yang lebih lazim pada saat ini adalah
dengan online transac5on processing system. Pada sistem tersebut data
masukan dientri dengan worksta5on/terminal atau jenis input device seperA
ATM (automa5c teller machine) dan point of sales (POS). Meskipun online bisa
saja dengan memakai pola batch, tetapi biasanya online dikaitkan dengan real
5me system, arAnya upda5ng data di komputer bersamaan dengan terjadinya
transaksi.
• Contoh dari pengendalian input :
– Otoritas dan validasi masukan
– Transmisi dan konversi data
– Penanganan kesalahan
36
9
 3/18/2020

Pengendalian keluaran (output controls) Pendistribusian keluaran

• Pengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga
output sistem agar akurat, lengkap, dan digunakan sebagaimana mesAnya. • Pengendalian ini didesain untuk memasAkan
Pengendalian keluaran (output controls) ini didesain untuk menjamin agar bahwa keluaran didistribusikan kepada pihak yang
output / informasi dapat disajikan secara akurat, lengkap, mutakhir, dan
didistribusikan kepada orang--orang yang berhak (para user) secara cepat dan berhak, dilakukan secara tepat waktu dan hanya
tepat waktu. Yang termasuk pengendalian keluaran antara lain adalah : ke l u a ra n ya n g d i p e r lu ka n s a j a ya n g
– Rekonsiliasi keluaran dengan masukan dan pengolahan
Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran didistribusikan.
dari sistem dengan dokumen asal.
• Contoh dari pengendalian output :
– Penelaahan dan pengujian hasil--hasilpengolahan
Pengendalian ini dilakukan dengan cara melakukan penelaahan, – Rekonsiliasi keseluruhan
pemeriksaan dan pengujian terhadap hasil--hasil pengolahan dari sistem.
Proses penelaahan dan pengujian ini biasanya dilakukan oleh atasan
– Penelaahan dan pengujian hasil pengolahan
langsung pegawai. – Distribusi keluaran

37 38

Sifat--Sifat Pengendalian Internal Kelompok Pegendalian Internal

• pengendalian internal digolongkan dalam preven5ve, detec5on, correc5ve :
– Preven5ve control, yaitu pengendalian internal yang dirancang dengan
• Pengendalian intern dikelompokkan dalam
maksud untuk mengurangi kemungkinan (atau mencegah/menjaga jangan pengendalian yang bersifat wajib (mandatory)
sampai terjadi kesalahan, kekeliruan, kelalaian, error) maupun
penyalahgunaan (kecurangan, fraud)
dan yang opsional
– Detec5on control, yaitu pengendalian yang didisain dengan tujuan agar – Jika ada peraturan dari pemerintah DKI bahwa setelah
apabila data direkam (di--entry)/dikonfersi dari media sumber (media input)
untuk di transfer ke sistem komputer dapat dideteksi apabila terjadi
jam 24.00 ruang ATM harus dikunci dalam rolling--door
kesalahan (maksudnya Adak sesuai dengan kriteria yang ditetapkan). misalnya, maka ketentuan tersebut adalah mandatory.
– Correc5ve control, ialah pengendalian yang sifatnya jika terdapat data yang – Jika ketentuan pengamanan ruang ATM tersebut Adak
sebenarnya error tetapi Adak terdeteksi oleh program validasi, harus ada
prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap harus dilakukan, maka termasuk pengendalian yang
data yang salah dengan maksud untuk mengurangi kemungkinan kerugian bersifat opsional.
atau kesalahan/ penyalahgunaan tersebut sudah benar--benar terjadi.

39 40

10
 3/18/2020

Ak5vitas Pengendalian Fungsi Internal Auditor

• seorang auditor TI sebaiknya ampu melakukan pekerjaan--pekerjaan sebagai berikut:
• Menurut Weygandt (2011), terdapat enam prinsip – Mengevaluasi pengendalian atas aplikasi--aplikasi tertentu, yang mencakup analisis
akAvitas pengendalian, yaitu: terhadap risiko dan pengendalian atas aplikasi--aplikasi seperA e--business, sistem
perencanaan sumber daya perusahaan.
– Penetapan tanggung jawab – Memberikan asersi (assurance) atas proses--proses tertentu, seperA audit dengan
prosedur--prosedur tertentu yang disepakaA bersama dengan auditee mengenai
– Pembagian tugas lingkup asersi.
– Memberikan asersi atas akAfitas pengolahan data pihak keAga dengan tujuan untuk
– Prosedur dokumentasi memberikan asersi bagi pihak lain yang memerlukan informasi mengenai akAfitas
– Pengendalian fisik pengendalian data yang dilakukan oleh pihak keAga tersebut.
– Pengujian penetrasi, yaitu upaya untuk mengakses sumber daya informasi guna
– Verifikasi internal yang dilakukan secara independen menemukan kelemahan--kelemahan yang ada dalam pengolahan data tersebut.
– Memberikan dukungan atas pekerjaan audit keuangan yang mencakup evaluasi atas
– Pengendalian sumber daya manusia risiko dan pengendalian TI yang dapat mempengaruhi kehandalan sistem pelaporan
keuangan.
– Mencari kecurangan yang berbasis TI, yaitu menginvesAgasi catatan--catatan
komputer dalam invesAgasi kecurangan.

41 42

Audit Sistem Informasi Audit Sistem Informasi – Sejarah Awal

• Meliputi:
– Tata kelola teknologi informasi secara menyeluruh
– Audit pengembangan sistem informasi (SDLC),
satu jenis aplikasi tertentu
• Di America
– Univac – Komputer yang digunakan untuk sensus
– 1959 – komputer digunakan untuk pembukuan
– IBM360 – mainframe untuk kebutuhan akuntansi
• Muncul istilah audit arround computer
– EEDPAA – electronic data processing auditors association lahir
tahun 1969
• Mengeluarkan control objective (sejak tahun 1994 disebut CobIT)
• Dianggap sebagai international set of generally accepted IT
control objectives for day-to day use by business managers, users
of it and IS auditors

43 44

11
 3/18/2020

Audit Sistem Informasi Kebutuhan Audit Sistem Informasi

• Perlu dilakukan untuk memeriksa tingkat • General Financial Audit

– Audit objective sesuai dengan standar akuntansi keuangan
kematangan atau kesiapan suatu organisasi – Referensi model adalah COSO (committee of sponsoring
dalam melakukan pengelolaan teknologi Organization)
informasi • IT Governance
• Level of maturity dapat dilihat dari awareness – Audit operasional terhadap manajemen pengelolaan
sumberdaya informasi
dari para stake holder – Aspek-aspek:efektifitas, efesiensi, data integrity, save guarding
– Karenanya sebuah penerapan IT harus melalui asset, reliability, confidentiallity, availability, security.
tahapan perencanaan yang baik.

3/18/2020 16:51 46

45 46

Audit Sistem Informasi – IT Governance Audit Sistem Informasi

• Selain dapat dilakukan untuk sistem secara menyeluruh,
dapat juga dilakukan terhadap:
• Karena yang diaudit ialah tata kelola TI, maka
– General information review yang diperiksa adalah TI itu sendiri
• Audit terhadap sistem informasi – Karena itu istilah audit arround the computer dan
– Quality Assurance
• Auditor (bukan anggota tim pengembang), membantu meningkatkan
audit through the computer tidak relevan lagi
kualitas dari sistem. Auditor mewakili pimpinan proyek.
– Postimplementation Audit
• Audit TI/SI tidak bersifat wajib
• Apakah sistem perlu dimutakhirkan atau diperbaiki atau – Adanya aktifitas TI merupakan bentuk kesadaran
dihentikan. dari pihak manajemen
• Istilah audit arround dan audit through the computer tidak berlaku
lagi pada audit jenis ini

47 48

12
 3/18/2020

Audit Sistem Informasi - Faktor Audit Sistem Informasi – Faktor (2)

• Mendeteksi apakah komputer dikelola secara • Mendeteksi resiko penyalahgunaan komputer
kurang terarah
• Menjaga kerahasiaan
– Tidak ada visi, misi, perencanaan teknologi
informasi, tidak ada pelatihan • Meningkatkan pengendalian evolusi
• Mendeteksi resiko kehilangan data penggunaan komputer/perkembangan ke
• Mendeteksi resiko informasi yang tidak depan
akurat, berdasarkan data yang salah.
• Menjaga aset
• Mendeteksi error komputer

49 50

Pengelolaan TI – Level of Maturity Pengelolaan TI – Level of Maturity (2)

o Non Existence 3. Defined
• Tahap awal, komputerisasi dilakukan – Seluruh proses telah didokumentasikan dan telah
secara alamiah, tidak ada metodologi dikomunikasikan dan dilaksanakan berdasarkan
suatu metoda tertentu
1. Initial
4. Managed
• Ada kegiatan penyusunan sistem yang
– Proses komputerisasi telah dapat diukur dan
terarah, masih bersifat ad hoc dimonitor.
2. Repeatable 5. Optimized
• Sudah menemukan pola pengembangan – Best Practices telah diikuti dan diotomatisasi pada
yang terarah, berjalan dengan pola yang sistem.
sama.

51 52

13
 3/18/2020

Audit SI – Ukuran Nilai Audit SI – Ukuran Nilai (2)

• Strategic Alignment • Risk Management
– Apakah penerapan TI sudah sesuai dengan yang – Sudah ada penaksiran resiko, ada jaminan
diaharapkan, apakah sudah sesuai kebutuhan kelangsungan operasi.

• Value Delivery • Resources Management

– Komputerisasi bukan hanya untuk memenuhi – Pengelolaan sumber daya, termasuk
kebutuhan tapi juga sudah dimaksudkan untuk pengembangan pengetahuan sudah
memberikan nilai tambah, ex: penghematan dilakukan secara efesien
biaya, meningkatkan kinerja.

53 54

Standar Audit SI
• Standar Atestasi dan standar pemeriksaan
akuntan (IAI)
• ISACA – standards, guidelines, and
procedures
– Secara teknis mengacu kepada guidelines dan
prosedur yang diatur dalam CObIT:
• CObIT executive summary, CObIT framework, CObIT
Control Objectives, CObIT Control Practice, CObIT
Management Guidelines, CObIT Security Baseline

55

14