AUDIT

 SISTEM  INFORMASI  

PENGENDALIAN  INTERNAL  
 Penger5an  Pengendalian  Internal  

•  Menurut   Gramling,   Ri0enberg,   dan   Johnstone  

(2012:  208),  “Internal  control  is  a  process  related  
to   the   achievement   of   the   organiza5on ’ s  
objec5ves.   Organiza5ons   iden5fy   the   risks   to  
achieving  those  objec5ves  and  implement  various  
controls  to  mi5gate  those  risks”.  
•  Pengendalian   internal   diperlukan   untuk  
mengidenAfikasi   risiko   agar   proses   bisnis  
perusahaan  Adak  terganggu.  
 Pengendalian  Internal  
•  Jadi   dapat   disimpulkan   bahwa   pengendalian  
internal   adalah   pengendalian   dalam   suatu  
organisasi   bertujuan   untuk   menjaga   aset  
perusahaan,   pemenuhan   terhadap   kebijakan   dan  
prosedur,   kehandalan   dalam   proses,   dan   operasi  
yang  efisien  
 Tujuan  Pengendalian  Internal  
•  tujuan  disusunnya  system  control    atau  pengendalian  internal  
komputer  adalah  sebagai  berikut:  
–  Meningkatkan  pengamanan  (improve  safeguard)  aset  sistem  
informasi  (data/catatan  akuntansi  (accoun5ng  records)  yang  
bersifat  logical  assets,  maupun  physical  assets  seperA  
hardware,  infrastructures,  dan  sebagainya).  
–  Meningkatkan  integritas  data  (improve  data  integrity),  sehingga  
dengan  data  yang  benar  dan  konsisten  akan  dapat  dibuat  
laporan  yang  benar.  
–  Meningkatkan  efekAfitas  sistem  (improve  system  effec5veness).  
–  Meningkatkan  efisiensi  sistem  (improve  system  efficiency).  
 Tujuan  Sistem  Pengendalian  
Internal  
•  Tujuan  sistem  pengendalian  internal  
direncanakan  atau  dirancang  dengan  tujuan  
untuk  :  
– Menjaga  kekayaan  organisasi,  
– Mengecek  keteliAan  dan  kehandalan  data  
akuntasi,  
– Mendorong  efisiensi,  dan  
– Mendorong  dipatuhinya  kebijakan  manajemen.  
Penggolongan  Pengendalian  Internal  
•  Pengendalian     internal     harus   diterapkan   terhadap   seAap   sistem  
dan   aplikasi,   hal   ini   dilakukan   untuk   mengurangi   exposure   yang  
selalu   muncul   pada   pencatatan   yang   buruk,   akuntansi   yang   Adak  
tepat,   interupsi   bisnis,   pengambilan   keputusan   yang   buruk,  
penipuan   dan   penggelapan,   pelanggaran   hukum   terhadap  
peraturan,  peningkatan  biaya  dan  hilangnya  aset  perusahaan.  
•  Oleh   sebab   itu   manajemen   harus   menyadari   penAngnya  
pengendalian  untuk  menjaga  sistem  dari  penggunaan  secara  Adak  
tepat,   untuk   mengurangi   Ambulnya   kesalahan   dan   untuk  
memaksimalkan   hasil   dari   sistem   operasi.   Pengendalian   ini  
digolongkan  menjadi  2  golongan  yaitu  :  
–  General  controls  (pengendalian  umum).  
–  Applica5on  controls  (pengendalian  aplikasi).  
PENGENDALIAN  UMUM  
 Pengendalian  Umum  (General  Control)  

•  Menurut   Sawyer,   Di0enhofer,   &   Scheiner   (2005,   hal.   549),   general  

control   consist   of   those   controls   in   the   IS   and   user   environment  
that   are   pervasive   over   all   or   most   applica5on.   They   include   such  
controls   as   segrega5on   of   incompa5ble   du5es,   system  
development  procedures,  data  security,  all  administra5ve  controls,  
and  disaster  recovery  capabili5es.  
•  Pengendalian   umum     didefinisikan   sebagai   sistem   pengendalian  
internal   komputer   yang   berlaku   umum   melipuA   seluruh   kegiatan  
komputerisasi   sebuah   organisasi   secara   menyeluruh.   ArAnya  
ketentuan   –   ketentuan   dalam   pengendalian   tersebut   berlaku  
untuk   seluruh   kegiatan   komputerisasi   yang   digunakan   di  
perusahaan  tersebut.  
 Contoh  Pengendalian  Umum  
•  Pengendalian   umum   juga   dapat   diarAkan   sebagai  
pengendalian   yang   Adak   terkait   langsung   ke   suatu  
aplikasi  tertentu.    
•  Misalnya   dalam   contoh   ATM   di   atas,   ketentuan   bahwa  
masuk   ke   ruang   ATM   Adak   boleh   memakai   helm.   Adanya  
CCTV   di   ruang   ATM   dan   ketentuan   adanya   SATPAM   di  
situ   adalah   dapat   dikategorikan   dengan   pengendalian  
umum   (ketentuan-­‐ketentuan   tersebut   Adak   langsung  
dengan  transaksi  pengambilan  uang  di  mesin  ATM).  
Ruang  lingkup  pengendalian  umum    
•  Ruang   lingkup   yang   termasuk   dalam   pengendalian   umum  
(pengendalian  perspekAf  manajemen)  diantaranya  adalah  :  
–  Pengendalian  manajemen  puncak  (top  management  controls).  
–  Pengendalian   manajemen   pengembangan   sistem   (informa5on  
system  management  controls).  
–  Pengendalian   manajemen   sumber   data   (data   resources  
management  controls).        
–  Pengendalian   manajemen   operasi   (opera5ons   management  
controls).  
–  Pengendalian   manajemen   keamanan   (security   administra5on  
management  controls).  
–  Pengendalian   manajemen   jaminan   kualitas   (quality   assurance  
management  controls).  
 Unsur  Pengendalian  Umum  
•  Dari  beberapa  pengendalian  umum  tersebut,  
berdasarkan  ruang  lingkup  dari  penulisan  skripsi  
ini,  maka  yang  akan  dibahas  adalah  :  
–  Pengendalian   Manajemen   Operasi   (Opera5onal  
Management  Controls)  
–  Pengendalian   Manajemen   Keamanan   (Security  
Management  Controls)  
Opera-onal  Management  Controls  
•  Pengendalian   manajemen   operasi   merupakan   jenis   pengendalian  
internal  yang  didesain  untuk  pengelolaan  sumber  daya  dan  operasi  
IT   pada   suatu   organisasi.   Pengendalian   manajemen   operasi  
disusun   dengan   tujuan   untuk   menciptakan   kerangka   kerja  
organisasi,   pendayagunaan   sumber   daya   informasi,   dan  
pembagian   tugas   yang   baik   bagi   suatu   organisasi   yang  
menggunakan  sistem  berbasis  teknologi  informasi.  
–  Pemisahan  tugas  dan  fungsi  
–  Pengendalian  personil  
–  Pengendalian  perangkat  keras  
–  Pengendalian  jaringan  
–  Manajemen  operasi  
 Pemisahan  tugas  dan  fungsi  
•  Pemisahan  tugas  dan  fungsi  didesain  untuk  memasAkan  bahwa  fungsi  
–   fungsi   yang   Adak   sejalan   (atau   seharusnya   -­‐   cek),   seperA   :   fungsi  
analisis/desain   dan   pemprograman   dengan   operasi   komputer  
(mencakup   penyiapan   transaksi,   otorisasi,   proses   entri,   dan  
pelaporan)  telah  dipisahkan.  Terdapat  dua  pemisahan  fungsi  yaitu  :  
–  Pemisahan  fungsi  departement  IT  dengan  non  IT  (users)  
  Pemisahan   fungsi   ini   bertujuan   untuk   memisahkan   antara  
pemakai   dengan   departement   IT   sehingga   meningkatkan  
pengendalian  terhadap  akAvitas  IT.  
–  Pemisahan  fungsi  dalam  departement  IT  
  Fungsi   –   fungsi   departement   IT   dapat   dipisahkan   berdasarkan  
fungsi  sistem  dan  pemrograman,  operasi  komputer,  pengendalian  
dan  penjadwalan  input/output,  pemeliharaan  media  (library).    
 Pengendalian  personil  
•  Personil   mempunyai   peranan   penAng   dalam   pengendalian   sistem.  
Pengendalian  personil  dapat  diindikasikan  oleh  hal-­‐hal  berikut  :  
–  Adanya  prosedur    penerimaan  dan  pemilihan  pegawai  
–  Adanya  program    peningkatan  keahlian    pegawai  melalui  pelaAhan  
yang  berhubungan  dengan  bidang  tugasnya  
–  Adanya  evaluasi  atas  pekerjaan  yang  dilakukan  pegawai  
–  Administrasi  atas  gaji  dan  prosedur  promosi  yang  jelas  
–  Penggunaan  uraian  tugas  (job  descrip5on)  
–  Pemilihan  dan  pelaAhan  pegawai  
–  Penyediaan  (supervisi)  dan  penilaian  
–  Penggiliran   pekerjaan   (job   rota5on)   dan   keharusan   mengambil  
cuA  
–  Adanya  jenjang  karier  serta  sarana  dan  aturan  untuk  mencapainya  
 Pengendalian  perangkat  keras  
•  Pengawasan  terhadap  akses  fisik  
  Untuk   menjaga   perangkat   komputer   dari   kemungkinan   penyalahgunaan,   akses   fisik   terhadap  
perangkat  komputer  perlu  diawasi.  
•  Pengaturan  lokasi  fisik  
  Lokasi   ruang   komputer   merupakan   perAmbangan   yang   penAng   dalam   pengendalian   keamanan  
komputer  
•  Penggunaan  alat  pengamanan  
 Alat  –  alat  penggunaan  tambahan  diperlukan  untuk  menjaga  keamanan  komputer  dari  kemungkinan  
kerusakan  
•  Pengendalian  operasi  perangkat  keras  
  Pengendalian   operasional   perangkat   keras   merupakan   bentuk   pengendalian   untuk   menjaga  
perangkat  keras  dari  kemungkinan  kerusakan  akibat  kesalahan  pengoperasian  perangkat  tersebut  
•  Pengendalian  perangkat  lunak  
 Pengendalian  perangkat  lunak  didesain  untuk  memasAkan  keamanan  dan  kehandalan  sistem  
•  Pengendalian  keamanan  data  
  Pengendalian   keamanan   data   merupakan   suatu   Andakan   pengendalian   untuk   menjaga   keamanan  
datayang   tersimpan   didalam   media   penyimpanan   agar   Adak   hilang   dan   rusak,   atau   diakses   oleh  
orang  yang  Adak  berhak.  
 Pengendalian  jaringan  
•  Alat   bantu   (tools)   penAng   yang   dapat   digunakan   oleh   operator   untuk   mengelola   wide  
area   network   adalah   network   control   terminal.   Network   control   terminal   menyediakan  
akses  kepada  soLware  system  yang  khusus  untuk  mengelola  jenis  fungsi  dibawah  ini  agar  
dapat  berjalan  dengan  baik,  yaitu  :  
–  Memulai  dan  menghenAkan  jaringan  dan  proses  
–  Memonitor  akAvitas  jaringan  
–  MengganA  nama  line  komunikasi  
–  Mengenerate  sta5s5c  system    
–  MenseMng  ulang  panjangnya  antrian  
–  Menambah  frekuensi  backup  
–  Menanyakan  status  sistem  
–  Mengirimkan  system  warning  dan  status  message    
–  Memeriksa  lintasan  data  pada  line  komunikasi  
•  Network  control  terminal  juga  dapat  digunakan  untuk  menjalankan  fungsi  yang  sejenis  ke  
peralatan  individual  yang  terhubung  dengan  jaringan,  karena  itu  dari  sudut  pengamanan  
harta  dan  data  integrity,  network  control  terminal  adalah  komponen  yang  sangat  penAng  
pada  suatu  jaringan.  
 Manajemen  operasi  
•  Saat   ini   fungsi   sistem   yang   sekarang   digunakan   pada  
manajemen   operasi   adalah   komputer   mikro   secara   stand  
alone,   mul5   user   atau   jaringan   (network)   atau   dalam  
bentuk  client  server.  
–  Service  level  agreements  
–  Kepustakaan  file  
–  Fungsi  help  desk  
–  Capacity  planning  
–  Outsource    
 Security  Management  Controls  (1)  
•  Menurut   Gondodiyoto   (2007,   hal.   345)   pengendalian   internal  
terhadap   manajemen   keamanan   (security   management   controls)  
dimaksudkan   untuk   menjamin   agar   aset   sistem   informasi   tetap  
aman.   Aset   sumber   daya   informasi   mencakup   fisik   (perangkat  
mesin   dan   fasilitas   penunjangnya)   serta   aset   tak   berwujud   (non  
fisik,  misalnya  data/informasi,  dan  program  aplikasi  komputer).  
–  Kebijakan  keamanan  IT  (IT  security  policy)  
–  Beberapa  aspek  serangan  potensial  
–  Mitos-­‐mitos  seputar  keamanan  komputer  
–  Kebijakan  keamanan  komputer  
–  Personil  dan  kebijakan  keamanan  komputer  
 Security  Management  Controls  (2)  
•  Menurut  Weber  (1999  :  256),  Pengendalian  Manajemen  Keamanan  melipuA  perlindungan  
terhadap  asset  dan  fungsi  sistem  informasi,  yang  dapat  diimplementasi.  Berikut  beberapa  
ancaman  terhadap  sistem  informasi  beserta  cara  penanganannya:  
– Kebakaran    
•  Tindakan  pengamanan  untuk  ancaman  kebakaran  adalah  :  
•  Memiliki   alarm   kebakaran   otomaAs   yang   diletakkan   di   ruangan   dimana   aset   –   aset  
sistem  informasi  berada.  
•  Memiliki  tabung  kebakaran  yang  diletakkan  pada  lokasi  yang  mudah  dijangkau.  
•  Gedung   tempat   penyimpanan   aset   sistem   informasi   dibangun   dari   bahan   yang   tahan  
api.  
– Banjir  
•  Tindakan  pengamanan  untuk  ancaman  kebanjiran,  antara  lain  :  
•  Memiliki  atap,  dinding  dan  lantai  yang  dibuat  dari  bahan  yang  tahan  air.  
– Perubahan  tegangan  sumber  energi  
•  Tindakan   pengamanan   untuk   mengatasi   perubahan   tegangan   sumber   energi   listrik,  
dapat   menggunakan   stabilizer   ataupun   Uninterrup5ble   Power   Supply   (UPS)   yang  
mampu  mengatasi  masalah  yang  terjadi  keAka  tegangan  listrik  Aba  –  Aba  turun.  
Security  Management  Controls  (3)  
– Polusi  
•  Tindakan   pengamanan   untuk   menganAsipasi   polusi   adalah   dengan   membuat     situasi  
kantor   bebas   debu,   Adak   memperbolehkan   membawa   binatang   peliharaan   serta  
melarang  pegawai  membawa  atau  meletakkan  minuman  di  dekat  peralatan  komputer.  
– Virus  dan  Worm  
•  Tindakan  pengamanan  untuk  menganAsipasi  virus  dan  worm  adalah  :  
•  PrevenAf,   dapat   dengan   menginstal   anA   virus   dan   di-­‐update   secara     berkala,  
melakukan  scan  atas  file  yang  akan  digunakan.  
•  DetekAf,   melakukan   scan   secara   ruAn   untuk   mendeteksi   adanya   virus   maupun  
worm.  
•  KorekAf,  memasAkan  back  up  data  bebas  virus  dan  worm,  pemakaian  anA  virus  
terhadap  file  yang  terinfeksi.  
PENGENDALIAN  APLIKASI  
 Pengendalian  Aplikasi  (Applica-on  Control)  

•  Menurut   Ruppel   (2008,   hal.   537-­‐538)   applica5on   controls   help  

ensure   the   completeness   and   accuracy   of   transac5on   processing,  
authoriza5on,  and  validity  edit  checks,  numerical  sequence  checks,  
and   manual   follow   up   of   the   excep5on   report   are   example   of  
applica5on  controls.  
•  pengendalian   aplikasi   (appliac5on   controls)   adalah   sistem  
pengendalian   intern   (internal   control)   pada   sistem   informasi  
berbasis   teknologi   informasi   yang   berkaitan   dengan   pekerjaan/
kegiatan/aplikasi   tertentu   (seAap   aplikasi   memiliki   karakterisAk  
dan  kebutuhan  pengendalian  yang  berbeda).  
 Contoh  Pengendalian  Aplikasi  
•  Pengendalian   aplikasi   disebut   juga   pengendalian  
transaksi,   karena   didesain   berkaitan   dengan   transaksi  
pada  aplikasi  tertentu.    
•  Misalnya  apabila  nasabah  akan  mengambil  uang  di  ATM,  
setelah  memasukkan  kartu  akan  dimina  PIN,  atau  setelah  
memasukkan   nilai   uang   yang   akan   diambil,   ATM   akan  
mengecek  sapakah  saldo  cukup,  atau  jumlahnya  diijinkan  
sesuai   dengan   mengecek   apakah   saldo   cukup,   atau  
jumlahnya   diijinkan   sesuai   dengan   ketentuan   bank.  
Pengendalian   berupa   PIN   dan   limit   pengambilan   uang  
tersebut  hanya  berlaku  di  ATM,  Adak  berlaku  di  kegiatan  
lain.  
 Unsur  Pengendalian  Aplikasi  
•  Terdapat   beberapa   unsur   dalam   pengendalian   aplikasi,  
pengendalian  aplikasi  pada  dasarnya  terdiri  dari  :  
–  Pengendalian  batas  sistem  (boundary  controls)  
–  Pengendalian  masukan  (input  controls)  
–  Pengendalian  proses  pengolahan  data  (process  controls)  
–  Pengendalian  keluaran  (output  controls)  
–  Pengendalian  file/database  (file/database  controls)  
–  Pengendalian   komunikasi   aplikasi   (communica5on  
controls)  
•  Namun  yang  akan  dibahas  dalam  penulisan  skripsi  ini  melipuA  
boundary  controls,  input  controls,  output  controls.  
Pengendalian  batas  sistem  (boundary  controls)  

•  boundary  adalah  interface  antara  users  dengan  sistem  berbasis  

teknologi  informasi.  Tujuan  utama  boundary  controls  adalah  
antara  lain  :  
–  Untuk  mengenal  idenAtas  dan  otenAk/Adaknya  pemakai  
sistem,  arAnya  suatu  sistem  yang  didesain  dengan  baik  
seharusnya  dapat  mengidenAfikasi  dengan  tepat  siapa  users  
tersebut,  dan  apakah  idenAtas  diri  yang  dipakainya  otenAk.  
–  Untuk  menjaga  agar  sumber  daya  sistem  informasi  digunakan  
oleh  user  dengan  cara  yang  ditetapkan.  
•  Contoh  dari  pengendalian  batasan  :  
–  Otoritas  akses  ke  sistem  aplikasi  
–  IdenAtas  dan  otenAsitas  pengguna  
 Pengendalian  masukan  (input  controls)  

•  Pengendalian   masukan   (input   controls)   dirancang   dengan  

tujuan   untuk   mendapat   keyakinan   bahwa   data   transaksi  
input  adalah  valid,  lengkap,  serta  bebas  dari  kesalahan  dan  
penyalahgunaan.   Input   controls   ini   merupakan  
pengendalian  aplikasi  yang  penAng  karena  input  yang  salah  
akan  menyebabkan  output  juga  keliru.  
•  Mekanisme   masuknya   data   input   ke   sistem   dapat  
dikategorikan  ke  dalam  dua  cara  yaitu  :  
–  Batch  system  (delayed  processing  systems)  
–  On   line   transac5on   processing   system   (pada   umumnya  
bersifat  real  5me  system)  
 Batch  system  (delayed  processing  systems)  

•  Pada   sistem   pengolahan   data   secara   batch   processing   system,   Aap   transaksi  
(misalnya   formulir   sensus,   kartu   pencoblosan   pemilihan   ketua   umum,   atau   answer  
sheet   ujian   calon   mahasiswa)   dibundel   dalam   jumlah     lembar   tertentu   untuk  
direkam.   Demikian   pula   sistem   batch   dalam   siklus   akuntansi   keuangan   (book  
keeping  untuk  mencatat  transaksi  ke  dalam  jurnal,  posAng  ke  buku  besar  dan  buku  
pembantu,  serta  pengolahan  untuk  menghasilkan  laporan  keuangan)  dilakukan  Adak  
pada   saat   transaksi   itu   terjadi.   Sistem   pengolahan   data   lebih   bersifat   back   office  
system,  yaitu  semata-­‐mata  untuk  mengolah  data  dokumen-­‐dokumen  akuntansi  yang  
transaksinya   sudah   lewat.   Jadi   pengolahan   datanya   tertunda   (delayed   processing).  
Pada   sistem   batch   ini   orientasi   utamanya   adalah   sistem   pengolahan   data   (dahulu  
disebut  sistem  pengolahan  data  elektronik,  electronic  data  processing,  EDP).  
•  Data   input   yang   akan   dimasukkan   ke   sistem   informasi   berbasis   teknologi   pada  
hakikatnya   dapat   dikelompokan   dalam   Aga   tahapan,   yaitu   (1)   data   capture  
(penangkapan   data,   pengisian   dokumen   sumber   atau   source   document),   (2)   data  
prepara5on   (penyiapan   data   untuk   di   entry),   (3)   data   entry   (pemasukan   data)  
merupakan   proses   merekam   atau   memasukan   data   ke   komputer,   suatu   proses  
mengubah  data  ke  dalam  bentuk  yang  dapat  dibaca  oleh  mesin  (machine  readable  
form).    
 On  line  transac-on  processing  system  

•  On  line  transac5on  processing  system  (pada  umumnya  bersifat  real  5me  system)  
•  Cara   pemrosesan   data   input   yang   lain   yang   lebih   lazim   pada   saat   ini   adalah  
dengan   online   transac5on   processing   system.   Pada   sistem   tersebut   data  
masukan   dientri   dengan   worksta5on/terminal   atau   jenis   input   device   seperA  
ATM  (automa5c  teller  machine)  dan  point  of  sales  (POS).  Meskipun  online  bisa  
saja   dengan   memakai   pola   batch,   tetapi   biasanya   online   dikaitkan   dengan   real  
5me   system,   arAnya   upda5ng   data   di   komputer   bersamaan   dengan   terjadinya  
transaksi.  
•  Contoh  dari  pengendalian  input  :  
–  Otoritas  dan  validasi  masukan  
–  Transmisi  dan  konversi  data  
–  Penanganan  kesalahan    
Pengendalian  keluaran  (output  controls)  

•  Pengendalian   keluaran   merupakan   pengendalian   yang   dilakukan   untuk   menjaga  

output   sistem   agar   akurat,   lengkap,   dan   digunakan   sebagaimana   mesAnya.  
Pengendalian   keluaran   (output   controls)   ini   didesain   untuk   menjamin   agar  
output   /   informasi   dapat   disajikan   secara   akurat,   lengkap,   mutakhir,   dan  
didistribusikan   kepada   orang-­‐orang   yang   berhak   (para   user)   secara   cepat   dan  
tepat  waktu.  Yang  termasuk  pengendalian  keluaran  antara  lain  adalah  :  
–  Rekonsiliasi  keluaran  dengan  masukan  dan  pengolahan  
 Rekonsiliasi  keluaran  dilakukan  dengan  cara  membandingkan  hasil  keluaran  
dari  sistem  dengan  dokumen  asal.  
–  Penelaahan  dan  pengujian  hasil-­‐hasil  pengolahan  
  Pengendalian   ini   dilakukan   dengan   cara   melakukan   penelaahan,  
pemeriksaan   dan   pengujian   terhadap   hasil-­‐hasil   pengolahan   dari   sistem.  
Proses   penelaahan   dan   pengujian   ini   biasanya   dilakukan   oleh   atasan  
langsung  pegawai.  
 Pendistribusian  keluaran  
•  Pengendalian   ini   didesain   untuk   memasAkan  
bahwa  keluaran  didistribusikan  kepada  pihak  yang  
berhak,   dilakukan   secara   tepat   waktu   dan   hanya  
k e l u a r a n   y a n g   d i p e r l u k a n   s a j a   y a n g  
didistribusikan.  
•  Contoh  dari  pengendalian  output  :  
–  Rekonsiliasi  keseluruhan  
–  Penelaahan  dan  pengujian  hasil  pengolahan  
–  Distribusi  keluaran  
 Sifat-­‐Sifat  Pengendalian  Internal  
•  pengendalian  internal  digolongkan  dalam  preven5ve,  detec5on,  correc5ve  :  
–  Preven5ve   control,   yaitu   pengendalian   internal   yang   dirancang   dengan  
maksud   untuk   mengurangi   kemungkinan   (atau   mencegah/menjaga   jangan  
sampai   terjadi   kesalahan,   kekeliruan,   kelalaian,   error)   maupun  
penyalahgunaan  (kecurangan,  fraud)  
–  Detec5on   control,   yaitu   pengendalian   yang   didisain   dengan   tujuan   agar  
apabila  data  direkam  (di-­‐entry)/dikonfersi  dari  media  sumber  (media  input)  
untuk   di   transfer   ke   sistem   komputer   dapat   dideteksi   apabila   terjadi  
kesalahan  (maksudnya  Adak  sesuai  dengan  kriteria  yang  ditetapkan).  
–  Correc5ve  control,  ialah  pengendalian  yang  sifatnya  jika  terdapat  data  yang  
sebenarnya   error   tetapi   Adak   terdeteksi   oleh   program   validasi,   harus   ada  
prosedur   yang   jelas   tentang   bagaimana   melakukan   pembetulan   terhadap  
data   yang   salah   dengan   maksud   untuk   mengurangi   kemungkinan   kerugian  
atau  kesalahan/  penyalahgunaan  tersebut  sudah  benar-­‐benar  terjadi.  
Kelompok  Pegendalian  Internal  
•  Pengendalian   intern   dikelompokkan   dalam  
pengendalian   yang   bersifat   wajib   (mandatory)  
dan  yang  opsional  
–  Jika   ada   peraturan   dari   pemerintah   DKI   bahwa   setelah  
jam  24.00  ruang  ATM  harus  dikunci  dalam  rolling-­‐door  
misalnya,  maka  ketentuan  tersebut  adalah  mandatory.  
–  Jika   ketentuan   pengamanan   ruang   ATM   tersebut   Adak  
harus   dilakukan,   maka   termasuk   pengendalian   yang  
bersifat  opsional.  
 Ak5vitas  Pengendalian  
•  Menurut  Weygandt  (2011),  terdapat  enam  prinsip  
akAvitas  pengendalian,  yaitu:  
–  Penetapan  tanggung  jawab  
–  Pembagian  tugas  
–  Prosedur  dokumentasi  
–  Pengendalian  fisik  
–  Verifikasi  internal  yang  dilakukan  secara  independen  
–  Pengendalian  sumber  daya  manusia  
 Fungsi  Internal  Auditor  
•  seorang  auditor  TI    sebaiknya    ampu  melakukan  pekerjaan-­‐pekerjaan  sebagai  berikut:  
–  Mengevaluasi   pengendalian   atas   aplikasi-­‐aplikasi   tertentu,   yang   mencakup   analisis  
terhadap   risiko   dan   pengendalian   atas   aplikasi-­‐aplikasi   seperA   e-­‐business,   sistem  
perencanaan  sumber  daya  perusahaan.  
–  Memberikan   asersi   (assurance)   atas   proses-­‐proses   tertentu,   seperA   audit   dengan  
prosedur-­‐prosedur   tertentu   yang   disepakaA   bersama   dengan   auditee   mengenai  
lingkup  asersi.  
–  Memberikan  asersi  atas  akAfitas  pengolahan  data  pihak  keAga  dengan  tujuan  untuk  
memberikan   asersi   bagi   pihak   lain   yang   memerlukan   informasi   mengenai   akAfitas  
pengendalian  data  yang  dilakukan  oleh  pihak  keAga  tersebut.  
–  Pengujian   penetrasi,   yaitu   upaya   untuk   mengakses   sumber   daya   informasi   guna  
menemukan  kelemahan-­‐kelemahan  yang  ada  dalam  pengolahan  data  tersebut.  
–  Memberikan  dukungan  atas  pekerjaan  audit  keuangan  yang  mencakup  evaluasi  atas  
risiko  dan  pengendalian  TI  yang  dapat  mempengaruhi  kehandalan  sistem  pelaporan  
keuangan.  
–  Mencari   kecurangan   yang   berbasis   TI,   yaitu   menginvesAgasi   catatan-­‐catatan  
komputer  dalam  invesAgasi  kecurangan.  
 Audit Sistem Informasi
•  Meliputi:
–  Tata kelola teknologi informasi secara menyeluruh
–  Audit pengembangan sistem informasi (SDLC),
satu jenis aplikasi tertentu
 Audit Sistem Informasi – Sejarah Awal
•  Di America
–  Univac – Komputer yang digunakan untuk sensus
–  1959 – komputer digunakan untuk pembukuan
–  IBM360 – mainframe untuk kebutuhan akuntansi
•  Muncul istilah audit arround computer
–  EEDPAA – electronic data processing auditors association lahir
tahun 1969
•  Mengeluarkan control objective (sejak tahun 1994 disebut CobIT)
•  Dianggap sebagai international set of generally accepted IT
control objectives for day-to day use by business managers, users
of it and IS auditors
 Audit Sistem Informasi
•  Perlu dilakukan untuk memeriksa tingkat
kematangan atau kesiapan suatu organisasi
dalam melakukan pengelolaan teknologi
informasi
•  Level of maturity dapat dilihat dari awareness
dari para stake holder
–  Karenanya sebuah penerapan IT harus melalui
tahapan perencanaan yang baik.
Kebutuhan Audit Sistem Informasi
•  General Financial Audit
–  Audit objective sesuai dengan standar akuntansi keuangan
–  Referensi model adalah COSO (committee of sponsoring
Organization)
•  IT Governance
–  Audit operasional terhadap manajemen pengelolaan
sumberdaya informasi
–  Aspek-aspek:efektifitas, efesiensi, data integrity, save guarding
asset, reliability, confidentiallity, availability, security.
Audit Sistem Informasi – IT Governance
•  Selain dapat dilakukan untuk sistem secara menyeluruh,
dapat juga dilakukan terhadap:
–  General information review
•  Audit terhadap sistem informasi
–  Quality Assurance
•  Auditor (bukan anggota tim pengembang), membantu meningkatkan
kualitas dari sistem. Auditor mewakili pimpinan proyek.
–  Postimplementation Audit
•  Apakah sistem perlu dimutakhirkan atau diperbaiki atau
dihentikan.
•  Istilah audit arround dan audit through the computer tidak berlaku
lagi pada audit jenis ini
 Audit Sistem Informasi
•  Karena yang diaudit ialah tata kelola TI, maka
yang diperiksa adalah TI itu sendiri
–  Karena itu istilah audit arround the computer dan
audit through the computer tidak relevan lagi
•  Audit TI/SI tidak bersifat wajib
–  Adanya aktifitas TI merupakan bentuk kesadaran
dari pihak manajemen
 Audit Sistem Informasi - Faktor
•  Mendeteksi apakah komputer dikelola secara
kurang terarah
–  Tidak ada visi, misi, perencanaan teknologi
informasi, tidak ada pelatihan
•  Mendeteksi resiko kehilangan data
•  Mendeteksi resiko informasi yang tidak
akurat, berdasarkan data yang salah.
•  Menjaga aset
•  Mendeteksi error komputer
 Audit Sistem Informasi – Faktor (2)
•  Mendeteksi resiko penyalahgunaan komputer
•  Menjaga kerahasiaan
•  Meningkatkan pengendalian evolusi
penggunaan komputer/perkembangan ke
depan
Pengelolaan TI – Level of Maturity

•  Non Existence
–  Tahap awal, komputerisasi dilakukan secara
alamiah, tidak ada metodologi
•  Initial
–  Ada kegiatan penyusunan sistem yang terarah,
masih bersifat ad hoc
•  Repeatable
–  Sudah menemukan pola pengembangan yang
terarah, berjalan dengan pola yang sama.
 Pengelolaan TI – Level of Maturity (2)
•  Defined
–  Seluruh proses telah didokumentasikan dan telah
dikomunikasikan dan dilaksanakan berdasarkan
suatu metoda tertentu
•  Managed
–  Proses komputerisasi telah dapat diukur dan
dimonitor.
•  Optimized
–  Best Practices telah diikuti dan diotomatisasi pada
sistem.
 Audit SI – Ukuran Nilai
•  Strategic Alignment
–  Apakah penerapan TI sudah sesuai dengan yang
diaharapkan, apakah sudah sesuai kebutuhan

•  Value Delivery
–  Komputerisasi bukan hanya untuk memenuhi
kebutuhan tapi juga sudah dimaksudkan untuk
memberikan nilai tambah, ex: penghematan
biaya, meningkatkan kinerja.
 Audit SI – Ukuran Nilai (2)
•  Risk Management
–  Sudah ada penaksiran resiko, ada jaminan
kelangsungan operasi.

•  Resources Management
–  Pengelolaan sumber daya, termasuk
pengembangan pengetahuan sudah dilakukan
secara efesien
 Standar Audit SI
•  Standar Atestasi dan standar pemeriksaan
akuntan (IAI)
•  ISACA – standards, guidelines, and
procedures
–  Secara teknis mengacu kepada guidelines dan
prosedur yang diatur dalam CObIT:
•  CObIT executive summary, CObIT framework, CObIT
Control Objectives, CObIT Control Practice, CObIT
Management Guidelines, CObIT Security Baseline