Pengendalian Integratas Pemrosesan dan Ketersediaan

A. Pengendalian input
Pengendalian input merupakan pengendalian program yang dirancang untuk
mendeteksi dan melaporkan kekeliruan dalam data yang dimasukkan untuk diproses.
Pengendalian input memegang peranan yang vital dalam sistemteknologi informasi
karena kebanyakan kekeliruan muncul pada tahap ini. Pengendalian input dirancang
untuk menyediakan keyakinan memadai bahwa data yang diterima untuk pemrosesan
telah diotorisasi secara tepat dan dikonversikan ke dalam bentuk yang dapat dibaca
mesin.
B. Pengendalian Tambahan Entri Data Pemrosesan Batch
Pemrosesan batch bekerja lebih efisien jika transaksi-transaksi disortir sehingga
rekening-rekening yang terkena dampak berada dalam urutan yang sama dengan catatan
di dalam file induk. sebuah pengecekan berurutan (sequence check) adalah sebuah
pengecekan edit yang menentukan apakah batch atas input data berada di dalam urutan
numerik atau alfabetis yang tepat. 
Total batch (batch total) merangkum nilai-nilai numerik bagi sebuah batch atas
catatan input. Berikut ini adalah tiga total batch yang sering digunakan: 

1. Total Finansial (financial total) menjumlahkan sebuah field yang berisi nilai-nilai

moneter; seperti total jumlah dolar dari seluruh penjualan untuk
sebuah batch  transaksi penjualan. 
2. Total Hash (hash total) menjumlahkan sebuah field numerik non-finansial,
seperti field total kuantitas yang dipesan di dalam sebuah batch  transaksi penjualan. 
3. Jumlah catatan (record count) adalah banyaknya catatan dalam sebuah batch. 
C. Pengendalian Tambahan Data Entri Online
1. Prompting, sebuah pengecekan kelengkapanentri data secara online yang meminta
tiap-tiap item yang diperlukan dalam data input dan kemudian menunggu respons
yang dapat diterima sebelumnya meminta item selanjutnya.
2. Verivikasi closed-loop (closed-loop verification), sebuah metode validasi input
menggunakan data yang dimasukkan ke dalam system untuk mengambil dan
menampilkan informasi terkait lainnya sehingga pihak entri data tersebut dapat
memverifikasi ketetapan dari data input.
 3. Sebuah log transaksi menyertakan sebuah catatan mendetail dari seluruh transaksi,
termasuk pengidentifikasian transaksi khusus, tanggal dan waktu entri, serta yang
memasukkan transaksi.
D. Pengendalian Pemrosesan
1. Pencocokan data
2. Label file
3. Perhitungan ulang total batch
4. Mekanisme write-protection
5. Pengendalian pembaruan secara bersama
E. Pengendalian Output
1. Pemeriksaan pengguna terhada output
2. Prosedur rekonsiliasi
3. Rekonsiliasi daneksternal
4. Pengendalian transmisi data
a) Checksu, sebuah pengendalian transmisi data yang menggunakan sebuah hash dari
sebuah file untuk memverifikasi ketepatannya.
b) Bit Paritas, sebuah bit ekstra yang ditambahkan ke setiap karakter yang digunakan
untuk mengecek ketepatan transmisi. Nantinya akan terdapat perangkat penerima
yang akan melakukan pengecekan patitas (parity checking). Pengecekan paritas
adalah sebuah pengendalian transmisi data dimana perangkat pemnerima
menghitung ulang bit paritas untuk memverifikasi ketetapan dari data yang
ditransmisikan.
F. Contoh Ilustratif : Pemrosesan Penjualan Kredit
Setiap catatan transaksi meliputi data berikut : nomor faktur penjualan,nomor
rekening pelanggan,nomor barang persediaan,kuantitas terjual,harga penjualan,dan
tanggal pengirim. Jika pelanggan membeli lebih dari satu produk, maka aka nada
beberapa nomor barang persediaan,kuantitas terjual, dan harga yang terkait dengan setiap
transaksi penjualan.
1. Memasukkan dan mengedit data transaksi
2. Memperbarui catatan pelanggan dan persediaan
3. Menyiapkan dan mendistribusikan dokumen pengiriman/penagihan

G. Pengendalian Integritas Pemrosesan Dalam Spreadsheet

 Sebagian besar organisasi memiliki ribuan spreadsheet yang digunakan untuk
mendukung pembuatan keputusan. Pentingnya spreadsheet bagi pelaporan keuangan
direflesikan dalam fakta bahwa ISACA mendokumentasikan IT control objectives for
Sarbanes-oxley yang berisi lampiran terpisah yang secara spesifik menjelaskan
pengendalian integritas pemrosesan yang harus diterapkan dalam spreadsheet
Ketersediaan
Gangguan dalam proses bisnis yang dikarenakan tidak tersedianya sistem atau
informasi dapat menyebabkan kerugian keuangan yang signifikan. Akibatnya, proses
pengendalian DSS01 dan DSS04 COBIT 5 menunjukkan pentingnya memastikan bahwa
sistem dan informasi tersedia setiap saat dibutuhkan oleh pengguna. Tujuan utamanya
adalah untuk meminimalkan risiko penghentian sistem.
H. Meminimalkan Risiko Penghentian Sistem
Organisasi dapat melakukan berbagai tindakan untuk meminimalkan risiko
penghentian sistem. Praktik manajemen DSS01.05 COBIT 5 mengidentifikasi kebutuhan
akan pemeliharaan yang preventif, seperti menambahkan disk drive dan menyimpan
media magnetik dan optik dengan tepat, untuk mengurangi risiko kegagalan perangkat
keras dan lunak. Penggunaan komponen-komponen yang berulang menyediakan
toleransi kesalahan, yang merupakan kemampuan sebuah sistem untuk terus berfungsi
dalam kejadian Ketika sebuah komponen tertentu gagal.
I. Pemulihan Dan Penerusan Operasi Normal
Sebuah backup adalah sebuah salinan yang sama persis atas versi terbaru dari
database, file, atau program perangkat lunak yang dapat digunakan jika data aslinya tidak
lagi tersedia. Prosedur backup sebuah organisasi, DRP dan BCP merefleksikan jawaban
manajemen atas dua pertanyaan fundamental:
A. Seberapa banyak data yang akan diciptakan ulang dari dokumen sumber (jika ada)
atau berpotensi kehilangan (jika belum ada dokumen sumber yang ada)?
B. Seberapa lama organisasi dapat berfungsi tanpa sistem informasinya?
Jawaban manajemen untuk pertanyaan pertama menenttukan recobery point
objective (RPO) tujuan titik pemulihan organisasi, yang merepresentasikan jumlah
maksismum atas data yang dimiliki organisasi untuk dimasukkan kembali atau
berpotensi hilang. Semakin kecil RPO yang dikehendaki, semakin sering backup yang
dibuat. Jawaban atas pertanyaan kedua menentukan recovery time objective (RTO), jadi
RTO mempresentasikan jangka waktu yang akan diupayakan organisasi untuk berfungsi
 tanpa sistem informasinya. RPO yang dikehendaki mengarahkan kecanggihan yang
diperlukan baik bagi DRP maupun BCP.

J. Prosedur Backup Data

Ada beberapa prosedur backup yang berbeda. Backup penuh (full backup) adalah
sebuah salinan tepat dari keseluruhan sebuah database. Perbandingan 2 jenis backup
parsial harian yaitu :
1. Sebuah backup inkremental (incremental backup) hanya melibatkan penyalinan item-
item data yang telah berubah sejak backup parsial terakhir, salinan ini menghasilkan
sebuah set file backup inkremental.
2. Sebuah backup diferensial (differential backup) menyalin seluruh perubahan yang
dibuat sejak backup penuh terakhir. Jadi tiap file backup diferensial yang baru
memuat efek kumulatif dari seluruh aktivitas sejak backup penuh terakhir.

K. Perencanaan Pemulihan Bencana Dan Kelangsungan Bisnis

Sebuah rencana pemulihan bencana (disaster recovery plan-DRP) menguraikan
prosedur-prosedur untuk mengembalikan fungsi TI sebuah organisasi akibat kejadian
hancurnya pusat data karena bencana alam atau tindakan terorisme. Organisasi memiliki
3 pilihan dasar untuk mengganti infrastruktur TI nya. Pilihan pertama adalah kontrak
untuk menggunakan sebuah situs dingin (cold site) yang merupakan sebuah bangunan
kosong yang diberi kabel sebelumnya untuk akses telepon dan internet yang memadai.
Pilihan kedua adalah kontrak untuk menggunakan sebuah situs panas (hot site) yang
merupakan sebuah fasilitas yang tidak hanya diberi kabel sebelumnya untuk akses
telepon dan internet. Opsi terakhir adalah menetapkan sebuah pusat data kedua sebagai
sebuah backup dan menggunakannya untuk mengimplementasikan real-time-mirroring.

L. Efek Dari Virtualisasi Dan Komputasi Cloud

Virtualisasi dapat secara signifikan meningkatkan efektivitas dan efisiensi dari
pemulihan bencana dan penerusan operasi normal. Komputasi cloud memiliki efek
positif dan negatif dalam ketersediaan. Komputasi cloud biasanya memanfaatkan bank
atas server berlebih dalam berbagai lokasi, sehingga menurunkan risiko bahwa sebuah
kerusakan tunggal dapat mengakibatkan penghentian sistem dan hilangnya semua data.
PENGAUDITAN SISTEM INFORMAS BERBASIS KOMPUTER
SIFAT PENGAUDITAN
A. TINJAUAN MENYELURUH PROSES AUDIT
Seluruh audit mengakui urutan aktivitas yang serupa. Audit dapat dibagi ke dalam
empat tahap yaitu :
Perencanaan Audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit
dilaksanakan. Langkah pertama adalah untuk menetapkan lingkup dan tujuan audit.
Audit direncanakan, sehingga jumlah terbesar pekerjaan audit berfokus pada area
dengan faktor-faktor risiko tertinggi. Terdapat 3 jenis risiko audit :
1. Risiko Bawaan (Inherent Risk) adalah kelemahan terhadap risiko material karena tidak
tersedianya pengendalian internal.
2. Risiko Pengendalian (Control Risk) adalah risiko saat suatu salah saji material akan
melampaui struktur pengendalian internal ke dalam laporan keuangan.

B. PENGUMPULAN BUKTI AUDIT

Berikut adalah cara-cara yang paling umum untuk mengumpulkan bukti audit :
1. Observasi atas aktivitas-aktivitas yang diaudit
2. Pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau
sistem pengendalian internal tertentu harusnya berfungsi
3. Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka
melakukan prosedur -prosedur tertentu
4. Kuisioner untuk mengumpulkan data
5. Pemeriksaan fisik atas kuantitas dan/atau kondisi dari aset berwujud, seperti
peralatan dan persediaan
6. Konfirmasi (Confirmation) atas ketepatan informasi, seperti saldo akun pelanggan,
melalui komunikasi dengan pihak ketiga yang independen
7. Melakukan Ulang (Reperformance) atas penghitungan untuk memverifikasi
informasi kuantitatif
 8. Pemeriksaan Bukti Pendukung (Vouching) untuk validitas dari sebuah transaksi
dengan memeriksa dokumen pendukung
9. Tinjauan Analitis (Analytical Review) atas hubungan dan trend antar-informsi untuk
mendeteksi hal-hal yang seharusnya diselidiki lebih jauh.

Evaluasi Atas Bukti Audit

Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah bukti
tersebut mendukung kesimpulan yang menguntungkan atau tidak. Jika tidak meyakinkan,
auditor menjalankan prosedur-prosedur tambahan untuk mencapai sebuah kesimpulan
pasti. Menentukan materialitas (materiality) apa yang penting dan tidak penting dalam
audit, adalah sebuah masalah pertimbangan profesional. Auditor mencari penjamin
memadai (reasonable assurance) bahwa tidak ada kesalahan material yang ada dalam
informasi atau proses yang diaudit. Dalam seluruh tahapan audit, temuan dan kesimpulan
didokumentasikan dalam kertas kerja audit. Dokumentasi utamanya penting dalam
tahapan evaluasi, ketika kesimpulan harus dicapai dan didukung.
Komunikasi Hasil Audit
Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit
dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain
yang berkepentingan. Kemudian, auditor biasanya melakukan studi tindak lanjut untuk
memastikan apakah rekomendasi-rekomendasinya dilaksanakan.

C. Pendekatan Audit Bebasis Resiko

Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit
berbasis-risiko, memberikan sebuah kerangka untuk menjalankan audit sistem informasi:
1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan.
Ini adalah sebuah daftar dari penyalahgunaan dan perusakan yang secara kebetulan
atau disengaja pada sistem terbuka.
2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau
memperbaiki ancaman. Hal tersebut adalah seluruh pengendalian yang harus
dipertimbangkan manajemen dan yang harus diperiksa, diuji oleh auditor, untuk
meminimalkan ancaman.
3. Mengevaluasi prosedur pengendalian. Pengendalian dievaluasi dalam dua cara:
a) Sebuah tinjauan sistem (system review) menentukan apakah prosedur
pengendalian benar-benar dilaksanakan.
 b) Ujipengendalian (test of control) dilakukan untuk menentukan apakah
pengendalian yang ada berjalan seperti yang dikehendaki.
4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis,
waktu, atau tingkatan prosedur pengauditan. Jika auditor menentukan bahwa risiko
pengendalian terlalu tinggi karena sistem pengendalian tidak memadai, auditor
mungkin harus mengumpulkan lebih banyak bukti, bukti yang lebih baik, atau
bukti yang lebih tepat waktu. Kelemahan pengendalian dalam satu area mungkin
dapat diterima jika terdapat pengendalian kompensasi (conpensating control)
dalam area lainnya.
Pendekatan berbasis risiko memberikan para auditor sebuah pemahaman yang lebih
jelas atas penipuan dan kesalahan yang dapat terjadi seta risiko dan pengungkapan yang
terkait. Pendekatan ini juga membantu mereka merencanakan bagaimana menguji dan
mengevaluasi pengendalian internal, serta bagaimana merencanakan prosedur-prosedur
audit lanjutan. Hasilnya adalah sebuah dasar yang kuat untuk mengembangkan
rekomendasi bagi manajemen untuk bagaimana sistem pengendalian SIA yang harus
ditingkatkan.

Audit Sistem Informasi

A. Keamanan secara Menyeluruh
Prosedur pengendalian untuk meminimalkan ancaman-ancaman tersebut termasuk
pengembangan sebuah rencana keamanan/perlindungan informasi, pembatasan akses
fisik dan logis, pengenkripsian data, perlindungan terhadap virus, penerapan firewall,
pembentukan pengendalian pengiriman data, serta pencegahan dan pemulihan dari
kegagalan sistem atau bencana.
Prosedur tinjauan sistem meliputi memeriksa dengan saksama pada situs komputer;
mewawancarai personel; meninjau kebijakan dan prosedur; serta memeriksa log akses,
kebijakan asuransi, dan rencana pemulihan bencana.
Para auditor memeriksa pengendalian keamanan dengan mengamati prosedu,
memverifikasi bahwa pengendalian dilaksanakan dan bekerja sesuai yang dikehendaki,
menyelidiki kesalahan atau masalah untuk memastikan mereka ditangani dengan benar,
dan memeriksa segala pengujian yang dilakukan sebelumnya
Kuatnya kebijakan personel dan keefektifan pemisahan tugas yang tidak sesuai,
secara parsial dapat mengimbangi sebagian dari keamanan komputer yang buruk.
 Pengendalian pengguna yang baik juga akan membantu, diharapkan personel pengguna
tersebut dapat mengenali output sistem yang tidak biasa

B. Pengembangan Program dan Akusisi

Peran auditor dalam pengembangan sisterm sebaiknya sebatas pada pemeriksan
independen atas aktivitas-aktivitas pengembangan sistem. Untuk menjaga objektivitas,
auditor tidak diperbolehkan membantu pengembangan sistem.
Dua hal yang dapat menjadi kesalahan dalam pengembangan program: (1) kelalaian
pemrograman yang berkaitan dengan kurangnya pemahaman tentang spesifikasi sister
atau pemrograman yang teledor, dan (2) instruksi yang tidak diotorisasi dengan sengaja
disisipkan ke dalam program.
Masalah-masalah tersebut dapat dikendalikan dengan meminta otorisasi serta
persetujuan dari manajemen dan pengguna, pengujian yang menyeluruh, serta
dokumentasi yang tepat, Selama tinjauan sister, para auditor harus mendiskusikan
prosedur pengembangan dengan manajemen, pengguna sistem, dan personel sistem
informasi. Mereka juga harus memeriksa kebijakan, prosedur, standar, dan dokumentasi.
menguji pengendalian pengembangan sistem, para auditor harus mewawancarai
para manajer dan pengguna sistem, menguji persetujuan pengembangan, dan memeriksa
catatan pertemuan tim pengembangan. Auditor harus memeriksa seluruh dokumentasi
terkait proses pengujian untuk memastikan semua perubahan program telah diuji.
Auditor dapat menguji spesifikasi pengujian, data pengujian, dan mengevaluasi hasil
pengujian, serta memastikan bagaimana masalah-masalah hasil pengujian tak terduga
dapat diatasi.
Pengendalian pemrosesan yang kuat mungkin dapat mengimbangi pengendalian
pengembangan yang tidak memadai jika auditor mendapatkan bukti persuasif atas
kepatuhan dengan pengendalian pemrosesan, menggunakan teknik-teknik seperti
pengolahan data pengujian independen. Jika bukti ini tidak didapatkan, auditor mungkin
harus menyimpulan bahwa terdapat sebuah kelemahan pengendalian internal yang
material dan risiko atas ancaman signifikan dalam program aplikasinya tinggi.

C. Modifikasi Program
 sebagai pembeda antara program satu dengan program yang lain agar penggunaan
program tersebut dapat lebih mudah digunakan adanya permintaan perubahan dari
pemilik program terjadi kesalahan dari program tersebut saat dijalankan. Modifikasi
program dilakukan jika ada program yang tidak memenuhih kriteria kualitas program
yang baik, modifikasi program dilakukan tanpa mengubah struktur dan tanpa
menyebabkan masalah ketika program digunakan kembali. Modifikasi program
dilakukan sehingga menghasilkan program yang memenuhi kriteria program yang
berkualitas.
Sebelum melakukan modifikasi program harus memperhatikan terlebih dahulu hal-
hal berikut:
1) Kriteria kualitas program apa yang tidak terpenuhi
2) Fungsi programnya untuk apa
3) Bagaimana algoritmanya
4) Bahasa pemrograman apa yang digunakan
5) Bagaimana pengkodeannya

D. Pemrosesan Komputer
Perangkat pemrosesan pada komputer adalah kumpulan dari beberapa hardware atau
perangkat keras komputer yang saling terhubung satu sama lain. Perangkat ini berfungsi
untuk menerima input data dari peralatan input sebelum akhirnya diproses menjadi
sebuah informasi yang akan ditampilkan untuk pengguna komputer (user). Ada beberapa
perangkat pemrosesan dalam komputer, antara lain :
1) Cpu
2) Memori
3) Motherboard
4) Kartu Grafis
5) Kartu Suara

E. Data Sumber
1. Jaringan Terpusat
Jaringan komputer terpusat adalah macam-macam jaringan komputer yang
terdiri dari satu komputer induk dan satu atau lebih komputer terminal. Komputer
induk berfungsi sebagai sumber data yang dibutuhkan oleh komputer terminal.
 Komputer induk inilah yang menyimpan semua data-data maupun program
aplikasi untuk kemudian didistribusikan ke komputer terminal. Sedangkan komputer
terminal itu sendiri biasanya hanya berfungsi untuk menjadi perantara pengguna
untuk mengakses komputer induk.
2. Jaringan Terdistribusi
Jaringan komputer terdistribusi merupakan jmacam-macam jaringan komputer
yang terdiri dari beberapa komputer induk. Berbeda dengan jaringan terpusat, pada
jaringan terdistibusi, semua host yang terhubung pada jaringan ini bisa berperan
sebagai komputer induk sebagaimana peran komputer induk dalam jaringan terpusat.
Artinya, distribusi data yang terjadi pada jaringan komputer jenis ini tidak hanya
dari satu komputer induk (server).

F. Tujuan File Data

Tujuan keenam memperhatikan tentang ketepatan, integritas, dan keamanan atas
data yang disimpan dalam file yang dapat dibaca mesin.
Pendekatan pengauditan dengan tujuan adalah sebuh upaya yang komprehensif
sistematik dan efektif atas evaluasi pengendalian internal. Pendekatan ini dapat
dimplementasikan menggunakan sebuah checklist prosedur audit bagi setiap tujuan.
Checklist ini membantu auditor mencapai sebuah kesimpulan terpisah untuk tiap-tiap
tujuan dan menyarankan pengendalian kompensasi (pengganti) yang baik. Masing-
masing dari enam checklist tersebut harus dilengkapi unutk setiap aplikasi yang
signifikan

Perangkat Lunak Audit

1. Computer assisted audit techniques (CAATs) adalah perangkat lunak audit yang
menggunakan spesifikasi yang disediakan oleh auditor untuk menghasilkan sebuah
program untuk menjalankan fungsi audit.
2. Generaliezed audit softtware (GAS) adalah perangkat lunak audit yang menggunakan
spesifikasi yang disediakan oleh auditor untuk menghasilkan sebuah program untuk
menjalankan fungsi audit.

Audit Operasional SIA

 Teknik dan prosedur yang digunakan dalam audit operasional serupa dengan audit
atas sistem informasi dan laporan keuangan. Perbedaan dasarnya adalah lingkup audit.
Sebuah audit system informasi ditujukan pada pengendalian internal dan audit keuangan atas
output system, sedangkan audit operasional meliputi seluruh aspek atas manajemen system.
1. Langkah pertama dalam audit operasional:
a. perencanaan audit, pada suatu waktu saat lingkup dan tujuan audit ditetapkan
b. sebuah persiapan tinjauan system dilakukan
c. sebuah program audit tentatif disiapkan.
2. Langkah selanjutnya, pengumpulan bukti, termasuk aktivitas sebagai berikut:
a. Memeriksa kebijakan dan dokumentasi pengoperasian
b. Mengonfirmasi prosedur-prosedur dengan manajemen dan personel pengoperasian
c. Mengobservasi fungsi-fungsi dan aktivitas-aktivitas pengoperasian
d. Memeriksa rencana serta laporan finansial dan pengoperasian
e. Menguji ketepatan atas informasi pengoperasian
f. Menguji pengendalian