LogoType

APPLICATION SYSTEM: RISK AND CONTROL

BY: ANISSA HAKIM PURWANTINI, M.Sc.

INFORMATION SYSTEM AUDIT AND CONTROL

PRODI AKUNTANSI FEB UNIMMA
 Tujuan Pembelajaran
01 Menjelaskan risiko umum pada sistem aplikasi

Menjelaskan risiko umum pada sistem aplikasi:

02 end user development

03 Menjelaskan risiko umum pada aplikasi web.

Menjelaskan dan merancang pengendalian aplikasi

04 yang meliputi input, proses dan output

Menjelaskan keterlibatan auditor IT dalam penilaian sistem

05 aplikasi
 RISIKO SISTEM APLIKASI

Sistem aplikasi termasuk data terkonsentrasi dalam format yang

dapat dengan mudah diakses. Sistem aplikasi seperti sistem ERP
(Enterprise Resource Planning) menyediakan fungsi bisnis standar
dalam sistem lingkungan TI yang terintegrasi (misalnya, pengadaan
,persediaan, akuntansi, dan sumber daya manusia).

Kesalahan proses dapat dengan cepat mempengaruhi beberapa fungsi

informasi yang bersumber dari database yang sama.
Risiko lain dari sistem ERP yaitu sifat khusus dari sumber daya yang
diperlukan untuk menyesuaikan dan menerapkan sistem aplikasi.
SISTEM
ERP
 Dokumentasi tidak memadai 9
Tambahan risiko Output tidak akurat atau Tidak 8
umum yang terkait Lengkap

dengan sistem Kegagalan Sistem Komunikasi 7

aplikasi meliputi:
Tidak Lengkap, Duplikat, dan
Sedang Diproses
6

Keliru atau memalsukan data input 5

Informasi yang tidak akurat 4
Akses jarak jauh tanpa izin 3
Akses tidak sah ke program atau data 2
Keamanan informasi yang lemah 1
Risiko Aplikasi Pengembangan Pengguna Akhir

Biaya
Sistem
organisasi Sistem yang tidak redundan
lebih tinggi kompatibel

Biaya operasi lebih tinggi Pengguna akhir mungkin

karena kurangnya pelatihan
dan dukungan teknis
Sistem aplikasi yang
dirancang dikembangkan
secara terpisah sehingga tidak
kompatibel.
mengembangkan aplikasi atau
database yang berlebihan karena
kurangnya komunikasi antar
departmen
 Tidak memiliki pelatihan formal dalam
pengembangan informasi terstruktur
Implementasi yang
tidak Efektif
Tidak menyadari pentingnya
dokumentasi

Cenderung menghilangkan langkah

control yang diperlukan untuk
implementasi yang efektif.

Tidak ada pemisahan tugas.

 Kontrol inpu
t

KONTROL APLIKASI Pemrosesan

Output
Kontrol Aplikasi
Kontrol Komputer u
mum
Mencakup control atas :
1. sistem atau kontrol konfigurasi aplikasi
2. kontrol terkait keamanan yang menegakkan akses peng
Mencakup kontrol atas:
guna, peran, dan pemisahan tugas
1. operasi sistem informasi
3. kontrol pemberitahuan otomatis untuk memperingatkan
2. keamanan informasi, dan
pengguna bahwa ada transaksi atau proses sedang men
3. manajemen kontrol perubahan (misaln
unggu tindakan mereka memeriksa perhitungan matema
ya : akuisisi perangkat lunak sistem, p
tika
erubahan dan pemeliharaan, perubah
4. penyeimbangan total antara pekerjaan kewajaran terhad
an program, dan akuisisi, pengemban
ap volume atau nilai yang diharapkan
gan, dan sistem aplikasi pemeliharaan
5. rekonsiliasi antara sistem dan distribusi output yang terk
).c
ontrol untuk memastikan keakuratan dan kelengkapan tr
ansaksi.
• KONTROL INPUT
Kontrol input dimaksudkan untuk meminimalkan risiko yang terkait
dengan input data ke dalam sistem aplikasi.
Memastikan bahwa hanya pengguna yang berwenang yang memiliki
akses untuk memasuki transaksi.

Akurasi dipastikan melalui pemeriksaan edit yang memvalidasi

data yang dimasukkan sebelum menerima transaksi untuk
diproses. Akurasi memastikan bahwa informasi yang dimasukkan
ke dalam aplikasi konsisten dan mematuhi kebijakan dan
prosedur. Ini dilakukan dengan merancang layar input dengan
pengeditan dan validasi yang memeriksa data yang dimasukkan
terhadap aturan atau nilai yang telah ditentukan
 Kelengkapan

Semua data yang diperlukan untuk memenuhi kebutuhan bisnis saat ini dan di masa depan benear-benar siap dan
tersedia. Dalam bentuk laporan keuangan, daftar vendor, laporan pinjaman, dll. Untuk memastikan kelengkapan maka
bisa melalui prosedur penangganan kesalahan yang menyediakan pencacatan, pelaporan, dan koreksi kesalahan

Kontrol Edit dan Validasi Saat Mem

asukkan Data

Pemeriksaan
Pemeriksaan Tanda Pemeriksaan
batas atau
lapangan centang ukuran
rentang

Periksa verifikasi Pemeriksaan ke Pemeriksaan val Pemeriksaan Ke

digit wajaran iditas lengkapan
 Kontrol pemrosesan
mencegah, mendeteksi, dan / atau memperbaiki
kesalahan saat pemrosesan data (batch atau o
nline) berlangsung. Kontrol ini membantu mema
stikan bahwa data diproses secara akurat dan l
engkap melalui aplikasi (mis., Tidak ada data ya
ng ditambahkan, hilang, atau diubah selama pe
mrosesan, dll.).
A&C juga dapat dicapai dengan menyeimbangkan
transaksi batch yang terjadi dengan transaksi yan
g keluar dari pendahulunya
program harus dibangun dengan logika untuk menceg
ah, mendeteksi, dan / atau memperbaiki kesalahan
1. Aktivitas kesalahan pencatatan
2. Persetujuan koreksi kesalahan dan pengiriman ula
ng
3. Tanggung jawab yang ditentukan untuk file suspen
se
4. Laporan kesalahan yang tidak terselesaikan
5. Penuaan dan prioritas kesalahan yang belum terse
lesaikan
Langkah-langkah penyeimbangan harus terjadi di
titik-titik pemrosesan pekerjaan utama:
1. Poin input
2. Modul pemrosesan utama
3. Poin percabangan
4. Output poin
 Kontrol keluaran
Dirancang untuk mendeteksi dan memperbaiki kesalahan setelah pemrosesan selesai, memastikanintegritas outpu
t yang dihasilkan. Secara khusus, kontrol output meliputi:
1. Prosedur untuk memverifikasi jika data akurat dan lengkap (mis., direkam dengan benar)
2. prosedur untuk distribusi dan penyimpanan laporan yang memadai. Jika output diproduksi secara terpusat, ma
ka konvensionalkontrol, seperti memiliki petugas keamanan dan mendistribusikan log mungkin tepat.

Tiga jenis kontrol output yang umum terkait dengan akurasi dan kelengkapan adalah penggunaulasan, rekonsili
asi, dan kontrol transmisi data. Ulasan pengguna memastikan output (laporan)dihasilkan aman, rahasia, dan pri
badi melalui melakukan penyeimbangan dan kelengkapanmemeriksa; perbandingan bidang data utama; memer
iksa informasi yang hilang; dan mendokumentasikan rekreasi
 Distribusi dan Retensi

Distribusi output harus didefinisikan dengan jelas, dan akses fisik dan logis harus dibatasi kepada personel
yang berwenang. Kebutuhan akan keluaran harus ditinjau ulang secara berkala sebagaimana adanya
laporan diminta pada saat aplikasi dikembangkan, tetapi mungkin tidak lagi berguna.

Misalnya, departemen pemasaran dapat menggunakan informasi penjualan untuk membayar komisi dan
memantau kuota penjualan, sedangkan departemen akuntansi menggunakan informasi yang sama
untuk menyiapkan laporan keuangan. Kedua sistem ini harus direkonsiliasi untuk memastikan jumlahnya
dilaporkan untuk membayar staf penjualan sama dengan jumlah yang dilaporkan pada laporan keuangan

Keterlibatan Auditor IT
Auditor TI dapat membantu organisasi dengan meninjau sistem aplikasi mereka untuk memastikan
kepatuhan dengan strategi dan standar organisasi, serta menyediakan fungsi otomatis untuk secara
efektif mendukung proses bisnis. Aplikasi perlu dinilai risiko untuk menentukan level keterlibatan audit.
Jenis penilaian juga akan bervariasi tergantung pada risiko tertentu aplikasi. Aplikasi memperkenalkan
risiko kepada organisasi dalam bentuk peningkatan biaya, kehilangan integritas data, kelemahan dal
am kerahasiaan, kurangnya ketersediaan, kinerja yang buruk, dan lainnya.
 Tugas beresiko
• Risiko aplikasi terkait dengan
kompleksitas dan besarnya aplikasi,
staf yang tidak berpengalaman,
kurangnya keterlibatan pengguna
akhir, dan kurangnya komitmen
manajemen. Tingkat risiko mungkin
fungsi kebutuhan akan informasi
yang tepat waktu, kompleksitas
aplikasi, tingkat kepercayaan untuk
keputusan penting, lamanya waktu
aplikasi akan digunakan, dan jumlah
orang yang akan menggunakannya.
Rencana Audit
• Rencana audit merinci langkah-
langkah dan prosedur untuk
memenuhi tujuan audit. Seperti
dalam setiap audit, audit sistem
aplikasi dimulai dengan analisis
awal dari lingkungan kontrol untuk
meninjau standar, kebijakan, dan
prosedur yang ada.
• Rencana audit selanjutnya akan
mendokumentasikan prosedur yang
diperlukan untuk melakukan
pemeriksaan untuk memastikan
bahwa sistem aplikasi dirancang
dan diimplementasikan secara
efektif, serta beroperasi konsisten
dengan kebijakan dan prosedur
organisasi.
IMPLIKASI ATAS PENGENDALIAN INTERNAL DAN AUDIT

Otorisasi Transaksi

Pemisahan Tugas

Pengawasan

Record Akuntansi

Pengendalian Akses
 Tujuan
Publikasi Khusus NIST 800-53A, Revisi 4, Menilai Kon
trol Keamanan dan Privasi dalam Sistem dan Organis
asi Informasi Federal (2014), memberikan penilaian m
enyeluruh Komunikasi Area pertama untuk berkomuni
kasi adalah ruang lingkup keterlibatan auditor TI.
Auditor TI harus mengembangkan jalur komunikasi ter
buka dengan keduanya manajemen dan pengguna. Ji
ka hubungan yang baik antara kelompok-kelompok ini
tidak ada, informasi mungkin ditahan dari auditor TI.
Selama audit, auditor TI akan membuat rekomendasi
kontrol yang dihasilkan dari temuan yang diidentifikasi
Kesimpulan
Aplikasi sangat penting bagi organisasi dalam menjalankan
bisnis mereka. Banyak organisasi yang berinvestasi dalam
STI melalui sistem aplikasi karena mereka menyediakan
fungsi otomatis untuk mendukung secara efektif proses bisnis.
Auditor, manajemen, pengembang, dan konsultan keama
nan harus mewaspadai risiko bisnis yang terkait dengan si
stem pertukaran informasi bisnis elektronik.
Auditor TI dapat membantu organisasi dengan meninjau si
stem aplikasi mereka untuk memastikannya mematuhi str
ategi dan standar organisasi, serta menyediakan fungsi ot
omatis untuk secara efektif mendukung proses bisnis
Thanks
If you fail to plan, you are planning to fail!
- Benjamin Franklin-