Mata Kuliah

EDP AUDIT
PENGENDALIAN
UMUM

Bab 6
Tujuan pengendalian lingkungan komputer
• Untuk mencapai tujuan pengendalian internal
• Untuk mengurangi atau meminimalkan ancaman
dan resiko
• Semakin banyak dan canggihnya kejahatan
computer (Computer Crimes)
• Komputer dapat menimbulkan masalah untuk
pengendalian
• Kelemahan pengendalian umum dapat berpengaruh
terhadap efektivitas seluruh sistem informasi yang
dikomputerisasikan
 Dua katagori
pengendalian lingkungan komputer

• Pengendalian Umum
• Pengendalian Aplikasi
 PENGENDALIAN UMUM
• Meliputi kebijakan dan prosedur mengenai
semua aktivitas Organisasi Departemen PDE
yang bertujuan untuk membuat kerangka
pengendalian yang menyeluruh dan memberikan
keyakinan bahwa seluruh tujuan pengendalian
intern dapat tercapai
• Pengendalian Umum sering juga diklasifikasikan
sebagai pengendalian administratif
• Kelemahan pengendalian umum dapat berpengaruh
terhadap efektivitas seluruh sistem informasi yang
dikomputerisasikan
 Pengendalian Umum (IAI)
• Pengendalian Organisasi dan manajemen
• Pengendalian thd Pengembangan
pemeliharaan sistem aplikasi
• Pengendalian thd operasi sistem
• Pengendalian thd perangkat lunak sistem
• Pengendalian thd entri data dan program
• Pengendalian thd keamanan PDE
• Pengendalian dokumentasi
1. Pengendalian organisasi & manajemen
• Pemisahan fungsi dept. PDE & non PDE
• Pemisahan fungsi dlm dept. PDE
• Otorisasi transaksi
• Pengendalian Personil
• Perencanaan,Penganggaran dan sistem
pembebanan pada pemekai (user)
• Membentuk komisi pengarah PDE
Pemisahan fungsi Dept. PDE dan Non PDE
• Independensi departemen PDE terhadap
departemen/ bagian-bagian lainnya
memungkinkan adanya pengendalian oleh pemakai
dalam pengendalian pengolahan data.

• Pemisahan fungsi ini dimaksudkan agar jangan

sampai satu orang melaksanakan suatu kegiatan
dari awal hingga akhir tanpa ada pihak lain yang
melakukan pengujiann terhadap kegiatan tersebut.
Karena itu pemisahan tugas yang berlaku dalam
sistem non PDE harus dipertahankan dalam sistem
PDE.
Pemisahan fungsi Dept. PDE dan Non PDE
Apabila pemisahan fungsi tersebut berjalan secara efektif,
maka Departemen PDE tidak akan bertanggung jawab
terhadap hal-hal :
1. Memulai dan mengotorisasi transaksi selain dari
transaksi departemen PDE itu sendiri sep. Pengadaan
peralatan PDE dsb.
2. Mencatat transaksi untuk yang pertama kalinya
3. Mengelola aktiva yang bukan aktiva departemen PDE
4. Mengubah fail induk dan fail transaksi
5. Mengkoreksi kesalahan yang bukan kesalahan
departemen PDE
Pemisahan fungsi dalam Dept. PDE
Fungsi fungsi Dept. PDE yang harus dipisahkan adalah
• Sistem dan pemrograman, sistem analis bertugas
mendefinisikan persyaratan yang diperlukan sistem
informasi computer untuk melayani aplikasi yang
dikehendaki , sedangkan pemrograman sistem
menginstall sistem, mencocokan dan memelihara sistem
operasi, sedangkan pemrogram aplikasi, merancang
memberi kode kode dan menguji program untuk bidang
aplikasi tertentu
• Operasi Komputer (operator)
• Pengendalian penjadwalan masukan atau
keluaran (control group) hal 159
• Pemeliharaan perpustakaan
Otorisasi transaksi
Bentuk bentuk otorisasi :
• Semua transaksi tidak dihasilkan oleh Dept. PDE
• Daftar perubahan file induk harus dibuat dengan
diidentifikasi sebelum dan sesudah perubahan dan
ditelaah oleh kepala departemen pemakai atau control
group
• Menjamin hanya data yang di otorisasi saja yang
diproses
• Dibentuk control group yang menguji validitas data
transaksi , menelaah catatan kegiatan dan laporan
penyimpangan, misalnya oleh Pemeriksa Internal
Pengendalian Personil

Tehnik yang digunakan antara lain ;

• Penggunaan uraian tugas (job description)
• Pemilihan dan pelatihan pegawai
• Penyeliaan (supervisi) dan penilaian
• Penggiliran pekerjaan (job rotation) dan
keharusan mengambil cuti
• Pengasuransian pegawai
Perencanaan dan penganggaran
• Membuat perencanaan tersedianya fasilitas
sesuai rencana strategis perusahaan
• Melakukan pengarahan, pengorganisasian dan
pengendalian seluruh kegiatan dept.PDE
• Melakukan konsultasi, koordinasi dan
pengarahan kepada bidang yang berkaitan
dengan pengolahan data
• Merekrut pegawai yang kompeten sesuai
dengan kecakapan yang dibutuhkan
• Melakukan pemantauan terhadap kinerja sistem
dan penggunaan sumberdaya agar optimal
2.Pengendalian Piranti Lunak & keras

Tujuannya ; menditeksi kesalahan yang

terjadi pada computer, mencegah akses
yang tidak ada otorisasinya, mendukung
pemakaian computer secara efektif

• Pengendalian Piranti Lunak

• Pengendalian Piranti Keras
Pengendalian piranti keras

• Perlindungan piranti keras dibuat oleh

pabrikan (built in) untuk menditeksi dan
melaporkan kegagalan peralatan computer
disamping memberi jaminan perlindungan
bahwa secara fisik benar-benar aman
Beberapa jenis pengendalian yang biasanya dimasukkan oleh
pabrikan ke dalam perangkat keras computer :
1. Boundary protection
2. Dual Read
3. Dual Circuitry
4. Echo Check
5. Interlock
6. Cincin pelindung file
7. Pengujian Paritas (Parity check)
8. Reverse multiplication
9. Validity Check
10. Firmware
11. Graceful degradation
12. Overflow check
13. Uninterruptible Power System (UPS)
(Baca hal.164)
Pengendalian Piranti Lunak

• Berfungsi untuk memantau penggunaan piranti

lunak dan mencegah akses oleh orang yang
tidak memiliki otorisasi terhadap sistem, aplikasi
dan program lainnya
• Mencegah akses terhadap data dan fail yang
ada dalam sistem,aplikasi dan program
• Terdapat 6 jenis yang biasa pengendalian dalam
piranti lunak sistem dan piranti lunak aplikasi
(baca hal 167)
Pengendalian yang biasanya ada
dalam piranti lunak sistem dan aplikasi:

• Read and write check

• Record length check
• Label checking routines
• Access control
• Storage device check
• Sistem pengendalian lainnya sesuai dgn
fitur yg dibuat pembuat aplikasi tersebut
(Baca hal 167)
 3.Pengendalian Akses
Memberikan jaminan bahwa sumberdaya PDE yang ada
digunakan sebagaiman mestinya, hanya orang yang
memiliki otorisasi yang dapat mengakses program,
dokumentasi program dan file file data

Tujuannya , untuk menjamin kerahasiaan , integritas,

perlindungan serta siapnya peralatan beserta
systemnya apabila diperlukan sehingga dapat
mengurangi resiko bisnis yang tidak menguntungkan
akibat kegagalan computer, data atau piranti lunak ,
atau akibat penyalahgunaan wewenang atau
masuknya pihak pihak lain yang tidak memiliki
otorisasi

• Pembatasan akses fisik dan lojik

• Dokumentasi Program
• Fasilitas fasilitas on line
Tujuan Auditor perlu mengevaluasi
pengendalian akses
• Menentukan apakah pengendalian akses
mampu mencegah akses yang digunakan
oleh orang yang tidak punya otorisasi
• Menentukan apakah pengendalian akses
yang di pilih dalam sistem tersebut
memadai atau tidak
Pengendalian akses lojik
Untuk membatasi akses ke piranti lunak
komputer,data dan kepustakaan ;
• Konsol operator
• Terminal on line
• Terminal untuk pengolahan data secara
kelompok
• Akses jarak jauh melalui setelit
• Jaringan telekomunikasi

(baca halaman 169)

Katagori pengendalian akses
• Akses ke departemen PDE dan piranti
keras harus dibatasi
• Akses ke dokumensi program,program
dan fail fail harus dibatasi
• Menggunakan piranti lunak pengendalian
akses
• Dengan memasukan fitur fitur tertentu
didalam software
 4.Pengendalian data & prosedur
Memberikan kerangka kerja untuk mengendaliakn
operasi sehari hari serta dalam menjaga agar
tidak terjadi kesalahan pengolahan data
Jenis jenis pengendalian data & Prosedur
• Control Group
• Fail and database
• Prosedur prosedur pelaksanaan computer
yang standard
• Pengamanan terhadap data
• Diefektifkannya fungsi audit intern
 Control Group
• Posisi control group dalam departemen PDE harus cukup
independen. Fungsi dari control group ini dapat diibaratkan
seperti filter antara departemen pemakai dengan departemen
PDE. Pekerjaan dari control group mencakup hal-hal seperti
menerima data masukan yang akan diproses; memastikan
bahwa masing-masing kelompok (batch) data masukan
tersebut ada otorisasinya, akurat dan lengkap; menjadi
penghubung dengan departemen pemakai berkenaan
dengan kesalahan kesalahan dan permintaan untuk
memperbaiki kesalahan-kesalahan tersebut; menelusuri
pekerjaan pengolahan yang masih ada di dalam departemen
PDE; dan sebagainya
 Tanggung jawab dari Control Group, adalah:
1. Menerima semua data masukan yang akan diproses.
2. Mencatat data masukan yang diterima di dalam catatan pengendalian (control
log).
3. Memastikan bahwa setiap batch data input ada otorisasinya, akurat dan
lengkap.
4. Meneliti daftar-daftar kesalahan (error listings).
5. Menjadi penghubung (liaison) dengan para pemakai (users) berkenaan
dengan kesalahan-kesalahan yang terjadi serta dalam hal permintaan
perbaikannya.
6. Mengawasi pendistribusian keluaran.
7. Menelusuri pekerjaan pengolahan selama masih dalam departemen PDE
untuk pemrosesan.
Selain itu, control group dapat pula menjalankan beberapa fungsi lainnya:
1. Membuat jadwal (skedul) pekerjaan-pekerjaan yang harus diproses.
2. Melakukan rekonsiliasi antara masukan dengan keluaran.
3. Memastikan bahwa laporan keluaran tersedia tepat waktu dan didistribusikan
kepada pihak-pihak yang berwenang.
Jenis jenis pengendalian fail dan database
• Pengendalian akses
• Pengendalian integritas
• Pengendalian aplikasi perangkat lunak
• Pengendalian simultan
• Pengendalian kriptografi
• Pengendalian penanganan fail
• Pengendalian jejak audit
• Pengendalian eksistensi
(Hal 174-177)
• Pengendalian akses:
a. Akses terhadap nama
(name-dependent access control atau content-
independent access control)
b. Akses terhadap isi
(Content-dependent access control)
c. Akses terhadap konteks
(Context-dependent access control)
d. Akses terhadap sejarah
(History-dependent access control)
• Pengendalian Simultan
Teknik Lock-Out dimaksudkan untuk
mencegah pemutakhiran data secara
simultan dalam sistem on-line, dapat
dilakukan dengan cara:
a. File Locking
b. Record Locking
c. Field Locking
d. Database managemement system

Baca hal 175

5.Pengendalian Pengembangan sistem baru
Tujuannya ; menjamin bahwa seluruh kegiatan
pengembangan system telah diotorisasi,disetujui dan
diterapkan, menjamin bahwa standard ,kebijakan dan
prosedur benar benar dilaksanakan, menjamin bahwa
system tersebut dapat diaudit.

• Partisipasi Manajemen dan pemakai

• Pengembangan Standard dan Pedoman
• Manajemen Proyek
• Pengujian sistem dan konversi
• Penelaahan setelah instalasi
6. Pengendalian pemeliharaan Program
Pengendalian yang diperlukan untuk melakuakn
perubahan system tidak boleh berbeda dengan
pengendalian yang yang sebelumnya telah
diterapkan untuk pengembangan system baru ,
meliputi :
• Otorisasi untuk melakukan perubahan
• Keterlibatan pemakai
• Persetujuan pemakai pada waktu perubahan diuji
• Adanya standard untuk orang orang yang terlibat
dalam perubahan
• Pengendalian agar pemrogram tidak merubah
secara langsung terhadap program yang asli, harus
copy nya.
 7. Pengendalian Dokumentasi
Dokumentasi , menjelaskan system dan program, bagan
alir, layout dari record , instruksi instruksi yang
dilakukan untuk pangoperasian ,prosedur prosedur
pengendalian .
Tujuan pengendalian Dokumentasi ;
• Memberikan sumber informasi bagi personil PDE
• Memberikan jaminan bahwa instruksi bagi personil
PDE dan personil departemen pemakai telah
didokumentasikan
• Menjamin kelangsungan operasi PDE
• Memberikan jaminan bahwa seluruh sistem dan
program telah didokumentasi secara memadai
• Dokumentasi dapat memberikan jaminan bahwa
dokumentasi benar -benar ada dan dikendalikan
secara efektif
Dokumentasi Dept. PDE
Umumnya mencakup ;
• Dokumentasi standard dan Dokumentasi
Pendefinisian masalah
• Dokumentasi sistem
• Dokumentasi Program
• Dokumentasi Operasional
• Dokumentasi Pemakai
 REFERENSI
Daftar Referensi:

1. Anies S.M. Basalamah, Auditing PDE dengan Standar IAI,

Penerbit Usaha Kami, Edisi Kelima, 2011
2. Sanyoto Gondodiyoto, Audit Sistem Informasi Pendekatan
CobIT, Penerbit Mitra Wacana Media, Jakarta, 2007
3. D.P. Dube and V.P. Gulati, Information System Audit and
Assurance, Tata McGraw-Hill Publishing Company Limited,
New Delhi, 2005
4. St. Dwiarso Utomo, E. Suhartono, Pengauditan Pengolahan
Data Elektronik PDE Konsep & Praktik ACL for Windows,
Salemba Empat, 2017
TERIMAKASIH