Proses Audit

Pengendalian
Internal

Uji Subtantif
 Pengendalian Umum (General Control)
• Menurut Sawyer, Dittenhofer, & Scheiner (2005, hal. 549),
general control consist of those controls in the IS and user
environment that are pervasive over all or most application.
They include such controls as segregation of incompatible
duties, system development procedures, data security, all
administrative controls, and disaster recovery capabilities.
• Menurut Gondodiyoto (2007, hal. 301) pengendalian umum
didefinisikan sebagai sistem pengendalian internal komputer
yang berlaku umum meliputi seluruh kegiatan komputerisasi
sebuah organisasi secara menyeluruh. Artinya ketentuan –
ketentuan dalam pengendalian tersebut berlaku untuk
seluruh kegiatan komputerisasi yang digunakan di perusahaan
tersebut.
 Pengertian Pengendalian Internal
• Menurut Standar Profesi Audit Internal (SPAD) yang dikutip oleh
Tunggal (2007, hal. 1), Pengendalian Internal adalah tindakan yang
diambil oleh manajemen, dewan pengawas, atau pihak lain,
termasuk komite audit, untuk mengelola resiko dan meningkatkan
kemungkinan pencapaian tujuan organisasi. Manajemen melakukan
tindakan - tindakan seperti perencanaan, pemantauan dan
sebagainya untuk memberikan jaminan yang wajar atas pencapaian
tujuan tersebut.
• Menurut Rama & Jones (2008, hal. 8), pengendalian internal
(internal control) mencakup kebijakan - kebijakan, prosedur -
prosedur, dan sistem informasi yang digunakan untuk melindungi
aset - aset perusahaan dari kerugian atau korupsi, dan untuk
memelihara keakuratan data keuangan.
Tujuan :

Untuk memperoleh pemahaman mengenai pengendalian

umum atas penggunaan teknologi informasi yang meliputi :
• Pengendalian pengamanan
• Akses
• Pengembangan software aplikasi
• Pemisahan fungsi
• Keberlanjutan layanan.
 Contoh Pengendalian Umum
Area Akses

Uji Y T
Reviu kebijakan dan prosedur mengenai
password. Interviu pengguna. Idealnya password
diatur sbb:
 Unik untuk setiap individu, bukan grup
 Dikendalikan oleh pengguna yang ditunjuk
 Diubah secara periodik – setiap 30 sampai 90
hari
 Tidak ditampilkan saat dimasukkan
 Minimal panjangnya 6 karakter alfanumerik
 Dicegah dari penggunaan ulang minimal untuk
6 generasi
Lihat file password apakah dienkripsi
 Pengendalian Aplikasi

• Pengendalian Aplikasi adalah :

kontrol internal yang berlaku khusus untuk aplikasi
komputer tertentu.
• Pengendalian ini sering disebut pengendalian
perspektif teknis.
 Pengendalian Aplikasi terdiri dari :

• Boundary Control
• Input Control
• Proses Control
• Output Control
• Database Control
• Communication Control
 RUANG LINGKUP

Boundary Control

Jenis-jenis pengendalian :

• Otoritas akses ke sistem aplikasi,

• Identitas pengguna
• Autentitifkasi pengguna.
 Lanjutan kategori :

Input Control
Jenis-jenis pengendalian :
• Otorisasi dan validasi masukan,
• transmisi dan konversi data,
• penanganan kesalahan.

Proses Control
Jenis-jenis pengendalian :
• Pemeliharaan ketepatan data,
• pengujian atas batasan dan memadainya pengolahan
 RUANG LINGKUP (lanjutan)
Output Control
Jenis-jenis pengendalian :
• Penelaahan dan pengujian hasil pengolahan
• Distribusi keluaran.

Database Control
Jenis-jenis pengendalian : Akses Integritas data.

Communication Control
Jenis-jenis pengendalian : Pengendalian untuk kerja, gangguan
komunikasi.
 KELOMPOK PENGENDALIAN APLIKASI

• Pengendalian Preventif
Untuk mencegah terjadinya resiko.
• Pengendalian Detektif
Untuk menemukan kesalahan (terjadinya resiko)
• Pengendalian Korektif
Jika terjadi resiko
 Boundary Controls
• Yang dimaksud boundary adalah :
interface antara para pengguna (users) dengan sistem berbasis
teknologi informasi.

• Tujuan utama boundary controls adalah antara lain :

(a)untuk mengenal identitas dan otentik (authentic)/tidaknya
usersistem, artinya suatu sistem yang didesain dengan baik
seharusnya dapat mengidentifikasi dengan tepat siapa user
tersebut, dan apakah identitas yang dipakainya otentik
(b) untuk menjaga agar sumberdaya sistem informasi
digunakan oleh user dengan cara yang ditetapkan.

.
• Input merupakan salah satu tahap dalam sistem komputerisasi
yang paling krusial dan mengandung risiko.
• Pengendalian masukan (input control) dirancang
dengan tujuan untuk mendapat keyakinan bahwa data transaksi
input adalah valid,lengkap, serta bebas dari kesalahan dan
penyalahgunaan.
• Input controls ini merupakan pengendalian aplikasi yang penting,
karena input yang salah akan
menyebabkan output juga keliru.
Jika yang masuk sampah, sampah pula yang
keluar (GIGO/Garbage In Garbage Out)
 Pengendalian Proses
• Pengendalian proses (processing controls) ialah
“ pengendalian intern untuk mendeteksi jangan sampai data (khususnya data
yang sesungguhnya sudah divalid) menjadi error karena adanya kesalahan
proses “.
• Tujuan pengendalian pengolahan adalah : untuk mecegah agar tidak terjadi
kesalahan-kesalahan selama proses pengolahan data.
• Pengendalian proses merupakan bentuk pengendalian yang diterapkan
setelah data berada pada sistem aplikasi komputer.
• Menurut IAI (SA341,Par.08) pengendalian ini didesain untuk memberi
keyakinan yang memadai bahwa :
(a) transaksi, termasuk transaksi yang dipicu melalui sistem, diolah
semestinya oleh komputer,
(b) transaksi tidak hilang, ditambah, digandakan, atau diubah tidak
semestinya, dan
(c) kekeliruan pengolahan dapat diidentifikasi dan dikoreksi secara
tepat waktu.
 Pengendalian Hasil Keluaran
• Pengendalian keluaran merupakan pengendalian yang dilakukan
umtuk
menjaga output sistem agar akurat lengkap, dan digunakan
sebagaimana mestinya.
• Pengendalian keluaran (output controls) ini didesain agar
output/informasi
disajikan secara akurat, lengkap, mutakhir, dan didistribusikan
kepada orang-orang yang berhak secara cepat waktu dan tepat
waktu.
• Metode pengendalian bersifat preventive objective,misalnya ialah
perlunya
disediakan tabel/matriks pelaporan : jenis laporan, periode
pelaporan, dan siapa pengguna, serta check-list konfirmasi tanda
terima oleh penggunanya, prosedur permintaan laporan rutin/on-
demand, atau permintaan laporan baru.
• Pengendalian Hasil Keluaran bersifat detencion
objective,misalnya ialah cek antar program pelaporan,
perlunya dibuat nilai-nilai subtotal dan grand-total yang dapat
diperbandingkan untuk mengevaluasi keakurasian laporan,
judul dan kolom-kolom laporan perlu didesain dengan
sungguh-sungguh.
• Pengendalain intern yang bersifat corrective objective,
misalnya ialah prosedur prosedur klaim ketidakpuasaan
pelayanan, tersedianya help-desk dan contack person,
persetujuaan dengan users mengenai service level yang
disepakati.
Contoh Pengendalian Aplikasi
Pengendalian Batasan
(Boundary Controls)

Uji Y T
Apakah password di enkripsi ?
Apakah password diubah secara berkala setiap 30
– 90 hari ?
Uji Subtantif

 Batasan
Penggunaan
Password

 Password dienkripsi

“ X “ Password
hanya 3
karakter
 Kertas Kerja Pengendalian
Aplikasi
Uji Temuan Resiko Rekomendasi
Apakah panjang Ada password Password dengan Organisasi
password Minimal 6 dengan panjang kurang dari 6 sebaiknya
karakter alfanumerik panjang 3 karakter dapat segera
karakter mengakibatkan merubah
Password mudah pembuatan
dibaca dan ditebak password
oleh orang yang tidak minimal 6
berwenang yang pada karakter
akhirnya dapat
mengakibatkan
kecenderungan
integritas data tidak
dapat kita jamin
 Laporan

LAPORAN HASIL ,TEMUAN, RISIKO, REKOMENDASI TANGGAPAN

ATAS
PENGENDALIAN UMUM dan PENGENDALIAN APLIKASI TEKNOLOGI INFORMASI

A. Sesuai Kriteria
B. Tidak Sesuai Kriteria
TEMUAN ---------------------------------
RISIKO ---------------------------------
REKOMENDASI -----------------------
TANGGAPAM --------------------------