A S

I T
AL
KU
A N
IN AUDIT
A M NAL
J TER
IN
 PENGERTIAN PENGENDALIAN
INTERNAL
• Menurut Gramling, Rittenberg, dan Johnstone
(2012: 208), “Internal control is a process related
to the achievement of the organization’s
objectives. Organizations identify the risks to
achieving those objectives and implement various
controls to mitigate those risks”.
• Pengendalian internal diperlukan untuk
mengidentifikasi risiko agar proses bisnis
perusahaan tidak terganggu.
 PENGERTIAN PENGENDALIAN
INTERNAL
• Menurut Standar Profesi Audit Internal (SPAD) yang dikutip oleh
Tunggal (2007, hal. 1), Pengendalian Internal adalah tindakan yang
diambil oleh manajemen, dewan pengawas, atau pihak lain,
termasuk komite audit, untuk mengelola resiko dan meningkatkan
kemungkinan pencapaian tujuan organisasi. Manajemen
melakukan tindakan - tindakan seperti perencanaan, pemantauan
dan sebagainya untuk memberikan jaminan yang wajar atas
pencapaian tujuan tersebut.
• Menurut Rama & Jones (2008, hal. 8), pengendalian internal
(internal control) mencakup kebijakan - kebijakan, prosedur -
prosedur, dan sistem informasi yang digunakan untuk melindungi
aset - aset perusahaan dari kerugian atau korupsi, dan untuk
memelihara keakuratan data keuangan.
 PENGENDALIAN INTERNAL
• Jadi dapat disimpulkan bahwa pengendalian
internal adalah pengendalian dalam suatu
organisasi bertujuan untuk menjaga aset
perusahaan, pemenuhan terhadap kebijakan dan
prosedur, kehandalan dalam proses, dan operasi
yang efisien
 TUJUAN PENGENDALIAN
INTERNAL
• Menurut Gondodiyoto (2007: 260), tujuan disusunnya system control
atau pengendalian internal komputer adalah sebagai berikut:
– Meningkatkan pengamanan (improve safeguard) aset sistem
informasi (data/catatan akuntansi (accounting records) yang bersifat
logical assets, maupun physical assets seperti hardware,
infrastructures, dan sebagainya).
– Meningkatkan integritas data (improve data integrity), sehingga
dengan data yang benar dan konsisten akan dapat dibuat laporan
yang benar.
– Meningkatkan efektifitas sistem (improve system effectiveness).
– Meningkatkan efisiensi sistem (improve system efficiency).
 TUJUAN SISTEM PENGENDALIAN
INTERNAL
• Menurut Mulyadi (2001, hal. 163) Tujuan sistem
pengendalian internal direncanakan atau
dirancang dengan tujuan untuk :
– Menjaga kekayaan organisasi,
– Mengecek ketelitian dan kehandalan data
akuntasi,
– Mendorong efisiensi, dan
– Mendorong dipatuhinya kebijakan manajemen.
 PENGGOLONGAN PENGENDALIAN
INTERNAL
• Pengendalian internal harus diterapkan terhadap setiap sistem dan
aplikasi, hal ini dilakukan untuk mengurangi exposure yang selalu
muncul pada pencatatan yang buruk, akuntansi yang tidak tepat,
interupsi bisnis, pengambilan keputusan yang buruk, penipuan dan
penggelapan, pelanggaran hukum terhadap peraturan, peningkatan
biaya dan hilangnya aset perusahaan.
• Oleh sebab itu manajemen harus menyadari pentingnya pengendalian
untuk menjaga sistem dari penggunaan secara tidak tepat, untuk
mengurangi timbulnya kesalahan dan untuk memaksimalkan hasil dari
sistem operasi. Pengendalian ini digolongkan menjadi 2 golongan yaitu
:
– General controls (pengendalian umum).
– Application controls (pengendalian aplikasi).
 AUDIT SISTEM
INFORMASI
General controls
(pengendalian umum)

Antonius Wahyu Sudrajat, M.T.I

wahyu.sudrajat@mdp.ac.id wahyue79@gmail.com
PENGENDALIAN UMUM (GENERAL CONTROL)

• Menurut Sawyer, Dittenhofer, & Scheiner (2005, hal. 549), general

control consist of those controls in the IS and user environment that
are pervasive over all or most application. They include such
controls as segregation of incompatible duties, system development
procedures, data security, all administrative controls, and disaster
recovery capabilities.
• Menurut Gondodiyoto (2007, hal. 301) pengendalian umum
didefinisikan sebagai sistem pengendalian internal komputer yang
berlaku umum meliputi seluruh kegiatan komputerisasi sebuah
organisasi secara menyeluruh. Artinya ketentuan – ketentuan
dalam pengendalian tersebut berlaku untuk seluruh kegiatan
komputerisasi yang digunakan di perusahaan tersebut.
 CONTOH PENGENDALIAN
UMUM
• Pengendalian umum juga dapat diartikan sebagai
pengendalian yang tidak terkait langsung ke suatu aplikasi
tertentu.
• Misalnya dalam contoh ATM di atas, ketentuan bahwa
masuk ke ruang ATM tidak boleh memakai helm. Adanya
CCTV di ruang ATM dan ketentuan adanya SATPAM di situ
adalah dapat dikategorikan dengan pengendalian umum
(ketentuan-ketentuan tersebut tidak langsung dengan
transaksi pengambilan uang di mesin ATM).
 RUANG LINGKUP PENGENDALIAN
UMUM
• Ruang lingkup yang termasuk dalam pengendalian umum (pengendalian
perspektif manajemen) diantaranya adalah :
– Pengendalian manajemen puncak (top management controls).
– Pengendalian manajemen pengembangan sistem (information system
management controls).
– Pengendalian manajemen sumber data (data resources management
controls).
– Pengendalian manajemen operasi (operations management controls).
– Pengendalian manajemen keamanan (security administration
management controls).
– Pengendalian manajemen jaminan kualitas (quality assurance
management controls).
UNSUR PENGENDALIAN UMUM
• Dari beberapa pengendalian umum tersebut,
berdasarkan ruang lingkup dari penulisan skripsi
ini, maka yang akan dibahas adalah :
– Pengendalian Manajemen Operasi (Operational
Management Controls)
– Pengendalian Manajemen Keamanan (Security
Management Controls)
 OPERATIONAL MANAGEMENT
CONTROLS
• Menurut Gondodiyoto (2007, hal. 331) pengendalian manajemen
operasi merupakan jenis pengendalian internal yang didesain untuk
pengelolaan sumber daya dan operasi IT pada suatu organisasi.
Pengendalian manajemen operasi disusun dengan tujuan untuk
menciptakan kerangka kerja organisasi, pendayagunaan sumber
daya informasi, dan pembagian tugas yang baik bagi suatu
organisasi yang menggunakan sistem berbasis teknologi informasi.
– Pemisahan tugas dan fungsi
– Pengendalian personil
– Pengendalian perangkat keras
– Pengendalian jaringan
– Manajemen operasi
 PEMISAHAN TUGAS DAN FUNGSI
• Pemisahan tugas dan fungsi didesain untuk memastikan bahwa fungsi –
fungsi yang tidak sejalan (atau seharusnya - cek), seperti : fungsi
analisis/desain dan pemprograman dengan operasi komputer (mencakup
penyiapan transaksi, otorisasi, proses entri, dan pelaporan) telah dipisahkan.
Terdapat dua pemisahan fungsi yaitu :
–Pemisahan fungsi departement IT dengan non IT (users)
Pemisahan fungsi ini bertujuan untuk memisahkan antara pemakai dengan
departement IT sehingga meningkatkan pengendalian terhadap aktivitas IT.
–Pemisahan fungsi dalam departement IT
Fungsi – fungsi departement IT dapat dipisahkan berdasarkan fungsi sistem
dan pemrograman, operasi komputer, pengendalian dan penjadwalan
input/output, pemeliharaan media (library).
 PENGENDALIAN PERSONIL
• Personil mempunyai peranan penting dalam pengendalian sistem.
Pengendalian personil dapat diindikasikan oleh hal-hal berikut :
– Adanya prosedur penerimaan dan pemilihan pegawai
– Adanya program peningkatan keahlian pegawai melalui pelatihan yang
berhubungan dengan bidang tugasnya
– Adanya evaluasi atas pekerjaan yang dilakukan pegawai
– Administrasi atas gaji dan prosedur promosi yang jelas
– Penggunaan uraian tugas (job description)
– Pemilihan dan pelatihan pegawai
– Penyediaan (supervisi) dan penilaian
– Penggiliran pekerjaan (job rotation) dan keharusan mengambil cuti
– Adanya jenjang karier serta sarana dan aturan untuk mencapainya
 PENGENDALIAN PERANGKAT KERAS
• Pengawasan terhadap akses fisik
Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat
komputer perlu diawasi.
• Pengaturan lokasi fisik
Lokasi ruang komputer merupakan pertimbangan yang penting dalam pengendalian keamanan
komputer
• Penggunaan alat pengamanan
Alat – alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan
kerusakan
• Pengendalian operasi perangkat keras
Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga perangkat
keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut
• Pengendalian perangkat lunak
Pengendalian perangkat lunak didesain untuk memastikan keamanan dan kehandalan sistem
• Pengendalian keamanan data
Pengendalian keamanan data merupakan suatu tindakan pengendalian untuk menjaga keamanan
datayang tersimpan didalam media penyimpanan agar tidak hilang dan rusak, atau diakses oleh orang
yang tidak berhak.
 PENGENDALIAN JARINGAN
• Alat bantu (tools) penting yang dapat digunakan oleh operator untuk mengelola wide area
network adalah network control terminal. Network control terminal menyediakan akses
kepada software system yang khusus untuk mengelola jenis fungsi dibawah ini agar dapat
berjalan dengan baik, yaitu :
– Memulai dan menghentikan jaringan dan proses
– Memonitor aktivitas jaringan
– Mengganti nama line komunikasi
– Mengenerate statistic system
– Mensetting ulang panjangnya antrian
– Menambah frekuensi backup
– Menanyakan status sistem
– Mengirimkan system warning dan status message
– Memeriksa lintasan data pada line komunikasi
• Network control terminal juga dapat digunakan untuk menjalankan fungsi yang sejenis ke
peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan
harta dan data integrity, network control terminal adalah komponen yang sangat penting
pada suatu jaringan.
 MANAJEMEN OPERASI
• Saat ini fungsi sistem yang sekarang digunakan pada
manajemen operasi adalah komputer mikro secara stand
alone, multi user atau jaringan (network) atau dalam
bentuk client server.
– Service level agreements
– Kepustakaan file
– Fungsi help desk
– Capacity planning
– Outsource
 SECURITY MANAGEMENT CONTROLS
(1)
• Menurut Gondodiyoto (2007, hal. 345) pengendalian internal
terhadap manajemen keamanan (security management controls)
dimaksudkan untuk menjamin agar aset sistem informasi tetap
aman. Aset sumber daya informasi mencakup fisik (perangkat
mesin dan fasilitas penunjangnya) serta aset tak berwujud (non
fisik, misalnya data/informasi, dan program aplikasi komputer).
– Kebijakan keamanan IT (IT security policy)
– Beberapa aspek serangan potensial
– Mitos-mitos seputar keamanan komputer
– Kebijakan keamanan komputer
– Personil dan kebijakan keamanan komputer
 SECURITY MANAGEMENT CONTROLS
(2)
• Menurut Weber (1999 : 256), Pengendalian Manajemen Keamanan meliputi perlindungan
terhadap asset dan fungsi sistem informasi, yang dapat diimplementasi. Berikut beberapa
ancaman terhadap sistem informasi beserta cara penanganannya:
–Kebakaran
• Tindakan pengamanan untuk ancaman kebakaran adalah :
• Memiliki alarm kebakaran otomatis yang diletakkan di ruangan dimana aset – aset sistem
informasi berada.
• Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau.
• Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan yang tahan api.
–Banjir
• Tindakan pengamanan untuk ancaman kebanjiran, antara lain :
• Memiliki atap, dinding dan lantai yang dibuat dari bahan yang tahan air.
–Perubahan tegangan sumber energi
• Tindakan pengamanan untuk mengatasi perubahan tegangan sumber energi listrik, dapat
menggunakan stabilizer ataupun Uninterruptible Power Supply (UPS) yang mampu mengatasi
masalah yang terjadi ketika tegangan listrik tiba – tiba turun.
SECURITY MANAGEMENT CONTROLS
(3)
–Polusi
• Tindakan pengamanan untuk mengantisipasi polusi adalah dengan membuat situasi
kantor bebas debu, tidak memperbolehkan membawa binatang peliharaan serta
melarang pegawai membawa atau meletakkan minuman di dekat peralatan komputer.
–Virus dan Worm
• Tindakan pengamanan untuk mengantisipasi virus dan worm adalah :
• Preventif, dapat dengan menginstal anti virus dan di-update secara berkala, melakukan
scan atas file yang akan digunakan.
• Detektif, melakukan scan secara rutin untuk mendeteksi adanya virus maupun worm.
• Korektif, memastikan back up data bebas virus dan worm, pemakaian anti virus terhadap
file yang terinfeksi.
 SI
A
R M
F O
IN
EM
S T
S I
IT
UD
A
PENGENDALIAN APLIKASI (APPLICATION CONTROL)

• Menurut Ruppel (2008, hal. 537-538) application controls help

ensure the completeness and accuracy of transaction processing,
authorization, and validity edit checks, numerical sequence checks,
and manual follow up of the exception report are example of
application controls.
• Menurut Gondodiyoto (2007, hal. 372-373) pengendalian aplikasi
(appliaction controls) adalah sistem pengendalian intern (internal
control) pada sistem informasi berbasis teknologi informasi yang
berkaitan dengan pekerjaan/kegiatan/aplikasi tertentu (setiap
aplikasi memiliki karakteristik dan kebutuhan pengendalian yang
berbeda).
 CONTOH PENGENDALIAN
APLIKASI
• Pengendalian aplikasi disebut juga pengendalian transaksi,
karena didesain berkaitan dengan transaksi pada aplikasi
tertentu.
• Misalnya apabila nasabah akan mengambil uang di ATM,
setelah memasukkan kartu akan dimina PIN, atau setelah
memasukkan nilai uang yang akan diambil, ATM akan
mengecek sapakah saldo cukup, atau jumlahnya diijinkan
sesuai dengan mengecek apakah saldo cukup, atau
jumlahnya diijinkan sesuai dengan ketentuan bank.
Pengendalian berupa PIN dan limit pengambilan uang
tersebut hanya berlaku di ATM, tidak berlaku di kegiatan
lain.
 UNSUR PENGENDALIAN
APLIKASI
• Terdapat beberapa unsur dalam pengendalian aplikasi,
pengendalian aplikasi pada dasarnya terdiri dari :
– Pengendalian batas sistem (boundary controls)
– Pengendalian masukan (input controls)
– Pengendalian proses pengolahan data (process controls)
– Pengendalian keluaran (output controls)
– Pengendalian file/database (file/database controls)
– Pengendalian komunikasi aplikasi (communication controls)
• Namun yang akan dibahas dalam penulisan skripsi ini meliputi
boundary controls, input controls, output controls.
 PENGENDALIAN BATAS SISTEM (BOUNDARY
CONTROLS)

• Menurut Gondodiyoto (2007, hal. 374-375) yang dimaksud boundary

adalah interface antara users dengan sistem berbasi teknologi
informasi. Tujuan utama boundary controls adalah antara lain :
– Untuk mengenal identitas dan otentik/tidaknya pemakai sistem,
artinya suatu sistem yang didesain dengan baik seharusnya dapat
mengidentifikasi dengan tepat siapa users tersebut, dan apakah
identitas diri yang dipakainya otentik.
– Untuk menjaga agar sumber daya sistem informasi digunakan oleh
user dengan cara yang ditetapkan.
• Contoh dari pengendalian batasan :
– Otoritas akses ke sistem aplikasi
– Identitas dan otentisitas pengguna
 PENGENDALIAN MASUKAN (INPUT
CONTROLS)
• Menurut Gondodiyoto (2007, hal. 377-378) pengendalian
masukan (input controls) dirancang dengan tujuan untuk
mendapat keyakinan bahwa data transaksi input adalah valid,
lengkap, serta bebas dari kesalahan dan penyalahgunaan.
Input controls ini merupakan pengendalian aplikasi yang
penting karena input yang salah akan menyebabkan output
juga keliru.
• Mekanisme masuknya data input ke sistem dapat
dikategorikan ke dalam dua cara yaitu :
– Batch system (delayed processing systems)
– On line transaction processing system (pada umumnya
bersifat real time system)
 BATCH SYSTEM (DELAYED PROCESSING SYSTEMS)

• Pada sistem pengolahan data secara batch processing system, tiap transaksi (misalnya
formulir sensus, kartu pencoblosan pemilihan ketua umum, atau answer sheet ujian calon
mahasiswa) dibundel dalam jumlah lembar tertentu untuk direkam. Demikian pula sistem
batch dalam siklus akuntansi keuangan (book keeping untuk mencatat transaksi ke dalam
jurnal, posting ke buku besar dan buku pembantu, serta pengolahan untuk menghasilkan
laporan keuangan) dilakukan tidak pada saat transaksi itu terjadi. Sistem pengolahan data
lebih bersifat back office system, yaitu semata-mata untuk mengolah data dokumen-
dokumen akuntansi yang transaksinya sudah lewat. Jadi pengolahan datanya tertunda
(delayed processing). Pada sistem batch ini orientasi utamanya adalah sistem pengolahan
data (dahulu disebut sistem pengolahan data elektronik, electronic data processing, EDP).
• Data input yang akan dimasukkan ke sistem informasi berbasis teknologi pada hakikatnya
dapat dikelompokan dalam tiga tahapan, yaitu (1) data capture (penangkapan data,
pengisian dokumen sumber atau source document), (2) data preparation (penyiapan data
untuk di entry), (3) data entry (pemasukan data) merupakan proses merekam atau
memasukan data ke komputer, suatu proses mengubah data ke dalam bentuk yang dapat
dibaca oleh mesin (machine readable form).
ON LINE TRANSACTION PROCESSING SYSTEM

• On line transaction processing system (pada umumnya bersifat real time system)
• Cara pemrosesan data input yang lain yang lebih lazim pada saat ini adalah
dengan online transaction processing system. Pada sistem tersebut data masukan
dientri dengan workstation/terminal atau jenis input device seperti ATM
(automatic teller machine) dan point of sales (POS). Meskipun online bisa saja
dengan memakai pola batch, tetapi biasanya online dikaitkan dengan real time
system, artinya updating data di komputer bersamaan dengan terjadinya
transaksi.
• Contoh dari pengendalian input :
– Otoritas dan validasi masukan
– Transmisi dan konversi data
– Penanganan kesalahan
 PENGENDALIAN KELUARAN (OUTPUT
CONTROLS)
• Pengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga
output sistem agar akurat, lengkap, dan digunakan sebagaimana mestinya.
Pengendalian keluaran (output controls) ini didesain untuk menjamin agar output
/ informasi dapat disajikan secara akurat, lengkap, mutakhir, dan didistribusikan
kepada orang-orang yang berhak (para user) secara cepat dan tepat waktu. Yang
termasuk pengendalian keluaran antara lain adalah :
–Rekonsiliasi keluaran dengan masukan dan pengolahan
Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran dari
sistem dengan dokumen asal.
–Penelaahan dan pengujian hasil-hasil pengolahan
Pengendalian ini dilakukan dengan cara melakukan penelaahan, pemeriksaan
dan pengujian terhadap hasil-hasil pengolahan dari sistem. Proses penelaahan
dan pengujian ini biasanya dilakukan oleh atasan langsung pegawai.
 PENDISTRIBUSIAN KELUARAN
• Pengendalian ini didesain untuk memastikan
bahwa keluaran didistribusikan kepada pihak
yang berhak, dilakukan secara tepat waktu dan
hanya keluaran yang diperlukan saja yang
didistribusikan.
• Contoh dari pengendalian output :
– Rekonsiliasi keseluruhan
– Penelaahan dan pengujian hasil pengolahan
– Distribusi keluaran
 SIFAT-SIFAT PENGENDALIAN
INTERNAL
• Menurut Gondodiyoto (2007, hal. 137), pengendalian internal digolongkan dalam
preventive, detection, corrective :
– Preventive control, yaitu pengendalian internal yang dirancang dengan maksud
untuk mengurangi kemungkinan (atau mencegah/menjaga jangan sampai
terjadi kesalahan, kekeliruan, kelalaian, error) maupun penyalahgunaan
(kecurangan, fraud)
– Detection control, yaitu pengendalian yang didisain dengan tujuan agar apabila
data direkam (di-entry)/dikonfersi dari media sumber (media input) untuk di
transfer ke sistem komputer dapat dideteksi apabila terjadi kesalahan
(maksudnya tidak sesuai dengan kriteria yang ditetapkan).
– Corrective control, ialah pengendalian yang sifatnya jika terdapat data yang
sebenarnya error tetapi tidak terdeteksi oleh program validasi, harus ada
prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data
yang salah dengan maksud untuk mengurangi kemungkinan kerugian atau
kesalahan/ penyalahgunaan tersebut sudah benar-benar terjadi.
 KELOMPOK PEGENDALIAN
INTERNAL
• Pengendalian intern dikelompokkan dalam
pengendalian yang bersifat wajib (mandatory)
dan yang opsional
– Jika ada peraturan dari pemerintah DKI bahwa setelah
jam 24.00 ruang ATM harus dikunci dalam rolling-door
misalnya, maka ketentuan tersebut adalah mandatory.
– Jika ketentuan pengamanan ruang ATM tersebut tidak
harus dilakukan, maka termasuk pengendalian yang
bersifat opsional.
 AKTIVITAS PENGENDALIAN
• Menurut Weygandt (2011: 102), terdapat enam
prinsip aktivitas pengendalian, yaitu:
– Penetapan tanggung jawab
– Pembagian tugas
– Prosedur dokumentasi
– Pengendalian fisik
– Verifikasi internal yang dilakukan secara independen
– Pengendalian sumber daya manusia
 FUNGSI INTERNAL AUDITOR
• Menurut Hunton et.al. dalam Basalamah (2011: 17), seorang auditor TI sebaiknya ampu
melakukan pekerjaan-pekerjaan sebagai berikut:
– Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup analisis terhadap
risiko dan pengendalian atas aplikasi-aplikasi seperti e-business, sistem perencanaan sumber
daya perusahaan.
– Memberikan asersi (assurance) atas proses-proses tertentu, seperti audit dengan prosedur-
prosedur tertentu yang disepakati bersama dengan auditee mengenai lingkup asersi.
– Memberikan asersi atas aktifitas pengolahan data pihak ketiga dengan tujuan untuk
memberikan asersi bagi pihak lain yang memerlukan informasi mengenai aktifitas
pengendalian data yang dilakukan oleh pihak ketiga tersebut.
– Pengujian penetrasi, yaitu upaya untuk mengakses sumber daya informasi guna menemukan
kelemahan-kelemahan yang ada dalam pengolahan data tersebut.
– Memberikan dukungan atas pekerjaan audit keuangan yang mencakup evaluasi atas risiko
dan pengendalian TI yang dapat mempengaruhi kehandalan sistem pelaporan keuangan.
– Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan-catatan komputer dalam
investigasi kecurangan.