AUDIT SISTEM INFORMASI (AUSI)

Ir. Sumijan, M.Sc

Pengertian Pengendalian Internal
Menurut Gramling, Rittenberg, dan Johnstone (2012:
208), “Internal control is a process related to the
achievement of the organization’s objectives.
Organizations identify the risks to achieving those
objectives and implement various controls to mitigate
those risks”.
Pengendalian internal diperlukan untuk
mengidentifikasi risiko agar proses bisnis perusahaan
tidak terganggu.
Pengertian Pengendalian Internal
 Menurut Standar Profesi Audit Internal (SPAD) yang dikutip
oleh Tunggal (2007, hal. 1), Pengendalian Internal adalah
tindakan yang diambil oleh manajemen, dewan pengawas,
atau pihak lain, termasuk komite audit, untuk mengelola
resiko dan meningkatkan kemungkinan pencapaian tujuan
organisasi. Manajemen melakukan tindakan - tindakan seperti
perencanaan, pemantauan dan sebagainya untuk memberikan
jaminan yang wajar atas pencapaian tujuan tersebut.
 Menurut Rama & Jones (2008, hal. 8), pengendalian internal
(internal control) mencakup kebijakan - kebijakan, prosedur -
prosedur, dan sistem informasi yang digunakan untuk
melindungi aset - aset perusahaan dari kerugian atau korupsi,
dan untuk memelihara keakuratan data keuangan.
Pengendalian Internal
Jadi dapat disimpulkan bahwa pengendalian internal
adalah pengendalian dalam suatu organisasi bertujuan
untuk menjaga aset perusahaan, pemenuhan terhadap
kebijakan dan prosedur, kehandalan dalam proses, dan
operasi yang efisien
6 6
Tujuan Pengendalian Internal
 Menurut Gondodiyoto (2007: 260), tujuan disusunnya system
control atau pengendalian internal komputer adalah
sebagai berikut:
Meningkatkan pengamanan (improve safeguard) aset
sistem informasi (data/catatan akuntansi (accounting
records) yang bersifat logical assets, maupun physical
assets seperti hardware, infrastructures, dan sebagainya).
Meningkatkan integritas data (improve data integrity),
sehingga dengan data yang benar dan konsisten akan dapat
dibuat laporan yang benar.
Meningkatkan efektifitas sistem (improve system
effectiveness).
Meningkatkan efisiensi sistem (improve system efficiency).
Tujuan Sistem Pengendalian Internal
Menurut Mulyadi (2001, hal. 163) Tujuan sistem
pengendalian internal direncanakan atau dirancang
dengan tujuan untuk :
Menjaga kekayaan organisasi,
Mengecek ketelitian dan kehandalan data
akuntasi,
Mendorong efisiensi, dan
Mendorong dipatuhinya kebijakan
manajemen.
Penggolongan Pengendalian Internal
 Pengendalian internal harus diterapkan terhadap setiap sistem
dan aplikasi, hal ini dilakukan untuk mengurangi exposure yang
selalu muncul pada pencatatan yang buruk, akuntansi yang
tidak tepat, interupsi bisnis, pengambilan keputusan yang
buruk, penipuan dan penggelapan, pelanggaran hukum terhadap
peraturan, peningkatan biaya dan hilangnya aset perusahaan.
 Oleh sebab itu manajemen harus menyadari pentingnya
pengendalian untuk menjaga sistem dari penggunaan secara
tidak tepat, untuk mengurangi timbulnya kesalahan dan untuk
memaksimalkan hasil dari sistem operasi. Pengendalian ini
digolongkan menjadi 2 golongan yaitu :
 General controls (pengendalian umum).
 Application controls (pengendalian aplikasi).
Pengendalian Umum (General Control)
 Menurut Sawyer, Dittenhofer, & Scheiner (2005, hal. 549),
general control consist of those controls in the IS and user
environment that are pervasive over all or most application.
They include such controls as segregation of incompatible
duties, system development procedures, data security, all
administrative controls, and disaster recovery capabilities.
 Menurut Gondodiyoto (2007, hal. 301) pengendalian umum
didefinisikan sebagai sistem pengendalian internal komputer
yang berlaku umum meliputi seluruh kegiatan komputerisasi
sebuah organisasi secara menyeluruh. Artinya ketentuan –
ketentuan dalam pengendalian tersebut berlaku untuk seluruh
kegiatan komputerisasi yang digunakan di perusahaan tersebut.
11
Contoh Audit Database
Sistem Inforrmasi Akuntansi

Tabel Sebelum Tabel Setelah Diaudit

Diaudit

PG-PN-TH-IP-xxxx
Contoh Pengendalian Umum
• Pengendalian umum juga dapat diartikan sebagai
pengendalian yang tidak terkait langsung ke suatu aplikasi
tertentu.
• Misalnya dalam contoh ATM di atas, ketentuan bahwa
masuk ke ruang ATM tidak boleh memakai helm. Adanya
CCTV di ruang ATM dan ketentuan adanya SATPAM di
situ adalah dapat dikategorikan dengan pengendalian
umum (ketentuan-ketentuan tersebut tidak langsung
dengan transaksi pengambilan uang di mesin ATM).
Ruang lingkup pengendalian umum
 Ruang lingkup yang termasuk dalam pengendalian umum
(pengendalian perspektif manajemen) diantaranya adalah :
 Pengendalian manajemen puncak (top management controls).
 Pengendalian manajemen pengembangan sistem (information
system management controls).
 Pengendalian manajemen sumber data (data resources
management controls).
 Pengendalian manajemen operasi (operations management
controls).
 Pengendalian manajemen keamanan (security administration
management controls).
 Pengendalian manajemen jaminan kualitas (quality assurance
management controls).
Unsur Pengendalian Umum
Dari beberapa pengendalian umum tersebut,
berdasarkan ruang lingkup dari penulisan skripsi ini,
maka yang akan dibahas adalah :
Pengendalian Manajemen Operasi (Operational
Management Controls)
Pengendalian Manajemen Keamanan (Security
Management Controls)
Operational Management Controls
 Menurut Gondodiyoto (2007, hal. 331) pengendalian manajemen
operasi merupakan jenis pengendalian internal yang didesain untuk
pengelolaan sumber daya dan operasi IT pada suatu organisasi.
Pengendalian manajemen operasi disusun dengan tujuan untuk
menciptakan kerangka kerja organisasi, pendayagunaan sumber
daya informasi, dan pembagian tugas yang baik bagi suatu
organisasi yang menggunakan sistem berbasis teknologi informasi.
 Pemisahan tugas dan fungsi
 Pengendalian personil
 Pengendalian perangkat keras
 Pengendalian jaringan
 Manajemen operasi
Pemisahan tugas dan fungsi
 Pemisahan tugas dan fungsi didesain untuk memastikan bahwa
fungsi – fungsi yang tidak sejalan (atau seharusnya - cek), seperti :
fungsi analisis/desain dan pemprograman dengan operasi komputer
(mencakup penyiapan transaksi, otorisasi, proses entri, dan
pelaporan) telah dipisahkan. Terdapat dua pemisahan fungsi yaitu :
 Pemisahan fungsi departement IT dengan non IT (users)
Pemisahan fungsi ini bertujuan untuk memisahkan antara
pemakai dengan departement IT sehingga meningkatkan
pengendalian terhadap aktivitas IT.
 Pemisahan fungsi dalam departement IT
Fungsi – fungsi departement IT dapat dipisahkan berdasarkan
fungsi sistem dan pemrograman, operasi komputer, pengendalian
dan penjadwalan input/output, pemeliharaan media (library).
Pengendalian personil
 Personil mempunyai peranan penting dalam pengendalian sistem.
Pengendalian personil dapat diindikasikan oleh hal-hal berikut :
 Adanya prosedur penerimaan dan pemilihan pegawai
 Adanya program peningkatan keahlian pegawai melalui
pelatihan yang berhubungan dengan bidang tugasnya
 Adanya evaluasi atas pekerjaan yang dilakukan pegawai
 Administrasi atas gaji dan prosedur promosi yang jelas
 Penggunaan uraian tugas (job description)
 Pemilihan dan pelatihan pegawai
 Penyediaan (supervisi) dan penilaian
 Penggiliran pekerjaan (job rotation) dan keharusan mengambil
cuti
 Adanya jenjang karier serta sarana dan aturan untuk mencapainya
Pengendalian perangkat keras
 Pengawasan terhadap akses fisik
Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap
perangkat komputer perlu diawasi.
 Pengaturan lokasi fisik
Lokasi ruang komputer merupakan pertimbangan yang penting dalam pengendalian keamanan
komputer
 Penggunaan alat pengamanan
Alat – alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari
kemungkinan kerusakan
 Pengendalian operasi perangkat keras
Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga
perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut
 Pengendalian perangkat lunak
Pengendalian perangkat lunak didesain untuk memastikan keamanan dan kehandalan sistem
 Pengendalian keamanan data
Pengendalian keamanan data merupakan suatu tindakan pengendalian untuk menjaga keamanan
datayang tersimpan didalam media penyimpanan agar tidak hilang dan rusak, atau diakses oleh
orang yang tidak berhak.
Pengendalian jaringan
 Alat bantu (tools) penting yang dapat digunakan oleh operator untuk mengelola
wide area network adalah network control terminal. Network control terminal
menyediakan akses kepada software system yang khusus untuk mengelola jenis
fungsi dibawah ini agar dapat berjalan dengan baik, yaitu :
 Memulai dan menghentikan jaringan dan proses
 Memonitor aktivitas jaringan
 Mengganti nama line komunikasi
 Mengenerate statistic system
 Mensetting ulang panjangnya antrian
 Menambah frekuensi backup
 Menanyakan status sistem
 Mengirimkan system warning dan status message
 Memeriksa lintasan data pada line komunikasi
 Network control terminal juga dapat digunakan untuk menjalankan fungsi yang
sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari
sudut pengamanan harta dan data integrity, network control terminal adalah
komponen yang sangat penting pada suatu jaringan.
Manajemen operasi
Saat ini fungsi sistem yang sekarang digunakan
pada manajemen operasi adalah komputer mikro
secara stand alone, multi user atau jaringan
(network) atau dalam bentuk client server.
Service level agreements
Kepustakaan file
Fungsi help desk
Capacity planning
Outsource
Security Management Controls (1)
 Menurut Gondodiyoto (2007, hal. 345) pengendalian internal
terhadap manajemen keamanan (security management
controls) dimaksudkan untuk menjamin agar aset sistem
informasi tetap aman. Aset sumber daya informasi mencakup
fisik (perangkat mesin dan fasilitas penunjangnya) serta aset
tak berwujud (non fisik, misalnya data/informasi, dan
program aplikasi komputer).
 Kebijakan keamanan IT (IT security policy)
 Beberapa aspek serangan potensial
 Mitos-mitos seputar keamanan komputer
 Kebijakan keamanan komputer
 Personil dan kebijakan keamanan komputer
 Security Management Controls (2)
Menurut Weber (1999 : 256), Pengendalian Manajemen Keamanan meliputi perlindungan
terhadap asset dan fungsi sistem informasi, yang dapat diimplementasi. Berikut beberapa
ancaman terhadap sistem informasi beserta cara penanganannya:
Kebakaran
Tindakan pengamanan untuk ancaman kebakaran adalah :
Memiliki alarm kebakaran otomatis yang diletakkan di ruangan dimana aset – aset
sistem informasi berada.
Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau.
Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan yang tahan api.
Banjir
Tindakan pengamanan untuk ancaman kebanjiran, antara lain :
Memiliki atap, dinding dan lantai yang dibuat dari bahan yang tahan air.
Perubahan tegangan sumber energi
Tindakan pengamanan untuk mengatasi perubahan tegangan sumber energi listrik, dapat
menggunakan stabilizer ataupun Uninterruptible Power Supply (UPS) yang mampu
mengatasi masalah yang terjadi ketika tegangan listrik tiba – tiba turun.
 Security Management Controls (3)
Polusi
Tindakan pengamanan untuk mengantisipasi polusi adalah dengan membuat situasi
kantor bebas debu, tidak memperbolehkan membawa binatang peliharaan serta
melarang pegawai membawa atau meletakkan minuman di dekat peralatan komputer.
Virus dan Worm
Tindakan pengamanan untuk mengantisipasi virus dan worm adalah :
Preventif, dapat dengan menginstal anti virus dan di-update secara berkala, melakukan
scan atas file yang akan digunakan.
Detektif, melakukan scan secara rutin untuk mendeteksi adanya virus maupun worm.
Korektif, memastikan back up data bebas virus dan worm, pemakaian anti virus
terhadap file yang terinfeksi.
Pengendalian Aplikasi (Application Control)
 Menurut Ruppel (2008, hal. 537-538) application controls
help ensure the completeness and accuracy of transaction
processing, authorization, and validity edit checks,
numerical sequence checks, and manual follow up of the
exception report are example of application controls.
 Menurut Gondodiyoto (2007, hal. 372-373) pengendalian
aplikasi (appliaction controls) adalah sistem pengendalian
intern (internal control) pada sistem informasi berbasis
teknologi informasi yang berkaitan dengan
pekerjaan/kegiatan/aplikasi tertentu (setiap aplikasi
memiliki karakteristik dan kebutuhan pengendalian yang
berbeda).
Contoh Pengendalian Aplikasi
• Pengendalian aplikasi disebut juga pengendalian transaksi,
karena didesain berkaitan dengan transaksi pada aplikasi
tertentu.
• Misalnya apabila nasabah akan mengambil uang di ATM,
setelah memasukkan kartu akan dimina PIN, atau setelah
memasukkan nilai uang yang akan diambil, ATM akan
mengecek sapakah saldo cukup, atau jumlahnya diijinkan
sesuai dengan mengecek apakah saldo cukup, atau
jumlahnya diijinkan sesuai dengan ketentuan bank.
Pengendalian berupa PIN dan limit pengambilan uang
tersebut hanya berlaku di ATM, tidak berlaku di kegiatan
lain.
Unsur Pengendalian Aplikasi
Terdapat beberapa unsur dalam pengendalian aplikasi,
pengendalian aplikasi pada dasarnya terdiri dari :
 Pengendalian batas sistem (boundary controls)
 Pengendalian masukan (input controls)
 Pengendalian proses pengolahan data (process controls)
 Pengendalian keluaran (output controls)
 Pengendalian file/database (file/database controls)
 Pengendalian komunikasi aplikasi (communication
controls)
Namun yang akan dibahas dalam penulisan skripsi ini
meliputi boundary controls, input controls, output controls.
Pengendalian batas sistem (boundary controls)
 Menurut Gondodiyoto (2007, hal. 374-375) yang dimaksud
boundary adalah interface antara users dengan sistem berbasi
teknologi informasi. Tujuan utama boundary controls adalah antara
lain :
Untuk mengenal identitas dan otentik/tidaknya pemakai sistem,
artinya suatu sistem yang didesain dengan baik seharusnya dapat
mengidentifikasi dengan tepat siapa users tersebut, dan apakah
identitas diri yang dipakainya otentik.
Untuk menjaga agar sumber daya sistem informasi digunakan
oleh user dengan cara yang ditetapkan.
 Contoh dari pengendalian batasan :
Otoritas akses ke sistem aplikasi
Identitas dan otentisitas pengguna
Pengendalian masukan (input controls)
Menurut Gondodiyoto (2007, hal. 377-378) pengendalian
masukan (input controls) dirancang dengan tujuan untuk
mendapat keyakinan bahwa data transaksi input adalah valid,
lengkap, serta bebas dari kesalahan dan penyalahgunaan.
Input controls ini merupakan pengendalian aplikasi yang
penting karena input yang salah akan menyebabkan output
juga keliru.
Mekanisme masuknya data input ke sistem dapat
dikategorikan ke dalam dua cara yaitu :
 Batch system (delayed processing systems)
 On line transaction processing system (pada umumnya
bersifat real time system)
Batch system (delayed processing systems)
 Pada sistem pengolahan data secara batch processing system, tiap transaksi
(misalnya formulir sensus, kartu pencoblosan pemilihan ketua umum, atau answer
sheet ujian calon mahasiswa) dibundel dalam jumlah lembar tertentu untuk
direkam. Demikian pula sistem batch dalam siklus akuntansi keuangan (book
keeping untuk mencatat transaksi ke dalam jurnal, posting ke buku besar dan buku
pembantu, serta pengolahan untuk menghasilkan laporan keuangan) dilakukan tidak
pada saat transaksi itu terjadi. Sistem pengolahan data lebih bersifat back office
system, yaitu semata-mata untuk mengolah data dokumen-dokumen akuntansi yang
transaksinya sudah lewat. Jadi pengolahan datanya tertunda (delayed processing).
Pada sistem batch ini orientasi utamanya adalah sistem pengolahan data (dahulu
disebut sistem pengolahan data elektronik, electronic data processing, EDP).
 Data input yang akan dimasukkan ke sistem informasi berbasis teknologi pada
hakikatnya dapat dikelompokan dalam tiga tahapan, yaitu (1) data capture
(penangkapan data, pengisian dokumen sumber atau source document), (2) data
preparation (penyiapan data untuk di entry), (3) data entry (pemasukan data)
merupakan proses merekam atau memasukan data ke komputer, suatu proses
mengubah data ke dalam bentuk yang dapat dibaca oleh mesin (machine readable
form).
On line transaction processing system
 On line transaction processing system (pada umumnya bersifat real
time system)
 Cara pemrosesan data input yang lain yang lebih lazim pada saat ini
adalah dengan online transaction processing system. Pada sistem
tersebut data masukan dientri dengan workstation/terminal atau jenis
input device seperti ATM (automatic teller machine) dan point of sales
(POS). Meskipun online bisa saja dengan memakai pola batch, tetapi
biasanya online dikaitkan dengan real time system, artinya updating
data di komputer bersamaan dengan terjadinya transaksi.
 Contoh dari pengendalian input :
 Otoritas dan validasi masukan
 Transmisi dan konversi data
 Penanganan kesalahan
Pengendalian keluaran (output controls)
 Pengendalian keluaran merupakan pengendalian yang dilakukan untuk
menjaga output sistem agar akurat, lengkap, dan digunakan sebagaimana
mestinya. Pengendalian keluaran (output controls) ini didesain untuk
menjamin agar output / informasi dapat disajikan secara akurat, lengkap,
mutakhir, dan didistribusikan kepada orang-orang yang berhak (para user)
secara cepat dan tepat waktu. Yang termasuk pengendalian keluaran antara
lain adalah :
 Rekonsiliasi keluaran dengan masukan dan pengolahan
Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil
keluaran dari sistem dengan dokumen asal.
 Penelaahan dan pengujian hasil-hasil pengolahan
Pengendalian ini dilakukan dengan cara melakukan penelaahan,
pemeriksaan dan pengujian terhadap hasil-hasil pengolahan dari sistem.
Proses penelaahan dan pengujian ini biasanya dilakukan oleh atasan
langsung pegawai.
Pendistribusian keluaran
Pengendalian ini didesain untuk memastikan bahwa
keluaran didistribusikan kepada pihak yang berhak,
dilakukan secara tepat waktu dan hanya keluaran yang
diperlukan saja yang didistribusikan.
Contoh dari pengendalian output :
Rekonsiliasi keseluruhan
Penelaahan dan pengujian hasil pengolahan
Distribusi keluaran
Sifat-Sifat Pengendalian Internal
 Menurut Gondodiyoto (2007, hal. 137), pengendalian internal digolongkan
dalam preventive, detection, corrective :
 Preventive control, yaitu pengendalian internal yang dirancang dengan
maksud untuk mengurangi kemungkinan (atau mencegah/menjaga jangan
sampai terjadi kesalahan, kekeliruan, kelalaian, error) maupun
penyalahgunaan (kecurangan, fraud)
 Detection control, yaitu pengendalian yang didisain dengan tujuan agar
apabila data direkam (di-entry)/dikonfersi dari media sumber (media
input) untuk di transfer ke sistem komputer dapat dideteksi apabila terjadi
kesalahan (maksudnya tidak sesuai dengan kriteria yang ditetapkan).
 Corrective control, ialah pengendalian yang sifatnya jika terdapat data
yang sebenarnya error tetapi tidak terdeteksi oleh program validasi, harus
ada prosedur yang jelas tentang bagaimana melakukan pembetulan
terhadap data yang salah dengan maksud untuk mengurangi kemungkinan
kerugian atau kesalahan/ penyalahgunaan tersebut sudah benar-benar
terjadi.
Kelompok Pegendalian Internal
Pengendalian intern dikelompokkan dalam
pengendalian yang bersifat wajib (mandatory) dan
yang opsional
Jika ada peraturan dari pemerintah DKI bahwa setelah
jam 24.00 ruang ATM harus dikunci dalam rolling-door
misalnya, maka ketentuan tersebut adalah mandatory.
Jika ketentuan pengamanan ruang ATM tersebut tidak
harus dilakukan, maka termasuk pengendalian yang
bersifat opsional.
Aktivitas Pengendalian
Menurut Weygandt (2011: 102), terdapat enam prinsip
aktivitas pengendalian, yaitu:
Penetapan tanggung jawab
Pembagian tugas
Prosedur dokumentasi
Pengendalian fisik
Verifikasi internal yang dilakukan secara independen
Pengendalian sumber daya manusia
Fungsi Internal Auditor
 Menurut Hunton et.al. dalam Basalamah (2011: 17), seorang auditor TI sebaiknya ampu
melakukan pekerjaan-pekerjaan sebagai berikut:
 Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup analisis
terhadap risiko dan pengendalian atas aplikasi-aplikasi seperti e-business, sistem
perencanaan sumber daya perusahaan.
 Memberikan asersi (assurance) atas proses-proses tertentu, seperti audit dengan
prosedur-prosedur tertentu yang disepakati bersama dengan auditee mengenai lingkup
asersi.
 Memberikan asersi atas aktifitas pengolahan data pihak ketiga dengan tujuan untuk
memberikan asersi bagi pihak lain yang memerlukan informasi mengenai aktifitas
pengendalian data yang dilakukan oleh pihak ketiga tersebut.
 Pengujian penetrasi, yaitu upaya untuk mengakses sumber daya informasi guna
menemukan kelemahan-kelemahan yang ada dalam pengolahan data tersebut.
 Memberikan dukungan atas pekerjaan audit keuangan yang mencakup evaluasi atas risiko
dan pengendalian TI yang dapat mempengaruhi kehandalan sistem pelaporan keuangan.
 Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan-catatan komputer
dalam investigasi kecurangan.