PG-PN-TH-IP-xxxx
Contoh Pengendalian Umum
• Pengendalian umum juga dapat diartikan sebagai
pengendalian yang tidak terkait langsung ke suatu aplikasi
tertentu.
• Misalnya dalam contoh ATM di atas, ketentuan bahwa
masuk ke ruang ATM tidak boleh memakai helm. Adanya
CCTV di ruang ATM dan ketentuan adanya SATPAM di
situ adalah dapat dikategorikan dengan pengendalian
umum (ketentuan-ketentuan tersebut tidak langsung
dengan transaksi pengambilan uang di mesin ATM).
Ruang lingkup pengendalian umum
Ruang lingkup yang termasuk dalam pengendalian umum
(pengendalian perspektif manajemen) diantaranya adalah :
Pengendalian manajemen puncak (top management controls).
Pengendalian manajemen pengembangan sistem (information
system management controls).
Pengendalian manajemen sumber data (data resources
management controls).
Pengendalian manajemen operasi (operations management
controls).
Pengendalian manajemen keamanan (security administration
management controls).
Pengendalian manajemen jaminan kualitas (quality assurance
management controls).
Unsur Pengendalian Umum
Dari beberapa pengendalian umum tersebut,
berdasarkan ruang lingkup dari penulisan skripsi ini,
maka yang akan dibahas adalah :
Pengendalian Manajemen Operasi (Operational
Management Controls)
Pengendalian Manajemen Keamanan (Security
Management Controls)
Operational Management Controls
Menurut Gondodiyoto (2007, hal. 331) pengendalian manajemen
operasi merupakan jenis pengendalian internal yang didesain untuk
pengelolaan sumber daya dan operasi IT pada suatu organisasi.
Pengendalian manajemen operasi disusun dengan tujuan untuk
menciptakan kerangka kerja organisasi, pendayagunaan sumber
daya informasi, dan pembagian tugas yang baik bagi suatu
organisasi yang menggunakan sistem berbasis teknologi informasi.
Pemisahan tugas dan fungsi
Pengendalian personil
Pengendalian perangkat keras
Pengendalian jaringan
Manajemen operasi
Pemisahan tugas dan fungsi
Pemisahan tugas dan fungsi didesain untuk memastikan bahwa
fungsi – fungsi yang tidak sejalan (atau seharusnya - cek), seperti :
fungsi analisis/desain dan pemprograman dengan operasi komputer
(mencakup penyiapan transaksi, otorisasi, proses entri, dan
pelaporan) telah dipisahkan. Terdapat dua pemisahan fungsi yaitu :
Pemisahan fungsi departement IT dengan non IT (users)
Pemisahan fungsi ini bertujuan untuk memisahkan antara
pemakai dengan departement IT sehingga meningkatkan
pengendalian terhadap aktivitas IT.
Pemisahan fungsi dalam departement IT
Fungsi – fungsi departement IT dapat dipisahkan berdasarkan
fungsi sistem dan pemrograman, operasi komputer, pengendalian
dan penjadwalan input/output, pemeliharaan media (library).
Pengendalian personil
Personil mempunyai peranan penting dalam pengendalian sistem.
Pengendalian personil dapat diindikasikan oleh hal-hal berikut :
Adanya prosedur penerimaan dan pemilihan pegawai
Adanya program peningkatan keahlian pegawai melalui
pelatihan yang berhubungan dengan bidang tugasnya
Adanya evaluasi atas pekerjaan yang dilakukan pegawai
Administrasi atas gaji dan prosedur promosi yang jelas
Penggunaan uraian tugas (job description)
Pemilihan dan pelatihan pegawai
Penyediaan (supervisi) dan penilaian
Penggiliran pekerjaan (job rotation) dan keharusan mengambil
cuti
Adanya jenjang karier serta sarana dan aturan untuk mencapainya
Pengendalian perangkat keras
Pengawasan terhadap akses fisik
Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap
perangkat komputer perlu diawasi.
Pengaturan lokasi fisik
Lokasi ruang komputer merupakan pertimbangan yang penting dalam pengendalian keamanan
komputer
Penggunaan alat pengamanan
Alat – alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari
kemungkinan kerusakan
Pengendalian operasi perangkat keras
Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga
perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut
Pengendalian perangkat lunak
Pengendalian perangkat lunak didesain untuk memastikan keamanan dan kehandalan sistem
Pengendalian keamanan data
Pengendalian keamanan data merupakan suatu tindakan pengendalian untuk menjaga keamanan
datayang tersimpan didalam media penyimpanan agar tidak hilang dan rusak, atau diakses oleh
orang yang tidak berhak.
Pengendalian jaringan
Alat bantu (tools) penting yang dapat digunakan oleh operator untuk mengelola
wide area network adalah network control terminal. Network control terminal
menyediakan akses kepada software system yang khusus untuk mengelola jenis
fungsi dibawah ini agar dapat berjalan dengan baik, yaitu :
Memulai dan menghentikan jaringan dan proses
Memonitor aktivitas jaringan
Mengganti nama line komunikasi
Mengenerate statistic system
Mensetting ulang panjangnya antrian
Menambah frekuensi backup
Menanyakan status sistem
Mengirimkan system warning dan status message
Memeriksa lintasan data pada line komunikasi
Network control terminal juga dapat digunakan untuk menjalankan fungsi yang
sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari
sudut pengamanan harta dan data integrity, network control terminal adalah
komponen yang sangat penting pada suatu jaringan.
Manajemen operasi
Saat ini fungsi sistem yang sekarang digunakan
pada manajemen operasi adalah komputer mikro
secara stand alone, multi user atau jaringan
(network) atau dalam bentuk client server.
Service level agreements
Kepustakaan file
Fungsi help desk
Capacity planning
Outsource
Security Management Controls (1)
Menurut Gondodiyoto (2007, hal. 345) pengendalian internal
terhadap manajemen keamanan (security management
controls) dimaksudkan untuk menjamin agar aset sistem
informasi tetap aman. Aset sumber daya informasi mencakup
fisik (perangkat mesin dan fasilitas penunjangnya) serta aset
tak berwujud (non fisik, misalnya data/informasi, dan
program aplikasi komputer).
Kebijakan keamanan IT (IT security policy)
Beberapa aspek serangan potensial
Mitos-mitos seputar keamanan komputer
Kebijakan keamanan komputer
Personil dan kebijakan keamanan komputer
Security Management Controls (2)
Menurut Weber (1999 : 256), Pengendalian Manajemen Keamanan meliputi perlindungan
terhadap asset dan fungsi sistem informasi, yang dapat diimplementasi. Berikut beberapa
ancaman terhadap sistem informasi beserta cara penanganannya:
Kebakaran
Tindakan pengamanan untuk ancaman kebakaran adalah :
Memiliki alarm kebakaran otomatis yang diletakkan di ruangan dimana aset – aset
sistem informasi berada.
Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau.
Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan yang tahan api.
Banjir
Tindakan pengamanan untuk ancaman kebanjiran, antara lain :
Memiliki atap, dinding dan lantai yang dibuat dari bahan yang tahan air.
Perubahan tegangan sumber energi
Tindakan pengamanan untuk mengatasi perubahan tegangan sumber energi listrik, dapat
menggunakan stabilizer ataupun Uninterruptible Power Supply (UPS) yang mampu
mengatasi masalah yang terjadi ketika tegangan listrik tiba – tiba turun.
Security Management Controls (3)
Polusi
Tindakan pengamanan untuk mengantisipasi polusi adalah dengan membuat situasi
kantor bebas debu, tidak memperbolehkan membawa binatang peliharaan serta
melarang pegawai membawa atau meletakkan minuman di dekat peralatan komputer.
Virus dan Worm
Tindakan pengamanan untuk mengantisipasi virus dan worm adalah :
Preventif, dapat dengan menginstal anti virus dan di-update secara berkala, melakukan
scan atas file yang akan digunakan.
Detektif, melakukan scan secara rutin untuk mendeteksi adanya virus maupun worm.
Korektif, memastikan back up data bebas virus dan worm, pemakaian anti virus
terhadap file yang terinfeksi.
Pengendalian Aplikasi (Application Control)
Menurut Ruppel (2008, hal. 537-538) application controls
help ensure the completeness and accuracy of transaction
processing, authorization, and validity edit checks,
numerical sequence checks, and manual follow up of the
exception report are example of application controls.
Menurut Gondodiyoto (2007, hal. 372-373) pengendalian
aplikasi (appliaction controls) adalah sistem pengendalian
intern (internal control) pada sistem informasi berbasis
teknologi informasi yang berkaitan dengan
pekerjaan/kegiatan/aplikasi tertentu (setiap aplikasi
memiliki karakteristik dan kebutuhan pengendalian yang
berbeda).
Contoh Pengendalian Aplikasi
• Pengendalian aplikasi disebut juga pengendalian transaksi,
karena didesain berkaitan dengan transaksi pada aplikasi
tertentu.
• Misalnya apabila nasabah akan mengambil uang di ATM,
setelah memasukkan kartu akan dimina PIN, atau setelah
memasukkan nilai uang yang akan diambil, ATM akan
mengecek sapakah saldo cukup, atau jumlahnya diijinkan
sesuai dengan mengecek apakah saldo cukup, atau
jumlahnya diijinkan sesuai dengan ketentuan bank.
Pengendalian berupa PIN dan limit pengambilan uang
tersebut hanya berlaku di ATM, tidak berlaku di kegiatan
lain.
Unsur Pengendalian Aplikasi
Terdapat beberapa unsur dalam pengendalian aplikasi,
pengendalian aplikasi pada dasarnya terdiri dari :
Pengendalian batas sistem (boundary controls)
Pengendalian masukan (input controls)
Pengendalian proses pengolahan data (process controls)
Pengendalian keluaran (output controls)
Pengendalian file/database (file/database controls)
Pengendalian komunikasi aplikasi (communication
controls)
Namun yang akan dibahas dalam penulisan skripsi ini
meliputi boundary controls, input controls, output controls.
Pengendalian batas sistem (boundary controls)
Menurut Gondodiyoto (2007, hal. 374-375) yang dimaksud
boundary adalah interface antara users dengan sistem berbasi
teknologi informasi. Tujuan utama boundary controls adalah antara
lain :
Untuk mengenal identitas dan otentik/tidaknya pemakai sistem,
artinya suatu sistem yang didesain dengan baik seharusnya dapat
mengidentifikasi dengan tepat siapa users tersebut, dan apakah
identitas diri yang dipakainya otentik.
Untuk menjaga agar sumber daya sistem informasi digunakan
oleh user dengan cara yang ditetapkan.
Contoh dari pengendalian batasan :
Otoritas akses ke sistem aplikasi
Identitas dan otentisitas pengguna
Pengendalian masukan (input controls)
Menurut Gondodiyoto (2007, hal. 377-378) pengendalian
masukan (input controls) dirancang dengan tujuan untuk
mendapat keyakinan bahwa data transaksi input adalah valid,
lengkap, serta bebas dari kesalahan dan penyalahgunaan.
Input controls ini merupakan pengendalian aplikasi yang
penting karena input yang salah akan menyebabkan output
juga keliru.
Mekanisme masuknya data input ke sistem dapat
dikategorikan ke dalam dua cara yaitu :
Batch system (delayed processing systems)
On line transaction processing system (pada umumnya
bersifat real time system)
Batch system (delayed processing systems)
Pada sistem pengolahan data secara batch processing system, tiap transaksi
(misalnya formulir sensus, kartu pencoblosan pemilihan ketua umum, atau answer
sheet ujian calon mahasiswa) dibundel dalam jumlah lembar tertentu untuk
direkam. Demikian pula sistem batch dalam siklus akuntansi keuangan (book
keeping untuk mencatat transaksi ke dalam jurnal, posting ke buku besar dan buku
pembantu, serta pengolahan untuk menghasilkan laporan keuangan) dilakukan tidak
pada saat transaksi itu terjadi. Sistem pengolahan data lebih bersifat back office
system, yaitu semata-mata untuk mengolah data dokumen-dokumen akuntansi yang
transaksinya sudah lewat. Jadi pengolahan datanya tertunda (delayed processing).
Pada sistem batch ini orientasi utamanya adalah sistem pengolahan data (dahulu
disebut sistem pengolahan data elektronik, electronic data processing, EDP).
Data input yang akan dimasukkan ke sistem informasi berbasis teknologi pada
hakikatnya dapat dikelompokan dalam tiga tahapan, yaitu (1) data capture
(penangkapan data, pengisian dokumen sumber atau source document), (2) data
preparation (penyiapan data untuk di entry), (3) data entry (pemasukan data)
merupakan proses merekam atau memasukan data ke komputer, suatu proses
mengubah data ke dalam bentuk yang dapat dibaca oleh mesin (machine readable
form).
On line transaction processing system
On line transaction processing system (pada umumnya bersifat real
time system)
Cara pemrosesan data input yang lain yang lebih lazim pada saat ini
adalah dengan online transaction processing system. Pada sistem
tersebut data masukan dientri dengan workstation/terminal atau jenis
input device seperti ATM (automatic teller machine) dan point of sales
(POS). Meskipun online bisa saja dengan memakai pola batch, tetapi
biasanya online dikaitkan dengan real time system, artinya updating
data di komputer bersamaan dengan terjadinya transaksi.
Contoh dari pengendalian input :
Otoritas dan validasi masukan
Transmisi dan konversi data
Penanganan kesalahan
Pengendalian keluaran (output controls)
Pengendalian keluaran merupakan pengendalian yang dilakukan untuk
menjaga output sistem agar akurat, lengkap, dan digunakan sebagaimana
mestinya. Pengendalian keluaran (output controls) ini didesain untuk
menjamin agar output / informasi dapat disajikan secara akurat, lengkap,
mutakhir, dan didistribusikan kepada orang-orang yang berhak (para user)
secara cepat dan tepat waktu. Yang termasuk pengendalian keluaran antara
lain adalah :
Rekonsiliasi keluaran dengan masukan dan pengolahan
Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil
keluaran dari sistem dengan dokumen asal.
Penelaahan dan pengujian hasil-hasil pengolahan
Pengendalian ini dilakukan dengan cara melakukan penelaahan,
pemeriksaan dan pengujian terhadap hasil-hasil pengolahan dari sistem.
Proses penelaahan dan pengujian ini biasanya dilakukan oleh atasan
langsung pegawai.
Pendistribusian keluaran
Pengendalian ini didesain untuk memastikan bahwa
keluaran didistribusikan kepada pihak yang berhak,
dilakukan secara tepat waktu dan hanya keluaran yang
diperlukan saja yang didistribusikan.
Contoh dari pengendalian output :
Rekonsiliasi keseluruhan
Penelaahan dan pengujian hasil pengolahan
Distribusi keluaran
Sifat-Sifat Pengendalian Internal
Menurut Gondodiyoto (2007, hal. 137), pengendalian internal digolongkan
dalam preventive, detection, corrective :
Preventive control, yaitu pengendalian internal yang dirancang dengan
maksud untuk mengurangi kemungkinan (atau mencegah/menjaga jangan
sampai terjadi kesalahan, kekeliruan, kelalaian, error) maupun
penyalahgunaan (kecurangan, fraud)
Detection control, yaitu pengendalian yang didisain dengan tujuan agar
apabila data direkam (di-entry)/dikonfersi dari media sumber (media
input) untuk di transfer ke sistem komputer dapat dideteksi apabila terjadi
kesalahan (maksudnya tidak sesuai dengan kriteria yang ditetapkan).
Corrective control, ialah pengendalian yang sifatnya jika terdapat data
yang sebenarnya error tetapi tidak terdeteksi oleh program validasi, harus
ada prosedur yang jelas tentang bagaimana melakukan pembetulan
terhadap data yang salah dengan maksud untuk mengurangi kemungkinan
kerugian atau kesalahan/ penyalahgunaan tersebut sudah benar-benar
terjadi.
Kelompok Pegendalian Internal
Pengendalian intern dikelompokkan dalam
pengendalian yang bersifat wajib (mandatory) dan
yang opsional
Jika ada peraturan dari pemerintah DKI bahwa setelah
jam 24.00 ruang ATM harus dikunci dalam rolling-door
misalnya, maka ketentuan tersebut adalah mandatory.
Jika ketentuan pengamanan ruang ATM tersebut tidak
harus dilakukan, maka termasuk pengendalian yang
bersifat opsional.
Aktivitas Pengendalian
Menurut Weygandt (2011: 102), terdapat enam prinsip
aktivitas pengendalian, yaitu:
Penetapan tanggung jawab
Pembagian tugas
Prosedur dokumentasi
Pengendalian fisik
Verifikasi internal yang dilakukan secara independen
Pengendalian sumber daya manusia
Fungsi Internal Auditor
Menurut Hunton et.al. dalam Basalamah (2011: 17), seorang auditor TI sebaiknya ampu
melakukan pekerjaan-pekerjaan sebagai berikut:
Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup analisis
terhadap risiko dan pengendalian atas aplikasi-aplikasi seperti e-business, sistem
perencanaan sumber daya perusahaan.
Memberikan asersi (assurance) atas proses-proses tertentu, seperti audit dengan
prosedur-prosedur tertentu yang disepakati bersama dengan auditee mengenai lingkup
asersi.
Memberikan asersi atas aktifitas pengolahan data pihak ketiga dengan tujuan untuk
memberikan asersi bagi pihak lain yang memerlukan informasi mengenai aktifitas
pengendalian data yang dilakukan oleh pihak ketiga tersebut.
Pengujian penetrasi, yaitu upaya untuk mengakses sumber daya informasi guna
menemukan kelemahan-kelemahan yang ada dalam pengolahan data tersebut.
Memberikan dukungan atas pekerjaan audit keuangan yang mencakup evaluasi atas risiko
dan pengendalian TI yang dapat mempengaruhi kehandalan sistem pelaporan keuangan.
Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan-catatan komputer
dalam investigasi kecurangan.