Pertemuan 6 Pengaruh Audit SI/TI & Komputer pada pengendalian internal (Pengendalian Aplikasi)
Pengaruh fungsi Audit SI/TI untuk organisasi
Obyek Perlindungan Aset (Asset Safeguarding Objectives) Aset SI di dalam organisasi adalah Hardware, Software, Fasilitas, user (Knowledge), file data, dokumentasi sistem, dan persediaan barang. Sebaiknya semua aset harus dilindungi oleh sistem pengendalian internal.
Obyek Integritas Data (Data Integrity Objectives) Integritas data adalah merupakan konsep dasar di dalam audit SI. Data terdiri dari atribut atribut yang harus berisi : lengkap (completeness), dapat dipercaya (soundness), bersih (purity), and benar (veracity). Jika integritas data tidak dipelihara, maka organisasi tidak akan mendapatkan representasi data yang benar untuk suatu aktifitas, akibatnya organisasi tidak dapat berkompetisi.
Obyek Efektivitas Sistem (System Effectiveness Objectives) Audit efektivitas sering dilakukan setelah sistem berjalan untuk beberapa waktu. Manajemen membutuhkan hasil audit efektivitas untuk mengambil keputusan apakah sistem terus dijalankan atau dihentikan sementara untuk proses modifikasi.
Obyek Efisiensi Sistem (System Efficiency Objectives) Efisiensi SI dilakukan dengan cara menggunakan sumber daya yang minimum untuk menyelesaikan suatu tujuan obyek (pekerjaan). Variasi sumber daya terdiri dari mesin, waktu, peripheral, S/W sistem, dan pekerja.
Pengaruh Komputer (1)
Pengaruh Komputer (2)
Pengaruh Komputer (3)
Pengaruh Komputer (4)
Pengaruh Komputer (5)
Pengendalian Internal Audit meliputi struktur pengendalian internal yang diterapkan perusahaan, yang mencakup Pengendalian umum - Pengendalian organisasi & otorisasi - Pengendalian Operasi - Pengendalian Perubahan - Pengendalian Akses fisikal dan logikal 2. Pengendalian aplikasi - Pengendalian secara manual - Pengendalian terhadap output sistem informasi - Pengendalian yang sudah diprogram.
Pengendalian organisasi & otorisasi Yang dimaksud dengan organisasi disini adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Disini juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator
Pengendalian Operasi Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
Pengendalian Perubahan Perubahan-perubahan yang dilakukan terhadap sistem informasi juga harus dikendalikan. Termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi,serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.
Pengendalian Akses fisikal & logikal Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).
Pengendalian Aplikasi Pemahaman Pengendalian Aplikasi Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan baik.
Hubungan Pengendalian Umum & Aplikasi Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif. Artinya apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik
Macam Aplikasi Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE: Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan 2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server.
Pengendalian Aplikasi
Batasan Subsistem dan Kontrol Disini terdapat dua pokok bahasan yang penting yakni batasan subsistem dan kontrol. Tujuan dari Batasan subsistem adalah menjamin bahwa: Sistem memiliki user yang otentik User memiliki sumber-sumber (data) yang otentik User dibolehkan untuk menggunakan sumber data hanya dengan jalur terbatas. Hal yang paling penting untuk mencapai tiga tujuan di atas adalah minimal adanya dasar pengetahuan secara umum mengenai user dan sistem guna mem-validasi antar keduanya
Kontrol Akses Macam-macam access control yang diterima dalam bidang industry sebagai berikut: Logon IDs dan passwords adalah salah satu jenis yang paling umum dari prosedur akses control yang mempunyai tingkat perbedaan antara sistem aplikasi dan akses ini di ijinkan setelah membuat identitas pengguna dan password yang unik dari tiap-tiap pengguna. Beberapa syarat control yang penting dari system tersebut sebagai berikut, dijelaskan dengan gambar di bawah ini:
SIKLUS APLIKASI Kontrol input: Batasan Kontrol : Kontrol Proses : kontrol akses kontrol kode Kontrol input: memasukan data & mendesain tampilan kontrol setumpuk data & mem-validasi input data Kontrol komunikasi: kontrol akses jaringan kontrol topologi kontrol arsitektur komunikasi Kontrol Database : kontrol akses database kontrol persetujuan kontrol penanganan data Kontrol Proses : kontrol processor kontrol memory kontrol untuk menjaga integritas OS dan Aplikasinya Kontrol Output : kontrol untuk menjaga integritas Laporan data desain control kontrol pengauditan
Kontrol Akses Smart Card adalah perlengkapan berupa microchip, kartu pembayaran dapat berupa kartu kredit bank SIM kartu identitas elektronik, atau kombinasi dari kartu-kartu tersebut Biometric system Biometrik didefinisikan sebagai metode otomatis dalam mengindentifikasikan identitas seseorang berdasarkan psikologi atau karakter kebiasaan
Jejak Audit dalam boundary subsystem Terdiri dari: Identitas dari user to-be the system Keaslian dari informasi yang ada Sumber permintaan Waktu dimulai dan waktu berakhir Nomor dari percobaan masuk - login Hak membolehkan aksi
Input Sub Sistem Prosedur control input sebagai berikut: Setiap transaksi yang diproses diterima, diproses, dan dicatat secara akurat dan lengkap Hanya informasi yang sah dan terdaftar yang bisa masuk Transaksi hanya diproses satu kali Dalam sistem lingkungan yang telah ter-integrasi, output yang dihasilkan akan menjadi input bagi sistem lain maka edit cek, pengecekan dan akses control harus di-review.
Field level input control Input Sub Sistem Pengendalian input dapat berbeda dalam hal tingkat- field, dan record. Field level input control 1. Sequence check Artinya dalam level ini proses pengecekan dilakukan tahap demi tahap tidak langsung sekaligus. Sebagai contoh no faktur, dimana no nya di awali dari no yang kecil dan terus berlanjut sampai no terakhir. Pengontrolan pengurutan database adalah hal yang sangat penting untuk rangkaian pengecekan supaya lebih efektif 2. Limit Check Sebagaimana dalam hal validasi, bahwasannya pengecekan harus bisa menjamin bahwa data tidak akan melebihi dari batas keterangan. Sebagai contoh dasar (intinya) seseorang membayar tidak boleh melebihi dari batas keterangannya. (sesuai dengan jumlahnya)
Input Sub Sistem 3. Range Check Artinya batas pengecekan atau daerah pengecekan. Sebagai contoh kode produk bertipe yang boleh adalah dari 200 sampai 500. maka selain kode tersebut secara otomatis akan ditolak oleh system 4. Set Mapping Artinya penyetingan atau pembuatan kode yang biasanya berbentuk kriteria dan hal ini berfungsi untuk memvalidasi. Sebagai contoh F untuk Female dan M untuk Male 5. Master reference Referensi master yang berfungsi menyimpan data yang sudah di validasi ketika di input yang kemudian disimpan di master database. Sebagai contoh dalam kasus pemasukan nama bank untuk cek dalam proses pengiriman buat clearing, maka nama dan number kode dari bank mesti sudah divalidasi dari master databasenya. 6. size cheque Artinya dalam pengontrolan harus bisa menjamin bahwa data yang dimasukan sesuai dengan ukuran areanya (digit). Sebagai contoh mengenai umur manusia. Yakni diberikan digit sebanyak 4 (9999). Jika data yang dimasukan melebihi 4 digit maka data di tolak.
Record level input control Input Sub Sistem Record level input control Reasonableness Artinya dalam pengontrolan kelayakan harus bisa menjamin bahwa data merupakan kombinasi dari berbagai field dan sudah merupakan standar kelayakan dari sebuah organisasi, sebagai contoh dalam hal penggajian karyawan, dimana harus ada kelayakan artinya pemberian gaji yang kecil tidak boleh melebihi gaji yang besar sesuai dengan standar penggajiannya 2. Valid signs-numerik Artinya dalam pengontrolan ini harus bisa menjamin bahwa tanda yang dikoreksi adalah digunakan dalam perekaman (record) data. Sebagai contoh pengontrolan harus bisa menjamin bahwa field yang kosong tidak diisi dalam record adalah tidak ada yang kemudian dianggap sebagai nol.
Input Sub Sistem Tips penting bagi auditor dalam control input Kemungkinan kesalahan data input secara langsung di sesuaikan dengan jumlah tangan manusia dalam proses input. Saat jeda antara mendeteksi adanya state atau even dan input state atau even dalam aplikasi meningkat kemungkinan terjadinya kesalahan juga meningkat. Penggunaan peralatan input khusus atau subsistem input dalam sistem input meningkatkan keabsahan data input.
DATA – ENTRY SCREEN DESIGN Di gunakan untuk mengurangi kesalahan data input, di bawah ini adalah panduan praktis dalam Data – entry Screen design, diantaranya: Screen Organisation tampilan harus teratur dan simetris semua informasi yang diinginkan ditampilkan di dalam layer, atau semua permintaan di tampilkan dalam beberapa layer dan ini mesti secara logik berhenti di antara layer-layar tersebut mesti ada jarak di layer untuk beberapa tampilan pesan seperti : help, error, dlll layer organisasi mesti konsisten The Screen Caption judul tampilan harus yang spesifik. Sebagai contoh untuk memasukan data karyawan baru maka judul layernya adalah : “tambah karyawan baru” judul tampilan atau formulir untuk memasukan data tidak dibolehkan dikosongkan judul mesti dengan huruf tebal dan dengan ukuran yang lebih besar di bandingkan dengan yang lain
DATA – ENTRY SCREEN DESIGN Tabbing and Skipping pindah secara otomatis ke field yang baru dan mesti menghindari petunjuk pindah yang salah. Color menggunakan warna yang hemat (sederhana) dan konsisten menggunakan warna sedikit (transparan) yang luas dan lebar sepanjang pandangan warna visual seperti : merah, kuning, hijau dan biru setiap aktivitas warna harus konsisten sebagai contoh dibedakan antara warna untuk edit, input, dll beberapa warna yang normal digunakan dan sudah rutin pada setiap kegiatan (tampilan) contoh pesan error dengan warna merah. 5. Prompting (kecepatan) and help facility Penjelasan “help” harus spesifik atau secara detail harus ada jarak di layer untuk tampilan bagian help biasanya help bisa di akses lewat tombol F1 ada link yang disediakan pada bagian help yang ketika digunakan user nantinya akan berelasi dengan topic (tulisan).
AUDIT TRAIL CONTROL Jejak Audit dalam subsystem input Accounting Audit Trail dalam input subsystem mesti berisi keterangan dibawah ini: identitas seseorang (organisasi) yang memiliki sumber data identitas seseorang (organisasi) yang memasukan data ke system waktu dan tanggal memasukan data detail dari transaksi nomor setumpuk data fisik dan logic untuk transaksi waktu pengambilan dari dalam sumber dokumen utama Existence Control Dalam kasus data master yang salah, data master yang sebelumnya di tambah file input dapat digunakan untuk membangun atau meng-uptodate-kan data master.
Kontrol Komunikasi Kendali Kesalahan Transmisi : Adanya gangguan (noise) yang mengakibatkan data yang dikirim salah. Untuk mendeteksi kesalahan ini dilakukan teknik pantulan (echo technique). Echo technique merupakan teknik deteksi kesalahan dengan cara memantulkan data kembali ke pengirim. Keamanan (kerahasiaan) data transmisi : Untuk mengatasi dan melindungi dari penyadapan data maka diperlukan sistem untuk merubah data ke dalam bentuk kode rahasia yang tidak dimengerti oleh orang lain – (Cryptography).
PROCESSING CONTROLS Control proses menyediakan jaminan kebenaran dalam memproses data yang telah di masukan. Dalam aplikasi tertentu semua transaksi telah diproses dan telah di sahkan dan transaksi yang tidak sah telah di hilangkan. 1. Print Run to Run Total sebagai contoh data dalam hal memvalidasi transaksi. Dimana ketika transaksi berjalan data terus divalidasi dan diedit, bisa berisi record control, yang ditampilkan jumlah record dan total control dari file (data) 2. Lost and Rejected Entries Control ini meliputi data transaksi yang matching dengan data yang ada di data master. Sedangkan transaksi yang ditolak adalah ketika pengontrolan dilakukan secara otomatis terjadi kesalahan karena data tersebut (tidak cocok). Contoh: semestinya sebelum dilakukan inisialisasi pembayaran, faktur vendor semestinya sudah match dengan data, yang berisi rekaman-rekaman, barang-barang secara detail yang telah diterima. Faktur tidak akan dibayar selama belum cocok dengan data masternya.
PROCESSING CONTROLS 3. Mid-process Data Correction Proses control data digunakan untuk menjamin keakuratan data, kelengkapannya (data) dan ketepatan waktunya selama terjadi batch data, atau proses real-time dengan aplikasi computer. Control ini digunakan untuk mereview program aplikasi dan hubungannya dengan operasi-operasi computer, untuk menjamin keakuratan data dari proses aplikasi yang salah dan tidak ada data yang ditambah, hilang atau berubah selama proses berlangsung. 4. Before and After Image Processing Setiap saat data (file) di-update dan file yang sebelumnya dicatat. Jika ada kegagalan transaksi maka dapat dikembalikan ke kondisi sebelumnya.
Audit trail control for Processing Subsystem CONTROLS Audit trail control for Processing Subsystem Di bawah ini adalah keterangan tentang formulir dari accounting audit trail record of the Processing Subsystem, diantaranya: Identifikasi proses, nama dan nomor versi dari proses. Identitas dari proses yang menjadi trigger transaksi dan kondisi yang dihasilkan. Hasil antara. Nilai item input dan output data. Tanggal dan waktu dari proses. Nama user.
OUTPUT CONTROL 1. Inference Control Pengontrolan kesimpulan memiliki arti yaitu user bisa mengakses pada item-item data, akan tetapi disana terjadi pembatasan untuk mendapatkan kesimpulan dengan menggunakan data tersebut. 2. Presentation Control Pengontrolan presentasi yang memiliki tujuan memberikan kepastian/jaminan kelayakan kepada user bahwasannya data yang dipresentasikan pada user adalah konsisten dan terjamin.
OTHER OUPUT CONTROL Laporan output harus dikeluarkan sesuai dengan parameter yang sah. Laporan yang sensitif tidak boleh di print. Laporan yang disebarkan secara elektronik dapat di peroleh oleh pengguna melalui peran mereka. Prosedur dalam melaporkan dan mengontrol kesalahan dalam aplikasi program output harus di tingkatkan. Laporan yang salah harus di kirimkan ke departemen yang bisa mengoreksi kesalahan itu. Menyediakan jaminan bahwa laporan yang sensitive di sebarkan seperlunya. Saat memback-up laporan harus hati-hati begitu juga dalam menge-print filenya.
Audit trail control for Output Subsystem OTHER OUPUT CONTROL Audit trail control for Output Subsystem Di bawah ini adalah keterangan yang penting dalam formulir accounting audit trail, yaitu: output apa yang dipresentasikan kepada user? siapa yang menerima output tersebut? kapan output tersebut diterima? aksi apa yang kemudian diambil dari output tersebut ?
Kontrol Basis Data File handling controls : pengendalian terhadap data maupun media penyimpan data, sehingga jika terjadi suatu kerusakan data akan dapat di-recovery dengan back-up. Audit trail : rekam jejak kegiatan secara kronologis berurutan. Adanya kelemahan dalam struktur database seperti belum sempurna dalam normalisasi data.
Terima Kasih