Pendahuluan

Di dunia saat ini, makin banyak perusahaan yang bergantung pada teknologi informasi (TI)
untuk memproses informasi bisnisnya secara elektronis. Organisasi menggunakan TI untuk
menjalankan bisnisnya, produksinya, dan melaksanakan pelayanannya. Perusahaan tidak
dapat lagi membangun penghalang di sekeliling sistem informasinya serta mengunci semua
orang di luar. Sebaliknya, mereka harus berbagi informasi dan menggunakan TI untuk
menghubungkan sistem informasinya dengan pihak-pihak yang sering berinteraksi dengan
mereka, yaitu: pelanggan, vendor, pegawai, mitra bisnis, pemegang saham, dan lembaga
pemerintah. Peningkatan hubungan ini membuat sistem informasi lebih rentan terhadap
masalah.
Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi organisasi,
harus menjadi prioritas pihak manajemen puncak. Oleh karena sistem informasi berkembang,
begitu pula dengan sistem pengendalian internal. Ketika bisnis bergeser dari sistem manual ke
sistem komputer utama, pengendalian baru harus dikembangkan untuk menurunkan atau
mengendalikan risiko yang dibawa oleh sistem informasi berdasarkan komputer yang baru ini.
Oleh karena adanya pergeseran ke lingkungan e-commerce berdasarkan Internet,
pengendalian baru perlu dikembangkan untuk mengendalikan munculnya risiko-risiko baru.
Untungnya, perkembangan dalam sistem informasi dan dalam TI juga memberikan kesempatan
bagi organisasi untuk meningkatkan pengendalian internalnya.
Perkembangan teknologi informasi mendorong perusahaan-perusahaan dalam menjalankan
proses bisnisnya memanfaatkan teknologi informasi dan berbagi sistem informasi perusahaan
dengan pihak eksternal yang berhubungan dengan perusahaan seperti vendor, pelanggan,
pemegang saham dan lembaga pemerintah.
Implikasi dari hal tsb diatas menjadikan sistem informasi perusahaan rentan terhadap masalah
dan mendorong perusahaan untuk meningkatkan sistem pengendalian internalnya.
Karenapentingnya jaminan/garansi atas sistem informasi, AICPA (american institute
of certified public accountans) dan CICA (canadian institute of chartered
accountants) memperkenalkan standar baru untuk menguji dan memverifikasi
keandalan suatu sistem informasi yang disebut dengan Systrust.

Ada 4 prinsip secara umum untuk menetapkan apakah suatu sistem andal atau
tidak, yaitu:
1.
Ketersediaan (availability). Sistem tersebut tersedia untuk dioperasikan dan
digunakan dengan mencantumkannya pada pernyataan atau perjanjian tingkat
pelayanan.
2.
Keamanan (security). Sistem dilindungi dari akses fisik maupun logis yang
tidak memiliki otorisasi. Hal ini akan membantu mencegah: a) penggunaan yang
tidak sesuai, pemutarbalikan, penghancuran atau pengungkapan informasi dan
software, serta, b) pencurian sumber daya sistem.
3.
Dapat dipelihara (maintainability). Sistem dapat diubah apabila diperlukan
tanpa mempengaruhi ketersediaan, keamanan, dan integritas sistem. Hanya
perubahan dokumen yang memiliki otorisasi dan teruji sajalah yang termasuk
dalam sistem dan data terkait. Bagi seluruh perubahan yang telah direncanakan
dan dilaksanakan, harus tersedia sumber daya yang mengelola, menjadwalkan,

mendokumentasikan, dan mengkomunikasikan perubahan ke pihak manajemen dan

para pemakai yang memiliki otorisasi.
4.
Integritas (integrity). Pemrosesan sistem bersifat lengkap, akurat, tepat waktu
dan diotorisasi. Sebuah sistem dikatakan memiliki integritas apabila dapat
melaksanakan fungsi yang diperuntukkan bagi sistem tersebut secara keseluruhan
dan bebas dari manipulasi sistem, baik yang tidak diotorisasi maupun yang tidak
disengaja.

Bagi setiap prinsip keandalan di atas, tiga kriteria berikut ini dikembangkan untuk
mengevaluasi pencapaian prinsip-prinsip tersebut, yaitu:
1.
Entitas memiliki tujuan kinerja (performance objective), kebijakan, dan
standar yang telah ditetapkan, didokumentasikan, dan dikomunikasikan, dan telah
memenuhi tiap prinsip keandalan. Tujuan Kinerja didefinisikan sebagai tujuan
umum yang ingin dicapai entitas. Kebijakan adalah peraturan-peraturan yang
memberikan arah formal untuk mencapai tujuan, dan mendorong
kinerja. Standar merupakan prosedur yang dibutuhkan dalam implementasi, agar
sesuai dengan kebijakan.
2.
Entitas menggunakan prosedur, sumber daya manusia, software, data dan
infrastruktur untuk mencapai setiap prinsip keandalan, dengan berdasarkan pada
kebijakan dan standar yang telah ditetapkan.
3.
Entitas mengawasi sistem dan mengambil tindakan untuk mencapai
kesesuaian dengan tujuan, kebijakan, dan standar, untuk setiap prinsip keandalan.
Pengendalian yang Berhubungan dengan Beberapa Prinsip Keandalan
Pengendalian berikut ini sesuai untuk beberapa prinsip keandalan, yaitu:
perencanaan strategis dan penganggaran, mengembangkan rencana keandalan
sistem, dan melaksanakan dokumentasi.
Tabel Ringkasan Pengendalian Umum Utama Keandalan
Kategori Pengendalian
Perencanaan strategis
dan penganggaran

Ancaman/Risiko
Sistem Informasi
mendukung strategi
bisnis, kurangnya
penggunaan sumber
daya, kebutuhan
informasi tidak dipenuhi
atau tidak dapat
ditanggung

Mengembangkan
rencana keandalan
sistem

Ketidakmampuan untuk
memastikan keandalan
sistem

Pengendalian
Rencana strategis
berlapis yang secara
periodik dievaluasi, tim
penelitian dan
pengembangan untuk
menilai dampak teknologi
baru atas jalannya bisnis,
anggaran untuk
mendukung rencana
strategis.
Memberikan tanggung
jawab perencanaan ke
pihak manajemen

Dokumentasi

Desain, operasi, tinjauan,

audit, dan perubahan
sistem yang tidak efektif

puncak; secara terusmenerus meninjau dan

memperbarui rencana;
mengidentifikasi,
mendokumentasikan, dan
menguji kebutuhan,
tujuan, kebijakan, dan
standar keandalan
pemakai;
mengidentifikasi dan
meninjau seluruh
persyaratan hukum yang
baru maupun yang telah
diubah; mencatat
permintaan pemakai atas
perubahan;
mendokumentasikan,
menganalisis, dan
melaporkan masalah
dalam hal keandalan
sistem; menetapkan
tanggung jawab
kepemilikan,
penyimpanan, akses, dan
pemeliharaan atas
sumber daya informasi;
mengembangkan
program kesadaran atas
keamanan serta
mengkomunikasikannya
pada seluruh pegawai;
meminta pegawai baru
untuk menandatangani
perjanjian keamanan;
melaksanakan penilaian
risiko atas seluruh
perubahan dalam
lingkungan sistem.
Dokumentasi dapat
diklasifikasikan menjadi 3
kategori dasar,
yaitu: (1) Dokumentasi
administratif (standar
dan prosedur untuk
memproses,
menganalisis,

mendesain,
memprogram,
menangani file dan
menyimpan data),(2)
dokumentasi
sistem(input aplikasi,
tahap pemrosesan,
output, kesalahan
penanganan), (3)
dokumentasi
operasional(konfigurasi
perlengkapan, program,
file, susunan dan
pelaksanaan prosedur,
tindakan korektif).

PENGENDALIAN YANG BERHUBUNGAN DENGAN BEBERAPA PRINSIP KEANDALAN

Perencanaa strategis dan penganggaran
Ancaman/resiko : SI tidak mendukung strategi bisnis, kurangnya penggunaan sumber daya,
kebutuhan informasi tidak dipenuhi atau tidak dapat ditanggung.
Pengendalian : Rencana strategis berlapis yang secara periodic dievaluasi, tim penelitian dan
pengenbangan untuk menilai dampak teknologi baru atas jalannya bisnis, anggaran untuk
mendukung rencana strategis
Mengembangkan rencana keandalan system
Ancaman/resiko : ketidak mampuan untuk memastikan keandalan sitem
Pengendalian : memberikan tanggung jawab perencanaan ke pihak menajemen puncak secara
terus-menerus meninjau dan memperbarui rencana, mengidentifikasi, mendokumentasikan, dan
menguji kebutuhan, tujuan, kebijakan, dan standar keandalan pemakai; mengidentifikasikan dan
meninjau seluruh persyaratan hukum yang baru maupun yang telah diubah; mencatat permintaan
pemakai atas perubahan; mendokementasikan, menganalisa, dan melaporkan masalah dalam hal
keandalan system; menetapkan tanggung jawab kepemilikan, penyimpa nan, akses, dan
pemeliharaan atas sumber daya informasi; mengembangkan program kesadaran atas keamanan
serta mengkomunikasikannya pada seluruh pegawai; meminta pegawai baru untuk
menanndatangani perjanjian keamanan; melaksanakan penilaian resiko atas seluruh perubahan
dalam lingkungan system.
Dokumentasi
Ancaman/resiko : desain, operasi, tinjauan, audit, dan perubahan system yang tidak efektif

Pengendalian : dokumentasi administratif (standard an procedure untuk memproses, menganalisis,

mendesain,memprogram, menangani file dan menyimpan data), dokumentasi system (input aplikasi,
tahap pemrosesan, output, kesalahan penanganan), dokumentasi operasional (konfigurasi
perlengkapan, program file, susunan dan pelaksanaan prosedur, tindakan korektif)
KETERSEDIAAN
Beberapa alas an mengapa system dapat tidak tersedia bagi para pemakai adalah adanya
kegagalan pada hardware atau software, bencana alam, serta tindakan sabotase yang sering
disengaja. Demi memastikan ketersediaan system informasi, organisasi perlu meminimalkan waktu
kegagalan system (system downtime) dan mengembangkan rencana pemuliahan dari bencana
(disaster recovery plan)
Meminimalkan waktu kegagalan system
Ancaman/resiko : hilangnya tenaga listrik atau kegagalan system yang mengganggu operasi bisnis
yang penting, kehiangan atau kerusakan data
Pengendalian : kebijakan dan procedure untuk menangani kehilangan tenaga listrik, kesalahan,
kehilangan atau kerusakan data, serta masalah lainnya; jaminan atas bencana dan ganngguan
bisnis; pemeliharaan untuk pencegahan secara teratur atas komponen utama; system tenaga listrik
yang stabil; batas toleransi kesalahan.
Rencana pemulihan dari bencana
Ancaman/resiko : perpanjangan gangguan atas pemrosesan data serta operasi bisnis karena
kebakaran, bencana alam, sabotase atau vandalisme
Pengendalian : taggung jawab kordinator adalah mengimplementasikan rencana, menetapkan
prioritas pemulihan, menugaskan tanggung jawab untuk kegiatan pemulihan. Mendokumentasikan
dan mnguji rencana, serta tterus-menerus meninjau dan merevisi rencana; penyimpanan jarak jauh
data dan file cadangan (pengamanan elektronik/electronic vaulting, konsep rekonstruksi bertingkat/
(grandfather-father-son), prosedur untuk pulih dari kerugian atau dari kehancuran file ( pemeriksaan
di tempat serta pengulangan), jaminan asuransi, computer cadangan serta fasilitas komunikasi
(perjanjian resiprokal, ruang cadangan dengan dan tanpa fasilitas computer/hot and cold sites,
duplikat hardware, software serta peralatan penyimpanan data.
PENGAMANAN
Beberapa klasifikasi pengendalian yang mambantu untuk memastikan pengamanan system yang
akan didiskusikan dalam bagian ini adalah : pemisahan tugas dalam fungsi system, pengendalian
akses secara fisik dan logis, perlindungan atas PD dan jaringan klien/server,serta pengendaian atas
internet dan e-commers

 Pemisahan tugas dalam fungsi system

Ancaman/resiko : penipuan computer
Pengendalian : bagi dengan jela otoritas dan tanggung jawb di antara administrasi system,
menjemen jaringan, manajemen pengamanan, manajemen perubahan, pemakai, nalisis system,
programmer, operator computer, pengellola perpustakaan system informasi, serta kelompok
pengendali data
Pengendalian akses secara fisik dan logis
Ancaman/resiko : lerusakan computer dan file; akses yang tidak memiliki otorisasi data rahasia
Pengendalian : letakkan computer dalam ruang terkunci; batsi akses ke personil yang memiliki
otoritas saja; buat jalan masuk yang terkunci dengan aman dan diawasi dengan baik; memita ID
pegawai; meminta pengunjung untuk menandatangani datftar tamu ketika mereka masuk dan
meninggalkna lokasi; gunkan system alarm; batasi akses ke saluran telephon pribadi yang tidak
terdeteksi, ke terminal dan PC yang memiliki otoritas; install pengunci pada PC dan peralatan
computer lainnya; batsi akses ke program off-line, data serta perlengkapannya; simpan komponen
system yang penting jauh dari bahan berbahaya; pasang detector asap dan api serta pemadam api
Pengendalian atas akses secara logis
Ancaman/resiko : akses yang tidak memiliki otoritas ke software system, program aplikasi, serta
sumber daya system lainnya
Pengendalian : klasifikasi pengamanan data (tidak ada batasan, hanya untuk pegawai, hanya untuk
pemilik dan manajemen puncak, dan lain-lain), tetapkan hak akses pegawai dan pihak luar, tinjau
aktivitas mereka yang dapat membaca, mnghapus, dan mengubah data. Kenali pemakai melalui
hhal-hal yang mereka ketahui (password, PIN, jawaban atas pertanyaan pribadi), atau yang mereka
miliki (kartu identitas, kartu pegawai aktif), atau melalui karakteristik personal mereka (sidik jari, pola
suara, pemindai retina, bentuk wajah, tanda tangan, dan system sandi tekan), pemeriksaan
kesesuaian, matriks pengendalian akses
Perlindungan atas PD dan jaringan klien/server
Ancaman/resiko : kerusakan file computer dan perlengkapannya; akses yang tidak memiliki otoritas
ke data rahasia; pemakai yang tidak dikenali system pengaman
Pengendalian : lakukan inventori atas PC dan pemakaimya, sesuaikan system pengamanan dengan
ancaman dan resikonya, latih pemakai tentang pengendalian PC, kunci disk drive, beri label yang
tidak dapat dilepas, batsi data yang disimpan atau yang didownload, larang software personal atau
mngcopy software perusahaan untuk penggunaan personal, simpan data yang sensitive dalam
tempat yang aman, serta otomatis mematikan jaringan PC yang tidak digunakan, buat cadangan
hard drive secra teratur, enkripsi file atau beri file password, hapus bersih disk dengan
menggunakan program utility, buat dinding pelindung disekitar system operasi, boot PC dalam

system pengamanan, gunakan pengendalian password bertingkat, pekerjakan spesialis atau

program pengamanan untuk mendeteksi kelemahan jaringan, audit dan catat pelanggaran
pengamanan
Internet dan e-commers
Ancaman/resiko : kerusakkan file data dan perlengkapan; akses yang tidak memiliki otoritas ke data
rahasia
Pengendalian : password, enkripsi, verifikasi routing, software pendeteksi virus, firewall, pembuatan
jalur khusus, penggunaan amplop elektronik, tolak akses pegawai ke internet, dan server internet
tidak terhubung dengan computer lainnya diiperusahaan.
KETERPELIHARAAN
Dua kategori yang membantu memastikan keterpeliharaan system adalah :
Pengembanngan proyek dan pengendalian akuisis
Ancaman/resiko : proyek pengenbangan system mngkonsumsi suber daya yang sangat banyak
Pengendalian : rencana utama strategis jangka panjang, jadwal pemrosesan data, penugasan setiap
proyek ke manajer atau tim, rencana pengembangan proyek, kejadian penting dari proyek, evaluasi
kinerja, pengukuran kinerja system (pemasukan data, penggunaan, waktu respons) dan peninjauan
pascaimplementasi.
Perubahan pengendalian manajemen
Ancaman/resiko : proyek pengembangan system mengonsumsi sumber daya yang snagat banyak,
perubahan system yang tidak diotorisasi.
Pengendalian : perubahan kebijakan dan prosedur pengendalian manajemen, peninjauan berkala
semua system untuk perubahan, format baku untuk perubahan, pencatatan dan peninjauan
permintaan perubahan, penilaian dampak perubahan terhadap keandalan sistem

Pengendalian Keandalan:
Contoh Pemrosesan On-Line
Posted on September 5, 2013 by darmansyah

Banyak dari pengendalian keandalan yang dideskripsikan dalam pembahasan ini

dapat diilustrasikan dengan menggunakan contoh penjualan secara kredit.

Data
transaksi
berikut
ini
yang
digunakan: nomor pesanan penjualan, nomor akun pelanggan, nomor barang
persediaan, jumlah yang dijual, harga jual, dan tanggal pengiriman. Jika seorang
pelanggan membeli lebih dari satu produk, nomor barang persediaan, jumlah
yang dijual, dan harga akan terjadi lebih dari satu kali dalam setiap catatan
transaksi penjualan.
Pemrosesan transaksi ini mencakup langkah-langkah berikut:
1.
2.

Memasukkan dan mengedit data transaksi;

Memperbarui catatan pelanggan dan persediaan (jumlah pembelian
secara kredit ditambahkan ke saldo pelanggan; untuk setiap barang
persediaan, jumlah barang yang dijual dikurangi dari jumlah yang ada);
dan
3. Menyiapkan dan mendistribusikan dokumen pengiriman dan/atau
penagihan
This entry was posted in EDP-Audit, IS-Audit, IT Infrastructured Management and
Service, Sistem Informasi Akuntansi, Sistem Informasi Manajemen by darmansyah.
Bookmark the permalink.

Pengendalian Keandalan: Contoh

Pemrosesan Batch
Posted on September 5, 2013 by darmansyah

Pemrosesan transaksi dengan cara pemrosesan batch

meliputi langkah-langkahberikut:
1.

Siapkan batch total. Totalnya dicatat pada form pengendalian batch yang
ditambahkan ke masing-masing kelompok dokumen penjualan.
2. Kirimkan transaksi ke departemen electronic data processing (EDP). Di
departemen tersebut, setiap batch diperiksa otorisasinya dan dicatat
dalam catatan pengendalian.
3. Masukkan data transaksi ke dalam sistem. Kesalahan entri data biasanya
disebabkan oleh salah satu dari dua hal berikut. Kesalahan operator karena
salah membaca sumber dokumen atau secara tidak sengaja menekan
tombol yang salah. Kesalahan ini biasanya tidak berbahaya dan dapat
segera dikoreksi. Data sumber yang salah, seperti transaksi penjualan
yang tidak memiliki otorisasi atau nomor akun yang tidak valid, lebih
memberikan masalah dan harus dikoreksi sebelum data transaksi

penjualan diproses lebih lanjut.

4. Urutkan dan edit-file transaksi. Baik sebelum maupun setelah file
transaksi penjualan diurutkan berdasarkan urutan nomor pelanggan, suatu
program melaksanakan beberapa pemeriksaan edit. Transaksi yang ditolak
ditulis dalam laporan pengendalian dengan batch total yang dihitung.
Pengendalian data merekonsiliasi total batch tersebut, menyelidiki dan
mengoreksi kesalahan, dan memasukkan transaksi yang telah dikoreksi.
5. Perbarui file utama (master- files). File transaksi penjualan diproses
berdasarkan (piutang) pelanggan dan database persediaan atau file utama.
Jika database atau file utama disimpan off-line, maka harus dipastikan
bahwa salinan arsip yang benar didapat dari perpustakaan file dan

dimasukkan ke sistem. Operator harus memeriksa nama file dan tanggal

pemrosesan pada label eksternal sebelum memasukkan file tersebut.
Program pembaruan file memeriksa label judul internal sebelum
memasukkannya. Setiap file mempunyai label trailer yang berisi jumlah
catatan dan total file lainnya. Ini diperiksa dan diperbarui selama
pembaruan file dijalankan.
6. Siapkan dan mendistribusikan output. Output meliputi dokumen
penagihan dan/ atau pengiriman dan laporan pengendalian. Laporan
pengendalian berisi total batch yang diakumulasi selama pembaruan file
dijalankan dan daftar transaksi yang ditolak oleh program pembaruan.
7. Tinjauan pemakai. Para pemakai di departemen pengiriman dan
penagihan melaksanakan tinjauan terbatas terhadap dokumen untuk
mengetahui jika ada data yang tidak lengkap atau kekurangan lainnya.

This entry was posted in EDP-Audit, IS-Audit, IT Infrastructured Management and

Service, Sistem Informasi Akuntansi, Sistem Informasi Manajemen by darmansyah.
Bookmark the permalink.