Skip to content
IT General Control

Pengendalian Internal Berkaitan dengan IT

Ada dua jenis pengendalian yang berkaitan dengan pemanfaatan teknologi informasi yakni pengendalian umum (general control/gen-con) dan pengendalian aplikasi (application control/app-con). General control berkaitan dengan seluruh aspek dalam fungsi IT termasuk di dalamnya administrasi IT, pemisahan wewenang IT, pengembangan sistem, keamanan sistem informasi (secara fisik maupun dalam jaringan, atas hardware, software dan terlebih lagi data), backup dan perencanaan kontinjensi dalam keadaan darurat, serta pengendalian hardware. Pada umumnya general-control diterapkan pada skala entitas. Sedangkan application control diterapkan pada pemrosesan transaksi, misalnya pengendalian pada pemrosesan aktivitas penjualan dan penerimaan kas. Auditor diharuskan melakukan evaluasi pada application control atas kelas transaksi maupun akun yang hendak dikurangi risiko pengendaliannya. Application control hanya akan efektif bilamana general control efektif.

General Control

Sebagaimana lingkungan pengendalian yang menjadi komponen dalam pengendalian internal menurut COSO[1], enam kategori dalam general control diterapkan dalam pengelolaan IT pada skala entitas. Dalam pelaksanaan audit, general control pada umumnya dievaluasi terlebih dahulu sebab pengaruhnya terhadap application control. Enam kategori dalam general control dijelaskan di bawah ini.

IT General Control

Administrasi Fungsi IT

Sikap dari dewan direksi dan manajemen senior terhadap IT sangat berdampak pada pentingnya penggunaan IT dalam sebuah entitas. Manajemen, dalam lingkungan yang kompleks, dapat membentuk IT steering committee untuk membantu melakukan pemantauan atas kebutuhan teknologi perusahaan. Atau dala lingkup organisasi yang tidak terlalu kompleks, manajemen dapat menunjuk seorang CIO ataupun manajemer IT senior untuk menyampaikan informasi kepada manajemen.

Pemisahan Wewenang IT

Setidaknya, tanggung jawab berkaitan dengan IT dipisahkan ke dalam tiga fungsi besar sebagai berikut:

IT Responsibility

Sumber: Alvin A Arens – Auditing and Assurance Services: An Integrated Approach 14th Edition

  • IT Management. CIO maupun manajer IT bertanggungjawab atas oversight terhadap fungui IT untuk memastikan operasional TI berjalan sebagaimana renstra TI.
  • System Development. Terdiri atas dua peranan utama yakni system analyst dan programmer. System analyst, yang bertanggung jawab atas keseluruhan desain dari setiap sistem aplikasi, melakukan koordinasi atas pengembangan maupun perubahan dalam sistem IT kepada programmer dan pengguna sistem. Programmer menyusun diagram alir untuk setiap aplikasi baru, menyiapkan proses coding, melaksanakan pengujian, dan pembuatan dokumentasi. Yang perlu diperhatikan adalah, programmer tidak seharusnya memiliki akses ke dalam live application untuk mencegah adanya penyalahgunaan wewenang oleh karena pengetahuan lebih yang dimiliki oleh seorang programmer.
  • Terbagi atas tiga fungsi yang lebih rinci yakni computer operators, librarian dan network administrator. Computer operator bertanggung jawab atas operasi harian komputer sesuai jadwal yang ditetapkan oleh CIO, serta melakukan pemantauan atas cosole untuk memantau efisiensi dan deteksi dini atas terjadinya malfungsi. Librarian memiliki tanggung jawab pengendalian atas program komputer, berkas tranaksi, serta ragam dokumentasi lainnya. Juga yang tidak kalah pentingnya adalah network administrator yang bertanggung jawab atas perencanaan, implementasi serta menjaga operasional jaringan dan server.
  • Data Control. Personel yang secara independen melakukan verifikasi atas input dan reasonableness atas output yang dihasilkan. Bagi organisasi yang menggunakan database dalam penyimpanan informasi dari beragam unit organisasi termasuk di dalamnya akuntansi, database administrator bertanggung jawab atas operasional dan keamanan akses atas database.

Pengembangan Sistem

Pengembangan sistem bisa termasuk pembelian maupun in-house development atas sistem informasi sesuai dengan kebutuhan organisasi. Hal yang patut diperhatikan dalam pengembangan sistem adalah dibentuknya tim yang terdiri atas personel IT serta personel non IT dari kalangan pengguna. Hal ini memperbesar kemungkinan seluruh kebutuhan informasi, desain sistem, dan implementasi tersampaikan dengan baik. Melibatkan pengguna ke dalam proses pengembangan juga menyediakan hasil yang lebih baik dalam hal acceptance dari pihak pengguna.

Selain itu perlu pula dilaksanakan pengujian atas sistem informasi. Meliputi uji kerentanan (penetration-test) serta uji beban (stress-test). Dan yang tidak kalah pentingnya adalah pembuatan dokumentasi yang memadai atas sistem informasi yang dikembangkan, serta ditransfer kepada librarian.

Pengemanan Fisik dan Pengamanan Dalam Jaringan (online)

Pengendalian ini diperlukan sebagai pencegahan atas risiko adanya perubahan yang tidak terotorisasi serta penggunaan data dan program tidak sebagaimna mestinya.pengendalian keamanan terdiri atas pengendalian fisik serta pengendalian atas akses dalam jaringan.

Backup dan Rencana Kontinjensi

Untuk mencegah terjadinya data-loss dalam hal terjadi power outage, banyak perusahaan bergantung pada battery backups ataupun generator. Untuk skala yang lebih besar, perusahaan dapat menelenggarakan Disaster Recovery Plan berupa off-site storage dalam sebuah Disaster Recovery Center. Adakalanya, perusahaan juga menyewa perusahaan lain yang terspesialisasi dalam hal pengamanan data storage.

Pengendalian Hardware

Pada umumnya hardware control telah disediakan dalam komputer oleh pabrik untuk mendeteksi dan melaporkan jika terjadi galat dalam perangkat keras. Auditor, padaa umumnya lebih menaruh perhatian pada bagaimana incident-handling dijalankan oleh teknisi yang bersangkutan manakala galat terjadi.

Application Control

ISACA[2] membagi application control ke dalam enam tahapan sebagaimana digambarkan pada diagram berikut ini.

Sumber: Modul 4 Training Information System Audit: Introduction to IT Governance and Management Standard - Tatakelola

Sumber: Modul 4 Training Information System Audit: Introduction to IT Governance and Management Standard – Tatakelola

AC1: Source Data Preparation and Authorization

Memberikan kepastian bahwa dokumen dipersiapkan serta diotorisasi oleh personel yang berwenang dengan mengikuti prosedur yang telah ditetapkan, dengan memperhatikan adanya pemisahan kewenangan yang memadai berkaitan dengan originasi dan persetujuan atas dokumen-dokumen tersebut. Meminimalkan adanya kesalahan maupun kelalaian melalui desain formulir input yang baik. Mendeteksi adanya kesalahan dan ketidakwajaran sehingga hal-hal tersebut dapat dilaporkan serta diambil langkah korektif.

AC2: Source Data Collection and Entry

Menjamin bahwa proses input data dilaksanakan secara timely oleh staf yang berwenang dan qualified. Koreksi dan submisi ulang atas data yang diinput secara keliru harus dilakukan tanpa adanya compromising atas tingkat otorisasi transaksi yang semestinya sekalipun mencukupi untuk dilaksanakannya rekonstruksi, namun dokumen sumber yang asli mesti tetap dijaga dalam jagka waktu tertentu.

AC3: Accuracy, Completeness and Authenticity Checks

Memastikan bahwasannya transaksi akurat, lengkap dan valid. Validasi atas input data, serta perubahan (edit) maupun pengiriman ulang oleh sebab adanya koreksi daam jangka waktu sependek mungkin dari point of origination.

AC4: Processing Integrity and Validity

Mempertahankan integritas serta validitas data sepanjang siklus pemrosesan. Pastikan bahwa deteksi atas transaksi yang keliru tidak mengganggu jalannya pemrosesan atas transaksi yang valid.

AC5: Output Review, Reconciliation and Error Handling

Menyelenggarakan prosedur-prosedur serta tanggung jawab terkait untuk memberikan kepastian bahwa output ditangani sesuai otorisasi yang diberlakukan, dikirimkan kepada penerima yang seharusnya serta diproteksi selama transmisi. Serta bahwa verifikasi, deteksi dan koreki atas akurasi input telah berjalan. Dan bahwasannya informasi yang disediakan dalam output seluruhnya dipergunakan.

AC6: Transaction Authentication and Integrity

Sebelum melewatkan data transaksi antar aplikasi internal dan fungsi bisnis atau operasional (ke dalam maupun ke luar enterprise), lakukan pengecekan atas proper addressing, otentisitas atas asal dan integritas konten. Pertahankan otentisitas dan integritas selama transmisi dan transpor.

Value and Risk Drivers for Application Control

Application Control Value Drivers Risk Drivers
AC1: Source Data Preparation and Authorization ·   Integritas data

·   Dokumentasi transaksi yang terstandarisasi dan diotorisasi

·   Kinerja aplikasi yang memadai

·   Akurasi data transaksi

·    Adanya compromised integrity atas data kritikal

·    Transaksi-transaksi yang tidak diotorisasi maupun salah (erroneous)

·    Inefisiensi dalam pemrosesan maupun adanya pekerjaan berulang

AC2: Source Data Collection and Entry •  Entri data secara akurat dan pemrosesan secara efisien

•  Kesalahan terdeteksi secara timely

·   Pengamanan atas transaksi data yang sensitif

·    Inefisiensi pemrosesan disebabkan oleh entri data yang tidak lengkap

·    Adanya compromised integrity atas data kritikal

·    Pelanggaran atas pengendalian hak akses

·    Kesalahan dalam entri data tidak terdeteksi

AC3: Accuracy, Completeness and Authenticity Checks •     Keslahan dalam pemrosesan data terremediasi secara efisien

•     Akurasi, kelengkapan serta validitas data terjaga selama pemrosesan

•     Tidak adanya interupsi dalam pemrosesan transaksi

•     Pemisahan wewenang untuk entri dan pemrosesan data

•     Inefisiensi dalam pemrosesan maupun adanya pekerjaan berulang disebabkan oleh entri data yang tidak lengkap, tidak valid, maupun tidak akurat

•     Adanya compromised integrity atas data kritikal

•     Kesalahan dalam entri data tidak terdeteksi

•     Entri data yang tidak terotorisasi

AC4: Processing Integrity and Validity •     Melakukan pemrossan atas kesalahan yang terdeteksi secara timely

•     Kemampuan dalam melakukan investigasi permasalahan

•     Ketidakcukupan bukti atas terjadinya kesalahan maupun penyalahgunaan

•     Kesalahan dalam entri data yang tidak terdeteksi

•     Pemrosesan data yang tidak terotorisasi

AC5: Output Review, Reconciliation and Error Handling •     Data output yang sensitif diproteksi

•     Hasil pemrosesan yang lengkap serta bebas dari kesalahan dikirimkan kepada penerima yang berhak

•     Kesalahan terdeteksi secara timely

•     Data transaksi yang sensitif dikirimkan pada penerima yang tidak semestinya

•     Kerahasiaan data terlanggar (compromised)

•     Inefisiensi dalam pemrosesan transaksi

•     Kesalahan dalam output data transaksi tidak terdeteksi

AC6: Transaction Authentication and Integrity •     Straight-through processing

•     Confidence in validity and authenticity of transactions

•     Errors and misuse prevented

•     Erroneous and/or unauthorized transactions

•     Transaction errors undetected

•     Inefficiencies and rework

[1] Sumber: http://www.coso.org/documents/internal%20control-integrated%20framework.pdf. Dalam Internal Control Integrated Framework lingkungan pengendalian (control environment) disifati sebagai the tone of an organization, influencing the control consciousness of its people. Lingkungan pengendalian merupakan pondasi atas komponen lain dalam pengendalian internal, yang menyediakan suatu disiplin serta struktur. Lingkungan pengendalian meliputi integritas, nilai etika dan kompetensi dari anggota entitas; filosofi manajemen juga gaya operasi; cara manajemen menempatkan otoritas dan tanggung jawab; mengelola dan mengembangkan anggota entitas; dan perhatian serta arahan yang diberikan oleh dewan direksi.

[2] Sumber: https://www.isaca.org/popup/Pages/ApplicationControls.aspx. COBIT mengasumsikan desain dan implementasi atas application controls yang terotomatisasi menjadi tanggung jawab IT, yang termasuk ke dalam domain Acquire and Implement (AI), berdasarkan pada kebutuhan bisnis yang ditentukan dalam kriteria informasi COBIT. Proses IT dalam COBIT mencakup general IT controls, namun hanya pada aspek pengembangan (development) dari keseluruhan application controls.

Lucky mustard.

Leave a Comment

Your email address will not be published. Required fields are marked *

*
*