Pengendalian Sistem Komputerisasi

123

Pengendalian Sistem Komputerisasi Tujuan disusunnya sistem pengendalian intern komputerisasi untuk: ƒ Meningkatkan pengamanan (improve safeguard) aset dan data/ catatan akuntansi (accounting records) ƒ Meningkatkan integritas data (improve data integrity) ƒ Meningkatkan efektifitas sistem (improve system effectiveness) ƒ Meningkatkan efisiensi sistem (system efficiency) Management and System Objectives 1

To provide reliable data

a. b. c. d. e.

Completeness : input/process/output Accuracy : input/process/output Uniqueness Reasonableness Errors are detected

2

To encourage adherence to prescribed accounting policies

a. Timeliness : captured/enter/process b. Valuation : calculation, summary,etc c. Classification

3

To safeguard assets and records

a. b. c. d.

Transaction authorized Distribution of output Validity, no nonvalid data processed Security of data and records

Tabel 6.6: Tujuan Sistem Bagi Manajemen Sumber: Watne (1984, p.x) Alasan makin pentingnya system controls sistem berbasis komputer : ƒ Besarnya biaya dan kerugian kalau sampai data komputer hilang ƒ “Biaya yang harus dibayar” bila sampai mutu keputusan buruk akibat data yang salah. ƒ Potensi kerugian kalau terjadi kesalahan/ penyalahgunaan komputer ƒ Nilai (investasi) yang tinggi pengadaan mesin (hardware & software) ƒ Nilai atau biaya yang tinggi yang dikeluarkan untuk pendidikan personil ƒ Biaya yang tinggi bila terjadi computer errors ƒ Perlunya dijaga privacy, mengingat di komputer tersimpan data rahasia

124

ƒ Agar perkembangan dan pertumbuhan komputerisasi dapat terkendali (Controlled evolution of computer used) Ditinjau dari sifatnya, sistem pengendalian intern dapat dibedakan: ƒ Preventive, ƒ Detection), ƒ Corrective Sistem pengendalian intern sesungguhnya adalah juga suatu sistem. Untuk dapat mendesain sistem yang baik perlu dilakukan perencanaan, analisis, desain/ rancangan, pengujian, penerapan, dan evaluasi untuk perbaikan. Sistem yang baik adalah harus yang telah dikaji dan teruji kelayakannya: ekonomis, operasional, teknis, dan sebagainya. Sistem yang canggih tetapi dengan biaya (bisa berarti uang, waktu, tenaga, konsekuensi) yang sangat besar belum tentu sistem yang terbaik. Metodologi pembangunan digambarkan sebagai berikut:

sistem

pengendalian

intern

dapat

General Exposures result from error /irregulariti es

Manageme nt control objective

System controls objective

Application controls

Controls Berdasarkan metodologi yang digambarkan dalam diagaram tersebut jelas bahwa di dalam mendesain sistem pengendalian intern komputerisasi, langkah yang perlu dilaksanakan adalah sebagai berikut: 1. Pertama-tama ialah bahwa pengalaman yang lalu 2. Langkah berikutnya adalah pertimbangan manajemen 3. Selanjutnya menetapkan tujuan dari sistem pengendalian intern itu sendiri 4. Akhirnya menetapkan sistem pengendalian yang bersifat umum maupun yang khusus berlaku untuk unit/bagian/area/fungsi/subsistem tertentu. Struktur pengendalian intern menurut Watne (1984, p.99) seperti tabel 6.2 pada bagian akhir bab ini. Adapun sistem pengendalian intern yang perlu dilakukan pada sistem berbasis komputer (Weber, 1999, p.38) pada garis besarnya berikut ini.

125

A. Pengendalian Umum Pengendalian umum (general controls) ialah sistem pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Kesalahan yang bersifat manage-ment framework misalnya adalah: ƒ Unit komputer tidak direncanakan dengan baik. ƒ Unit komputer tidak dikelola dengan efektif, efisien, ekonomis. ƒ Tidak kebijakan yang jelas mengenai pola karier, kualifikasi pegawai teknis, pelatihan, dan sebagainya. ƒ Tidak ada kebijakan yang jelas mengenai standardisasi. ƒ Tidak ada kebijakan yang jelas mengenai pola manajemen proyek, metodologi pengembangan sistem. ƒ Kurang pedulinya top management mengenai mutu sistem informasi dan perlunya quality assurance. Pengendalian umum terdiri dari : a. Pengendalian top manajemen (top management controls). b. Pengendalian manajemen sistem informasi (Information system management controls). c. Pengendalian manajemen pengembangan sistem (system development mana-gement controls), termasuk manajemen program (programminng management controls). d. Pengendalian manajemen sumber data (Data resources management controls). e. Pengendalian manajemen jaminan kualitas (Quality assurance management controls). f. Pengendalian manajemen keamanan (Security adminstration management controls). g. Pengendalian manajemen operasi (Operations management controls).

1. Pengendalian Manajemen Sistem Informasi Seperti layaknya tugas pokok dan fungsi manajemen pada umumnya, manajemen pada fungsi/unit sistem informasi mempunyai tugas untuk melakukan fungsi planning, organizing, Actuating, dan controlling (POAC). POAC dalam pengelolaan sumber daya informasi, sebagai berikut: ƒ Planning ƒ Organizing ƒ Actuating ƒ Controlling

126

Topik penting lainnya yang tercakup dalam manajemen sistem informasi, khususnya pada isu organizing, ialah masalah organisasi pusat komputer atau unit fungsional sistem informasi itu sendiri. Berbagai hal yang perlu diperhatikan antara lain mengenai: ¾ Organisasi Pusat Komputer ƒ “Letak” unit komputer di dalam suatu organisasi ƒ Masalah lain adalah apakah komputer dikelola secara sentralisasi, atau de-sentralisasi, terbagi, atau tersebar. ƒ Struktur organisasi pusat komputer secara tradisional terdiri dari: 9 Bagian Aplikasi (terdiri dari para sistem analis dan programmer). 9 Bagian Produksi (terdiri dari para operator yang secara langsung menjalankan operasional komputer). 9 Bagian Dukungan Teknis (terdiri dari para spesialis operating systems, ahli database, ahli komuniksi data). ƒ Organisasi komputer dengan lingkungan berbasis komputer mempunyai ciri-ciri yang berbeda dengan instalasi komputer induk. ¾ Kebijakan Personil ƒ Pada suatu instalasi komputer, terdapat tipe pegawai administratif (klerk), pegawai operasional (para operator), serta knowledge worker/professional (sistem analis, programmer, dan lainnya). Kebijakan umum dari pimpinan organisasi juga sangat diperlukan dalam kaitan pemisahan tugas dan fungsi: 9 Fungsi pengembang sistem informasi (system development) 9 Fungsi pelaksanaan (operasional/produksi) sistem komputerisasi 9 unit fungsional pengguna jasa informasi (user). Di lingkungan user itupun juga perlu diperjelas yang mana merupakan fungsi otorisasi, fungsi akuntabilitas, dan fungsi pelaksanaan olperasional. ¾ Pengendalian lainnya, misalnya pengendalian prosedur administratif. 2. Pengendalian Manajemen Pengembangan Sistem Pengendalian intern dalam manajemen pengembangan sistem atau system development management controls (Weber, 1999, p.132-137) dilakukan dengan menetapkan kebijakan pimpinan unit informasi tentang berikut ini: a). Prosedur Pengembangan (Procedures Development) b). Tes Kelayakan (Acceptance Testing)

127

Terdiri dari 4 bagian yaitu program testing, system testing, user testing, quality assurance testing. c). Konversi (Conversion) d). Operasi dan Perawatan (Operation and Maintenance) ƒ Repair maintenance ƒ Adaptive maintenance ƒ Perfective maintenance Disamping perawatan tersebut, perubahan sistem dalam katagori yang lebih berat adalah updating, enhancement atau reengineering sistem. Dalam pengembangan sistem aplikasi komputer, terdapat beberapa metodologi atau pendekatan yang dapat dipilih, misalnya: system development life cycle, waterfall approach, prototyping, soft system methodology, dan sebagainya. Pimpinan harus menetapkan standar yang harus dianut. Dalam suatu organisasi komputer, standar yang ditetapkan misalnya adalah seperti pada tabel berikut. Kutipan information system principles/standard ada di bagian akhir bab ini. Jenis Standar Methods standards

Keterangan Yaitu pedoman atau prosedur yang harus diikuti, a.l. bagaimana melakukan analisis, desain, pemrograman dan prosedur produksi atau bagaimana suatu sistem dioperasikan.

Performance Yaitu pedoman tentang sumber daya dan hasil yang dicapai. Misalnya acuan tentang waktu untuk test/ standards pemrograman, response-time suatu online systems. Documentati Yaitu pedoman tentang dokumentasi kegiatan sistem on standards yang harus dibakukan dan dipertegas minimal isinya. Misalnya, format spesifikasi sistem, spesifikasi program, pedoman kerja operator dan sebagainya. ProjectYaitu pedoman tentang pengelolaan proyek/tim control aplikasi, misalnya, checkpoints yang harus ada untuk standards review sistem dan monitor prosedur kerja proyek. Post-audit standards

Yaitu pedoman ex post reviews terhadap kegiatan teknis yang dilakukan.

Tabel 6.1. Standar Kegiatan Pengembangan Aplikasi Sumber : Weber (1999, p.90)

128

Kata-kunci yang berkaitan dengan System Development & Controls ƒ Metodologi, antara lain SDLC, waterfall, Prototyping, CASE 4GL dan Object Oriented/softsystem methodology. ƒ Manajemen Tim (system development project management) ƒ Tahap-tahap kegiatan dalam pengembangan aplikasi. ƒ Tes Program, String/Runstream, tes Sistem dan Parallel-test ƒ Standard Operating Procedures. ƒ Konversi Sistem. ƒ Post evaluation/ System Maintenance ƒ Pengendalian Perubahan. Hal-hal yang perlu diperhatian dalam pengembangan sistem aplikasi komputer, ialah: ¾ Pengendalian dokumentasi ƒ Dalam suatu instalasi komputer perlu diatur sistem dokumentasi: 9 Standardisasi dokumentasi (jenis maupun teknis penulisannya) 9 Dokumentasi yang lazim ada bagi suatu aplikasi komputer: 9 Dokumentasi program yang sebaiknya ada: 9 Dokumentasi sistem komputerisasi (spesifikasi) yang sebaiknya ada bagi pengguna bila sistem komputerisasi tersebut sudah dioperasikan: Perlu dipahami, bahwa dokumentasi mempunyai banyak manfaat: ‰ ‰ ‰ ‰ ‰ ‰

Sebagai bagian tak terpisahkan dari sistem komputerisasi tersebut. Sumber informasi tentang sistem komputerisasi tersebut. Dasar penyusunan pelatihan. Dasar untuk komunikasi antar teknisi ataupun teknisi dengan user. Sumber pengendalian (akuntansi). Sebagai Road-map bagi auditing.

¾ Kebijakan audit (quality assurance) pada pengembangan sistem dan dasar pemikiran pentingnya keterlibatan quality assurance tersebut. ¾ Dalam pengendalian pengembangan sistem perlu ditetapkan prosedur standard tertulis proses pengembangan sistem, metodologi formal yang baku (tertulis), standard manajemen proyek pengembangan aplikasi (development team), peranan steering-committee, user, team, supporting unit. ¾ Prosedur dan konvensi pemrograman: ¾ Prosedur tes keandalan dalam pengembangan sistem

129

3. Pengendalian Manajemen Sumber Data Menurut Weber (1999, p 206) pengendalian sumber data (Data Resources Management) yang baik adalah: ƒ user harus dapat membagi data (data sharing among users). ƒ data harus tersedia untuk digunakan kapan saja, dimana pun, dan dalam bentuk apapun (sudah tentu dengan aturan akses/wewenang yang jelas). ƒ data harus dapat dimodifikasi dengan mudah (user friendly) oleh yang berwenang sesuai dengan kebutuhan user. Bentuk pengendalian manajemen data lainnya yang yang perlu diterapkan misalnya antara lain ialah: ƒ Akses database (access controls). ƒ Data dictionary/directory, system file handling controls serta file handling controls ƒ Audit-trail ƒ Trigger policy ƒ Kebijakan tentang pola update antar lokasi, database induk ƒ Existence controls 4. Pengendalian Manajemen Mutu Menurut Weber (1999) ada enam alasan yang menyebabkan kebutuhan quality assurance makin penting bagi organisasi: a. b. c. d. e.

Makin meningkatnya kesadaran bahwa mutu itu perlu. Pengguna (user) makin menuntut (demanding) atas jasa yang baik Ambisi memenuhi kepuasan pelanggan makin meningkat. Organisasi makin bertanggungjawab untuk tidak defect product. Apabila kesadaran kualitas tidak ditingkatkan, maka resiko dan mungkin konsekuensi biaya perbaikan malahan akan sangat tinggi. f. Peningkatan kualitas adalah sudah menjadi worlwide trend, bahwa para produsen akan meningkatkan mutu barang dan/atau jasa yang diberikan. Pimpinan organisasi yang baik perlu lebih menggalakkan fungsi quality assurance, yaitu antara lain dalam bentuk: a. Mengembangkan budaya mutu, khususnya membantu kesadaran mutu dan bagaimana menetapkan sasaran kualitas ke anggota development team. b. Menetapkan, mengelola, dan mensosialisasikan standar, khususnya untuk kegiatan yang berkaitan dengan sistem informasi.

130

c. Memonitor apakah standar yang ada sudah dipatuhi. d. Mengkaji bidang-bidang yang perlu perbaikan, terutama yang berkaitan dengan masalah kualitas. e. Memberikan pelatihan-pelatihan tentang peningkatan mutu produk/jasa. 5. Pengendalian Manajemen Operasi Menurut Weber (1999, p 288), secara garis besar pengendalian mana-jemen operasi (operations management controls) bertanggungjawab terhadap hal-hal sebegai berikut: 1. Pengoperasian Komputer (Computer Operations) Tipe pengendalian yang harus dilakukan : ƒ Menentukan fungsi-fungsi yang harus dilakukan operator komputer maupun fasilitas operasi otomatis. ƒ Menentukan penjadwalan kerja pemakaian hardware/software. ƒ Menentukan perawatan hardware agar dapat berjalan baik. ƒ Pengendalian perangkat keras berupa hardware controls dari produsen untuk deteksi hardaware malfunction. 2. Pengoperasian Jaringan (Network Operation) Pengendalian yang dilakukan ialah seperti memonitor dan memelihara jaringan dan pencegahan terhadap akses oleh pihak yang tidak bewenang. 3. Persiapan dan Pengentrian Data (Preparation and Entry Data) Fasilitas-fasilitas yang ada harus dirancang untuk memiliki kecepatan dan keakuratan data serta telah dilakukan pelatihan terhadap pengentri data. 4. Pengendalian Produksi (Production Control) ƒ Penerimaan dan pengiriman input dan output. ƒ Penjadwalan kerja. ƒ Manajemen pelayanan. ƒ Peningkatan pemanfaatan komputer. 6. Pengendalian Manajemen Keamanan Menurut Weber (1999, pp 257-266) pengendalian intern terhadap mana-jemen keamanan (security managemen controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Ancaman utama terhadap keamanan dapat bersifat karena alam, manusia (bersifat kelalaian maupun kesengajaan), antara lain: a. Ancaman kebakaran a. Ancaman banjir b. Perubahan tegangan sumber energi

131

c. d. e. f. g.

Kerusakan struktural Polusi Penyusup Virus Hacking

Untuk mengantisipasi adanya resiko-resiko tersebut, pengendalian intern lainnya yang dapat diterapkan misalnya ialah:

sistem

ƒ Pengendalian keamanan fisik 9 Pengendalian terhadap bencana 9 Pengendalian pengamanan fisik preventif 9 Pengendalian pengamanan prosedural ƒ Pengendalian kemanan data dan fasilitas pengolahan 9 Adanya data-log, file-protection, access restriction, back-up & recovery. ƒ Pengendalian Security dan Data Communication ƒ Standard operating procedures (SOP) Hal0hal yang perlu diatur dalam SOP misalnya ialah mengenai: 9 Penjadwalan kerja pengoperasian komputer 9 Sasaran kinerja komputer (computer performance, computer time, utilization,response time. dan sebagainya) 9 Prosedur Job Run 9 Console Log 9 Staff Time Record 9 File Control Standard 9 Prosedur pengawasan dan hal-al tak terduga Pengendalian akhir Jika benar-benar terjadi bencana, pengendalian akhir yang dilaksanakan: 1.

Rencana Pemulihan Bencana Rencana pemulihan menjadi keadaan normal setelah terjadinya bencana dilakukan kegiatan-kegiatan yang misalnya: o o o o

2.

Rencana Darurat (Emergency Plan) Rencana Backup (Backup Plan) Rencana Pemulihan (Recovery Plan) Rencana Pengujian (Test Plan)

Asuransi Perlu dikalkulasi cost/benefit-nya untuk asuransi peralatan, fasilitas, media penyimpanan, gangguan bisnis, dokumen dan kertas yang berharga yang ada di instalasi. Jika perlu dalam suatu proyek komputerisasi yang besar perlu dibuat asuransi kemungkinan biaya tambahan proyek bila terjadi overrun cost and schedule.