123
Pengendalian Sistem Komputerisasi Meningkatkan pengamanan (improve safeguard) aset dan data/ catatan Akuntansi (accounting records) Meningkatkan integritas data (improve data integrity) Meningkatkan efektifitas sistem (improve system effectiveness) Meningkatkan efisiensi sistem (system efficiency) Management and System Objectives 1
To provide reliable data
a. b. c. d. e.
Completeness : input/process/output Accuracy : input/process/output Uniqueness Reasonableness Errors are detected
2
To encourage adherence to prescribed accounting policies
a. Timeliness : captured/enter/process b. Valuation : calculation, summary,etc c. Classification
3
To safeguard assets and records
a. b. c. d.
Transaction authorized Distribution of output Validity, no nonvalid data processed Security of data and records
124
Pentingnya system controls sistem berbasis komputer: Besarnya biaya dan kerugian kalau sampai data komputer hilang “Biaya yang harus dibayar” bila sampai mutu keputusan buruk akibat data yang salah. Potensi kerugian bila ada kesalahan/ penyalahgunaan komputer Nilai (investasi) tinggi pengadaan mesin (hardware & software) Nilai atau biaya yang tinggi untuk pendidikan personil Biaya yang tinggi bila terjadi computer errors Perlunya privacy, mengingat di komputer tersimpan data rahasia Agar perkembangan dan pertumbuhan komputerisasi dapat terkendali (Controlled evolution of computer used) Ditinjau dari sifatnya, pengendalian intern dibedakan: Preventive Detection Corrective
125
Pengendalian Umum a. b. c. d. e. f. g.
Pengendalian top manajemen (top management controls). Pengendalian manajemen sistem informasi (Information system management controls). Pengendalian manajemen pengembangan sistem (system development mana-gement controls), termasuk manajemen program (programminng management controls). Pengendalian manajemen sumber data (Data resources management controls). Pengendalian manajemen jaminan kualitas (Quality assurance management controls). Pengendalian manajemen keamanan (Security adminstration management controls).
Pengendalian manajemen operasi (Operations management controls). Kata-kunci yang berkaitan dengan System Development & Controls
Metodologi, antara lain SDLC, waterfall, Prototyping, CASE 4GL dan Object Oriented/softsystem methodology. Manajemen Tim (system development project management) Tahap-tahap kegiatan dalam pengembangan aplikasi. Tes Program, String/Runstream, tes Sistem dan Parallel-test Standard Operating Procedures. Konversi Sistem. Post evaluation/ System Maintenance Pengendalian Perubahan.
126
Pengendalian Aplikasi a. Boundary Controls
Ruang lingkup sistem Subsistem dan keterkaitan antar modul/program
b. Pengendalian Input
Data transaksi yang ditulis oleh pelaku transaksi salah (error).
Kesalahan pengisian dengan kesengajaan disalahkan
Penulisan tidak jelas sehingga dibaca salah oleh orang lain (misalnya petugas yang harus meng-entry data tersebut ke komputer)
b.1. Batch System Pengendalian input dalam sistem batch dilakukan pada tahap:
Data Capturing
Batch Data Preparation
Batch Data Entry
Validation
127
b.2. On-line Real time Entry Validation Cara pemrosesan data input yang lain yang lebih lazim pada saat ini adalah dengan on-line transaction processing system. Pada sistem tersebut data masukan dientri dengan workstation/terminal atau jenis input device yang seperti automatic teller machine (ATM) dan point of slaes (POS). Pengendalian input dalam sistem on-line real time dilakukan pada tahap:
Entry Data & Validation
Pada batch processing system lazimnya entri data dilakukan petugas data entry (petugas teknis unit komputer), sedangkan dalam sistem on-line realtime lazimnya entri data oleh pemakai langsung (misalnya para pelanggan atau nasabah bank)
Sudah jelas bahwa resiko pada sistem on-line real-time makin tinggi, karena:
Entry point, lokasi masuknya data input ke sistem komputer tersebar. Hubungan on-line menyangkut komunikasi antar mesin secara remote yang terhubung melalui sarana dan teknologi komunikasi, jadi makin kompleks dan canggih. Dalam sistem real-time, artinya status data pada file tidak statis, tetapi selalu dinamis bergerak secara terus menerus. Kalau terjadi gangguan, misalnya listrik atau saluran komunikasi, mungkin akan ada problem recovery point, di mana starting point? Dengan sistem paperless maka problem jejak audit dan kebutuhan bahan bukti tercetak menjadi kendala tersendiri. Pada umumnya perusahaan sekarang ini menggunakan jaringan publik karena biaya yang lebih murah dan alasan keterbukaan akses ke pasar, vendor, patners, dan lingkungan perusahaan lain (entity’s environment). Konsekuensi dari hal tersebut adalah tingkat keamanan sistem dan data.
128
Pengendalian Bersifat Prevention Objective Contoh pengendalian yang bersifat preventif misalnya ialah siapkan manual (buku pedoman kerja/prosedur tertulis) untuk cara-cara memasukkan data ke file komputer. Cara lain ialah perlunya pelatihan bagi para pengguna atau operatornya. Letak/ lingkungan/ bentuk layar perekaman yang baik juga merupakan faktor-faktor yang menentukan kenyaman perekaman data. Makin nyaman diharapkan tingkat kesalahan yang disebabkan oleh kejenuhan dan kelelahan akan makin kecil. Pengendalian lain mialnya ialah pembatasan access secara fisik (contoh ruang ATM), adanya aturan otorisasi (contohnya adanya PIN), identifikasi terminal dan operatornya (password tertentu), proteksi dari fragmentasi. Pengendalian Bersifat Detection Objective Contoh pengendalian intern yang bersifat detection objective misalnya ialah validasi kesesuaian kode/ identitas./ PIN/ Account-ID antara yang dientri dengan yang ada di file komputer, validasi atas field tertentu, misalnya tanggal (Februari tidak mengenal tanggal 30 atau 31, dan sebagainya), pengujian kelasifikasi/ validitas kode, permintaan komputer di layar agar pemakai merekam identitas 2x atau diminta tanggal lahir. Jenis pengujian lain misalnya cek karakter yang sahih/ uji field (numeric test), Limit test (misalnya umur tidak boleh melebihi 35 tahun), Check digit test, Data echo check test. Check-digit ialah suatu angka tambahan yang diletakkan pada deretan terakhir dari suatu kode yang dihitung dengan rumusan/formulasi angka tertentu. Contohnya Nomor Induk Mahasiswa (NIM), aslinya adalah : 12345. Misalnya kita menggunakan rumus (1+2+3+4+5) – 11= 4., berarti check-digitnya adalah 4, sehingga den gan demikian NIM barunya menjadi 123454 Sudah tentu rumus tersebut tidak dibuat sembarangan, melainkan hasil pengkajian. Sekarang ini sudah terdapat rumus-rumus, yang disebut modulus 10, modulus 11, yang dipersiapkan oleh ahli-ahli tertentu dengan tingkat akurasi yang sudah diuji. Pengendalian Bersifat Correction Objective Dalam pengendalian intern yang bersifat correction objective perlu disusun prosedur pembetulan data apabila ternyata terdapat data salah yang lolos ke sistem. Lazimnya terdapat dua prosedur yang berkaitan dengan hal ini, yaitu:
Bila kesalahan adalah Keying Error, cara pelaksanaan pembetulan ialah dengan merekam ulang (pembetulan data).
Bila Source Error, artinya kesalahan bukan di pihak sistem pengolahan data, melainkan dari sumbernya. Cara pembetulannya apabila terjadi kesalahan semacam itu maka harus diklarifikasi kepada asal datanya.
129
c. Pengendalian proses Pengendalian proses (processing controls) ialah pengendalian intern untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses. Kemungkinan yang paling besar untuk menimbulkan terjadinya error adalah kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan antar subsistem atupun kesalahan teknis lainnya. Bentuk pengendalian lainnya misalnya adalah:
Processing logic check Run-to-run check Inter-sub-systems check File and program check Audit trail linkage
Ditinjau dari sugi pandang sistem informasi akuntansi, potensi resiko error adalah kurangnya akurasi/keandalan data karena data diolah tidak sesuai aturan sistem akuntansi, misalnya salah akun (ledger), salah periode, debit/ kredit, tidak sesuai atau kurang adanya ketaatan pada kebijakan/ sistem akuntansi), kurang sesuai prinsip pengamanan assets dan record. Metodologi pemeriksaan kecukupan pengendalian bersifat detektif yang dapat dilakukan misalnya ialah pemeriksaan label file, pengujian identifikasi record, pengujian kode transaksi, sequence test, anticipation control, validasi untuk mendeteksi error pengolahan, arithmetic accuracy test, dual field input, data reasonable test, data limit test, cross footing test, pengendalian saldo subsistem ((system balancing controls,) dan inter subsystem totals, serta run to run totals. Metoda pengendalian yang bersifat corective objectives misalnya ialah perlakuan terhadap data (yang error), mekanisme koreksi Error. Dalam sistem proses data per batch bila terjadi error yang bukan bersifat keying error pada salah satu record, lazimnya record tersebut dihapus dari batch yang bersangkutan. Jika tipe kesalahannya adalah keying error, maka dengan mudah dilakukan pembetulan. Akan tetapi kalau salah karena source error maka agar tidak mengganggu records lainnya data tersebut perlu dipisahkan dan dibuat batch baru. Dalam hal ini prosedur pembetulan harus jelas dan dimengerti oleh semua pihak. Sekali lagi perlu dipahami mekanisme jejak audit. Salah satu bentuknya ialah perlunya laporan kegiatan pengolahan untuk pelacakan bila terjadi masalah, tersedia dokumentasi program untuk trace-back, adanya laporan pemakaian file yang dapat dilacak bila ada masalah, dan rancangan break points.
130
d. Pengendalian Hasil keluaran Pengendalian keluaran (output controls) ialah pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang-orang yang tidak berhak. Kemungkinan resiko yang dihadapi yang terkait dengan keluaran ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak lengkap, terlambat atau data tidak uptodate, banyak item data yang tidak relevan, bias, dibaca oleh pihak yang tidak berhak. Dalam sistem yang sudah lebih terbuka (menggunakan jaringan komuni-kasi publik) potensi akses oleh hacker, cracker atau orang yang tidak berwenang lainnya menjadi makin tinggi. Metoda pengendalian bersifat preventive objective misalnya ialah perlunya disediakan tabel pelaporan: jenis laporan, periode pelaporan, dan siapa pengguna, serta check-list konfirmasi tanda terima oleh penggunanya, prosedur permintaan laporan rutin/on-demand, atau permintaan laporan baru. Pengendalian bersifat detection objective misalnya ialah cek antar program pelaporan, perlunya dibuat nilai-nilai subtotal dan total yang dapat diperbandingkan untuk mengevaluasi keakurasian laporan, judul dan kolom-kolom laporan perlu didesain dengan sungguh-sungguh. Pengendalian yang bersifat corrective objective misalnya ialah prosedur prosedur klaim ketidakpuasan pelayanan, tersedianya help-desk dan contact person, persetujuan dengan users mengenai service level yang disepekati. Tinjauan audit dan cara pengujian yang sering dilaksanakan oleh auditor misalnya ialah cek terhadap jenis output, bentuk/format laporan, akurasi, pengguna (katagori/ kerahasiaan) dan ketepatan jadwal pelaporan, apakah laporan akurat dan sesuai dengan yang dibutuhkan, apakah keluaran tepat sasaran kepada yang berhak.
131
e. Pengendalian Data/ File/ Database Misalnya menyangkut:
Akses database (access controls) yang spesifik pada file aplikasi. Existence controls, dilihat dari sudut pandang atau lingkup aplikasi saja. Audit-trail
132
f. Pengendalian Komunikasi Aplikasi Menyangkut: Audit-trail Pengendalian atas kegagalan unjuk-kerja Concurrency, cryptographic controls Pengaturan tentang digital signature maupun electronic signature. Metodologi pembangunan sistem pengendalian intern dapat digambarkan sebagai berikut: General Exposures result from error /irregularities
Management control objective
System controls objective
AApplication pplication controls controls
Controls
133
INTERNAL CONTROL STRUCTURE
ADMINISTRATIVE CONTROLS
ACCOUNTING CONTROLS
PLAN OF ORGANIZATION
PLAN OF ORGANIZATION
OPERATIONAL EFFICIENCY METHODS - PROCEDURES
SAFEGUARDING ASSTES METHODS – PROCEDURES
ADHERENCE TO MGR POLICY METHODS – PROCEDURES
ACCURACY/RELIABILITY OF ACCT-DATA METHODS- PROC ESSENTIAL CHARACTERISTIC
QUALITY PERSONNEL SEGGR. OF FUNCTIONS TRANSACTS-AUTHORIZED PROPER RECORDING ASSETS CONTROL ACCESS COMPARE ASSET-RECORD EDP ACCOUNTING CONTROLS GENERAL CONTROLS APPLICATION CONTROLS
Tabel 6.2: Hierarchy of EDP Internal Control System Sumber Watne(1984, p.99)
134
DATA CAPTURE & BATCH DATA ENTRY CONTROLS STEP OF TPS 1
Data capture
CONTROLS OBJECTIVES Prevention 1. User procedures manual 2. Source document design 3. Pre-numbering 4. Forms security 5. Separation of duties 6. Personnel practices 7. Identification of preparer 8. Approval Evidence
Detection 1. Batch controls - Batch identification number - Batch size controls
- Control log - Control totals - Transmital ticket 2. User review
Correction 1. Error corection procedures 2. Audit trail - Source documents - Source listing - Transaction identifiers
2
Batch data preparation
1. Written instruction 2. Low error environment 3. Data input review 4. Turnaround documents 5. formatting
1. Batch controls - Batch assembly control - Control totals - Batch header record - Control log 2. Validation - Classification - Code - Sign - Value - Limit - Check digit - Balancing - Hash totals - Range value 3. Verification
1. Audit trail - Error log - T ransmital log - Transmital tickets 2. Reverification 3. Control total adjustment
3
Batch data input
1. Written procedures 2. Field restriction on input data
1. Batch control - Review - Control log - Control total re-
1. Error correction procedures 2. Upstream resubmission 3. Audit trail
conciliation
2. Input validation -
Sequence Field presence Combination test Anticipation controls
- Manual error log - Validated trans-files list - Error suspense-file list
Tabel 6.3. Batch Processing System Input Controls Sumber: Watne (1984, p.320
135
ON-LINE ENTRY, BATCH PROCESSING, AND OUTPUT CONTROLS STEP OF TPS 1
2
On-line entry
Prevention 1. Written procedures 2. Screen format 3. Computer dialogue
Batch process
CONTROLS OBJECTIVES Detection 1. Batch controls totals 2. Data entry validation - Classification -
- Program - Input data - Computer generated transaction
2. Validation tests to detect data error - File label -
record-ID transaction Code Sequence test Anticipation control
3. Validation tests to detect process error -
1. Error corection procedures 2. Audit trail - Transaction identifier - Transaction listing
Code test Valid character Reasonable Check digit
1. Review of processing activity output
Arithmeteic accuracy Dual field Dual reasonable Data limit Cross-footing
Correction
1. Audit trail - Program documentation Tabel contents Transaction listing Factor values Operator input Default option Computer gene-rated data listing - File activity data - Error suspense files - Error log -
2. Breakpoints 3. Error correction and resubmission procedures
4. System balancing controls - Run-to-run - Inter-sub-system
3
Output
1. Output handling procedures - Distribution check-list - Distribution schedule - Transmital sheets - Distribution log - Report release form
2. Terminal display controls
1. Control group procedures 2. User procedures
1. Error correction/ resubmission procedures 2. Audit trail - Field data by record - File balances - Accounting reports - Management reports - Reference reports - Output documents - Error logs - Error reports
Tabel 6.4. Controls in On-line Entry-Batch Processing Sumber: Watne (1984, p.361-362)
