6 

 

BAB 2

LANDASAN TEORI

2.1 Sistem Informasi

2.1.1 Pengertian Sistem

Menurut sistem Mcleod (2001,p9), sistem adalah sekelompok elemen yang

terintegrasi dengan maksud yang sama untuk mencapai tujuan.

Menurut Hall dalam bukunya yang diterjemahkan oleh Jusuf (2001,p5),

sekelompok sistem adalah dua atau lebih komponen – komponen yang salin g

berkaitan (interrelated) atau subsistem subsistem yang bersatu untuk mencapai

tujuan yang sama (common purpose), ketika sebuah sistem tidak lagi memenuhi

tujuan, ia harus diganti.

Berdasarkan dari beberapa pengertian diatas mengenai sistem, dapat

disimpulkan bahwa suatu sistem merupakan sekelompok elemen yang salin g

berkaitan dan saling berinteraksi untuk mencapai tujuan yang sama.

2.1.2 Pengertian Informasi

Menurut Mcleod (2001,p12), “Informasi adalah data yang telah diproses atau

data yang sudah memiliki arti tertentu bagi kebutuhan penggunanya.”

Menurut Hall dalam bukunya yang diterjemahkan oleh Jusuf (2004,p14).

“Informasi menyebabkan pemakai melakukan sesuatu tindakan yang dapat ia

lakukan atau tidak lakukan. Informasi ditentukan pada pemakai, bukan oleh bentuk

fisiknya.”

Berdasarkan pengertian diatas mengenai informasi dapat disimpulkan bahwa

informasi adalah data yang diproses menjadi lebih berguna bagi pemakainya.

7

 

2.1.3 Pengertian Sistem Informasi

Menurut Mcleod (2001,p6), menyimpulkan arti sistem informasi dengan

singkat yaitu ,”Sistem penghasil informasi.”

Menurut Hall (2001,p7), “Sistem informasi adalah rangkaian prosedur

formal dimana data dikumpulkan, diproses menjadi dan didistribusikan kepada

pemakai.”

Berdasarkan dari pengertian diats dapat disimpulkan bahwa sistem informasi

adalah serangkain prosedur yang saling berhubungan untuk mengolah informas i

yang akan didistribusikan kepada pemakai

2.2 Audit Sistem Informasi

2.2.1 Pengertian Audit

Menurut Mulyadi (2002,p9), ”Auditing adalah suatu proses sistematik untuk

memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan –

pernyataan tentang kegiatan dan kejadian ekonomi dengan tujuan umum

menenetapkan tingkatan kesesuaian antara pernyataan – pernyataan tersebut

dengan kriteria yang telah ditetapkan, serta penyampaian hasil – hasilnya kepada

para pemakai yang berkepentingan .”

Menurut Gondodiyoto (2003,p16) berpendapat bahwa Auditing adalah

kegiatan memeriksa suatu entitas, kemudian dengan mengumpulkan bukti atau

data dan mengevaluasi bukti dan data tersebut berdasarkan standar atau kriteria

yang telah ditetapkan, kemudian akan meghasilkan laporan dari auditor mengenai

kesesuaian kegiatan atau kejadian yang diperiksa dengan kriteria yang ditetapkan.

8

 

Berdasarkan pengertian diatas dapat disimpulkan bahwa auditing merupakan

proses pengumpulan dan pengevaluasian bukti secara objektif yang dilakukan oleh

seorang yang independent dan kompeten mengenai pernyataan dan kejadiaan

untuk menetukan dan melaporkan kesesuaian informasi yang dimaksud dengan

kriteria yang telah ditetapkan.

2.2.2 Jenis – Jenis Audit

Menurut Mulyadi (2002,p30 – 32), jenis – jenis audit dapat digolongkan

menjadi 3 (tiga) antara lain :

1. Audit Laporan Keuangan

Audit laporan keungan untuk mengetahui tingkat kewajaran atas laporan

keuangan yang disajikan oleh perusahaan. Apabila perusahaan tersebut

menggunakan sistem akutansi berbasis komputer maka berarti dilakukan audit

terhadap sistem informasi akutansi tersebut apakah mekanisme sistem dan

komputer telah benar, pengendalian umum sistem memadat dan apakah data

substantif sesuai.

2. Audit Operasional

Audit operasional merupakan penelaahan atas bagian manapun dari prosedur

dan metode operasi suatu organisasi untuk menilai efektifitas dan efisiensinya,

biasanya auditor memberikan sejumlah saran kepada menejemen untuk

memperbaiki jalanya operasional perusahaan.

9

 

3. Audit Ketaatan

Audit ini merupakan penelaahan apakah klien telah mengikuti prosedur atau

aturan tertentu yang telah ditetapkan oleh pihak yang memiliki otoritas yang

lebih tinggi.

2.2.3 Proses Audit

Menurut Weber (1999, p49 – 54) secara garis besar maka dapat disimpulkan

proses audit dapat terbagi menjadi beberapa tahap, yaitu:

1. Perencanaan Audit (Planning the Audit)

Selama tahap awal ini, auditor harus memutuskan level materiil permulaan

yang akan di audit. Auditor juga harus membuat keputusan akan resiko audit

yang diinginkan. Level dari sifat resiko akan bervariasi dalam setiap bagian

dari audit.

2. Pengumpulan bukti – bukti

a. Pengujian pengendalian (test off control)

Tahap berfokus pada control manajemen. Jika testing menunjukan bahwa

control manajemen tidak beroperasi sebagaimana mestinya. Baru setelah itu

dilanjutkan dengan testing control aplikasi.

b. Pengujian transaksi (Test of Transaction)

Pada tahap ini auditor menggunakan test of transaction untuk mengevaluasi

kesalahan atau proses yang tidak sesuai dengan ketentuan telah mengarah

pada kesalahan material dari informasi keuangan. Biasanya test of

transaction menelusuri jumlah masukan sampai pada dokumen sumber,

memeriksa daftar harga dan pengujian keakuratan perhitungan.

10

 

c. Pengujian saldo atau keseluruhan hasil (Test of Balance or Overall

Results)

Auditor melakukan test of balance or overall result untuk mendapatkan

bukti yang cukup untuk membuat dan menyampaikan keputusan akhir

dari kehilangan atau kesalaham pernyataan laporan yang muncul ketika

sistem informasi gagal untuk menjaga asset – asset, menjaga integritas

data dan mencapai keefisienan dan keefektifan

3. Pengevaluasian bukti – bukti

4. Penyelesaian Audit (completion of audit)

2.2.4 Pengertian Audit Sistem Informasi

Menurut Weber (1999,p10) “Pengetian audit sistem informasi secara garis

besar dapat diartikan sebagai proses pengumpulan dan pengevaluasian bukti –

bukti untuk menentukan apakah sebuah sistem computer telah menetapkan dan

menerapkan sistem pengendalian yang memadai, semua aktiva dilindung dengan

baik atau tidak disalahgunakan serta terjaminya integritas data, keandalan serta

efektifitas dan efisiensi penyelenggaraan sistem informasi.”

Menurut Gondodiyoto (2003,p151), audit sistem informasi merupakan suatu

pengevaluasian untuk mengetahui bagaimana tingkat kesesuaian antara aplikas i

sistem informasi dengan prosedur yang telah ditetapkandan mengetahui apakah

suatu sistem informasi telah didesain dan diimplementasikan pegamanan asset

yang memadai, serta mnjamin integritas yang memadai.

Berdasarkan pengertian diatas dapat disimpulkan bahwa Audit Sistem

Informasi merupakan serangkain kegiatan untuk menentukan apakah sistem

11

 

computer telah menerapkan sistem pengendalian yang memadai agar tidak

disalahgunakan dan dapat menyajikan informasi yang akurat.

2.2.5 Jenis – Jenis Audit Sistem Informasi

Menurut Weber (1999, p106) jenis audit sistem informasi dapat dibagi

menjadi 3, yaitu :

a. Concurrent Audit (Audit secara bersama – sama)

Auditor merupakan anggota tim dari pengembangan sistem. Mereka

membantu tim dalam meningkatkan kualitas dari pengembangan untuk sistem

spesifik yang mereka bangun dan akan diimplementasikan.

b. Postimplematation Audit (Audit Setelah Implementasi)

Auditor membantu organisasi untuk belajar dari pengalaman pengembangan

dari sistem aplikasi. Mereka akan melakukan mengevaluasi apakah sistem

perlu dihentikan

c. General audit (Audit Umum)

Auditor mengevaluasi control pengembangan sistem secara keseluruhan.

Mereka melakukan audit untuk menentukan apakah mereka dapat mengurangi

waktu dari test substantive yang perlu dilakukan untuk memberikan opini

audit tentang pernyataan keuangan (sebagai tuntutan dari manajer) ataupun

tentang keefektifan dan keefesiensian sistem.

2.2.6 Tujuan Audit Sistem Informasi

Menurut Weber (1999, p11 – 13), tujuan audit sistem informasi dapat

disimpulkan secara garis besar terbagi menjadi 4 (empat) tahap, yaitu:

12

 

1. Meningkatkan keamanan aset – aset perusahaan.

2. Meningkatkan integritas data.

3. Meningkatkan efektifitas sistem.

4. Meningkatkan efesiensi system

2.2.7 Metode Audit Sistem Informasi

Menurut Sanyoto Gondodiyoto (2007, pp451–453), metode audit sistem

informasi meliputi :

1. Audit Around the Computer

Dalam pendekatan audit disekitar komputer, auditor (dalam hal ini harus

akuntan yang registered, dan bersertifikasi akuntan publik) dapat mengambil

kesimpulan dan merumuskan opini dengan hanya menelaah struktur

pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi

saldo perkiraan dengan cara sama seperti pada sistem akuntansi manual.

Auditor tidak perlu menguji pengendalian SI berbasis teknologi informasi

klien (file program / pengendalian atas file / data di komputer, melainkan

cukup terhadap input serta output sistem aplikasi saja. Sistem komputerisasi

dianggap sebagai blackbox (sesuatu yang diketahui fungsinya, tetapi tidak

perlu diperiksa bagaimana kerjanya).

2. Audit Through the Computer.

Dalam pendekatan audit ke system komputer auditor melakukan pemeriksaan

langsung terhadap program-program dan file - file komputer pada audit SI

berbasis TI. Auditor menggunakan komputer (software bantu) atau dengan

cek logika atau listing program (desk test on logic or program source code)

13

 

untuk menguji logika program dalam rangka pengujian pengendalian yang ada

pada komputer. Selain itu auditor juga dapat meminta penjelasan dari para

teknisi komputer mengenai spesifikasi sistem dan atau program yang diaudit.

3. Auditing with the computer

Pada pendekatan ini audit dilakukan dengan menggunakan komputer dan

software utnuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini

dapat menggunakan beberapa computer assisted audit techniques, misalnya

system control audit review file (SCARF), snapshot, dan sebagainya.

Pendekatan audit dengan bantuan komputer merupakan cara yang sangat

bermanfaat, khususnya dalam pengujian substantif atas file dan record

perusahaan.

2.3 Sumber Daya Manusia

2.3.1 Pengertian Sumber Daya Manusia

Menurut Nawawi (2001, p40) mengetengahkan tiga pengertian, yang masing

masing berisi :

a. Sumber Daya Manusia adalah manusia yang bekerja di lingkungan suatu

organisasi (disebut juga personil, tenaga kerja, pekerja atau karyawan).

b. Sumber Daya Manusia adalah potensi manusiawi sebagai penggerak

organisasi dalam mewujudkan eksistensinya.

c. Sumber Daya Manusia adalah potensi yang merupakan aset dan berfungsi

sebagai model (non material / non financial) di dalam organisasi bisnis yang

dapat diwujudkan menjadi potensial nyata secara fisik dan non fisik dalam

mewujudkan eksistensi organisasi.

14

 

2.3.2 Pengertian Sistem Informasi Sumber Daya Manusia

Menurut Bodnar dan Hopwood (2000, p5), sistem informasi sumber daya

manusia adalah sistem informasi manajemen yang menyediakan informasi untuk

digunakan oleh fungsi sumber daya manusia (kepegawaian).

Menurut Mcleod (2000, p443), Human Resources Information System

(HRIS) is a system for gathering and maintaining the data that discribe human

resources, transforming the data into information and then reporting the

information to users.

Dapat disimpulkan bahwa sistem informasi sumber daya manusia adalah

suatu sistem yang mengumpulkan, menyimpan, memelihara menganalisis data

yang berkenaan dengan sumber daya manusia untuk menghasilkan informasi yang

dibutuhkan pemakai

2.3.3 Tahapan Sumber Daya Manusia

2.3.3.1 Perekrutan Karyawan

Menurut William B. Werther, JR (2000, p182), rekrut adalah proses

menemukan dan menarik kemampuan pelamar sebagai tenaga kerja.

Menurut Mcleod (2001, p443) rekrutmen dalam human resources

information system adalah mendaptkan karyawan baru untuk organisasi dengan

cara melakukan periklanan di surat kabar, menyediakan permintaan permintaan

posisi kepada pemerintah maupun agen swasta.

Dapat disimpulkan bahwa perekrutan adalah kegiatan yang dilakukan

oleh perusahaan dalam mencari dan menemukan tenaga kerja yang memiliki

kemampuan sesuai kebutuhan

15

 

Untuk melakukan pemilihan terhadap calon karyawan yang dianggap

memenuhi standar kualifikasi organisasi. Arti penting aktivitas rekrutmen

dikarenakan beberapa sebab, yaitu:

a. Mayoritas organisasi baik swata maupun publik berasumsi bahwa akan

mengalami kekurangan pegawai yang memiliki keahlian-keahlian yang

dibutuhkan untuk pegawai-pegawai modern.

b. Perampingan organisasi dan langkah-langkah penghematan biaya yang

dilancarkan dalam tahun-tahun terakhir telah menyebabkan anggaran

semakin kecil dibandingkan sebelumnya.

Dasar-dasar program rekrutmen yang baik mencakup faktor-faktor antara lain :

a. Program rekrutmen memikat banyak pelamar yang memenuhi syarat.

b. Program rekrutmen tidak pernah mengkompromikan standar seleksi.

c. Berlangsung atas dasar yang berkesinambungan.

d. Program rekrutmen itu inovatif, kreatif dan imajinatif.

2.3.3.2 Penyeleksian Karyawan

Menurut Willian B. Werther JR (2004, p214) proses seleksi adalah

kelanjutan tahapan yang secara khusus digunakan untuk memutuskan dan

merekrut dan mempekerjakan. Seleksi pengaruhnya pengaruhnya terhadap

kandidat yang terpilih dari dalam dan luar perusahaan, ketersediaan dari

pelamar. Setiap karyawan mempunyai kesempatan dan tantangan yang sama.

Menurut Sulistiyani dan Rosidah (2003, p151) Seleksi merupakn

serangkaian langkah kegiatan yang dilaksanakan untuk memutuskan apakah

16

 

seorang pelamar diterima atau ditolak dalam suatu instansi tertentu setelah

menjalani serangkaian tes yang dilaksanakan.

Dapat disimpulkan bahwa seleksi adalah serangkaian kegiatan yang

dilakukan oleh suatu perusahaan untuk mendapatkan tenaga kerja yang

berkualitas dan sesuai dengan kebutuhan perusahaan

Persyaratan yang harus dipenuhi dalam rangka pengadaan seleksi dan

penempatan pegawai adalah sebagai berikut :

a. Informasi analisis jabatan yang memberikan deskripsi jabatan, spesialis

jabatan dan standar profesi yang sharusnya ada dalam setiap jabatan

tersebut

b. Rencana – rencana SDM yang memberikan informasi kepada manajer

tentang tersedia tidaknya lowongan pekerjaan dalan suatu instansi

c. Keberhasilan fungsi rekrutmen yang akan menjamin manajer bahwa

tersedia kelompok orang yang akan dipilih

Metode yang harus ditempuh dalam seleksi dan penempatan pegawai yaitu :

a. Menentukan kebutuhan – kebutuhan sumber daya manusia.

b. Mengupayakan persetujuan anggaran untuk mengadakan serta mengisi

jabatan – jabatan.

c. Mengembangkan kreteria yang valid.

d. Pengadaan (rekruitment).

e. Mengadakan test atau sebaliknya memonitor para pelamar

f. Menyiapkan daftar dari para pelamar yang berkualitas

17

 

Proses seleksi terdiri dari tahapan – tahapan penting, berikut ini tahap – tahap

dalam proses seleksi adalah :

1. Penerimaan pendahuluan pelamar

Setelah proses perekrutan selesai, diadakan wawancara pendahuluan agar

pelamar dapat memperoleh informasi lebih lanjut tentang proses

selanjutnya.

2. Test – test penerimaan

Test adalah salah satu seleksi yang dapat membantu untuk menilai

kemampuan pelamar baik kemampuan dalam ilmu pengetahuan juga

kemampuan mentalnya. Yang termasuk tes penerimaan adalah sebagai

berikut :

a. Tes pengetahuan

Tes ini berguna untuk menguji kemampuan dalam ilmu pengetahuan agar

perusahaan dapat memperoleh sumber daya manusia yang sesuai dengan

kriteria yang dibutuhkan.

b. Tes psikologi

Tes psikologi ini dimaksudkan untuk mengetahui kemampuan mental

atau kepribadian seseorang, dengan tes kecerdasan, tes kepribadian, tes

bakat dan minat maka kepribadian seseorang dapat diketahui

c. Tes ketrampilan

Tes ini berguna untuk mengukur kemampuan karyawan dalam pelaksaan

pekerjaan yang akan dilakukannya.

3. Wawancara

18

 

Wawancara merupakan alat seleksi yang dapat membantuk penentuan untuk

mengevaluasi diterima atau tidaknya seorang pelamar

4. Pemeriksaan referensi

Ada dua referansi yang biasa digunakan dalam proses seleksi yaitu :

a. Referensi karyawan

Adalah referensi yang didapatkan dari perusahaan tapi pelamar pernah

bekerja, jumlahnya dapat lebih dari satu. Berisi jabatan yang pernah

diduduki oleh pelamar dan penilaian terhadap hasil kerja pelamar.

b. Referensi pribadi

Adalah referensi yang didapatkan dari keluarga atau teman – teman

pelamar, baik yang ditujukan oleh pelamar atau yang dipilih oleh

perusahaan sendiri

5. Evaluasi medis

Adalah pemeriksaan kesehatan pelamar yang dibuat sebelum keputusan

penerimaan karyawan yang dibuat.

6. Wawancara oleh penyedia

Adalah wawancara yang dilakukan oleh departeman yang bersangkutan

yaitu tempat dimana karyawan tersebut akan ditempatkan untuk keputusan

final

7. Keputusan penerimaan

19

 

Proses ini adalah proses yang mengakhiri kegiatan seleksi. Akan diputusan

diterima atau tidaknya pelamar dan biasanya ditentukan oleh atasan

langsung.

2.3.3.3 Penempatan Karyawan

Menurut Sulistiyani dan Rosidah (2003,p151), penempatan adalah suatu

kebijakan yang diambil oleh pimpinan suatu perusahaan suatu instansi atau

bagian personalia untuk menentukan seorang pegawai masih tetap atau tidak

ditempatkan pada suatu posisi atau jabatan tertentu berdasar pertimbangan

keahlian, ketrampilan atau kualifikasi tertantu.

Menurut William B. Werther, JR (2006,p216) Penempatan adalah

penugasan atau penugasan kembali kepada pegawai untuk sebuah pekerjaan

baru.

Dapat disimpulkan bahwa penempatan adalah posisi yang ditempati oleh

seorang pegawai sesuai dengan kemampuan dan kualifikasi tertentu.

2.3.3.4 Pelatihan dan Pengembangan karyawan

Menurut Sulistiyani dan Rosidah (2003,p175) Pelatihan adalah proses

sistematik pengubahan perilaku para pegawai dalam suatu arah guna

meningkatan tujuan - tujuan organisasi.

Pelatihan biasanya dimulai dengan orientasi yakni suatu proses dimana

para pegawai diberi informasi dan pengetahuan tentang kepegawaian,

organisasi harapan-harapan untuk mencapai keberhasilan. Dalam pelatihan

diciptakan suatu lingkungan dimana para pegawai dapat memperoleh serta

mempelajari sikap, keahlian dan perilaku yang spesifik yang berkaitan dengan

20

 

pegawai. Dalam pelatihan diberikan instruksi untuk mengembangkan keahlian-

keahlian yang dapat langsung terpakai pada pegawai, dalam rangka

meningkatkan kinerja pegawai pada jabatan yang diduduki sekarang yang

diduduki sekarang.

Menurut Sulistiyanti dan Rosidah (2003,p176) Pengembangan adalah

kegiatan memberikan pelatihan yang mewakili suatu investasi yang berorientasi

ke masa depan dalam diri pegawai.

Tujuan pelatihan dan pengembangan menurut Henry Simamora yang

dikutip oleh Sulistiyanti dan Rosidah (2003,p176) meliputi :

a. Memperbaiki kinerja dengan memutakhirkan keahlian para karyawan

sejalan dengan kemajuan teknologi.

b. Mengurangi waktu belajar bagi karyawan baru supaya menjadi kompeten

dalam pegawai.

c. Membantu memecahkan persoalan operasional.

d. Mempersiapkan karyawan untuk promosi.

e. Memenuhi kebutuhan – kebutuhan pertumbuhan pribadi.

2.3.3.5 Penilaian Kinerja Pegawai

Menurut sulistiyanti dan rosidah (2003, p223), penilaian kinerja

merupakan cara pengukur kontribusi – kontribusi dari individu yang dilakukan

terhadap organisasi. Nilai penting dari penilaian pekerja adalah menyangkut

penentu tinngkat kontribusi individu atau kinerja yang diekspresikan dalam

penyelesaian tugas – tugas yang menjadi tanggung jawabnya.

21

 

Penilaian kinerja individual sangat bermanfaat bagi dinamika

pertumbuhan organisasi secara keseluruhan. Melalui penilaian tersebut, maka

dapat diketahui kondisi riil karyawan yang dapat diukur kinerjanya. Dengan

demikian data – data ini dapat dijadikan sebagai bahan pertimbangan dalam

pengambilan keputusan baik level makro organisasional, maupun level mikro

individu.

Tujuan penilaian adalah :

a. Untuk mengetahui sasaran dan tujuan menejemen dan pegawai

b. Memotivasi pegawai untuk memperbaiki kinerjanya

c. Mendistribusikan reward dari organisasi atau instansi yang berubah

pertambahan gaji dan promosi yang adil

d. Mengadakan penelitian menejemen personalia

e. Konstribusi hasil – hasil penilain merupakan sesuatu yang sangat

bermanfaat bagi kebijakan – kebijakan organisasi.

2.4 Pengendalian internal berbasiskan komputer

Menurut Weber yang dikutip oleh Gondodiyoto (2003, p126 – 146)

pengendalian internal berbasiskan komputer terbagi menjadi 2 (dua), yaitu :

2.4.1 Pengendalian Umum (General Control)

Pengendalian umum (general control) ialah sistem komputer yang berlaku

umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara

menyeluruh. Artinya ketentuan – ketentuan yang berlaku dalam pengendalian

tersebut, berlaku untuk seluruh kegiatan komputerisasi di dalam perusahaan

tersebut. Apabila tidak dilakukan pengendalian ini atau pengendaliannya lemah,

22

 

maka dapat berakibat negatif terhadap aplikasi (kegiatan komputerisasi tertentu).

Oleh karena itu, pengendalian umum ini menyangkut seluruh kegiatan

komputerisasi pada suatu organisasi, maka yang berwewenang menentukan

struktur pengendalian adalah pimpinan organisasi tersebut, atau dalam praktetknya

wewenang tersebut didelegasikan kepada kepala unit komputer atau Chief of

Information Officer (CIO).

Kesalahan yang bersifat management framework misalnya adalah :

a. Unit komputer tidak terencana dengan baik.

b. Unit komputer tidak dikelola secara efektif, efisien dan ekonomis.

c. Tidak ada kebijakan yang jelas mengenai pola karir, kualifikasi pegawai

teknis, pelatihan dan sebagainya.

d. Tidak ada kebijakan yang jelas mengenai standarisasi

e. Tidak ada kebijakan yang jelas mengenai pola menejemen proyek,

metedologi pengembangan system.

f. Kurangnya pedulinya top management mengenai mutu system informasi dan

perlunya quality assurance.

Pengendalian umum terdiri dari :

a. Pengendalian top manajemen (top management controls)

b. Pengendalian manajeman sistem informasi (information system management

controls)

Manajemen pada atau unit sistem informasi mempunyai tugas untuk

melakukan fungsi perencanaan (planning), pengorganisasian (organizing),

23

 

pengarahan (actuating) dan pengendalian (controlling) yang biasa disingkat

POAC. POAC dalam sumber daya manusia adalah :

1. Planning

Manajemen harus menentukan tujuan dan sasaran yang ingin dicapai oleh

unit sistem informasi dari suatu organisasi dan bagaimananya.

2. Organizing

Sistem informasi adalah terdiri dari computer hardware, data atau

database. Manajemen harus mengalokasikan sumber daya seoptimal

mungkin dan memberikan jasa informasi dalam pelayanan yang

memadai.

3. Actuating

Pimpinan organisasi harus melakukan pengarahan dalam bentuk

memberikan pelatihan, pembinaan, mendorong motivasi, dan sebagainya

sehingga personil yang ada dapat bekerja sebaik-baiknya sehingga dapat

mengembangkan karirnya menjadi seorang pagawai profesional yang

mempunyai karakteristik spesifik.

4. Controling

Seperti pada manajemen organisasi pada umumnya, pimpinan harus

melakukan pengawasan dalam arti memonitor apakah kinerja pelalsanaan

kegiatan menyimpang, baik ( favorable ) atau tidak baik ( unfavorable )

bila dibandingkan dengan yang akan direncanakan.

c. Pengendalian manajemen pengembangan sistem ( systemdeveploment

control), termasuk manajemen program (programming management controls).

24

 

Pengendalian internal dalam manajemen pengembangan sistem atau

system deveploment management controls dilakukan dengan menetapkan

pimpinan unit informasi tentang berikut ini:

1. Prosedur Pengembangan ( Procedures Development )

Prosedur pengembangan sistem aplikasi pada hakekatnya terdiri dari 4 (

empat ) tahap, yaitu perancangan sistem, analisis perancangan sistem,

pembangunan atau pengujian dan implementasi atau pemdokumentasian.

Yang penting disini ialah bahwa manajemen perlu menetapkan

kebijaksanaan dan standar yang jelas.

2. Tes Kelayakan ( Acceptance Testing )

Terdiri dari 4 ( empat ) bagian yaitu tes program ( program testing ), tes

sistem ( system testing ), tes pengguna ( user testing ) dan tes jaminan

kualitas ( quality assurance testing )

3. Konversi ( Convertion )

Konversi sistem lama ke sistem baru meliputi 4 ( empat ) tahap yaitu

pelatihan karyawan, install software dan hardware baru, konfersi file dan

program, penjadwalan operasi dan test running. Konversi juga dapat

dilakukan dengan beberapa pendekatan dan pola mana yang sesaui

kondisi perusahaan harus ditetapkan oleh pimpinan.

4. Operasi dan Perawatan ( Operasi and Maintenance )

Tiga tipe maintenance yang dilakukan yaitu repair maintenance, adaptice

maintenance dan perfective maintenance,

25

 

a. Repair maintenance adalah perawatan yang bersifat perbaikan

atas kesalahan ( error ) sistem.

b. Adaptive maintenance adalah perawatan yang bersifat penyesuaian

atas suatu fungsi sistem yang perlu diperbaharui.

c. Perfective maintenance ialah perawatan bersifa pengembangan atau

penyempurnaan, artinya tidak memerlukan dokumen input baru, dan

sebagainya.

d. Pengendalian manajemen sumber data (data resources management controls)

Pengendalian sumber data ( data resources management ) yang baik adalah:

1. User harus dapat membagi data ( data sharing among users).

2. Data harus tersedia untuk digunakan kapan saja, dimanapun dan

dalam bentuk apapun ( dengan aturan akses / wewenang yang jelas ).

3. Data harus dapat dimodifikasi dengan mudah ( user friendly ) oleh yang

berwewenang sesuai dengan kebutuhan user.

e. Pengendalian manajemen jaminan kualitas ( Quality assurance management

controls )

Kebijaksanaan tentang quality assurance ini menyangkut masalah

kepedulian dan komitmen pimpinan terhadap aspek mutu atau kualitas jasa

informasi yang mereka berikan kepada para penggunanya. Dalam suatu

perusahaan industri misalnya, jasa informasi yang diberikan pusat komputer

kepada divisi penjualan, divisi personalia harus benar-benar dirasakan

kegunaannya dalam bentuk data yang akurat, lengkap dan relevan. Jadi sistem

26

 

komputerisasi yang dibangun untuk para user tersebut benar-benar sesuai

dengan kebutuhan mereka.

Pengembangan sistem komputerisasi yang baik, berkaitan dengan segala

hal yang mencangkup kegiatan pengembangan sistem, implementasi,

pengoperasian, dan perawatan sistem aplikasi, apakah kegiatan-kegiatan

tersebut sungguh-sungguh telah ditentukan sesuai dengan kaidah standar yang

telah ditetapkan, dan apakah informasi yang akan dihasilkan dapat mancapai

tujuan serta sasaran hasil yang dikehendaki.

f. Pengendalian manajemen keamanan ( security administration management

controls )

Menurut Weber (1999, p257-266), Pengendalian Manajemen Keamanan

secar garis besar bertanggung jawab dalam menjamin asset Sistem Informasi

tetap aman. Pada bagian ini akan dibahas tentang ancaman terhadap sistem

informasi dan cara penanganannya antara lain sebagai berikut:

a) Kerusakan karena kebakaran (Fire Damage)

Kebakaran adalah ancaman serius yang paling sering terhadap keamanan

sistem informasi menyatakan bahwa berdasarkan laporan dari National

Fire Protection Association diketahui bahwa rata-rata kebakaran yang

terjadi diruangan computer diseluruh Amerika Serikat adalah setiap 10

menit.

1. Alarm kebakaran yang manual maupun otomatis diletakkan pada

tempat yang strategis.

2. Pemadam kebakaran diletakkan pada tempat yang strategis.

27

 

3. Bangunan tempat diletakkannya asset system informasi dibangun

dengan konstruksi spesial yang tahan panas.

4. Tempat diletakkannya pemadam kebakaran dan arah keluar diberi

tanda yang jelas sehingga memudahkan untuk melihat tanda tersebut.

5. Prosedur kebersihan yang baik dapat memastikan bahwa barang-

barang yang mudah menyebabkan kebakaran tidak berada diruang

sistem informasi.

b) Kerusakan karena air (Water Damage)

Kerusakan yang terjadi karena air dapat merupakan kelanjutan dari

ancaman kebakaran, disamping terjadinya banjir.

Beberapa cara penanganan terhadap water damage ini adalah :

1. Jika memungkinkan, plafon, dinding, lantai yang tahan air

(waterproof).

2. Pastikan bahwa tersedia sistem drainase yang memadai.

3. Tempatkan alarm pada tempat yang strategis dimana harta sistem

informasi

c) Naik turunnya voltase listrik (Energy Variations)

Naik turunnya voltase listrik juga merupakan ancaman terhadap bidang

system informasi, hal ini dapat menstabilkan tegangan listrik seperti

pemakaian UPS untuk setiap komputer dan peralatansistem informasi

lainnya.

28

 

d) Kerusakan Struktur (Structural Damage)

Kerusakan struktur pada harta bagian Sistem Informasi dapat terjadi

karena terjadinya gempa, angin ribut, salju, tanah longsor, dan

kecelakaan, seperti ditabrak truk, pesawat.

e) Polusi (Pollution)

Polusi dapat merusak disk drive, hard disk, dan juga dapat mengakibatkan

kebakaran.

f) Gangguan dari orang yang tidak bertanggung jawab (Unauthorized

Intrusion)

Unauthorized Intrusion dapat terdiri dari 2 jenis, yaitu :

1. Secara fisik masuk keperusahaan dan mengambil harta bagian sistem

informasi atau melakukan pengrusakan.

2. Tidak masuk secara fisik keperusahaan tetapi menggunakan receiver

dan melakukan penyadapan.

g) Viruses and Worm

Virus adalah sebuah program yang memerlukan operating sistem

komputer untuk masuk ke program lain, virus dapat terjangkit dengan

mudah seperti lewat file dan email.

h) Penggunaan yang salah terhadap software, data dan jasa komputer

(Misuse of Software, Data and Service) sehingga perusahaan dapat

menderita kerugian karena software, data dan pelayanan yang mereka

miliki disalah gunakan.

29

 

g. Pengendalian Manajemen Operasional (Operations Management Control)

Secara keseluruhannya pengendalian operasi bertanggungjawab terhadap hal-

hal sebagai berikut:

1. Pengoperasian komputer

2. Pengoperasian jaringan

3. Persiapan dan pengetrian data

4. Pengendalian produksi

2.4.2 Pengendalian Aplikasi (Application Controls)

Menurut Weber (1999, P365), pengendalian aplikasi bertujuan untuk

memastikan bahwa setiap asset sistem aplikasi dijaga, menjaga integritas data,

serta mencapai tujuan dengan efektif dan efisien. Menurut Weber (1999, pp365),

pengendalian aplikasi terdiri dari :

1. Boundary Controls

2. Input Controls

3. Communication Controls

4. Processing controls

5. Database

6. Output Controls

Pada pengendalian aplikasi tidak semua pengendalian akan dibahas, yang

dibahas hanya pengendalian batasan (boundary control), pengendalian input (input

control) dan pengendalian output (output control).

30

 

1. Boundary Control

Menurut Weber (1999, p370), subsistem batasan menentukan hubungan antara

pengguna dengan sistem informasi. Terdapat tiga tujuan pengendalian

batasan,yaitu :

a. Memastikan identitas dan otentifikasi pengguna sistem.

b. Memastikan identitas dan otentifikasi sumber daya yang digunakan

pengguna.

c. Membatasi tindakan pengguna dalam penggunaan sistem informasi.

Menurut Weber (1999, pp371-405), terdapat enam pengendalian batasan,

yaitu :

a. Pengendalian Cryptographic (Cryptographic Control)

Pengendalian Cryptographic dibuat untuk melindungi kerahasiaan

data dan untuk mencegah modifikasi data yang tidak berwenang. Hal

diatas dapat dilakukan dengan cara mengubah data (cleartext) menjadi

kode (cryptograms atau chipertext) agar tidak memiliki arti bagi orang

yang tidak dapat menguraikanya. Terdapat tiga teknik enchipherment,

yaitu:

1) Transposition Chipers

Transposition chipers yang sederhana yaitu menukar posisi karakter

data.

31

 

2) Subtitution Chiphers

Substitution chiphers tetap mempertahankan posisi karakter yang ada

tetapi menyembunyikan identitas karakter dengan cara menukarnya

dengan karakter lain sesuai dengan aturan tertentu.

3) Product Chipers

Product chipers menggunakan kombinasi antara metode transportasi

dan subtitusi.

b. Pengendalian Akses (Access Control)

Pengendalian akses membatasi penggunaan sistem informasi hanya

kepada pengguna yang berwenang, membatasi tindakan yang dapat

dilakukan pengguna, dan memastikan bahwa pengguna hanya mendapat

sistem komputer yang asli.

c. Identifikasikan dan Otentifikasikan (Identification and Authentication)

Pengguna mengidentifikasi dirinya sendiri pada mekanisme pengendalian

akses dengan cara memberikan informasi seperti nama atau nomor

account. Informasi identifikasikan ini membuat mekanisme dapat

memilih file yang otentik bagi pengguna. Pengguna dapat menggunakan

tiga tipe otentifikasi, yaitu informasi yang dapat diingat (seperti nama,

ulang tahun, password), objek berwujud (seperti kartu plastik, kunci), dan

karakter pribadi (seperti sidik jari, suara, ukuran tangan, tanda tangan,

pola retina mata).

32

 

d. Object Resources

Digunakan pada sistem informasi berbasis komputer dapat diklafikasikan

ke dalam empat tipe, yaitu perangkat keras (contohnya terminal, printer,

prosesor), perangkat lunak (contohnya program sistem aplikasi), komoditi

(contohnya tempat penyimpanan), serta data (contohnya file, gambar,

suara). Setiap sumber daya harus diberi nama agar dapat

diidentifikasikan.

e. Hak Istimewa (Action Privileges)

Hak Istimewa memberikan pengguna suatu hak yang tergantung tingkat

otoritas dan tipe sumber daya yang diperlukan pengguna.

f. Kebijakan Pengendalian Akses (Access Control Policies)

Terdapat dua tipe kebijakan, yaitu :

a) Discretionary Access Control. Kebijakan ini membebaskan

penggunanya menentukan mekanisme pengendalian akses, dan

pengguna dapat memilih untuk membagikan file pengguna kepada

pengguna lain atau tidak.

b) Mandatory Access Control. Pada kebijakan ini pengguna dan sumber

daya diberikan kategori keamanan yang tetap.

g. Personal Identification Numbers (PIN)

PIN merupakan teknik yang digunakan untuk mengotentifikasi pengguna.

PIN harus terjaga kerahasiaannya. Terdapat Sembilan fase pada daur

hidup PIN, yaitu :

33

 

a) Pembuatan PIN (PIN generation)

Terdapat tiga cara pembuatan PIN, yaitu :

1. Derived PIN, yaitu institusi membuat PIN berdasarkan nomor

account pengguna atau identitas pengguna lainnya.

2. Random PIN, yaitu institusi membuat nomor acak dengan panjang

yang tetap sebagai PIN.

3. Customer-selected PIN, yaitu pengguna dapat memilih PIN

mereka sendiri.

b) Penerbitan dan Pengiriman PIN (PIN Issuance and Delivery)

Metode penerbitan dan pengiriman PIN tergantung pada metode

pembuatan PIN. Jika institusi yang membuat PIN (metode derived

PIN dan random PIN) maka digunakan PIN mailer. Tetapi terdapat

empat cara jika pengguna yang memilih PIN mereka sendiri

(customer-selected PIN), yaitu :

1) Mail solicitation, yaitu mengirim PIN melalui surat.

2) Telephone solicitation, yaitu pengguna memilih PIN melalui

telephone setelah mendapatkan PIN mailer.

3) PIN entry via a secure terminal, yaitu pengguna datang keinstitusi

untuk mengisi PIN pada terminal yang tersedia.

4) PIN entry at the issuer’s facility, yaitu pengguna memilih PIN

pada saat membuka account.

34

 

c). Validasi PIN (PIN Validation)

Pada saat PIN dimasukkan, biasanya pengguna diberikan sejumlah

kesempatan sebelum kartu ditahan dan account di blokir apabila PIN

yang dimasukkan salah.

d). Transmisi PIN (PIN Transmission)

PIN dapat dipalsukan saat dikirim sehingga PIN harus di enkripsi.

Chiper PIN yang dibuat haruslah unik untuk setiap transmisi PIN.

e). Pemprosesan PIN (PIN Processing)

Proses yang dibutuhkan yaitu mengenkripsi dan mendeskripsi PIN

dan membandingkan PIN dan dimasukkan dengan referensi PIN.

f). Penyimpanan PIN (PIN Storage)

Jika PIN bukan fungsi cryptographic dari nomor account maka PIN

harus disimpan untuk tujuan referensi.

g). Perubahan PIN (PIN Change)

Pengguna dapat mengubah PIN mereka, dengan cara yang sama

seperti diatas.

h). Penggantian PIN (PIN Replacement)

PIN dapat diganti jika pengguna lupa atau diketahui oleh orang lain.

i). Pengghentian Pemakaian PIN (PIN Tarmination)

Penghentian pemakaian PIN dilakukan jika pengguna menutup

account-nya, PIN diganti dengan PIN yang baru, atau tidak sengaja

rusak.

35

 

h. Tanda Tangan Digital (Digital Signature)

Tanda tangan digital mempunyai dua tujuan, yaitu :

1) Sebagai otentifikasi pengguna.

2) Menghindari penyangkalan keterlibatan pihak-pihak yang

berpartisipasi dalam pembuatan kontrak.

i. Kartu Plastik (Plastic Card)

Jika PIN dan tanda tangan digital digunakan untuk keperluan otentifikasi,

maka kartu digunakan untuk keperluan identfikasi.

j. Pengendalian Jejak Audit (Audit Trail Control)

Terdapat dua tipe jejak audit, yaitu :

1) Jejak Audit Akuntansi yaitu catatan seluruh kejadian yang

berhubungan dengan subsistem batasan.

2) Jejak Audit Operasional yaitu catatan pemakaian sumber daya yang

berhubungan dengan kejadian pada sub sistem batasan.

3) Jejak audit harus dianalisa secara berkala untuk mendeteksi

kelemahan pengendalian batasan pada sistem.

2. Input Control

Input merupakan salah satu tahap dalam sistem komputerisasi yang

paling krusial dan mengandung resiko. Resiko yang dihadapi misalnya :

a. Data transaksi yang ditulis oleh pelaku transaksi salah (error).

b. Kesalahan pengisian dengan kesengajaan.

c. Penulisan tidak jelas sehingga dibaca salah oleh orang lain.

36

 

Ada beberapa tipe pengendalian di dalam subsistem input, diantaranya yakni :

a. Pengendalian kode data

Kode dari data memiliki 2 tujuan yakni :

1. Data secara unik mengidentifikasi entitas sebagai anggota dari

sebuah kelompok atau kumpulan.

2. Untuk tujuan identifikasi, kode lebih rapih dari pada deskripsi

tekstual atau naratif karena data membutuhkan sedikit karakter untuk

membawa sejumlah informasi didalamnya.

Oleh karena itu, evaluating harus mengevaluasi kualitas dari sistem

aplikasi untuk menentukan data yang mempengaruhi tujuan efisiensi,

efektifitas dan integritas data.

b. Pemeriksaan jumlah digit

Check digit adalah jumlah digit berulang yang ditambahkan ke dalam kode

yang memungkinkan keakuratan dari karakter lain didalam kode yang akan

diperiksa. Chek digit dapat berfungsi sebagai awalan atau akhiran dari

karakter atau dapat ditempatkan dimanapun di bagian tengah kode. Ketika

kode dimasukkan, sebuah program menghitung ulang jumlah digit untuk

menentukan apakah digit yang dimasukkan dan digit yang dihitung

berjumlah sama. Jika jumlahnya sama, kode tersebut sepenuhnya benar. Jika

berbeda kode tersebut akan error.

37

 

c. Pengendalian Batch

Beberapa dari pengendalian yang sederhana dan paling efektif dari data

yang dimasukkan adalah pengendalian batch.

Ada 2 tipe dari batch yakni :

1. Batch fisik yang terdiri dari sekelompok transaksi unit fisik. Sebagai

contoh, dokumen sumber dapat diperoleh lewat surat, yang digabungkan

ke dalam batch dan diikat menjadi satu. Kemudian diberikan kepada

petugas data input untuk dimasukkan ke dalam sistem aplikasi pada

terminal.

2. Batch logis adalah kumpulan dari transaksi yang digabungkan bersama-

sama atas dasar logis. Sebagai contoh: petugas yang berbeda dapat

menggunakan terminal yang sama untuk memasukkan transaksi kedalam

sistem aplikasi. Petugas tetap menjaga kontrol total dari transaksi yang

telah mereka masukkan. Input program transaksi secara logis dimasukkan

ke dalam nomor identifikasi petugas. Setelah beberapa periode, input

program mempersiapkan kontrol total untuk rekonsiliasi dengan kontrol

total petugas.

d. Validasi masukkan

Data input ke dalam sistem aplikasi harus divalidasi sesegera mungkin

setelah datanya diambil dan sedekat mungkin dengan sumber datanya.

Setiap ada kesalahan pada data yang tidak diperbaiki sesegera mungkin

harus dituliskan ke dalam file error.

38

 

Karena pemakai dapat lupa untuk memperbaiki kesalahan tersebut. Ada 4

(empat) jenis data input validasi yang harus dicek ketika data dimasukkan

pada terminal, yaitu :

1. Field check

Dengan field check, tes validasi yang dilakukan adalah mengecek

apakah field-field tertentu hanya terdiri dari data numeric atau

karakter numeric tertentu saja.

2. Record check

Dengan record check, tes validasi yang dilakukan pada field

tergantung hubungan logika field itu dengan field yang lain pada

record. Misalkan nilai gaji pada suatu field menginformasikan

jabatan seseorang di field lain.

3. Batch check

Dengan batch check, tes validasi melakukan pengujian apakah

karakteristik dari batch record yang dimasukkan sama dengan

karakteristik yang telah ditetapkan pada batch. Contoh: evaluating

dapat mengecek apakah total dari field keuangan di dalam batch

record sama dengan grand total yang diberikan untuk batch.

4. File check

Dengan file check, tes validasi melakukan pengujian apakah

karakteristik pada file yang digunakan selama pemasukkan data

adalah sama dengan karakteristik data pada file. Contoh: jika

evaluating memvalidasi beberapa karakteristik dari data sistem

39

 

aplikasi dari file master, evaluating dapat mengecek apakah mereka

versi terakhir dari file master.

e. Pengendalian jejak evaluasi

Jejak evaluasi pada subsistem input memelihara kronologis kejadian data

dari waktu ke waktu dan instruksi yang diterima sarta yang dimasukkan

dalam sistem aplikasi sampai waktu penentuan data tersebut valid dan dapat

dikirimkan kepada subsistem yang lain, yang terdapat pada sistem aplikasi.

1. Database control

Menurut Weber subsistem database bertanggungjawab di dalam

mendifinisikan, membuat, memodifikasi, menghapus dan membaca data

di dalam sistem informasi. Database menjaga data yang berhubungan

dengan aspek statis dari obyek yang sebenarnya dan hubungannya serta

data yang berupa prosedur yang berhubungan dengan aspek dinamis dari

obyek yang sebenarnya dan hubungannya. Komponen utama dari

subsistem database adalah DBMS (Database Management System) yang

digunakan untuk memanajemen data, program aplikasi yang melakukan

kegiatan operasional data, processor utama dan penyimpanan utama

dimana operasional diwujudkan dan media penyimpanan yang menjaga

duplikasi permanent, semi permanent dari database. Pengendalian harus

diterapkan di dalam subsistem database untuk meningkatkan tingkat

kepercayaan dari komponennya dan untuk melindungi integritas data

yang disimpan di dalam database.

40

 

2. Processing control

Processing control adalah pengendalian interen untuk mendeteksi jangan

sampai data (khususnya data yang sesungguhnya sudah valid) menjadi

error karena kesalahan proses. Proses juga bertanggungjawab di dalam

menghitung, mengurutkan, mengelompokkan dan merangkum data.

Komponen utama di dalam subsistem proses adalah processor utama

dimana program digunakan, memori utama dan virtual dimana data dan

instruksi program disimpan, sistem operasi yang mengatur sumber daya

sistem dan program aplikasi yang melaksanakan instruksi untuk

mencapai kebutuhan pemakai tertentu. Pengendalian proses mencegah,

mendeteksi dan mengoreksi kesalahan dari data yang diterima dari proses

input subsistem atau subsistem komunikasi kepada data yang disimpan ke

dalam database, dibagikan melalui jaringan atau menjadi output dari

subsistem.

3. Output control

Output control adalah digunakan untuk memastikan bahwa data yang

diproses tidak mengalami perubahan yang tidak sah oleh personil operasi

Komputer (menjaga penyampaian informasi agar tetap akurat) dan

memastikan hanya personil yang berwenang saja yang menerima output

yang dihasilkan.

Ada beberapa jenis pengendalian pada subsistem output, diantaranya

yakni :

41

 

a. Pengendalian inference

Pengendalian inference dilakukan pada database statistikal yakni

database yang hanya dapat diakses oleh pemakai hanya statistic saja,

bukan isi dari data individual. Pengendalian ini harus dilakukan agar

dapat mencegah 4 jenis kompromi yang dapat terjadi, yakni :

1. Positif compromise, yakni pemakai menyatakan bahwa seseorang

memiliki nilai atribut tertentu.

2. Negative compromise, pemakai menyatakan bahwa seseorang

tidak memiliki nilai atribut tertentu.

3. Exact compromise, pemakai menyatakan bahwa seseorang

memiliki nilai tertentu.

4. Approximate compromise, pemakai menyatakan bahwa seseorang

memiliki tentang nilai tertentu.

b. Pengendalian distribusi dan produksi output batch

Batch output adalah output yang dihasilkan pada beberapa fasilitas

operasional dan sesudah itu dikirim atau disimpan oleh custodian atau

pemakai output tersebut. Output ini menggunakan banyak formulir,

contohnya print out laporan kontrol manajemen berisi table, grafik

atau image. Kontrol terhadap batch output dilakukan dengan tujuan

untuk memastikan bahwa laporan tersebut akurat, lengkap dan tepat

waktu yang hanya dikirim/diserahkan kepada pemakai yang berhak.

42

 

c. Pengendalian file printer

Jika program laporan tidak dapat dicetak langsung oleh printer,

output menuggu giliran pencetakan. Perangkat lunak sistem mengatur

file yang akan dicetak. Ketika printer siap, perangkat lunak membaca

file dan siap mencetak.

d. Printing controls

Pengendalian pencetakkan memiliki 3 (tiga) bagian :

1. Untuk menyakinkan bahwa laporan dicetak di printer yang tepat.

2. Untuk mencegah pihak tidak berwenang untuk melakukan scan

data yang tercetak dalam laporan.

3. Meyakinkan bahwa pengendalian yang tepat dilakukan untuk

form dan instrument yang ada.

e. Pengendalian distribusi dan produksi output online.

Pengendalian terhadap produksi dan distribusi atas output yang

dilakukan melalui online dilakukan secara garis lurus, tujuan

utamanya adalah untuk memastikan bahwa hanya bagian yang

memiliki wewenang saja dapat melihat output melalui online tersebut,

proteksi terhadap integritas output pada saat dilakukan pengiriman

melalui media komunikasi, memastikan bahwa online output hanya

dapat dilihat oleh bagian yang berwenang dan proteksi terhadap

kemungkinan terjadinya peng-copy-an oleh pihak yang tidak

berwenang pada saat output dikirim melalui media komunikasi.

43

 

f. Pengendalian jejak evaluasi

Penelusuran jejak menyajikan bahwa output disajikan untuk user

yang menerima output, ketika output diterima dan tindakan yang akan

diambil sehubungan dengan output. Penelusuran jejak evaluasi dapat

menyajikan data yang diperlukan untuk menanggapi permintaan

informasi. Jika data yang salah ditemukan dalam output organisasi,

penelusuran jejak evaluasi juga dapat digunakan untuk menentukan

orang yang akan menggunakan output untuk mengambil keputusan.

Penelusuran jejak evaluasi juga dapat digunakan untuk menentukan

apakah user yang tidak sah dapat mengakses subsistem output

evaluasi.

4. Communication control

Dalam suatu instalasi sistem komputerisasi yang sudah canggih jaringan

komunikasi datanya, kebijakan atau manajemen jaringan diharapkan telah

memenuhi hampir seluruh kebutuhan pengendalian, termasuk kebutuhan

spesifik aplikasi. Komunikasi bertanggungjawab di dalam pengiriman

data di antara subsistem lain di dalam sistem dan untuk mengirim data

atau untuk menerima data dari sistem yang lain. Pada saat data

dikirimkan melalui media transmisi, ada tiga jenis kerusakan yang dapat

terjadi yaitu :

a. Attenuation

Melemahnya signal yang terjadi pada media pengiriman, hal ini

terjadi karena jarak pengiriman yang jauh.

44

 

b. Delay distortion

Terjadi distorsi pada signal apabila data melewati media perantara

seperti kabel coaxial, optic fibre karena komponen dengan frekuensi

yang berbeda adalah subyek untuk penundaan yang terjadi. Distorsi

dapat berakibat pada data digital karena energi dari signal di dalam

posisi satu bit dapat berpindah kepada posisi bit lain.

c. Noise

Noise ialah signal elektrik acak yang menurunkan kinerja dari media

transmisi. Oleh karena itu, ada beberapa pengendalian pada subsistem

komunikasi, yakni :

1. Pengendalian komponen fisik

Salah satu cara untuk mengurangi kesalahan di dalam subsistem

komunikasi ialah untuk memilih komponen fisik yang memiliki

karakteristik yang membuat mereka dapat dipercaya dan

menyediakan pengendalian atau fitur yang meringankan resiko

yang ditimbulkan.

2. Pengendalian topologi jaringan

Topologi jaringan komunikasi menjelaskan lokasi dari node di

dalam jaringan, bagaimana node ini dihubungkan dan kemampuan

data transmisi dari hubungan di antara node.

45

 

Ada beberapa jenis topologi jaringan, yakni :

a) LAN (Local Area Network) Topologi

Local Area Network terdiri dari beberapa topologi, yakni :

1. Topologi Bus

Dalam topologi bus ini, node di dalam jaringan dihubungkan secara

parallel pada jaringan komunikasi tunggal.

2. Topologi Tree

Dalam topologi ini, node pada jaringan dihubungkan pada cabang jalur

komunikasi yang tidak memiliki akhir. Topologi Tree menggunakan signal

analog dari pada signal digital.

3. Topologi Ring

Dalam topologi ring, node di dalam jaringan dihubungkan menggunakan

repeater pada jalur komunikasi yang digambarkan sebagai lingkaran yang

tertutup. Repeater adalah peralatan aktif yang memasukkan data ke dalam

jaringan, menerima data dari jaringan dan memindahkan data dari jaringan.

4. Topologi Star

Dalam topologi star, node di dalam jaringan dihubungkan dari poin ke poin

konfigurasi kepada hubungan utama.

5. Topologi Hybrid

Tipe dari topologi hybrid juga digunakan di dalam LAN. Sebagai contoh,

di dalam topologi star-bus, node dihubungkan dengan jalur komunikasi

yang panjang kepada bus yang pendek. Jaringan star-bus dapat diperluas

dengan mudah, sederhana dengan menghubungkan kabel lain pada bus.

46

 

b) WAN (Wide Area Network) Topologi

Topologi yang paling umum digunakan dari topologi WAN adalah topologi

mesh. Dalam topologi mesh setiap node secara konseptual di dalam jaringan

dapat memiliki hubungan poin ke poin dengan setiap node lain. Topologi

mesh dapat dipercaya karena data dapat melalui jalur alternative di dalam

jaringan. Jika satu jalur gagal, metode konsentrasi yang digunakan

mengijinkan data untuk melalui jalur lain.

2.5 Standard Audit S istem Informasi

Standard Audit Sistem Informasi menurut ISACA (Information System Audit

and Control Association) :

S1 Audit Charter

1. Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungs i audit

sistem informasi atau penilaian audit sistem informasi harus

didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian

tertulis.

2. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan

pengabsahan pada tingkatan yang tepat dalam organisasi.

47

 

S2 Independence

1. Professional Independence

Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem

informasi harus independen terhadap auditee baik dalam sikap maupun

penampilan.

2. Organisational Independence

Fungsi audit sistem informasi harus independen tehadap area atau aktivitas

yang sedang diperiksa agar tujuan penilaian audit terselesaikan.

S3 Professional Ethics and Standards

1. Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA

dalam melakukan tugas audit.

2. Auditor sistem informasi harus patuh pada penyelenggarakan profesi,

termasuk observasi terhadap standar audit profesional yang dipakai dalam

melakukan tugas audit.

S4 Professional Competence

1. Auditor sistem informasi harus seorang profesional yang kompeten, memiliki

keterampilan dan pengetahuan untuk melakukan tugas audit.

2. Auditor sistem informasi harus mempertahankan kompetensi profesionalnya

secara terus menerus dengan melanjutkan edukasi dan training.

48

 

S5 Planning

1. Auditor sistem informasi harus merencanakan peliputan audit sistem informasi

sampai pada tujuan audit dan tunduk pada standar audit profesional dan

hukum yang berlaku.

2. Audit sistem informasi harus membangun dan mendokumentasikan resiko

yang didasarkan pada pendekatan audit.

S6 Performance of Audit Work

1. Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan

keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit

profesional yang ada.

2. Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan

bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan

audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi

terhadap bukti-bukti yang ada.

3. Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan

kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor

sistem informasi.

S7 Reporting

1. Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat,

atas penyelesaian audit.

2. Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu

dan tingkatan kerja audit yang dilaksanakan.

49

 

3. Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta

berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor

sistem informasi bertanggung jawab terhadap audit.

4. Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk

mendukung hasil pelaporan.

S8 Follow up Activities

Setelah laporan hasil audit yang mengemukakan temuan dan rekomendasi,

auditor SI harus mengevaluasi informasi yang relevan untuk memperoleh

keyakinan apakah tindak lanjut yang diperlukan (atas rekomendasi) telah

dilaksanakan oleh pihak manajemen sesuai jadwal yang diusulkan (tepat waktu).

S9 Irregularities and Illegal Acts

1. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko audit,

auditor harus mempertimbangkan resiko ketidakteraturan dan illegal acts.

2. Auditor SI harus bersikap profesional skeptis dalam pelaksanaan audit, paham

kemungkinan misstatement yang material dapat saja terjadi karena adanya

irregularities dan illegal acts, diluar evaluasi yang telah dilakukan.

3. Auditor SI harus memahami organisasi dan lingkungannya, termasuk sistem

pengendalian internal bidang yang diperiksa.

S10 IT Governance

1. Auditor sistem informasi harus meninjau dan menilai apakah fungsi sistem

informasi sesuai dengan misi organisasi, visi, nilai, objektif dan strategi.

50

 

2. Auditor sistem informasi harus meninjau apakah fungsi sistem informasi

mempunyai pernyataan yang jelas mengenai kinerja yang diharapkan dari

bisnis (efektif dan efisiensi) dan menilai pencapaian yang diperoleh.

3. Auditor sistem informasi harus meninjau dan menilai efektifitas dari sumber

sistem informasi dan kinerja proses manajemen.

4. Auditor sistem informasi harus meninjau dan menilai pelaksanaan yang

legal/sah, lingkungan dan kualitas informasi dan fiduciary dan persyaratan

keamanan.

5. Pendekatan secara resiko harus digunakan oleh auditor sistem informasi untuk

menilai fungsi sistem informasi.

6. Auditor sistem informasi harus meninjau dan menilai control environment dari

organisasi.

7. Auditor sistem informasi harus meninjau dan menilai resiko yang mungkin

merugikan pengaruh dari lingkungan sistem informasi.

S11 Use of Risk Assessment in Audit planning

1. Auditor sistem informasi harus menggunakan teknik penilaian resiko yang

tepat atau pendekatan dalam mengembangkan perencanaan audit sistem

informasi secara keseluruhan dan didalam prioritas determinasi untuk alokasi

yang efektif dari sumber audit sistem informasi.

2. Ketika planning individual reviews, auditor sistem informasi harus

mengidentifikasi dan menilai resiko yang berkaitan dengan area yang ditinjau.

51

 

S12 Audit Materiality

1. Auditor SI harus mempertimbangkan konsep materialitas dalam hubungannya

dengan resiko audit.

2. Dalam merencanakan audit, auditor SI mempertimbangkan kelemahan-

kelemahan potensial atau tidak adanya kontrol internal dan apakah hal itu

dapat mempunyai akibat yang signifikan pada SI.

3. Auditor SI harus mempertimbangkan dampak kumulatif dari kelemahan atau

ketiadaan pengendalian interen.

4. Laporan auditor SI harus mengungkapkan adanya pengendalian interen yang

lebih efektif atau tidak adanya pengendalian interen (terhadap resiko tertentu)

dan dampaknya.

S13 Using the Work of Other Experts

1. Auditor SI harus, jika memungkinkan, menggunakan hasil kerja auditor atau

tenaga ahli lain.

2. Auditor SI harus menilai kualifikasi profesional, kempetensi, pengalaman

yang relevan, sumber daya, independensi, dan proses quality control dari ahli

lain tersebut, sebelum menerima penugasan audit.

3. Auditor SI harus meninjau, menilai dan mengevaluasi hasil kerja tenaga ahli

lain tersebut sebagai bagian dari audit dan menentukan tingkat penggunaan

atau mengsampingkan hasil kerja tenaga lain tersebut.

4. Auditor SI harus menentukan dan menyimpulkan apakah hasil kerja tenaga

ahli lain tersebut cukup memadai dan lengkap untuk mendukung auditor SI

52

 

menarik kesimpulan sesuai tujuan audit (dan kesimpulan tersebut harus secara

jelas didokumentasikan).

5. Auditor SI perlu melaksanakan prosedur pemeriksaan posedur pemeriksaan

tambahan untuk memperoleh bukti audit yang lebih sufficient dan appropriate

pada situasi dimana auditor berpendapat bahwa bukti audit dari hasil kerja

tenaga ahli lain tersebut tidak cukup.

6. Auditor SI harus memberikan opini tentang kecukupan bukti audit dan

pembatasan ruang-lingkup pemeriksaan (jika ada), terkait kelengkapan bukti

audit yang diperoleh melalui pemeriksaan tambahan.

S14 Audit Evidence

1. Auditor sistem informasi harus memperoleh bukti audit yang cukup dan tepat

untuk menarik kesimpulan yang masuk akal berdasarkan hasil audit.

2. Auditor sistem informasi harus memeriksa kecukupan bukti audit yang

diperoleh selama audit.

Guideline Audit Sistem Informasi menurut ISACA (Information System

Audit and Control Association)

G1 Using the Work of Other Auditor and Experts

Isi pokok panduan :

Hak mengakses pekerjaan oleh auditor atau pakar lain. Auditor SI harus

mendapat keyakinan bahwa jika harus menggunakan hasil pekerjaan auditor atau

ahli lain untuk tujuan auditnya, maka hal itu harus jelas diatur dalam audit

charter (letter of engagement).

53

 

G2 Audit Evidence Requirement

Isi pokok panduan :

Dalam perencanaan audit, auditor SI harus menentukan tipe bukti audit yang

akan dikumpulkan dan digunakan untuk tujuan audit, serta tingkat realibilitasnya.

G3 Use of Computer Assisted Audit Technique (CAATs)

Isi pokok panduan :

CAATs dapat menghasilkan banyak audit pada audit SI, karena itu auditor harus

merencanakan penggunaan CAATs dengan seksama. CAATs juga dapat

digunakan untuk mengerjakan berbagai prosedur audit seperti uji transaksi /

saldo, prosedur analistik, uji pengendalian umum SI, uji pengendalian aplikasi

SI, tes penetrasi.

G4 Outsourcing of IS Activities to Another Organisations

Isi pokok panduan :

1. Responsibilitas, otoritas dan akuntabilitas

2. Jika fungsi SI di-outsourced, pada audit charter harus tegas mencakup hak

auditor SI untuk review aggrement di antara pemakai jasa dan auditor,

melakukan pemeriksaan jika memang dipertimbangkan perlu, dan

melaporkan temuan, kesimpulan dan rekomendasi.

54

 

G5 Audit Charter

Isi pokok panduan :

1. Mandat bagi audit SI untuk melaksanakan fungsinya harus jelas tertuang

pada uraian tugas pokok dan fungsi yang lazimnya disebut audit charter.

2. Audit charter harus dengan jelas mencantumkan tiga aspek: tanggung jawab,

otoritas, dan akuntabilitas.

G6 Materiality Concepts for Auditing Information

Isi pokok panduan :

Tingkat materialitas adalah sepenuhnya auditor’s professional judgement. Dalam

menilai materialitas, auditor, atau aturan serta kesalahan yang dapat diterima

manajemen, auditor, atau aturan serta dampak akumulasi kesalahan kecil yang

bias menjadi material.

G7 Due Professional Care

Isi pokok panduan :

Due care ialah tingkat ketelitian / ketekunan / seksama seorang professional

secara berhati-hati dan kompeten bekerja dalam lingkungan tertentu. Due

professional care adalah keadaan seperti itu untuk profesi atau keterampilan

teknis tertentu, misalnya dalam audit SI.

55

 

G8 Audit Documentation

Isi pokok panduan :

Dokumentasi harus menyebutkan informasi yang diperlukan berkaitan dengan

hukum, regulasi, kebijakan perusahaan, dan standar professional terkait, serta

disusun dengan jelas, terstruktur, mudah dipahami.

G9 Audit Consideration for Irregularities

Isi pokok panduan :

Auditor SI harus memperhatikan audit charter atau letter of engagement untuk

memperjelas tanggung jawab auditor terkait dengan preventing, detecting, dan

reporting irregularities.

G10 Audit Samplin

Isi pokok panduan :

Dalam menarik kesimpulan auditor menggunakan data sampel, karena tidak

mungkin auditor memeriksa seluruh data. Karena itu auditor SI harus merancang

audit sample, prosedur audit dan evaluasi audit sample yang layak dengan

metode audit sampling.

56

 

G11 Effect of Pervasive IS Control

Isi pokok panduan :

CobIT mendefinisikan control sebagai kebijakan, prosedur, practices, dan

struktur organisasi, yang dirancang untuk memperoleh keyakinan memadai

bahwa tujuan organisasi akan tercapai, dan jika banyak terdapat hal-hal yang

tidak diinginkan dapat dicegah, dideteksi, dan dikoreksi.

G12 Organizational Relationship and Independence

Isi pokok panduan :

Pengertian independen mencakup sikap dan perilaku sesuai kode etik dan

standar. Audit charter harus menjamin adanya independensi, otoritas, dan

akuntabilitas fungsi audit, semuanya diatur pada manajemen organisasi.

G13 Use of Risk Assesment in Audit Planning

Isi pokok panduan :

Banyak metoda dan teknik penaksiran resiko, berbasis komputer/ manual, mulai

dari sederhana (hanya dengan klasifikasi high, medium, dan low berdasarkan

auditor’s judgement). Sampai ke yang rumit dengan “kalkulasi ilmiah” untuk

menyusun numeric risk rating.

57

 

G14 Application Systems Review

Isi pokok panduan :

Salah satu bagian penting dalam audit planning adalah memahami sestem

informasi, tingkat kerumitan, dan ketergantungan proses bisnis maupun kegiatan

organisasi tersebut terhadap sistem informasinya. Pengendalian intern system

aplikasi menunjukkan tingkat resiko berjalan dengan baik / tidaknya system

aplikasi tersebut.

G15 Plannning Revised

Isi pokok panduan :

Auditor SI harus memahami arsitektur informasi yang diaudit serta arah

teknologi informasinya, melakukan risk assessment and prioritization,

menentukan lingkup pemeriksaan, dan melakukan preliminary assessment of

internal controls. Tingkat pemahaman mengenai organisasi dan proses serta hal-

hal lain yang berkaitan dengan auditan bergantung pada tingkat detail

pemeriksaan yang akan dilakukan.

G16 Effect of Third Parties on an Organization’s IT Controls

Isi pokok panduan :

Auditor SI harus menilai kurang / tidak berfungsinya kontrol, pada bidang

kegiatan yang mana, dan apakah secara signifikan berpengaruh terhadap

lingkungan pengendalian intern.

58

 

G17 Effect of Nonaudit Role on the IS Auditor’s Independence

Isi pokok panduan :

Audit charter perlu mencantumkan kemungkinan pemberian tugas non-audit

kepada staf unit audit, dan dalam setiap penugasan auditor harus yakin bahwa hal

itu tidak melanggar aturan yang ada pada audit charter.

G18 IT Governance

Isi pokok panduan :

IT Governance adalah salah satu domain didalam enterprise governance. Karena

TI sekarang dipandang bukan lagi hanya sebagai alat pengolah data atau sekedar

alat pelengkap organisasi bisnis, melainkan bagian integral dari strategi

perusahaan. Berdasarkan pandangan itu maka korporasi perlu memperoleh

keyakinan IT governance, dan untuk itu diperlukan audit.

G19 Irregularities and Illegal Acts

Isi pokok panduan :

1. Fraud, berbagai hal bersifat kecurangan untuk memperoleh keuntungan.

2. Manipulasi, pemalsuan, pengubahan data atau dokumen.

59

 

G20 Reporting

Isi pokok panduan :

Auditor SI harus membuat laporan hasil pemeriksaan yang disusun dalam format

yang tepat segera setelah selesai melakukan tugasnya.

G21 Enterprise Resource Planning (ERP) Systems Review

Isi pokok panduan :

ERP mendukung system operasi dan system informasi perusahaan, tetapi di sisi

lain mengandung risiko dan tantangan bagi organisasi: lingkungan bisnis,

perilaku organisasi, prosedur dan proses bisnis, integritas data, system

functionality, kelanjutan bisnis.

G22 Business to Consumer (B2C) E-Commerce Review

Isi pokok panduan :

Auditor SI harus menilai secara kritis tujuan EC, strategi, model, tingkat

persaingan dan posisi perusahaan, apakah EC merupakan inisiatif baru atau

merupakan kelanjutan bisnis yang sudah ada, tingkat ketergantungan ekonomi

perusahaan terhadap EC.

60

 

G23 Systems Development Life Cycle Review

Isi pokok panduan :

SDLC adalah rangkaian tahap prosedur pembangunan system berbasis TI. Sistem

dapat dibangun sendiri, dibeli (implementasi paket software yang tanpa diubah-

ubah lagi atau paket software yang dimodifikasi sehingga bisa memenuhi

keinginan kita), atau kombinasi.

G24 Internet Banking

Isi pokok panduan :

Auditor SI harus mengumpulkan informasi terkait tujuan internet banking,

strategi yang digunakan untuk mencapai tujuan, cara bank menggunkan

teknologi internet, dan hubungannya dengan customer. Auditor SI harus menilai

resiko-resiko seperti penilaian strategi dan analisis resiko, integritas tujuan

strategis perusahaan / bank, seleksi dan manajemen infrastruktur teknologi.

G25 Review of Virtual Private Networks

Isi pokok panduan :

Auditor SI harus menetapkan pendekatan audit yang akan dilakukan, hal ini

bergantung tahap pre-implementasi, dalam proses implementasi, atau post

implementasi. Jika dalam pemeriksaan akan digunakan bantuan ahli atau akan

digunakan testing / monitoring tools, perlu dikomunikasikan pada manajemen.

61

 

G26 Business Process Reenginering (BRP) Project Review

Isi pokok panduan :

Pengertian BRP adalah suatu pemikiran kembali secara mendasar dengan

redesain secara radikal terhadap proses bisnis agar terjadi perbaikan yang

dramatis dalam ukuran-ukuran kontemporer, seperti: biaya, mutu, service dan

speed.

G27 Mobile Computing

Isi pokok panduan :

Auditor SI harus memperhatikan risiko-risiko yang terkait dengan mobile

devices, terutama yang berkaitan dengan akses terhadap sistem/ data, dari

connectivity, dan affordability mobile device meningkatkan risiko.

G28 Computer Forensic

Isi pokok panduan :

Auditor SI harus membuat laporan yang antara lain memuat ruang lingkup,

tujuan, dan hakekat pemeriksaan, waktu dan tingkat pemeriksaan yang

dilakukan, temuan dan rekomendasi secara jelas, organisasi/ pihak-pihak yang

berhak menerima laporan tersebut, serta pembatasan.

62

 

G29 Post-Implementation Review

Isi pokok panduan :

Laporan hasil review post implementasi seharusnya memuat antara lain tujuan,

ruang lingkup, asumsi, dan metodologi yang digunakan dalam pemeriksaan,

penilaian apakah tujuan implementasi tercapai, penialian secara umum terhadap

proses implementasi.

G30 Competence

Isi pokok panduan :

Auditor SI memelihara kemampuan dan pengetahuan mereka secara

berkelanjutan untuk memelihara tingkat kompetensi yang dapat diterima. Hal ini

dapat dilakukan melalui pendidikan professional yang berkelanjutan meliputi:

pelatihan, kursus pendidikan, program sertifikasi, universitas, konferensi,

seminar.

G31 Privacy

Isi pokok panduan :

1. Harus dicegah terjadinya deviation (penyimpangan) atau breaches

(pelanggaran) penggunaan informasi.

2. Tiap organisasi harus mengatur prosedur dan tanggung jawab yang berkaitan

dengan privacy.

63

 

3. Aturan umum yang harus patuhi ialah bahwa semua pihak hendaknya hanta

mengakses data yang terkait tugasnya.

4. Dibuat user identification dan access privileges

G32 Business Continuity Plan (BCP) Review From IT Perspective

Isi pokok panduan :

Auditor SI harus merumuskan area penting seperti proses bisnis dan teknologi

yang terkait dengan penilaian resiko, dan harus dapat dijamin bahwa rencana

kerja harus dapat dilaksanakan.

G33 General Considerations on the use of the Internet

Isi pokok panduan :

Auditor SI menilai resiko: ancaman yang dihadapi dan perubahan atau

perkembangannya, biaya jika terjadi masalah, tingkat kemungkinan ada security

incident, konsekuensi jika ada data yang dibajak, dan lainnya.

G34 Responsibility, Authority and Accountability

Isi pokok panduan :

Auditor SI harus memiliki pengetahuan yang cukup untuk identifikasi indikasi

adanya kecurangan, bekerja secara seksama dan menggunakan keterampilan

yang diperlukan untuk bekerja secara kompeten dan kehati - hatian professional

jika menggunakan tenaga bantuan ahli lain selalu evaluasi dengan cermat.

64

 

G35 Follow-up Activities

Isi pokok panduan :

Auditor SI harus membahas dengan manajemen mengenai tindak lanjut atas

rekomendasi, dan sebaiknya dibuat action plan, tindak lanjut tersebut perlu

dicatat sebagai management response. Jika terjadi perbedaan pendapat atas

rekomendasi atau komentar penyeimbang dari pihak auditan, maka hal itu harus

diungkapkan, dan bila perlu dengan alas an masing - masing.

G36 Biometric Controls

Isi pokok panduan :

Identifikasi dan autentifikasi tradisional sebagai access controls. Melakukan

pemeriksaan terhadap seleksi dan pengadaan biometrics, operasional dan

pemeliharaan sistem biometric, kinerja system biometric dll.