BAB 2 LANDASAN TEORI 2.1 Sistem Informasi 2.1.1 Pengertian...
Transcript of BAB 2 LANDASAN TEORI 2.1 Sistem Informasi 2.1.1 Pengertian...
6
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi
2.1.1 Pengertian Sistem
Menurut sistem Mcleod (2001,p9), sistem adalah sekelompok elemen yang
terintegrasi dengan maksud yang sama untuk mencapai tujuan.
Menurut Hall dalam bukunya yang diterjemahkan oleh Jusuf (2001,p5),
sekelompok sistem adalah dua atau lebih komponen – komponen yang salin g
berkaitan (interrelated) atau subsistem subsistem yang bersatu untuk mencapai
tujuan yang sama (common purpose), ketika sebuah sistem tidak lagi memenuhi
tujuan, ia harus diganti.
Berdasarkan dari beberapa pengertian diatas mengenai sistem, dapat
disimpulkan bahwa suatu sistem merupakan sekelompok elemen yang salin g
berkaitan dan saling berinteraksi untuk mencapai tujuan yang sama.
2.1.2 Pengertian Informasi
Menurut Mcleod (2001,p12), “Informasi adalah data yang telah diproses atau
data yang sudah memiliki arti tertentu bagi kebutuhan penggunanya.”
Menurut Hall dalam bukunya yang diterjemahkan oleh Jusuf (2004,p14).
“Informasi menyebabkan pemakai melakukan sesuatu tindakan yang dapat ia
lakukan atau tidak lakukan. Informasi ditentukan pada pemakai, bukan oleh bentuk
fisiknya.”
Berdasarkan pengertian diatas mengenai informasi dapat disimpulkan bahwa
informasi adalah data yang diproses menjadi lebih berguna bagi pemakainya.
7
2.1.3 Pengertian Sistem Informasi
Menurut Mcleod (2001,p6), menyimpulkan arti sistem informasi dengan
singkat yaitu ,”Sistem penghasil informasi.”
Menurut Hall (2001,p7), “Sistem informasi adalah rangkaian prosedur
formal dimana data dikumpulkan, diproses menjadi dan didistribusikan kepada
pemakai.”
Berdasarkan dari pengertian diats dapat disimpulkan bahwa sistem informasi
adalah serangkain prosedur yang saling berhubungan untuk mengolah informas i
yang akan didistribusikan kepada pemakai
2.2 Audit Sistem Informasi
2.2.1 Pengertian Audit
Menurut Mulyadi (2002,p9), ”Auditing adalah suatu proses sistematik untuk
memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan –
pernyataan tentang kegiatan dan kejadian ekonomi dengan tujuan umum
menenetapkan tingkatan kesesuaian antara pernyataan – pernyataan tersebut
dengan kriteria yang telah ditetapkan, serta penyampaian hasil – hasilnya kepada
para pemakai yang berkepentingan .”
Menurut Gondodiyoto (2003,p16) berpendapat bahwa Auditing adalah
kegiatan memeriksa suatu entitas, kemudian dengan mengumpulkan bukti atau
data dan mengevaluasi bukti dan data tersebut berdasarkan standar atau kriteria
yang telah ditetapkan, kemudian akan meghasilkan laporan dari auditor mengenai
kesesuaian kegiatan atau kejadian yang diperiksa dengan kriteria yang ditetapkan.
8
Berdasarkan pengertian diatas dapat disimpulkan bahwa auditing merupakan
proses pengumpulan dan pengevaluasian bukti secara objektif yang dilakukan oleh
seorang yang independent dan kompeten mengenai pernyataan dan kejadiaan
untuk menetukan dan melaporkan kesesuaian informasi yang dimaksud dengan
kriteria yang telah ditetapkan.
2.2.2 Jenis – Jenis Audit
Menurut Mulyadi (2002,p30 – 32), jenis – jenis audit dapat digolongkan
menjadi 3 (tiga) antara lain :
1. Audit Laporan Keuangan
Audit laporan keungan untuk mengetahui tingkat kewajaran atas laporan
keuangan yang disajikan oleh perusahaan. Apabila perusahaan tersebut
menggunakan sistem akutansi berbasis komputer maka berarti dilakukan audit
terhadap sistem informasi akutansi tersebut apakah mekanisme sistem dan
komputer telah benar, pengendalian umum sistem memadat dan apakah data
substantif sesuai.
2. Audit Operasional
Audit operasional merupakan penelaahan atas bagian manapun dari prosedur
dan metode operasi suatu organisasi untuk menilai efektifitas dan efisiensinya,
biasanya auditor memberikan sejumlah saran kepada menejemen untuk
memperbaiki jalanya operasional perusahaan.
9
3. Audit Ketaatan
Audit ini merupakan penelaahan apakah klien telah mengikuti prosedur atau
aturan tertentu yang telah ditetapkan oleh pihak yang memiliki otoritas yang
lebih tinggi.
2.2.3 Proses Audit
Menurut Weber (1999, p49 – 54) secara garis besar maka dapat disimpulkan
proses audit dapat terbagi menjadi beberapa tahap, yaitu:
1. Perencanaan Audit (Planning the Audit)
Selama tahap awal ini, auditor harus memutuskan level materiil permulaan
yang akan di audit. Auditor juga harus membuat keputusan akan resiko audit
yang diinginkan. Level dari sifat resiko akan bervariasi dalam setiap bagian
dari audit.
2. Pengumpulan bukti – bukti
a. Pengujian pengendalian (test off control)
Tahap berfokus pada control manajemen. Jika testing menunjukan bahwa
control manajemen tidak beroperasi sebagaimana mestinya. Baru setelah itu
dilanjutkan dengan testing control aplikasi.
b. Pengujian transaksi (Test of Transaction)
Pada tahap ini auditor menggunakan test of transaction untuk mengevaluasi
kesalahan atau proses yang tidak sesuai dengan ketentuan telah mengarah
pada kesalahan material dari informasi keuangan. Biasanya test of
transaction menelusuri jumlah masukan sampai pada dokumen sumber,
memeriksa daftar harga dan pengujian keakuratan perhitungan.
10
c. Pengujian saldo atau keseluruhan hasil (Test of Balance or Overall
Results)
Auditor melakukan test of balance or overall result untuk mendapatkan
bukti yang cukup untuk membuat dan menyampaikan keputusan akhir
dari kehilangan atau kesalaham pernyataan laporan yang muncul ketika
sistem informasi gagal untuk menjaga asset – asset, menjaga integritas
data dan mencapai keefisienan dan keefektifan
3. Pengevaluasian bukti – bukti
4. Penyelesaian Audit (completion of audit)
2.2.4 Pengertian Audit Sistem Informasi
Menurut Weber (1999,p10) “Pengetian audit sistem informasi secara garis
besar dapat diartikan sebagai proses pengumpulan dan pengevaluasian bukti –
bukti untuk menentukan apakah sebuah sistem computer telah menetapkan dan
menerapkan sistem pengendalian yang memadai, semua aktiva dilindung dengan
baik atau tidak disalahgunakan serta terjaminya integritas data, keandalan serta
efektifitas dan efisiensi penyelenggaraan sistem informasi.”
Menurut Gondodiyoto (2003,p151), audit sistem informasi merupakan suatu
pengevaluasian untuk mengetahui bagaimana tingkat kesesuaian antara aplikas i
sistem informasi dengan prosedur yang telah ditetapkandan mengetahui apakah
suatu sistem informasi telah didesain dan diimplementasikan pegamanan asset
yang memadai, serta mnjamin integritas yang memadai.
Berdasarkan pengertian diatas dapat disimpulkan bahwa Audit Sistem
Informasi merupakan serangkain kegiatan untuk menentukan apakah sistem
11
computer telah menerapkan sistem pengendalian yang memadai agar tidak
disalahgunakan dan dapat menyajikan informasi yang akurat.
2.2.5 Jenis – Jenis Audit Sistem Informasi
Menurut Weber (1999, p106) jenis audit sistem informasi dapat dibagi
menjadi 3, yaitu :
a. Concurrent Audit (Audit secara bersama – sama)
Auditor merupakan anggota tim dari pengembangan sistem. Mereka
membantu tim dalam meningkatkan kualitas dari pengembangan untuk sistem
spesifik yang mereka bangun dan akan diimplementasikan.
b. Postimplematation Audit (Audit Setelah Implementasi)
Auditor membantu organisasi untuk belajar dari pengalaman pengembangan
dari sistem aplikasi. Mereka akan melakukan mengevaluasi apakah sistem
perlu dihentikan
c. General audit (Audit Umum)
Auditor mengevaluasi control pengembangan sistem secara keseluruhan.
Mereka melakukan audit untuk menentukan apakah mereka dapat mengurangi
waktu dari test substantive yang perlu dilakukan untuk memberikan opini
audit tentang pernyataan keuangan (sebagai tuntutan dari manajer) ataupun
tentang keefektifan dan keefesiensian sistem.
2.2.6 Tujuan Audit Sistem Informasi
Menurut Weber (1999, p11 – 13), tujuan audit sistem informasi dapat
disimpulkan secara garis besar terbagi menjadi 4 (empat) tahap, yaitu:
12
1. Meningkatkan keamanan aset – aset perusahaan.
2. Meningkatkan integritas data.
3. Meningkatkan efektifitas sistem.
4. Meningkatkan efesiensi system
2.2.7 Metode Audit Sistem Informasi
Menurut Sanyoto Gondodiyoto (2007, pp451–453), metode audit sistem
informasi meliputi :
1. Audit Around the Computer
Dalam pendekatan audit disekitar komputer, auditor (dalam hal ini harus
akuntan yang registered, dan bersertifikasi akuntan publik) dapat mengambil
kesimpulan dan merumuskan opini dengan hanya menelaah struktur
pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi
saldo perkiraan dengan cara sama seperti pada sistem akuntansi manual.
Auditor tidak perlu menguji pengendalian SI berbasis teknologi informasi
klien (file program / pengendalian atas file / data di komputer, melainkan
cukup terhadap input serta output sistem aplikasi saja. Sistem komputerisasi
dianggap sebagai blackbox (sesuatu yang diketahui fungsinya, tetapi tidak
perlu diperiksa bagaimana kerjanya).
2. Audit Through the Computer.
Dalam pendekatan audit ke system komputer auditor melakukan pemeriksaan
langsung terhadap program-program dan file - file komputer pada audit SI
berbasis TI. Auditor menggunakan komputer (software bantu) atau dengan
cek logika atau listing program (desk test on logic or program source code)
13
untuk menguji logika program dalam rangka pengujian pengendalian yang ada
pada komputer. Selain itu auditor juga dapat meminta penjelasan dari para
teknisi komputer mengenai spesifikasi sistem dan atau program yang diaudit.
3. Auditing with the computer
Pada pendekatan ini audit dilakukan dengan menggunakan komputer dan
software utnuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini
dapat menggunakan beberapa computer assisted audit techniques, misalnya
system control audit review file (SCARF), snapshot, dan sebagainya.
Pendekatan audit dengan bantuan komputer merupakan cara yang sangat
bermanfaat, khususnya dalam pengujian substantif atas file dan record
perusahaan.
2.3 Sumber Daya Manusia
2.3.1 Pengertian Sumber Daya Manusia
Menurut Nawawi (2001, p40) mengetengahkan tiga pengertian, yang masing
masing berisi :
a. Sumber Daya Manusia adalah manusia yang bekerja di lingkungan suatu
organisasi (disebut juga personil, tenaga kerja, pekerja atau karyawan).
b. Sumber Daya Manusia adalah potensi manusiawi sebagai penggerak
organisasi dalam mewujudkan eksistensinya.
c. Sumber Daya Manusia adalah potensi yang merupakan aset dan berfungsi
sebagai model (non material / non financial) di dalam organisasi bisnis yang
dapat diwujudkan menjadi potensial nyata secara fisik dan non fisik dalam
mewujudkan eksistensi organisasi.
14
2.3.2 Pengertian Sistem Informasi Sumber Daya Manusia
Menurut Bodnar dan Hopwood (2000, p5), sistem informasi sumber daya
manusia adalah sistem informasi manajemen yang menyediakan informasi untuk
digunakan oleh fungsi sumber daya manusia (kepegawaian).
Menurut Mcleod (2000, p443), Human Resources Information System
(HRIS) is a system for gathering and maintaining the data that discribe human
resources, transforming the data into information and then reporting the
information to users.
Dapat disimpulkan bahwa sistem informasi sumber daya manusia adalah
suatu sistem yang mengumpulkan, menyimpan, memelihara menganalisis data
yang berkenaan dengan sumber daya manusia untuk menghasilkan informasi yang
dibutuhkan pemakai
2.3.3 Tahapan Sumber Daya Manusia
2.3.3.1 Perekrutan Karyawan
Menurut William B. Werther, JR (2000, p182), rekrut adalah proses
menemukan dan menarik kemampuan pelamar sebagai tenaga kerja.
Menurut Mcleod (2001, p443) rekrutmen dalam human resources
information system adalah mendaptkan karyawan baru untuk organisasi dengan
cara melakukan periklanan di surat kabar, menyediakan permintaan permintaan
posisi kepada pemerintah maupun agen swasta.
Dapat disimpulkan bahwa perekrutan adalah kegiatan yang dilakukan
oleh perusahaan dalam mencari dan menemukan tenaga kerja yang memiliki
kemampuan sesuai kebutuhan
15
Untuk melakukan pemilihan terhadap calon karyawan yang dianggap
memenuhi standar kualifikasi organisasi. Arti penting aktivitas rekrutmen
dikarenakan beberapa sebab, yaitu:
a. Mayoritas organisasi baik swata maupun publik berasumsi bahwa akan
mengalami kekurangan pegawai yang memiliki keahlian-keahlian yang
dibutuhkan untuk pegawai-pegawai modern.
b. Perampingan organisasi dan langkah-langkah penghematan biaya yang
dilancarkan dalam tahun-tahun terakhir telah menyebabkan anggaran
semakin kecil dibandingkan sebelumnya.
Dasar-dasar program rekrutmen yang baik mencakup faktor-faktor antara lain :
a. Program rekrutmen memikat banyak pelamar yang memenuhi syarat.
b. Program rekrutmen tidak pernah mengkompromikan standar seleksi.
c. Berlangsung atas dasar yang berkesinambungan.
d. Program rekrutmen itu inovatif, kreatif dan imajinatif.
2.3.3.2 Penyeleksian Karyawan
Menurut Willian B. Werther JR (2004, p214) proses seleksi adalah
kelanjutan tahapan yang secara khusus digunakan untuk memutuskan dan
merekrut dan mempekerjakan. Seleksi pengaruhnya pengaruhnya terhadap
kandidat yang terpilih dari dalam dan luar perusahaan, ketersediaan dari
pelamar. Setiap karyawan mempunyai kesempatan dan tantangan yang sama.
Menurut Sulistiyani dan Rosidah (2003, p151) Seleksi merupakn
serangkaian langkah kegiatan yang dilaksanakan untuk memutuskan apakah
16
seorang pelamar diterima atau ditolak dalam suatu instansi tertentu setelah
menjalani serangkaian tes yang dilaksanakan.
Dapat disimpulkan bahwa seleksi adalah serangkaian kegiatan yang
dilakukan oleh suatu perusahaan untuk mendapatkan tenaga kerja yang
berkualitas dan sesuai dengan kebutuhan perusahaan
Persyaratan yang harus dipenuhi dalam rangka pengadaan seleksi dan
penempatan pegawai adalah sebagai berikut :
a. Informasi analisis jabatan yang memberikan deskripsi jabatan, spesialis
jabatan dan standar profesi yang sharusnya ada dalam setiap jabatan
tersebut
b. Rencana – rencana SDM yang memberikan informasi kepada manajer
tentang tersedia tidaknya lowongan pekerjaan dalan suatu instansi
c. Keberhasilan fungsi rekrutmen yang akan menjamin manajer bahwa
tersedia kelompok orang yang akan dipilih
Metode yang harus ditempuh dalam seleksi dan penempatan pegawai yaitu :
a. Menentukan kebutuhan – kebutuhan sumber daya manusia.
b. Mengupayakan persetujuan anggaran untuk mengadakan serta mengisi
jabatan – jabatan.
c. Mengembangkan kreteria yang valid.
d. Pengadaan (rekruitment).
e. Mengadakan test atau sebaliknya memonitor para pelamar
f. Menyiapkan daftar dari para pelamar yang berkualitas
17
Proses seleksi terdiri dari tahapan – tahapan penting, berikut ini tahap – tahap
dalam proses seleksi adalah :
1. Penerimaan pendahuluan pelamar
Setelah proses perekrutan selesai, diadakan wawancara pendahuluan agar
pelamar dapat memperoleh informasi lebih lanjut tentang proses
selanjutnya.
2. Test – test penerimaan
Test adalah salah satu seleksi yang dapat membantu untuk menilai
kemampuan pelamar baik kemampuan dalam ilmu pengetahuan juga
kemampuan mentalnya. Yang termasuk tes penerimaan adalah sebagai
berikut :
a. Tes pengetahuan
Tes ini berguna untuk menguji kemampuan dalam ilmu pengetahuan agar
perusahaan dapat memperoleh sumber daya manusia yang sesuai dengan
kriteria yang dibutuhkan.
b. Tes psikologi
Tes psikologi ini dimaksudkan untuk mengetahui kemampuan mental
atau kepribadian seseorang, dengan tes kecerdasan, tes kepribadian, tes
bakat dan minat maka kepribadian seseorang dapat diketahui
c. Tes ketrampilan
Tes ini berguna untuk mengukur kemampuan karyawan dalam pelaksaan
pekerjaan yang akan dilakukannya.
3. Wawancara
18
Wawancara merupakan alat seleksi yang dapat membantuk penentuan untuk
mengevaluasi diterima atau tidaknya seorang pelamar
4. Pemeriksaan referensi
Ada dua referansi yang biasa digunakan dalam proses seleksi yaitu :
a. Referensi karyawan
Adalah referensi yang didapatkan dari perusahaan tapi pelamar pernah
bekerja, jumlahnya dapat lebih dari satu. Berisi jabatan yang pernah
diduduki oleh pelamar dan penilaian terhadap hasil kerja pelamar.
b. Referensi pribadi
Adalah referensi yang didapatkan dari keluarga atau teman – teman
pelamar, baik yang ditujukan oleh pelamar atau yang dipilih oleh
perusahaan sendiri
5. Evaluasi medis
Adalah pemeriksaan kesehatan pelamar yang dibuat sebelum keputusan
penerimaan karyawan yang dibuat.
6. Wawancara oleh penyedia
Adalah wawancara yang dilakukan oleh departeman yang bersangkutan
yaitu tempat dimana karyawan tersebut akan ditempatkan untuk keputusan
final
7. Keputusan penerimaan
19
Proses ini adalah proses yang mengakhiri kegiatan seleksi. Akan diputusan
diterima atau tidaknya pelamar dan biasanya ditentukan oleh atasan
langsung.
2.3.3.3 Penempatan Karyawan
Menurut Sulistiyani dan Rosidah (2003,p151), penempatan adalah suatu
kebijakan yang diambil oleh pimpinan suatu perusahaan suatu instansi atau
bagian personalia untuk menentukan seorang pegawai masih tetap atau tidak
ditempatkan pada suatu posisi atau jabatan tertentu berdasar pertimbangan
keahlian, ketrampilan atau kualifikasi tertantu.
Menurut William B. Werther, JR (2006,p216) Penempatan adalah
penugasan atau penugasan kembali kepada pegawai untuk sebuah pekerjaan
baru.
Dapat disimpulkan bahwa penempatan adalah posisi yang ditempati oleh
seorang pegawai sesuai dengan kemampuan dan kualifikasi tertentu.
2.3.3.4 Pelatihan dan Pengembangan karyawan
Menurut Sulistiyani dan Rosidah (2003,p175) Pelatihan adalah proses
sistematik pengubahan perilaku para pegawai dalam suatu arah guna
meningkatan tujuan - tujuan organisasi.
Pelatihan biasanya dimulai dengan orientasi yakni suatu proses dimana
para pegawai diberi informasi dan pengetahuan tentang kepegawaian,
organisasi harapan-harapan untuk mencapai keberhasilan. Dalam pelatihan
diciptakan suatu lingkungan dimana para pegawai dapat memperoleh serta
mempelajari sikap, keahlian dan perilaku yang spesifik yang berkaitan dengan
20
pegawai. Dalam pelatihan diberikan instruksi untuk mengembangkan keahlian-
keahlian yang dapat langsung terpakai pada pegawai, dalam rangka
meningkatkan kinerja pegawai pada jabatan yang diduduki sekarang yang
diduduki sekarang.
Menurut Sulistiyanti dan Rosidah (2003,p176) Pengembangan adalah
kegiatan memberikan pelatihan yang mewakili suatu investasi yang berorientasi
ke masa depan dalam diri pegawai.
Tujuan pelatihan dan pengembangan menurut Henry Simamora yang
dikutip oleh Sulistiyanti dan Rosidah (2003,p176) meliputi :
a. Memperbaiki kinerja dengan memutakhirkan keahlian para karyawan
sejalan dengan kemajuan teknologi.
b. Mengurangi waktu belajar bagi karyawan baru supaya menjadi kompeten
dalam pegawai.
c. Membantu memecahkan persoalan operasional.
d. Mempersiapkan karyawan untuk promosi.
e. Memenuhi kebutuhan – kebutuhan pertumbuhan pribadi.
2.3.3.5 Penilaian Kinerja Pegawai
Menurut sulistiyanti dan rosidah (2003, p223), penilaian kinerja
merupakan cara pengukur kontribusi – kontribusi dari individu yang dilakukan
terhadap organisasi. Nilai penting dari penilaian pekerja adalah menyangkut
penentu tinngkat kontribusi individu atau kinerja yang diekspresikan dalam
penyelesaian tugas – tugas yang menjadi tanggung jawabnya.
21
Penilaian kinerja individual sangat bermanfaat bagi dinamika
pertumbuhan organisasi secara keseluruhan. Melalui penilaian tersebut, maka
dapat diketahui kondisi riil karyawan yang dapat diukur kinerjanya. Dengan
demikian data – data ini dapat dijadikan sebagai bahan pertimbangan dalam
pengambilan keputusan baik level makro organisasional, maupun level mikro
individu.
Tujuan penilaian adalah :
a. Untuk mengetahui sasaran dan tujuan menejemen dan pegawai
b. Memotivasi pegawai untuk memperbaiki kinerjanya
c. Mendistribusikan reward dari organisasi atau instansi yang berubah
pertambahan gaji dan promosi yang adil
d. Mengadakan penelitian menejemen personalia
e. Konstribusi hasil – hasil penilain merupakan sesuatu yang sangat
bermanfaat bagi kebijakan – kebijakan organisasi.
2.4 Pengendalian internal berbasiskan komputer
Menurut Weber yang dikutip oleh Gondodiyoto (2003, p126 – 146)
pengendalian internal berbasiskan komputer terbagi menjadi 2 (dua), yaitu :
2.4.1 Pengendalian Umum (General Control)
Pengendalian umum (general control) ialah sistem komputer yang berlaku
umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara
menyeluruh. Artinya ketentuan – ketentuan yang berlaku dalam pengendalian
tersebut, berlaku untuk seluruh kegiatan komputerisasi di dalam perusahaan
tersebut. Apabila tidak dilakukan pengendalian ini atau pengendaliannya lemah,
22
maka dapat berakibat negatif terhadap aplikasi (kegiatan komputerisasi tertentu).
Oleh karena itu, pengendalian umum ini menyangkut seluruh kegiatan
komputerisasi pada suatu organisasi, maka yang berwewenang menentukan
struktur pengendalian adalah pimpinan organisasi tersebut, atau dalam praktetknya
wewenang tersebut didelegasikan kepada kepala unit komputer atau Chief of
Information Officer (CIO).
Kesalahan yang bersifat management framework misalnya adalah :
a. Unit komputer tidak terencana dengan baik.
b. Unit komputer tidak dikelola secara efektif, efisien dan ekonomis.
c. Tidak ada kebijakan yang jelas mengenai pola karir, kualifikasi pegawai
teknis, pelatihan dan sebagainya.
d. Tidak ada kebijakan yang jelas mengenai standarisasi
e. Tidak ada kebijakan yang jelas mengenai pola menejemen proyek,
metedologi pengembangan system.
f. Kurangnya pedulinya top management mengenai mutu system informasi dan
perlunya quality assurance.
Pengendalian umum terdiri dari :
a. Pengendalian top manajemen (top management controls)
b. Pengendalian manajeman sistem informasi (information system management
controls)
Manajemen pada atau unit sistem informasi mempunyai tugas untuk
melakukan fungsi perencanaan (planning), pengorganisasian (organizing),
23
pengarahan (actuating) dan pengendalian (controlling) yang biasa disingkat
POAC. POAC dalam sumber daya manusia adalah :
1. Planning
Manajemen harus menentukan tujuan dan sasaran yang ingin dicapai oleh
unit sistem informasi dari suatu organisasi dan bagaimananya.
2. Organizing
Sistem informasi adalah terdiri dari computer hardware, data atau
database. Manajemen harus mengalokasikan sumber daya seoptimal
mungkin dan memberikan jasa informasi dalam pelayanan yang
memadai.
3. Actuating
Pimpinan organisasi harus melakukan pengarahan dalam bentuk
memberikan pelatihan, pembinaan, mendorong motivasi, dan sebagainya
sehingga personil yang ada dapat bekerja sebaik-baiknya sehingga dapat
mengembangkan karirnya menjadi seorang pagawai profesional yang
mempunyai karakteristik spesifik.
4. Controling
Seperti pada manajemen organisasi pada umumnya, pimpinan harus
melakukan pengawasan dalam arti memonitor apakah kinerja pelalsanaan
kegiatan menyimpang, baik ( favorable ) atau tidak baik ( unfavorable )
bila dibandingkan dengan yang akan direncanakan.
c. Pengendalian manajemen pengembangan sistem ( systemdeveploment
control), termasuk manajemen program (programming management controls).
24
Pengendalian internal dalam manajemen pengembangan sistem atau
system deveploment management controls dilakukan dengan menetapkan
pimpinan unit informasi tentang berikut ini:
1. Prosedur Pengembangan ( Procedures Development )
Prosedur pengembangan sistem aplikasi pada hakekatnya terdiri dari 4 (
empat ) tahap, yaitu perancangan sistem, analisis perancangan sistem,
pembangunan atau pengujian dan implementasi atau pemdokumentasian.
Yang penting disini ialah bahwa manajemen perlu menetapkan
kebijaksanaan dan standar yang jelas.
2. Tes Kelayakan ( Acceptance Testing )
Terdiri dari 4 ( empat ) bagian yaitu tes program ( program testing ), tes
sistem ( system testing ), tes pengguna ( user testing ) dan tes jaminan
kualitas ( quality assurance testing )
3. Konversi ( Convertion )
Konversi sistem lama ke sistem baru meliputi 4 ( empat ) tahap yaitu
pelatihan karyawan, install software dan hardware baru, konfersi file dan
program, penjadwalan operasi dan test running. Konversi juga dapat
dilakukan dengan beberapa pendekatan dan pola mana yang sesaui
kondisi perusahaan harus ditetapkan oleh pimpinan.
4. Operasi dan Perawatan ( Operasi and Maintenance )
Tiga tipe maintenance yang dilakukan yaitu repair maintenance, adaptice
maintenance dan perfective maintenance,
25
a. Repair maintenance adalah perawatan yang bersifat perbaikan
atas kesalahan ( error ) sistem.
b. Adaptive maintenance adalah perawatan yang bersifat penyesuaian
atas suatu fungsi sistem yang perlu diperbaharui.
c. Perfective maintenance ialah perawatan bersifa pengembangan atau
penyempurnaan, artinya tidak memerlukan dokumen input baru, dan
sebagainya.
d. Pengendalian manajemen sumber data (data resources management controls)
Pengendalian sumber data ( data resources management ) yang baik adalah:
1. User harus dapat membagi data ( data sharing among users).
2. Data harus tersedia untuk digunakan kapan saja, dimanapun dan
dalam bentuk apapun ( dengan aturan akses / wewenang yang jelas ).
3. Data harus dapat dimodifikasi dengan mudah ( user friendly ) oleh yang
berwewenang sesuai dengan kebutuhan user.
e. Pengendalian manajemen jaminan kualitas ( Quality assurance management
controls )
Kebijaksanaan tentang quality assurance ini menyangkut masalah
kepedulian dan komitmen pimpinan terhadap aspek mutu atau kualitas jasa
informasi yang mereka berikan kepada para penggunanya. Dalam suatu
perusahaan industri misalnya, jasa informasi yang diberikan pusat komputer
kepada divisi penjualan, divisi personalia harus benar-benar dirasakan
kegunaannya dalam bentuk data yang akurat, lengkap dan relevan. Jadi sistem
26
komputerisasi yang dibangun untuk para user tersebut benar-benar sesuai
dengan kebutuhan mereka.
Pengembangan sistem komputerisasi yang baik, berkaitan dengan segala
hal yang mencangkup kegiatan pengembangan sistem, implementasi,
pengoperasian, dan perawatan sistem aplikasi, apakah kegiatan-kegiatan
tersebut sungguh-sungguh telah ditentukan sesuai dengan kaidah standar yang
telah ditetapkan, dan apakah informasi yang akan dihasilkan dapat mancapai
tujuan serta sasaran hasil yang dikehendaki.
f. Pengendalian manajemen keamanan ( security administration management
controls )
Menurut Weber (1999, p257-266), Pengendalian Manajemen Keamanan
secar garis besar bertanggung jawab dalam menjamin asset Sistem Informasi
tetap aman. Pada bagian ini akan dibahas tentang ancaman terhadap sistem
informasi dan cara penanganannya antara lain sebagai berikut:
a) Kerusakan karena kebakaran (Fire Damage)
Kebakaran adalah ancaman serius yang paling sering terhadap keamanan
sistem informasi menyatakan bahwa berdasarkan laporan dari National
Fire Protection Association diketahui bahwa rata-rata kebakaran yang
terjadi diruangan computer diseluruh Amerika Serikat adalah setiap 10
menit.
1. Alarm kebakaran yang manual maupun otomatis diletakkan pada
tempat yang strategis.
2. Pemadam kebakaran diletakkan pada tempat yang strategis.
27
3. Bangunan tempat diletakkannya asset system informasi dibangun
dengan konstruksi spesial yang tahan panas.
4. Tempat diletakkannya pemadam kebakaran dan arah keluar diberi
tanda yang jelas sehingga memudahkan untuk melihat tanda tersebut.
5. Prosedur kebersihan yang baik dapat memastikan bahwa barang-
barang yang mudah menyebabkan kebakaran tidak berada diruang
sistem informasi.
b) Kerusakan karena air (Water Damage)
Kerusakan yang terjadi karena air dapat merupakan kelanjutan dari
ancaman kebakaran, disamping terjadinya banjir.
Beberapa cara penanganan terhadap water damage ini adalah :
1. Jika memungkinkan, plafon, dinding, lantai yang tahan air
(waterproof).
2. Pastikan bahwa tersedia sistem drainase yang memadai.
3. Tempatkan alarm pada tempat yang strategis dimana harta sistem
informasi
c) Naik turunnya voltase listrik (Energy Variations)
Naik turunnya voltase listrik juga merupakan ancaman terhadap bidang
system informasi, hal ini dapat menstabilkan tegangan listrik seperti
pemakaian UPS untuk setiap komputer dan peralatansistem informasi
lainnya.
28
d) Kerusakan Struktur (Structural Damage)
Kerusakan struktur pada harta bagian Sistem Informasi dapat terjadi
karena terjadinya gempa, angin ribut, salju, tanah longsor, dan
kecelakaan, seperti ditabrak truk, pesawat.
e) Polusi (Pollution)
Polusi dapat merusak disk drive, hard disk, dan juga dapat mengakibatkan
kebakaran.
f) Gangguan dari orang yang tidak bertanggung jawab (Unauthorized
Intrusion)
Unauthorized Intrusion dapat terdiri dari 2 jenis, yaitu :
1. Secara fisik masuk keperusahaan dan mengambil harta bagian sistem
informasi atau melakukan pengrusakan.
2. Tidak masuk secara fisik keperusahaan tetapi menggunakan receiver
dan melakukan penyadapan.
g) Viruses and Worm
Virus adalah sebuah program yang memerlukan operating sistem
komputer untuk masuk ke program lain, virus dapat terjangkit dengan
mudah seperti lewat file dan email.
h) Penggunaan yang salah terhadap software, data dan jasa komputer
(Misuse of Software, Data and Service) sehingga perusahaan dapat
menderita kerugian karena software, data dan pelayanan yang mereka
miliki disalah gunakan.
29
g. Pengendalian Manajemen Operasional (Operations Management Control)
Secara keseluruhannya pengendalian operasi bertanggungjawab terhadap hal-
hal sebagai berikut:
1. Pengoperasian komputer
2. Pengoperasian jaringan
3. Persiapan dan pengetrian data
4. Pengendalian produksi
2.4.2 Pengendalian Aplikasi (Application Controls)
Menurut Weber (1999, P365), pengendalian aplikasi bertujuan untuk
memastikan bahwa setiap asset sistem aplikasi dijaga, menjaga integritas data,
serta mencapai tujuan dengan efektif dan efisien. Menurut Weber (1999, pp365),
pengendalian aplikasi terdiri dari :
1. Boundary Controls
2. Input Controls
3. Communication Controls
4. Processing controls
5. Database
6. Output Controls
Pada pengendalian aplikasi tidak semua pengendalian akan dibahas, yang
dibahas hanya pengendalian batasan (boundary control), pengendalian input (input
control) dan pengendalian output (output control).
30
1. Boundary Control
Menurut Weber (1999, p370), subsistem batasan menentukan hubungan antara
pengguna dengan sistem informasi. Terdapat tiga tujuan pengendalian
batasan,yaitu :
a. Memastikan identitas dan otentifikasi pengguna sistem.
b. Memastikan identitas dan otentifikasi sumber daya yang digunakan
pengguna.
c. Membatasi tindakan pengguna dalam penggunaan sistem informasi.
Menurut Weber (1999, pp371-405), terdapat enam pengendalian batasan,
yaitu :
a. Pengendalian Cryptographic (Cryptographic Control)
Pengendalian Cryptographic dibuat untuk melindungi kerahasiaan
data dan untuk mencegah modifikasi data yang tidak berwenang. Hal
diatas dapat dilakukan dengan cara mengubah data (cleartext) menjadi
kode (cryptograms atau chipertext) agar tidak memiliki arti bagi orang
yang tidak dapat menguraikanya. Terdapat tiga teknik enchipherment,
yaitu:
1) Transposition Chipers
Transposition chipers yang sederhana yaitu menukar posisi karakter
data.
31
2) Subtitution Chiphers
Substitution chiphers tetap mempertahankan posisi karakter yang ada
tetapi menyembunyikan identitas karakter dengan cara menukarnya
dengan karakter lain sesuai dengan aturan tertentu.
3) Product Chipers
Product chipers menggunakan kombinasi antara metode transportasi
dan subtitusi.
b. Pengendalian Akses (Access Control)
Pengendalian akses membatasi penggunaan sistem informasi hanya
kepada pengguna yang berwenang, membatasi tindakan yang dapat
dilakukan pengguna, dan memastikan bahwa pengguna hanya mendapat
sistem komputer yang asli.
c. Identifikasikan dan Otentifikasikan (Identification and Authentication)
Pengguna mengidentifikasi dirinya sendiri pada mekanisme pengendalian
akses dengan cara memberikan informasi seperti nama atau nomor
account. Informasi identifikasikan ini membuat mekanisme dapat
memilih file yang otentik bagi pengguna. Pengguna dapat menggunakan
tiga tipe otentifikasi, yaitu informasi yang dapat diingat (seperti nama,
ulang tahun, password), objek berwujud (seperti kartu plastik, kunci), dan
karakter pribadi (seperti sidik jari, suara, ukuran tangan, tanda tangan,
pola retina mata).
32
d. Object Resources
Digunakan pada sistem informasi berbasis komputer dapat diklafikasikan
ke dalam empat tipe, yaitu perangkat keras (contohnya terminal, printer,
prosesor), perangkat lunak (contohnya program sistem aplikasi), komoditi
(contohnya tempat penyimpanan), serta data (contohnya file, gambar,
suara). Setiap sumber daya harus diberi nama agar dapat
diidentifikasikan.
e. Hak Istimewa (Action Privileges)
Hak Istimewa memberikan pengguna suatu hak yang tergantung tingkat
otoritas dan tipe sumber daya yang diperlukan pengguna.
f. Kebijakan Pengendalian Akses (Access Control Policies)
Terdapat dua tipe kebijakan, yaitu :
a) Discretionary Access Control. Kebijakan ini membebaskan
penggunanya menentukan mekanisme pengendalian akses, dan
pengguna dapat memilih untuk membagikan file pengguna kepada
pengguna lain atau tidak.
b) Mandatory Access Control. Pada kebijakan ini pengguna dan sumber
daya diberikan kategori keamanan yang tetap.
g. Personal Identification Numbers (PIN)
PIN merupakan teknik yang digunakan untuk mengotentifikasi pengguna.
PIN harus terjaga kerahasiaannya. Terdapat Sembilan fase pada daur
hidup PIN, yaitu :
33
a) Pembuatan PIN (PIN generation)
Terdapat tiga cara pembuatan PIN, yaitu :
1. Derived PIN, yaitu institusi membuat PIN berdasarkan nomor
account pengguna atau identitas pengguna lainnya.
2. Random PIN, yaitu institusi membuat nomor acak dengan panjang
yang tetap sebagai PIN.
3. Customer-selected PIN, yaitu pengguna dapat memilih PIN
mereka sendiri.
b) Penerbitan dan Pengiriman PIN (PIN Issuance and Delivery)
Metode penerbitan dan pengiriman PIN tergantung pada metode
pembuatan PIN. Jika institusi yang membuat PIN (metode derived
PIN dan random PIN) maka digunakan PIN mailer. Tetapi terdapat
empat cara jika pengguna yang memilih PIN mereka sendiri
(customer-selected PIN), yaitu :
1) Mail solicitation, yaitu mengirim PIN melalui surat.
2) Telephone solicitation, yaitu pengguna memilih PIN melalui
telephone setelah mendapatkan PIN mailer.
3) PIN entry via a secure terminal, yaitu pengguna datang keinstitusi
untuk mengisi PIN pada terminal yang tersedia.
4) PIN entry at the issuer’s facility, yaitu pengguna memilih PIN
pada saat membuka account.
34
c). Validasi PIN (PIN Validation)
Pada saat PIN dimasukkan, biasanya pengguna diberikan sejumlah
kesempatan sebelum kartu ditahan dan account di blokir apabila PIN
yang dimasukkan salah.
d). Transmisi PIN (PIN Transmission)
PIN dapat dipalsukan saat dikirim sehingga PIN harus di enkripsi.
Chiper PIN yang dibuat haruslah unik untuk setiap transmisi PIN.
e). Pemprosesan PIN (PIN Processing)
Proses yang dibutuhkan yaitu mengenkripsi dan mendeskripsi PIN
dan membandingkan PIN dan dimasukkan dengan referensi PIN.
f). Penyimpanan PIN (PIN Storage)
Jika PIN bukan fungsi cryptographic dari nomor account maka PIN
harus disimpan untuk tujuan referensi.
g). Perubahan PIN (PIN Change)
Pengguna dapat mengubah PIN mereka, dengan cara yang sama
seperti diatas.
h). Penggantian PIN (PIN Replacement)
PIN dapat diganti jika pengguna lupa atau diketahui oleh orang lain.
i). Pengghentian Pemakaian PIN (PIN Tarmination)
Penghentian pemakaian PIN dilakukan jika pengguna menutup
account-nya, PIN diganti dengan PIN yang baru, atau tidak sengaja
rusak.
35
h. Tanda Tangan Digital (Digital Signature)
Tanda tangan digital mempunyai dua tujuan, yaitu :
1) Sebagai otentifikasi pengguna.
2) Menghindari penyangkalan keterlibatan pihak-pihak yang
berpartisipasi dalam pembuatan kontrak.
i. Kartu Plastik (Plastic Card)
Jika PIN dan tanda tangan digital digunakan untuk keperluan otentifikasi,
maka kartu digunakan untuk keperluan identfikasi.
j. Pengendalian Jejak Audit (Audit Trail Control)
Terdapat dua tipe jejak audit, yaitu :
1) Jejak Audit Akuntansi yaitu catatan seluruh kejadian yang
berhubungan dengan subsistem batasan.
2) Jejak Audit Operasional yaitu catatan pemakaian sumber daya yang
berhubungan dengan kejadian pada sub sistem batasan.
3) Jejak audit harus dianalisa secara berkala untuk mendeteksi
kelemahan pengendalian batasan pada sistem.
2. Input Control
Input merupakan salah satu tahap dalam sistem komputerisasi yang
paling krusial dan mengandung resiko. Resiko yang dihadapi misalnya :
a. Data transaksi yang ditulis oleh pelaku transaksi salah (error).
b. Kesalahan pengisian dengan kesengajaan.
c. Penulisan tidak jelas sehingga dibaca salah oleh orang lain.
36
Ada beberapa tipe pengendalian di dalam subsistem input, diantaranya yakni :
a. Pengendalian kode data
Kode dari data memiliki 2 tujuan yakni :
1. Data secara unik mengidentifikasi entitas sebagai anggota dari
sebuah kelompok atau kumpulan.
2. Untuk tujuan identifikasi, kode lebih rapih dari pada deskripsi
tekstual atau naratif karena data membutuhkan sedikit karakter untuk
membawa sejumlah informasi didalamnya.
Oleh karena itu, evaluating harus mengevaluasi kualitas dari sistem
aplikasi untuk menentukan data yang mempengaruhi tujuan efisiensi,
efektifitas dan integritas data.
b. Pemeriksaan jumlah digit
Check digit adalah jumlah digit berulang yang ditambahkan ke dalam kode
yang memungkinkan keakuratan dari karakter lain didalam kode yang akan
diperiksa. Chek digit dapat berfungsi sebagai awalan atau akhiran dari
karakter atau dapat ditempatkan dimanapun di bagian tengah kode. Ketika
kode dimasukkan, sebuah program menghitung ulang jumlah digit untuk
menentukan apakah digit yang dimasukkan dan digit yang dihitung
berjumlah sama. Jika jumlahnya sama, kode tersebut sepenuhnya benar. Jika
berbeda kode tersebut akan error.
37
c. Pengendalian Batch
Beberapa dari pengendalian yang sederhana dan paling efektif dari data
yang dimasukkan adalah pengendalian batch.
Ada 2 tipe dari batch yakni :
1. Batch fisik yang terdiri dari sekelompok transaksi unit fisik. Sebagai
contoh, dokumen sumber dapat diperoleh lewat surat, yang digabungkan
ke dalam batch dan diikat menjadi satu. Kemudian diberikan kepada
petugas data input untuk dimasukkan ke dalam sistem aplikasi pada
terminal.
2. Batch logis adalah kumpulan dari transaksi yang digabungkan bersama-
sama atas dasar logis. Sebagai contoh: petugas yang berbeda dapat
menggunakan terminal yang sama untuk memasukkan transaksi kedalam
sistem aplikasi. Petugas tetap menjaga kontrol total dari transaksi yang
telah mereka masukkan. Input program transaksi secara logis dimasukkan
ke dalam nomor identifikasi petugas. Setelah beberapa periode, input
program mempersiapkan kontrol total untuk rekonsiliasi dengan kontrol
total petugas.
d. Validasi masukkan
Data input ke dalam sistem aplikasi harus divalidasi sesegera mungkin
setelah datanya diambil dan sedekat mungkin dengan sumber datanya.
Setiap ada kesalahan pada data yang tidak diperbaiki sesegera mungkin
harus dituliskan ke dalam file error.
38
Karena pemakai dapat lupa untuk memperbaiki kesalahan tersebut. Ada 4
(empat) jenis data input validasi yang harus dicek ketika data dimasukkan
pada terminal, yaitu :
1. Field check
Dengan field check, tes validasi yang dilakukan adalah mengecek
apakah field-field tertentu hanya terdiri dari data numeric atau
karakter numeric tertentu saja.
2. Record check
Dengan record check, tes validasi yang dilakukan pada field
tergantung hubungan logika field itu dengan field yang lain pada
record. Misalkan nilai gaji pada suatu field menginformasikan
jabatan seseorang di field lain.
3. Batch check
Dengan batch check, tes validasi melakukan pengujian apakah
karakteristik dari batch record yang dimasukkan sama dengan
karakteristik yang telah ditetapkan pada batch. Contoh: evaluating
dapat mengecek apakah total dari field keuangan di dalam batch
record sama dengan grand total yang diberikan untuk batch.
4. File check
Dengan file check, tes validasi melakukan pengujian apakah
karakteristik pada file yang digunakan selama pemasukkan data
adalah sama dengan karakteristik data pada file. Contoh: jika
evaluating memvalidasi beberapa karakteristik dari data sistem
39
aplikasi dari file master, evaluating dapat mengecek apakah mereka
versi terakhir dari file master.
e. Pengendalian jejak evaluasi
Jejak evaluasi pada subsistem input memelihara kronologis kejadian data
dari waktu ke waktu dan instruksi yang diterima sarta yang dimasukkan
dalam sistem aplikasi sampai waktu penentuan data tersebut valid dan dapat
dikirimkan kepada subsistem yang lain, yang terdapat pada sistem aplikasi.
1. Database control
Menurut Weber subsistem database bertanggungjawab di dalam
mendifinisikan, membuat, memodifikasi, menghapus dan membaca data
di dalam sistem informasi. Database menjaga data yang berhubungan
dengan aspek statis dari obyek yang sebenarnya dan hubungannya serta
data yang berupa prosedur yang berhubungan dengan aspek dinamis dari
obyek yang sebenarnya dan hubungannya. Komponen utama dari
subsistem database adalah DBMS (Database Management System) yang
digunakan untuk memanajemen data, program aplikasi yang melakukan
kegiatan operasional data, processor utama dan penyimpanan utama
dimana operasional diwujudkan dan media penyimpanan yang menjaga
duplikasi permanent, semi permanent dari database. Pengendalian harus
diterapkan di dalam subsistem database untuk meningkatkan tingkat
kepercayaan dari komponennya dan untuk melindungi integritas data
yang disimpan di dalam database.
40
2. Processing control
Processing control adalah pengendalian interen untuk mendeteksi jangan
sampai data (khususnya data yang sesungguhnya sudah valid) menjadi
error karena kesalahan proses. Proses juga bertanggungjawab di dalam
menghitung, mengurutkan, mengelompokkan dan merangkum data.
Komponen utama di dalam subsistem proses adalah processor utama
dimana program digunakan, memori utama dan virtual dimana data dan
instruksi program disimpan, sistem operasi yang mengatur sumber daya
sistem dan program aplikasi yang melaksanakan instruksi untuk
mencapai kebutuhan pemakai tertentu. Pengendalian proses mencegah,
mendeteksi dan mengoreksi kesalahan dari data yang diterima dari proses
input subsistem atau subsistem komunikasi kepada data yang disimpan ke
dalam database, dibagikan melalui jaringan atau menjadi output dari
subsistem.
3. Output control
Output control adalah digunakan untuk memastikan bahwa data yang
diproses tidak mengalami perubahan yang tidak sah oleh personil operasi
Komputer (menjaga penyampaian informasi agar tetap akurat) dan
memastikan hanya personil yang berwenang saja yang menerima output
yang dihasilkan.
Ada beberapa jenis pengendalian pada subsistem output, diantaranya
yakni :
41
a. Pengendalian inference
Pengendalian inference dilakukan pada database statistikal yakni
database yang hanya dapat diakses oleh pemakai hanya statistic saja,
bukan isi dari data individual. Pengendalian ini harus dilakukan agar
dapat mencegah 4 jenis kompromi yang dapat terjadi, yakni :
1. Positif compromise, yakni pemakai menyatakan bahwa seseorang
memiliki nilai atribut tertentu.
2. Negative compromise, pemakai menyatakan bahwa seseorang
tidak memiliki nilai atribut tertentu.
3. Exact compromise, pemakai menyatakan bahwa seseorang
memiliki nilai tertentu.
4. Approximate compromise, pemakai menyatakan bahwa seseorang
memiliki tentang nilai tertentu.
b. Pengendalian distribusi dan produksi output batch
Batch output adalah output yang dihasilkan pada beberapa fasilitas
operasional dan sesudah itu dikirim atau disimpan oleh custodian atau
pemakai output tersebut. Output ini menggunakan banyak formulir,
contohnya print out laporan kontrol manajemen berisi table, grafik
atau image. Kontrol terhadap batch output dilakukan dengan tujuan
untuk memastikan bahwa laporan tersebut akurat, lengkap dan tepat
waktu yang hanya dikirim/diserahkan kepada pemakai yang berhak.
42
c. Pengendalian file printer
Jika program laporan tidak dapat dicetak langsung oleh printer,
output menuggu giliran pencetakan. Perangkat lunak sistem mengatur
file yang akan dicetak. Ketika printer siap, perangkat lunak membaca
file dan siap mencetak.
d. Printing controls
Pengendalian pencetakkan memiliki 3 (tiga) bagian :
1. Untuk menyakinkan bahwa laporan dicetak di printer yang tepat.
2. Untuk mencegah pihak tidak berwenang untuk melakukan scan
data yang tercetak dalam laporan.
3. Meyakinkan bahwa pengendalian yang tepat dilakukan untuk
form dan instrument yang ada.
e. Pengendalian distribusi dan produksi output online.
Pengendalian terhadap produksi dan distribusi atas output yang
dilakukan melalui online dilakukan secara garis lurus, tujuan
utamanya adalah untuk memastikan bahwa hanya bagian yang
memiliki wewenang saja dapat melihat output melalui online tersebut,
proteksi terhadap integritas output pada saat dilakukan pengiriman
melalui media komunikasi, memastikan bahwa online output hanya
dapat dilihat oleh bagian yang berwenang dan proteksi terhadap
kemungkinan terjadinya peng-copy-an oleh pihak yang tidak
berwenang pada saat output dikirim melalui media komunikasi.
43
f. Pengendalian jejak evaluasi
Penelusuran jejak menyajikan bahwa output disajikan untuk user
yang menerima output, ketika output diterima dan tindakan yang akan
diambil sehubungan dengan output. Penelusuran jejak evaluasi dapat
menyajikan data yang diperlukan untuk menanggapi permintaan
informasi. Jika data yang salah ditemukan dalam output organisasi,
penelusuran jejak evaluasi juga dapat digunakan untuk menentukan
orang yang akan menggunakan output untuk mengambil keputusan.
Penelusuran jejak evaluasi juga dapat digunakan untuk menentukan
apakah user yang tidak sah dapat mengakses subsistem output
evaluasi.
4. Communication control
Dalam suatu instalasi sistem komputerisasi yang sudah canggih jaringan
komunikasi datanya, kebijakan atau manajemen jaringan diharapkan telah
memenuhi hampir seluruh kebutuhan pengendalian, termasuk kebutuhan
spesifik aplikasi. Komunikasi bertanggungjawab di dalam pengiriman
data di antara subsistem lain di dalam sistem dan untuk mengirim data
atau untuk menerima data dari sistem yang lain. Pada saat data
dikirimkan melalui media transmisi, ada tiga jenis kerusakan yang dapat
terjadi yaitu :
a. Attenuation
Melemahnya signal yang terjadi pada media pengiriman, hal ini
terjadi karena jarak pengiriman yang jauh.
44
b. Delay distortion
Terjadi distorsi pada signal apabila data melewati media perantara
seperti kabel coaxial, optic fibre karena komponen dengan frekuensi
yang berbeda adalah subyek untuk penundaan yang terjadi. Distorsi
dapat berakibat pada data digital karena energi dari signal di dalam
posisi satu bit dapat berpindah kepada posisi bit lain.
c. Noise
Noise ialah signal elektrik acak yang menurunkan kinerja dari media
transmisi. Oleh karena itu, ada beberapa pengendalian pada subsistem
komunikasi, yakni :
1. Pengendalian komponen fisik
Salah satu cara untuk mengurangi kesalahan di dalam subsistem
komunikasi ialah untuk memilih komponen fisik yang memiliki
karakteristik yang membuat mereka dapat dipercaya dan
menyediakan pengendalian atau fitur yang meringankan resiko
yang ditimbulkan.
2. Pengendalian topologi jaringan
Topologi jaringan komunikasi menjelaskan lokasi dari node di
dalam jaringan, bagaimana node ini dihubungkan dan kemampuan
data transmisi dari hubungan di antara node.
45
Ada beberapa jenis topologi jaringan, yakni :
a) LAN (Local Area Network) Topologi
Local Area Network terdiri dari beberapa topologi, yakni :
1. Topologi Bus
Dalam topologi bus ini, node di dalam jaringan dihubungkan secara
parallel pada jaringan komunikasi tunggal.
2. Topologi Tree
Dalam topologi ini, node pada jaringan dihubungkan pada cabang jalur
komunikasi yang tidak memiliki akhir. Topologi Tree menggunakan signal
analog dari pada signal digital.
3. Topologi Ring
Dalam topologi ring, node di dalam jaringan dihubungkan menggunakan
repeater pada jalur komunikasi yang digambarkan sebagai lingkaran yang
tertutup. Repeater adalah peralatan aktif yang memasukkan data ke dalam
jaringan, menerima data dari jaringan dan memindahkan data dari jaringan.
4. Topologi Star
Dalam topologi star, node di dalam jaringan dihubungkan dari poin ke poin
konfigurasi kepada hubungan utama.
5. Topologi Hybrid
Tipe dari topologi hybrid juga digunakan di dalam LAN. Sebagai contoh,
di dalam topologi star-bus, node dihubungkan dengan jalur komunikasi
yang panjang kepada bus yang pendek. Jaringan star-bus dapat diperluas
dengan mudah, sederhana dengan menghubungkan kabel lain pada bus.
46
b) WAN (Wide Area Network) Topologi
Topologi yang paling umum digunakan dari topologi WAN adalah topologi
mesh. Dalam topologi mesh setiap node secara konseptual di dalam jaringan
dapat memiliki hubungan poin ke poin dengan setiap node lain. Topologi
mesh dapat dipercaya karena data dapat melalui jalur alternative di dalam
jaringan. Jika satu jalur gagal, metode konsentrasi yang digunakan
mengijinkan data untuk melalui jalur lain.
2.5 Standard Audit S istem Informasi
Standard Audit Sistem Informasi menurut ISACA (Information System Audit
and Control Association) :
S1 Audit Charter
1. Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungs i audit
sistem informasi atau penilaian audit sistem informasi harus
didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian
tertulis.
2. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan
pengabsahan pada tingkatan yang tepat dalam organisasi.
47
S2 Independence
1. Professional Independence
Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem
informasi harus independen terhadap auditee baik dalam sikap maupun
penampilan.
2. Organisational Independence
Fungsi audit sistem informasi harus independen tehadap area atau aktivitas
yang sedang diperiksa agar tujuan penilaian audit terselesaikan.
S3 Professional Ethics and Standards
1. Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA
dalam melakukan tugas audit.
2. Auditor sistem informasi harus patuh pada penyelenggarakan profesi,
termasuk observasi terhadap standar audit profesional yang dipakai dalam
melakukan tugas audit.
S4 Professional Competence
1. Auditor sistem informasi harus seorang profesional yang kompeten, memiliki
keterampilan dan pengetahuan untuk melakukan tugas audit.
2. Auditor sistem informasi harus mempertahankan kompetensi profesionalnya
secara terus menerus dengan melanjutkan edukasi dan training.
48
S5 Planning
1. Auditor sistem informasi harus merencanakan peliputan audit sistem informasi
sampai pada tujuan audit dan tunduk pada standar audit profesional dan
hukum yang berlaku.
2. Audit sistem informasi harus membangun dan mendokumentasikan resiko
yang didasarkan pada pendekatan audit.
S6 Performance of Audit Work
1. Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan
keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit
profesional yang ada.
2. Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan
bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan
audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi
terhadap bukti-bukti yang ada.
3. Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan
kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor
sistem informasi.
S7 Reporting
1. Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat,
atas penyelesaian audit.
2. Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu
dan tingkatan kerja audit yang dilaksanakan.
49
3. Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta
berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor
sistem informasi bertanggung jawab terhadap audit.
4. Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk
mendukung hasil pelaporan.
S8 Follow up Activities
Setelah laporan hasil audit yang mengemukakan temuan dan rekomendasi,
auditor SI harus mengevaluasi informasi yang relevan untuk memperoleh
keyakinan apakah tindak lanjut yang diperlukan (atas rekomendasi) telah
dilaksanakan oleh pihak manajemen sesuai jadwal yang diusulkan (tepat waktu).
S9 Irregularities and Illegal Acts
1. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko audit,
auditor harus mempertimbangkan resiko ketidakteraturan dan illegal acts.
2. Auditor SI harus bersikap profesional skeptis dalam pelaksanaan audit, paham
kemungkinan misstatement yang material dapat saja terjadi karena adanya
irregularities dan illegal acts, diluar evaluasi yang telah dilakukan.
3. Auditor SI harus memahami organisasi dan lingkungannya, termasuk sistem
pengendalian internal bidang yang diperiksa.
S10 IT Governance
1. Auditor sistem informasi harus meninjau dan menilai apakah fungsi sistem
informasi sesuai dengan misi organisasi, visi, nilai, objektif dan strategi.
50
2. Auditor sistem informasi harus meninjau apakah fungsi sistem informasi
mempunyai pernyataan yang jelas mengenai kinerja yang diharapkan dari
bisnis (efektif dan efisiensi) dan menilai pencapaian yang diperoleh.
3. Auditor sistem informasi harus meninjau dan menilai efektifitas dari sumber
sistem informasi dan kinerja proses manajemen.
4. Auditor sistem informasi harus meninjau dan menilai pelaksanaan yang
legal/sah, lingkungan dan kualitas informasi dan fiduciary dan persyaratan
keamanan.
5. Pendekatan secara resiko harus digunakan oleh auditor sistem informasi untuk
menilai fungsi sistem informasi.
6. Auditor sistem informasi harus meninjau dan menilai control environment dari
organisasi.
7. Auditor sistem informasi harus meninjau dan menilai resiko yang mungkin
merugikan pengaruh dari lingkungan sistem informasi.
S11 Use of Risk Assessment in Audit planning
1. Auditor sistem informasi harus menggunakan teknik penilaian resiko yang
tepat atau pendekatan dalam mengembangkan perencanaan audit sistem
informasi secara keseluruhan dan didalam prioritas determinasi untuk alokasi
yang efektif dari sumber audit sistem informasi.
2. Ketika planning individual reviews, auditor sistem informasi harus
mengidentifikasi dan menilai resiko yang berkaitan dengan area yang ditinjau.
51
S12 Audit Materiality
1. Auditor SI harus mempertimbangkan konsep materialitas dalam hubungannya
dengan resiko audit.
2. Dalam merencanakan audit, auditor SI mempertimbangkan kelemahan-
kelemahan potensial atau tidak adanya kontrol internal dan apakah hal itu
dapat mempunyai akibat yang signifikan pada SI.
3. Auditor SI harus mempertimbangkan dampak kumulatif dari kelemahan atau
ketiadaan pengendalian interen.
4. Laporan auditor SI harus mengungkapkan adanya pengendalian interen yang
lebih efektif atau tidak adanya pengendalian interen (terhadap resiko tertentu)
dan dampaknya.
S13 Using the Work of Other Experts
1. Auditor SI harus, jika memungkinkan, menggunakan hasil kerja auditor atau
tenaga ahli lain.
2. Auditor SI harus menilai kualifikasi profesional, kempetensi, pengalaman
yang relevan, sumber daya, independensi, dan proses quality control dari ahli
lain tersebut, sebelum menerima penugasan audit.
3. Auditor SI harus meninjau, menilai dan mengevaluasi hasil kerja tenaga ahli
lain tersebut sebagai bagian dari audit dan menentukan tingkat penggunaan
atau mengsampingkan hasil kerja tenaga lain tersebut.
4. Auditor SI harus menentukan dan menyimpulkan apakah hasil kerja tenaga
ahli lain tersebut cukup memadai dan lengkap untuk mendukung auditor SI
52
menarik kesimpulan sesuai tujuan audit (dan kesimpulan tersebut harus secara
jelas didokumentasikan).
5. Auditor SI perlu melaksanakan prosedur pemeriksaan posedur pemeriksaan
tambahan untuk memperoleh bukti audit yang lebih sufficient dan appropriate
pada situasi dimana auditor berpendapat bahwa bukti audit dari hasil kerja
tenaga ahli lain tersebut tidak cukup.
6. Auditor SI harus memberikan opini tentang kecukupan bukti audit dan
pembatasan ruang-lingkup pemeriksaan (jika ada), terkait kelengkapan bukti
audit yang diperoleh melalui pemeriksaan tambahan.
S14 Audit Evidence
1. Auditor sistem informasi harus memperoleh bukti audit yang cukup dan tepat
untuk menarik kesimpulan yang masuk akal berdasarkan hasil audit.
2. Auditor sistem informasi harus memeriksa kecukupan bukti audit yang
diperoleh selama audit.
Guideline Audit Sistem Informasi menurut ISACA (Information System
Audit and Control Association)
G1 Using the Work of Other Auditor and Experts
Isi pokok panduan :
Hak mengakses pekerjaan oleh auditor atau pakar lain. Auditor SI harus
mendapat keyakinan bahwa jika harus menggunakan hasil pekerjaan auditor atau
ahli lain untuk tujuan auditnya, maka hal itu harus jelas diatur dalam audit
charter (letter of engagement).
53
G2 Audit Evidence Requirement
Isi pokok panduan :
Dalam perencanaan audit, auditor SI harus menentukan tipe bukti audit yang
akan dikumpulkan dan digunakan untuk tujuan audit, serta tingkat realibilitasnya.
G3 Use of Computer Assisted Audit Technique (CAATs)
Isi pokok panduan :
CAATs dapat menghasilkan banyak audit pada audit SI, karena itu auditor harus
merencanakan penggunaan CAATs dengan seksama. CAATs juga dapat
digunakan untuk mengerjakan berbagai prosedur audit seperti uji transaksi /
saldo, prosedur analistik, uji pengendalian umum SI, uji pengendalian aplikasi
SI, tes penetrasi.
G4 Outsourcing of IS Activities to Another Organisations
Isi pokok panduan :
1. Responsibilitas, otoritas dan akuntabilitas
2. Jika fungsi SI di-outsourced, pada audit charter harus tegas mencakup hak
auditor SI untuk review aggrement di antara pemakai jasa dan auditor,
melakukan pemeriksaan jika memang dipertimbangkan perlu, dan
melaporkan temuan, kesimpulan dan rekomendasi.
54
G5 Audit Charter
Isi pokok panduan :
1. Mandat bagi audit SI untuk melaksanakan fungsinya harus jelas tertuang
pada uraian tugas pokok dan fungsi yang lazimnya disebut audit charter.
2. Audit charter harus dengan jelas mencantumkan tiga aspek: tanggung jawab,
otoritas, dan akuntabilitas.
G6 Materiality Concepts for Auditing Information
Isi pokok panduan :
Tingkat materialitas adalah sepenuhnya auditor’s professional judgement. Dalam
menilai materialitas, auditor, atau aturan serta kesalahan yang dapat diterima
manajemen, auditor, atau aturan serta dampak akumulasi kesalahan kecil yang
bias menjadi material.
G7 Due Professional Care
Isi pokok panduan :
Due care ialah tingkat ketelitian / ketekunan / seksama seorang professional
secara berhati-hati dan kompeten bekerja dalam lingkungan tertentu. Due
professional care adalah keadaan seperti itu untuk profesi atau keterampilan
teknis tertentu, misalnya dalam audit SI.
55
G8 Audit Documentation
Isi pokok panduan :
Dokumentasi harus menyebutkan informasi yang diperlukan berkaitan dengan
hukum, regulasi, kebijakan perusahaan, dan standar professional terkait, serta
disusun dengan jelas, terstruktur, mudah dipahami.
G9 Audit Consideration for Irregularities
Isi pokok panduan :
Auditor SI harus memperhatikan audit charter atau letter of engagement untuk
memperjelas tanggung jawab auditor terkait dengan preventing, detecting, dan
reporting irregularities.
G10 Audit Samplin
Isi pokok panduan :
Dalam menarik kesimpulan auditor menggunakan data sampel, karena tidak
mungkin auditor memeriksa seluruh data. Karena itu auditor SI harus merancang
audit sample, prosedur audit dan evaluasi audit sample yang layak dengan
metode audit sampling.
56
G11 Effect of Pervasive IS Control
Isi pokok panduan :
CobIT mendefinisikan control sebagai kebijakan, prosedur, practices, dan
struktur organisasi, yang dirancang untuk memperoleh keyakinan memadai
bahwa tujuan organisasi akan tercapai, dan jika banyak terdapat hal-hal yang
tidak diinginkan dapat dicegah, dideteksi, dan dikoreksi.
G12 Organizational Relationship and Independence
Isi pokok panduan :
Pengertian independen mencakup sikap dan perilaku sesuai kode etik dan
standar. Audit charter harus menjamin adanya independensi, otoritas, dan
akuntabilitas fungsi audit, semuanya diatur pada manajemen organisasi.
G13 Use of Risk Assesment in Audit Planning
Isi pokok panduan :
Banyak metoda dan teknik penaksiran resiko, berbasis komputer/ manual, mulai
dari sederhana (hanya dengan klasifikasi high, medium, dan low berdasarkan
auditor’s judgement). Sampai ke yang rumit dengan “kalkulasi ilmiah” untuk
menyusun numeric risk rating.
57
G14 Application Systems Review
Isi pokok panduan :
Salah satu bagian penting dalam audit planning adalah memahami sestem
informasi, tingkat kerumitan, dan ketergantungan proses bisnis maupun kegiatan
organisasi tersebut terhadap sistem informasinya. Pengendalian intern system
aplikasi menunjukkan tingkat resiko berjalan dengan baik / tidaknya system
aplikasi tersebut.
G15 Plannning Revised
Isi pokok panduan :
Auditor SI harus memahami arsitektur informasi yang diaudit serta arah
teknologi informasinya, melakukan risk assessment and prioritization,
menentukan lingkup pemeriksaan, dan melakukan preliminary assessment of
internal controls. Tingkat pemahaman mengenai organisasi dan proses serta hal-
hal lain yang berkaitan dengan auditan bergantung pada tingkat detail
pemeriksaan yang akan dilakukan.
G16 Effect of Third Parties on an Organization’s IT Controls
Isi pokok panduan :
Auditor SI harus menilai kurang / tidak berfungsinya kontrol, pada bidang
kegiatan yang mana, dan apakah secara signifikan berpengaruh terhadap
lingkungan pengendalian intern.
58
G17 Effect of Nonaudit Role on the IS Auditor’s Independence
Isi pokok panduan :
Audit charter perlu mencantumkan kemungkinan pemberian tugas non-audit
kepada staf unit audit, dan dalam setiap penugasan auditor harus yakin bahwa hal
itu tidak melanggar aturan yang ada pada audit charter.
G18 IT Governance
Isi pokok panduan :
IT Governance adalah salah satu domain didalam enterprise governance. Karena
TI sekarang dipandang bukan lagi hanya sebagai alat pengolah data atau sekedar
alat pelengkap organisasi bisnis, melainkan bagian integral dari strategi
perusahaan. Berdasarkan pandangan itu maka korporasi perlu memperoleh
keyakinan IT governance, dan untuk itu diperlukan audit.
G19 Irregularities and Illegal Acts
Isi pokok panduan :
1. Fraud, berbagai hal bersifat kecurangan untuk memperoleh keuntungan.
2. Manipulasi, pemalsuan, pengubahan data atau dokumen.
59
G20 Reporting
Isi pokok panduan :
Auditor SI harus membuat laporan hasil pemeriksaan yang disusun dalam format
yang tepat segera setelah selesai melakukan tugasnya.
G21 Enterprise Resource Planning (ERP) Systems Review
Isi pokok panduan :
ERP mendukung system operasi dan system informasi perusahaan, tetapi di sisi
lain mengandung risiko dan tantangan bagi organisasi: lingkungan bisnis,
perilaku organisasi, prosedur dan proses bisnis, integritas data, system
functionality, kelanjutan bisnis.
G22 Business to Consumer (B2C) E-Commerce Review
Isi pokok panduan :
Auditor SI harus menilai secara kritis tujuan EC, strategi, model, tingkat
persaingan dan posisi perusahaan, apakah EC merupakan inisiatif baru atau
merupakan kelanjutan bisnis yang sudah ada, tingkat ketergantungan ekonomi
perusahaan terhadap EC.
60
G23 Systems Development Life Cycle Review
Isi pokok panduan :
SDLC adalah rangkaian tahap prosedur pembangunan system berbasis TI. Sistem
dapat dibangun sendiri, dibeli (implementasi paket software yang tanpa diubah-
ubah lagi atau paket software yang dimodifikasi sehingga bisa memenuhi
keinginan kita), atau kombinasi.
G24 Internet Banking
Isi pokok panduan :
Auditor SI harus mengumpulkan informasi terkait tujuan internet banking,
strategi yang digunakan untuk mencapai tujuan, cara bank menggunkan
teknologi internet, dan hubungannya dengan customer. Auditor SI harus menilai
resiko-resiko seperti penilaian strategi dan analisis resiko, integritas tujuan
strategis perusahaan / bank, seleksi dan manajemen infrastruktur teknologi.
G25 Review of Virtual Private Networks
Isi pokok panduan :
Auditor SI harus menetapkan pendekatan audit yang akan dilakukan, hal ini
bergantung tahap pre-implementasi, dalam proses implementasi, atau post
implementasi. Jika dalam pemeriksaan akan digunakan bantuan ahli atau akan
digunakan testing / monitoring tools, perlu dikomunikasikan pada manajemen.
61
G26 Business Process Reenginering (BRP) Project Review
Isi pokok panduan :
Pengertian BRP adalah suatu pemikiran kembali secara mendasar dengan
redesain secara radikal terhadap proses bisnis agar terjadi perbaikan yang
dramatis dalam ukuran-ukuran kontemporer, seperti: biaya, mutu, service dan
speed.
G27 Mobile Computing
Isi pokok panduan :
Auditor SI harus memperhatikan risiko-risiko yang terkait dengan mobile
devices, terutama yang berkaitan dengan akses terhadap sistem/ data, dari
connectivity, dan affordability mobile device meningkatkan risiko.
G28 Computer Forensic
Isi pokok panduan :
Auditor SI harus membuat laporan yang antara lain memuat ruang lingkup,
tujuan, dan hakekat pemeriksaan, waktu dan tingkat pemeriksaan yang
dilakukan, temuan dan rekomendasi secara jelas, organisasi/ pihak-pihak yang
berhak menerima laporan tersebut, serta pembatasan.
62
G29 Post-Implementation Review
Isi pokok panduan :
Laporan hasil review post implementasi seharusnya memuat antara lain tujuan,
ruang lingkup, asumsi, dan metodologi yang digunakan dalam pemeriksaan,
penilaian apakah tujuan implementasi tercapai, penialian secara umum terhadap
proses implementasi.
G30 Competence
Isi pokok panduan :
Auditor SI memelihara kemampuan dan pengetahuan mereka secara
berkelanjutan untuk memelihara tingkat kompetensi yang dapat diterima. Hal ini
dapat dilakukan melalui pendidikan professional yang berkelanjutan meliputi:
pelatihan, kursus pendidikan, program sertifikasi, universitas, konferensi,
seminar.
G31 Privacy
Isi pokok panduan :
1. Harus dicegah terjadinya deviation (penyimpangan) atau breaches
(pelanggaran) penggunaan informasi.
2. Tiap organisasi harus mengatur prosedur dan tanggung jawab yang berkaitan
dengan privacy.
63
3. Aturan umum yang harus patuhi ialah bahwa semua pihak hendaknya hanta
mengakses data yang terkait tugasnya.
4. Dibuat user identification dan access privileges
G32 Business Continuity Plan (BCP) Review From IT Perspective
Isi pokok panduan :
Auditor SI harus merumuskan area penting seperti proses bisnis dan teknologi
yang terkait dengan penilaian resiko, dan harus dapat dijamin bahwa rencana
kerja harus dapat dilaksanakan.
G33 General Considerations on the use of the Internet
Isi pokok panduan :
Auditor SI menilai resiko: ancaman yang dihadapi dan perubahan atau
perkembangannya, biaya jika terjadi masalah, tingkat kemungkinan ada security
incident, konsekuensi jika ada data yang dibajak, dan lainnya.
G34 Responsibility, Authority and Accountability
Isi pokok panduan :
Auditor SI harus memiliki pengetahuan yang cukup untuk identifikasi indikasi
adanya kecurangan, bekerja secara seksama dan menggunakan keterampilan
yang diperlukan untuk bekerja secara kompeten dan kehati - hatian professional
jika menggunakan tenaga bantuan ahli lain selalu evaluasi dengan cermat.
64
G35 Follow-up Activities
Isi pokok panduan :
Auditor SI harus membahas dengan manajemen mengenai tindak lanjut atas
rekomendasi, dan sebaiknya dibuat action plan, tindak lanjut tersebut perlu
dicatat sebagai management response. Jika terjadi perbedaan pendapat atas
rekomendasi atau komentar penyeimbang dari pihak auditan, maka hal itu harus
diungkapkan, dan bila perlu dengan alas an masing - masing.
G36 Biometric Controls
Isi pokok panduan :
Identifikasi dan autentifikasi tradisional sebagai access controls. Melakukan
pemeriksaan terhadap seleksi dan pengadaan biometrics, operasional dan
pemeliharaan sistem biometric, kinerja system biometric dll.