General Control dan Application Control

Sigit Luhur Pambudi

NPM. 144060006249

Kelas IX C, Prodip IV Akuntansi Kurikulum Khusus, Sekolah Tinggi Akuntansi Negara

Tangerang Selatan

A. General Control

General control atau biasa disebut pengendalian umum dapat diartikan sebagai sebuah

kebijakan dan prosedur yang berhubungan dengan aplikasi sistem informasi dan mendukung

fungsi dari application control dengan cara membantu menjamin keberlangsungan sistem

informasi yang ada. Tujuan dari pengendalian umum ini adalah untuk menjamin

pengembangan dan implementasi aplikasi secara tepat dan menjamin integritas dari program,

data files, dan operasi komputer. General Control berlaku untuk semua komponen sistem,

proses, dan data untuk sebuah organisasi atau sistem lingkungan tertentu, termasuk : tata

kelola TI, manajemen risiko, manajemen sumber daya, operasional TI, pengembangan

aplikasi dan pemeliharaan, manajemen pengguna, keamanan logis, keamanan fisik,

manajemen perubahan, backup dan recovery, dan kelangsungan usaha.

General control yang sering digunakan antara lain:

1. IT (Information Technology) Organization Structure;

2. Logical access controls over system, applications, and data;

3. System development life cycle controls;

4. Program change management controls;

5. Data center physical security controls;

6. System and data backup and recovery controls;

7. Computer operation controls.

Penjelasan dari masing-masing contoh diatas antara lain:

1. IT Organization Structure

Dalam sebuah organisasi yang berdasarkan IT ataupun organisasi yang memang

mengurusi IT pasti akan terdapat susunan keorganisasian atau uraian jabatan dalam organisasi

tersebut dengan masing-masing tugas pokok dan fungsinya. Fungsi-fungsi dari masing-

masing jabatan tersebut akan mempengaruhi kelancaran organisasi dalam menjalankan visi

dan misinya. Beberapa contoh yang termasuk pada poin ini adalah:

- Operation unit (help desk, telecommunication network admin web operation, change

controller, librarian, data entry personel, end user)

- Technical support unit (data center, information center, network/LAN admin, Web admin,

user training)

- Data unit : database admin (DBAs), Data admin

- System and app development unit : System aanalyst, programmer, tester

- Data storage and security (keamanan data merupakan unsur utama yang wajib

diperhatikan. Beberapa bentuk pengamanan data antara lain pelatihan penggunaan email

dan internet, larangan pemasangan aplikasi selain yang telah ada di komputer, aplikasi

dijaga dalam program libraries, penggunaan software yang menghapus file tertentu secara

otomatis)

- Back up data (data harus memiliki program back up yang dikirim secara berkala )

- System development and maintenance

- End user

- System professional (system analyst, database designer, programmer)

2. Logical access controls over system, applications, and data

Digunakan untuk menjamin bahwa akses ke OS, data dan program/aplikasi dibatasi

hanya kepada pengguna yang berwenang. Salah satu contoh logical acces control adalah

penerapan user id dan password untuk pengunjung. Logical acces control biasa dibutuhkan

untuk melakukan remote access control baik dari pihak internal ataupun eksternal.

3. System development life cycle controls;

Pengendalian berupa pengembangan sistem selama masa hidup sebuah

program/aplikasi. Contoh dari poin ini adalah system planning, set IT policy, approve plan

monitor and oversight, and assess impact of IT.

Dalam system development life cycle controls dilakukan pula proses testing yaitu

untuk menguji kualitas sistem. Testing terdiri atas: merancang rencana pengujian,

mengumpulkan atau membuat skenario pengujia, melaksanakan pengujian, mengumpulkan

hasilnya, mengevaluasi feedback dan melaporkan hasil.

Pengujian dapat dilakukan melalui dua phase, unit/performance testing dan system

testing. Unit performance dilakukan untuk menemukan bug dalam aplikasi, system testing

dilakukan untuk menemukan bug yang muncul saat aplikasi berkomunikasi dengan program

lain dalam sistem.

4. Program change management controls;

Perubahan atas aplikasi haruslah disetujui oleh manajemen, sesuai standar

pengembangan dan di tes di lingkungan "sandbox". Dalam melakukan refinement perusahaan

perlu mempertimbangkan untuk mengevaluasi investasinya pada IT, antara lain :

- Cost and benefit dari investasi IT baik berwujud maupun tidak;

- Melakukan feasibility studi yg terdiri dari : scheduling, operational, technical dan

economic;

- Mempetimbangkan melakukan outsource.

5. Data center physical security controls;

Data center ataupun pusat data merupakan elemen yang sangat penting demi

keberlangsungan kehidupan aplikasi/program. Sistem server yang bagus merupakan syarat

utama bagi sebuah aplikasi besar agar dapat berjalan dengan baik. Pengamanan fisik terhadap

sistem server harus dilakukan dengan baik untuk menjamin bahwa sistem data center dapat

berjalan.

Dalam melakukan pengamanan data center hal-hal yang perlu diperhatikan :

- Lokasi , mempengaruhi kemungkinan rusaknya bangunan dan adanya bencana alam;

- Konstruksi bangunan;

- Physical access, seperti adanya batasan akses atas ruangan menggunakan security code,

fingerprint atau keycard;

- Air conditioning, mencegah rusaknya HW dalam kondisi suhu yang terlalu tinggi, atau

risiko kerusakan karena listrik statis saat kelembaban turun;

- Fire suppression, adanya alarm kebakaran di tempat tertentu, pemadam api (fire

extingusher)di lokasi;

- Fault tolerance, dapat menggunakan redundant arrays of indepent disk (RAID yaitu

menyimpan data yang sama di beebrapa tempat penyimpanan di lokasi yang sama) dan

UPS.

6. System and data backup and recovery controls;

Pada sebuah program besar yang didalamnya terdapat lalu lintas data atau input dan

output data yang rutin maka prosedur back up dan recovery harus ada. Hal tersebut untuk

mengantisipasi adanya error di tengah jalan sehingga user tidak akan kehilangan data karena

telah di back up. Perlu adanya Disaster Recovery Plan (DRP) untuk mengantisipasi jika

terjadi bencana. DRP memiliki 4 fitur yaitu:

- Identifikasi aplikasi penting;

- Menciptakan tim DRP;

- Menyediakan tempat backup;

- Specify backup and off-site storage procedures.

7. Computer operation controls.

Ruang lingkup dalam pengendalian ini antara lain:

a. Controlling access privilege, pengendalian berupa privilege/hak khusus yang menentukan

directories, file, aplikasi dll yang dapat diakses oleh seseorang, tergantung dari

jabatannya;

b. Password control, pengendalian berupa password untuk akses, password yan baik haruslah

diubah secara rutin, panjang dan menggunakan kombinasi huruf dan angka;

c. Virus Control, pengendalian terhadap malware seperti virus, worm, logic bomb, back door

dan trojan horse, dapat menggunakan software antivirus, pembatasan akses internet dan

pemasangan aplikasi tambahan;

Menurut Ikatan Akuntan Indonesia (IAI), pengendalian umum meliputi unsur-unsur

sebagai berikut:

1. Pengendalian organisasi dan manajemen;

2. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi;

3. Pengendalian terhadap operasi sistem;

4. Pengendalian terhadap perangkat lunak sistem;

5. Pengendalian terhadap entri data dan program;

6. Pengendalian terhadap keamanan Pengolahan Data Elektronik (PDE).

Dari keenam kategori pengendalian diatas dapat diklasifikasikan menjadi tujuh jenis

pengendalian sebagai berikut:

1. Pengendalian organisasi dan manajemen

2. Pengendalian piranti lunak dan piranti keras

3. Pengendalian akses

4. Pengendalian data dan prosedur

5. Pengendalian pengembangan sistem baru

6. Pengendalian pemeliharaan sistem dan program

7. Pengendalian dokumentasi

Pentabulasian kategori tersebut dan jenis-jenis pengendaliannya dapat dilihat pada tabel

berikut ini:

Kategori Pengendalian Jenis-jenis Pengendalian

Organisasi dan Manajemen

Pemisahan fungsi departemen PDE &

non PDE

Pemisahan fungsi dalam departemen

PDE

Otorisasi transaksi

Pengendalian personil

Perencanaan, Penganggaran dan Sistem

Pembebanan Kepada Pemakai

Piranti Lunak dan Keras Pengendalian piranti lunak

Pengendalian piranti keras

Pengendalian akses

Pembatasan akses fisik dan lojik

Dokumentasi program

Fasilitas-fasilitas online

Data dan Prosedur

Control group

Fail dan Database

Prosedur-prosedur standar

Keamanan fisik

Pemeriksaan Intern

Pengembangan Sistem Baru Partisipasi manajemen dan pemakai

Pengembangan standard an pedoman

Manajemen proyek

Pengujian sistem dan konversi

Penelaahan setelah pemasangan

Pemeliharaan program

Otorisasi dan persetujuan

Prosedur standard an dokumentasi

Pengendalian pemrograman dan

pelaksana

Pengujian terhadap perubahan

Dokumentasi

Dokumentasi standard an dokumentasi

pendefinisian masalah

Dokumentasi sistem

Dokumentasi program

Dokumentasi operasional

Dokumentasi pemakai

B. Application Control

Pengendalian aplikasi berkaitan dengan pekerjaan-pekerjaan tertentu yang dilakukan

dalam pengolahan data. Disebut sebagai pengendalian aplikasi karena semua pengendalian

akan ditempatkan pada masing-masing sistem atau aplikasi, dan dapat merupakan

pengendalian yang sifatnya manual maupun diprogramkan ke dalam sistem itu sendiri.

Pengendalian ini akan berfokus pada user karena user akan melakukan masukan yang akan

menghasilkan keluaran. Sementara itu user harus mengendalikan masukan dan merekonsiliasi

keluaran dengan masukan tersebut.

Dalam buku Auditing PDE karangan Anies Basalamah disebutkan bahwa IAI

membedakan pengendalian masukan, pengolahan dan keluaran dalam sistem online sebagai

satu klasifikasi tersendiri meskipn tujuannya masih tetap sama yaitu untuk “menetapkan

prosedur pengendalian khusus atas aplikasi akuntansi untuk memberikan keyakinan memadai

bahwa semua transaksi telah diotorisasi dan dicatat, serta diolah seluruhnya, dengan cermat,

dan tepat waktu.”

Beberapa tujuan dari pengendalian aplikasi antara lain:

1. Input data akurat, lengkap, terotorisasi dan benar;

2. Data diproses sebagaimana mestinya dalam periode waktu yang tepat;

3. Data disimpan secara tepat dan lengkap;

4. Output yang dihasilkan akurat dan lengkap;

5. Adanya catatan mengenai pemrosesan data dari input sampai menjadi output.

Jenis-jenis dari pengendalian aplikasi antara lain :

1. Input Control

2. Processing Control

3. Output Control

Penjelasan dari jenis-jenis pengendalian diatas adalah sebagai berikut:

1. Input Control

Input control atau pengendalian masukan didesain untuk menjamin bahwa transaksi valid,

akurat dan lengkap. Pengendalian ini akan memberikan jaminan bahwa data yang diproses

adalah data yang:

- Tidak mengandung kesalahan, lengkap dan ada otorisasinya;

- Dalam bentuk yang dapat dibaca oleh mesin;

- Diidentifikasikan;

- Ada langkah-langkah pembuatannya;

- Diserahkan untuk diproses.

Input control dapat diklasifikasikan sebagai berikut ini:

- Source document control

Menggunakan dokumen sumber yang prenumbered dan berurutan serta secara

periodik melakukan audit atas dokumen sumber

- Data coding control

Mengecek integritas kode data(nomor rek pelanggan, kode persediaan dan bagan akun

standar) yang digunakan dalam pemrosesan.

- Batch control, rekonsiliasi output yang dihasilkan dengan input yang dimasukkan

dalam sistem

- Hash total, penjumlahan dari record data nonfinansial untuk menguji adanya

perubahan atas data.

- Validation control

Digunakan untuk mendeteksi kesalahan dalam data transaksi sebelum diproses. Jenis

pengendalian yang termasuk dalam validation control adalah:

Numeric and alphabetic check (memberi pengaturan bahwa tiap field hanya

akan berfungsi jika pengisiannya berupa huruf saja atau angka saja)

Logic check (pengujian logic terhadap keadaan data yang sebenarnya, misalnya

jurnal penyusutan akan dianggap oleh komputer sebagai tidak logis apabila

kreditnya adalah kas)

Sign check (pengujian apakah suatu field tertentu memiliki symbol atau tanda

matematis yang sesuai)

Valid field size check (field harus berisi besaran yang cocok, misal PIN ATM

harus 6 digit, dsb)

Limit check (menguji apakah field transaksi masukan tertentu berada dalam

suatu batasan yang sebelumnya telah ditetapkan, misalkan batasan transaksi

penarikan ATM adalah Rp 2.500.000)

Valid code check (untuk menguji apakah suatu transaksi masukan tertentu

memiliki kode yang sama dengan yang ada di dalam daftar komputer yang

bersangkutan)

Range test (menguji apakah field tertentu memiliki batasan nilai tertentu)

Sequence check (menguji urut0urutan suatu field masukan tertentu)

Check-digit verification (dilakukan dengan menghitung suatu angka tertentu

untuk memastikan bahwa nilai yang sebenarnya tidak diubah)

2. Processing Control

Pengendalian ini dilakukan setelah data memasuki sistem dan program-program aplikasi

mengolah data tersebut. Menurut IAI, pengendalian ini dimaksudkan untuk memperoleh

jaminan yang memadai bahwa:

a. Transaksi diolah sebagaimana mestinya oleh komputer;

b. Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya;

c. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu dimasukkan kembali secara

tepat waktu.

Processing control dapat dibagi ke dalam 3 kategori yaitu:

a. Run-to-run control; pengendalian atas batch yang diproses yang melalui beberapa

program untuk memastikan bahwa seluruh batch diproses secara lengkap dan benar;

b. Operator intervention control; pengendalian atas intervensi program yang secara

manual dilakukan oleh operator karena ada potensi human error didalamnya;

c. Audit trail control, contohnya:

- Transaction logs (mencatat seluruh aktivitas yang terjadi pada komputer)

- Log of automatic transaction

- Listing of automatic transaction

- Unique transaction identifieers

- Error listing

3. Output Control

Pengendalian ini dimaksudkan untuk menetapkan bahwa data yang diproses adalah

lengkap, akurat dan didistribusikan kepada pihak-pihak yang berhak serta tepat waktu.

Dalam standar IAI pengendalian ini dimaksudkan untuk memberikan keyakinan yang

memadai bahwa:

a. Hasil pengolahan adalah cermat;

b. Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah mendapat otorisasi;

c. Keluaran disediakan secara tepat waktu bagi karyawan yang telah mendapatkan

otorisasi semestinya.

Dalam sistem online dimaksudkan untuk memberikan keyakinan bahwa:

a. Keluaran yang diterima oleh satuan usaha adalah tepat dan lengkap;

b. Keluaran yang diterima oleh satuan usaha diklasifikasikan dengan benar;

c. Keluaran didistribusikan kepada pegawai yang mempunyai otorisasi.

Yang termasuk kedalam pengendalian keluaran antara lain:

1. Error listing (saat terjadi kesalahan maka ada laporannya)

2. Reference documents (saat sistem mengalami gangguan, ada log mengenai memory

saat terjadi gangguan)

3. Spooling control (spool adalah alokasi memory sementara untuk output)

4. Working document (bukti asli (cek, invoice dsb) terjaga dengan baik, untuk

membandingkan antara input dengan output)

5. Report control (laporan yang dihasilkan akurat, sederhana, tepat waktu dan berarti

serta data yang didistribusikan aman)

6. Exception reporting (menyoroti data yang tidak biasa, agar dapat mengetahui sumber

error yg terjadi)

Pengujian atas application control dapat dilakukan melalui beberapa cara antara lain:

1. Black box approach

Auditor tidak menguji logika internal dari aplikasi, pemahaman atas aplikasi dilakukan

dengan analisis flowchart dan wawancara dengan personel.

pengujian dilakukan dengan cara menguji input yang dimasukkan dan melakukan

verifikasi atas output yang dihasilkan.

2. White box approach

Auditor menguji logika internal dari aplikasi, beberapa teknik uji pengendaliannya

antara lain :

a. Authenticity test, verifikasi apakah sesorang/program yang berusaha

mengakses sistem,otentik atau tidak;

b. Accuracy test, memastikan bahwa sistem hanya memroses data yang

memenuhi kriteria tertentu (misal range test, field test, limit test);

c. Completeness test, identifikasi adanya data yang hilang dalam batch;

d. Redundancy test, memastikan bahwa aplikasi hanya memroses tiap record

sekali;

e. Access test, memastrtikan bahwa aplikasi dapat mencegah pengguna untuk

mengakses data yang tidak sesuai kewenangannya

f. Audit trail test, memastikan aplikasi menciptakan audit trail yang cukup

g. Rounding error test/salami test, verifikasi kebenaran pembulatan yang

dilakukan program

DAFTAR REFERENSI

1. Basalamah, Anies. “Auditing PDE: dengan standar IAI, edisi kelima”. Jakarta:Usaha

Kami, 2011.

2. http://kodomogasuki.blogspot.co.id/search/label/AUDIT

3. http://www.isaca.org/Journal/archives/2002/Volume-5/Pages/Auditing-General-and-

Application-Controls.aspx