General Control and Application Control
-
Upload
sigit-luhur-pambudi -
Category
Documents
-
view
14 -
download
9
description
Transcript of General Control and Application Control
![Page 1: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/1.jpg)
General Control dan Application Control
Sigit Luhur Pambudi
NPM. 144060006249
Kelas IX C, Prodip IV Akuntansi Kurikulum Khusus, Sekolah Tinggi Akuntansi Negara
Tangerang Selatan
A. General Control
General control atau biasa disebut pengendalian umum dapat diartikan sebagai sebuah
kebijakan dan prosedur yang berhubungan dengan aplikasi sistem informasi dan mendukung
fungsi dari application control dengan cara membantu menjamin keberlangsungan sistem
informasi yang ada. Tujuan dari pengendalian umum ini adalah untuk menjamin
pengembangan dan implementasi aplikasi secara tepat dan menjamin integritas dari program,
data files, dan operasi komputer. General Control berlaku untuk semua komponen sistem,
proses, dan data untuk sebuah organisasi atau sistem lingkungan tertentu, termasuk : tata
kelola TI, manajemen risiko, manajemen sumber daya, operasional TI, pengembangan
aplikasi dan pemeliharaan, manajemen pengguna, keamanan logis, keamanan fisik,
manajemen perubahan, backup dan recovery, dan kelangsungan usaha.
General control yang sering digunakan antara lain:
1. IT (Information Technology) Organization Structure;
2. Logical access controls over system, applications, and data;
3. System development life cycle controls;
4. Program change management controls;
5. Data center physical security controls;
6. System and data backup and recovery controls;
7. Computer operation controls.
Penjelasan dari masing-masing contoh diatas antara lain:
1. IT Organization Structure
Dalam sebuah organisasi yang berdasarkan IT ataupun organisasi yang memang
mengurusi IT pasti akan terdapat susunan keorganisasian atau uraian jabatan dalam organisasi
tersebut dengan masing-masing tugas pokok dan fungsinya. Fungsi-fungsi dari masing-
![Page 2: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/2.jpg)
masing jabatan tersebut akan mempengaruhi kelancaran organisasi dalam menjalankan visi
dan misinya. Beberapa contoh yang termasuk pada poin ini adalah:
- Operation unit (help desk, telecommunication network admin web operation, change
controller, librarian, data entry personel, end user)
- Technical support unit (data center, information center, network/LAN admin, Web admin,
user training)
- Data unit : database admin (DBAs), Data admin
- System and app development unit : System aanalyst, programmer, tester
- Data storage and security (keamanan data merupakan unsur utama yang wajib
diperhatikan. Beberapa bentuk pengamanan data antara lain pelatihan penggunaan email
dan internet, larangan pemasangan aplikasi selain yang telah ada di komputer, aplikasi
dijaga dalam program libraries, penggunaan software yang menghapus file tertentu secara
otomatis)
- Back up data (data harus memiliki program back up yang dikirim secara berkala )
- System development and maintenance
- End user
- System professional (system analyst, database designer, programmer)
2. Logical access controls over system, applications, and data
Digunakan untuk menjamin bahwa akses ke OS, data dan program/aplikasi dibatasi
hanya kepada pengguna yang berwenang. Salah satu contoh logical acces control adalah
penerapan user id dan password untuk pengunjung. Logical acces control biasa dibutuhkan
untuk melakukan remote access control baik dari pihak internal ataupun eksternal.
3. System development life cycle controls;
Pengendalian berupa pengembangan sistem selama masa hidup sebuah
program/aplikasi. Contoh dari poin ini adalah system planning, set IT policy, approve plan
monitor and oversight, and assess impact of IT.
Dalam system development life cycle controls dilakukan pula proses testing yaitu
untuk menguji kualitas sistem. Testing terdiri atas: merancang rencana pengujian,
mengumpulkan atau membuat skenario pengujia, melaksanakan pengujian, mengumpulkan
hasilnya, mengevaluasi feedback dan melaporkan hasil.
![Page 3: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/3.jpg)
Pengujian dapat dilakukan melalui dua phase, unit/performance testing dan system
testing. Unit performance dilakukan untuk menemukan bug dalam aplikasi, system testing
dilakukan untuk menemukan bug yang muncul saat aplikasi berkomunikasi dengan program
lain dalam sistem.
4. Program change management controls;
Perubahan atas aplikasi haruslah disetujui oleh manajemen, sesuai standar
pengembangan dan di tes di lingkungan "sandbox". Dalam melakukan refinement perusahaan
perlu mempertimbangkan untuk mengevaluasi investasinya pada IT, antara lain :
- Cost and benefit dari investasi IT baik berwujud maupun tidak;
- Melakukan feasibility studi yg terdiri dari : scheduling, operational, technical dan
economic;
- Mempetimbangkan melakukan outsource.
5. Data center physical security controls;
Data center ataupun pusat data merupakan elemen yang sangat penting demi
keberlangsungan kehidupan aplikasi/program. Sistem server yang bagus merupakan syarat
utama bagi sebuah aplikasi besar agar dapat berjalan dengan baik. Pengamanan fisik terhadap
sistem server harus dilakukan dengan baik untuk menjamin bahwa sistem data center dapat
berjalan.
Dalam melakukan pengamanan data center hal-hal yang perlu diperhatikan :
- Lokasi , mempengaruhi kemungkinan rusaknya bangunan dan adanya bencana alam;
- Konstruksi bangunan;
- Physical access, seperti adanya batasan akses atas ruangan menggunakan security code,
fingerprint atau keycard;
- Air conditioning, mencegah rusaknya HW dalam kondisi suhu yang terlalu tinggi, atau
risiko kerusakan karena listrik statis saat kelembaban turun;
- Fire suppression, adanya alarm kebakaran di tempat tertentu, pemadam api (fire
extingusher)di lokasi;
- Fault tolerance, dapat menggunakan redundant arrays of indepent disk (RAID yaitu
menyimpan data yang sama di beebrapa tempat penyimpanan di lokasi yang sama) dan
UPS.
![Page 4: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/4.jpg)
6. System and data backup and recovery controls;
Pada sebuah program besar yang didalamnya terdapat lalu lintas data atau input dan
output data yang rutin maka prosedur back up dan recovery harus ada. Hal tersebut untuk
mengantisipasi adanya error di tengah jalan sehingga user tidak akan kehilangan data karena
telah di back up. Perlu adanya Disaster Recovery Plan (DRP) untuk mengantisipasi jika
terjadi bencana. DRP memiliki 4 fitur yaitu:
- Identifikasi aplikasi penting;
- Menciptakan tim DRP;
- Menyediakan tempat backup;
- Specify backup and off-site storage procedures.
7. Computer operation controls.
Ruang lingkup dalam pengendalian ini antara lain:
a. Controlling access privilege, pengendalian berupa privilege/hak khusus yang menentukan
directories, file, aplikasi dll yang dapat diakses oleh seseorang, tergantung dari
jabatannya;
b. Password control, pengendalian berupa password untuk akses, password yan baik haruslah
diubah secara rutin, panjang dan menggunakan kombinasi huruf dan angka;
c. Virus Control, pengendalian terhadap malware seperti virus, worm, logic bomb, back door
dan trojan horse, dapat menggunakan software antivirus, pembatasan akses internet dan
pemasangan aplikasi tambahan;
Menurut Ikatan Akuntan Indonesia (IAI), pengendalian umum meliputi unsur-unsur
sebagai berikut:
1. Pengendalian organisasi dan manajemen;
2. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi;
3. Pengendalian terhadap operasi sistem;
4. Pengendalian terhadap perangkat lunak sistem;
5. Pengendalian terhadap entri data dan program;
6. Pengendalian terhadap keamanan Pengolahan Data Elektronik (PDE).
Dari keenam kategori pengendalian diatas dapat diklasifikasikan menjadi tujuh jenis
pengendalian sebagai berikut:
![Page 5: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/5.jpg)
1. Pengendalian organisasi dan manajemen
2. Pengendalian piranti lunak dan piranti keras
3. Pengendalian akses
4. Pengendalian data dan prosedur
5. Pengendalian pengembangan sistem baru
6. Pengendalian pemeliharaan sistem dan program
7. Pengendalian dokumentasi
Pentabulasian kategori tersebut dan jenis-jenis pengendaliannya dapat dilihat pada tabel
berikut ini:
Kategori Pengendalian Jenis-jenis Pengendalian
Organisasi dan Manajemen
Pemisahan fungsi departemen PDE &
non PDE
Pemisahan fungsi dalam departemen
PDE
Otorisasi transaksi
Pengendalian personil
Perencanaan, Penganggaran dan Sistem
Pembebanan Kepada Pemakai
Piranti Lunak dan Keras Pengendalian piranti lunak
Pengendalian piranti keras
Pengendalian akses
Pembatasan akses fisik dan lojik
Dokumentasi program
Fasilitas-fasilitas online
Data dan Prosedur
Control group
Fail dan Database
Prosedur-prosedur standar
Keamanan fisik
Pemeriksaan Intern
Pengembangan Sistem Baru Partisipasi manajemen dan pemakai
Pengembangan standard an pedoman
Manajemen proyek
![Page 6: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/6.jpg)
Pengujian sistem dan konversi
Penelaahan setelah pemasangan
Pemeliharaan program
Otorisasi dan persetujuan
Prosedur standard an dokumentasi
Pengendalian pemrograman dan
pelaksana
Pengujian terhadap perubahan
Dokumentasi
Dokumentasi standard an dokumentasi
pendefinisian masalah
Dokumentasi sistem
Dokumentasi program
Dokumentasi operasional
Dokumentasi pemakai
B. Application Control
Pengendalian aplikasi berkaitan dengan pekerjaan-pekerjaan tertentu yang dilakukan
dalam pengolahan data. Disebut sebagai pengendalian aplikasi karena semua pengendalian
akan ditempatkan pada masing-masing sistem atau aplikasi, dan dapat merupakan
pengendalian yang sifatnya manual maupun diprogramkan ke dalam sistem itu sendiri.
Pengendalian ini akan berfokus pada user karena user akan melakukan masukan yang akan
menghasilkan keluaran. Sementara itu user harus mengendalikan masukan dan merekonsiliasi
keluaran dengan masukan tersebut.
Dalam buku Auditing PDE karangan Anies Basalamah disebutkan bahwa IAI
membedakan pengendalian masukan, pengolahan dan keluaran dalam sistem online sebagai
satu klasifikasi tersendiri meskipn tujuannya masih tetap sama yaitu untuk “menetapkan
prosedur pengendalian khusus atas aplikasi akuntansi untuk memberikan keyakinan memadai
bahwa semua transaksi telah diotorisasi dan dicatat, serta diolah seluruhnya, dengan cermat,
dan tepat waktu.”
Beberapa tujuan dari pengendalian aplikasi antara lain:
1. Input data akurat, lengkap, terotorisasi dan benar;
2. Data diproses sebagaimana mestinya dalam periode waktu yang tepat;
3. Data disimpan secara tepat dan lengkap;
![Page 7: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/7.jpg)
4. Output yang dihasilkan akurat dan lengkap;
5. Adanya catatan mengenai pemrosesan data dari input sampai menjadi output.
Jenis-jenis dari pengendalian aplikasi antara lain :
1. Input Control
2. Processing Control
3. Output Control
Penjelasan dari jenis-jenis pengendalian diatas adalah sebagai berikut:
1. Input Control
Input control atau pengendalian masukan didesain untuk menjamin bahwa transaksi valid,
akurat dan lengkap. Pengendalian ini akan memberikan jaminan bahwa data yang diproses
adalah data yang:
- Tidak mengandung kesalahan, lengkap dan ada otorisasinya;
- Dalam bentuk yang dapat dibaca oleh mesin;
- Diidentifikasikan;
- Ada langkah-langkah pembuatannya;
- Diserahkan untuk diproses.
Input control dapat diklasifikasikan sebagai berikut ini:
- Source document control
Menggunakan dokumen sumber yang prenumbered dan berurutan serta secara
periodik melakukan audit atas dokumen sumber
- Data coding control
Mengecek integritas kode data(nomor rek pelanggan, kode persediaan dan bagan akun
standar) yang digunakan dalam pemrosesan.
- Batch control, rekonsiliasi output yang dihasilkan dengan input yang dimasukkan
dalam sistem
- Hash total, penjumlahan dari record data nonfinansial untuk menguji adanya
perubahan atas data.
- Validation control
Digunakan untuk mendeteksi kesalahan dalam data transaksi sebelum diproses. Jenis
pengendalian yang termasuk dalam validation control adalah:
![Page 8: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/8.jpg)
Numeric and alphabetic check (memberi pengaturan bahwa tiap field hanya
akan berfungsi jika pengisiannya berupa huruf saja atau angka saja)
Logic check (pengujian logic terhadap keadaan data yang sebenarnya, misalnya
jurnal penyusutan akan dianggap oleh komputer sebagai tidak logis apabila
kreditnya adalah kas)
Sign check (pengujian apakah suatu field tertentu memiliki symbol atau tanda
matematis yang sesuai)
Valid field size check (field harus berisi besaran yang cocok, misal PIN ATM
harus 6 digit, dsb)
Limit check (menguji apakah field transaksi masukan tertentu berada dalam
suatu batasan yang sebelumnya telah ditetapkan, misalkan batasan transaksi
penarikan ATM adalah Rp 2.500.000)
Valid code check (untuk menguji apakah suatu transaksi masukan tertentu
memiliki kode yang sama dengan yang ada di dalam daftar komputer yang
bersangkutan)
Range test (menguji apakah field tertentu memiliki batasan nilai tertentu)
Sequence check (menguji urut0urutan suatu field masukan tertentu)
Check-digit verification (dilakukan dengan menghitung suatu angka tertentu
untuk memastikan bahwa nilai yang sebenarnya tidak diubah)
2. Processing Control
Pengendalian ini dilakukan setelah data memasuki sistem dan program-program aplikasi
mengolah data tersebut. Menurut IAI, pengendalian ini dimaksudkan untuk memperoleh
jaminan yang memadai bahwa:
a. Transaksi diolah sebagaimana mestinya oleh komputer;
b. Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya;
c. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu dimasukkan kembali secara
tepat waktu.
Processing control dapat dibagi ke dalam 3 kategori yaitu:
a. Run-to-run control; pengendalian atas batch yang diproses yang melalui beberapa
program untuk memastikan bahwa seluruh batch diproses secara lengkap dan benar;
b. Operator intervention control; pengendalian atas intervensi program yang secara
manual dilakukan oleh operator karena ada potensi human error didalamnya;
![Page 9: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/9.jpg)
c. Audit trail control, contohnya:
- Transaction logs (mencatat seluruh aktivitas yang terjadi pada komputer)
- Log of automatic transaction
- Listing of automatic transaction
- Unique transaction identifieers
- Error listing
3. Output Control
Pengendalian ini dimaksudkan untuk menetapkan bahwa data yang diproses adalah
lengkap, akurat dan didistribusikan kepada pihak-pihak yang berhak serta tepat waktu.
Dalam standar IAI pengendalian ini dimaksudkan untuk memberikan keyakinan yang
memadai bahwa:
a. Hasil pengolahan adalah cermat;
b. Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah mendapat otorisasi;
c. Keluaran disediakan secara tepat waktu bagi karyawan yang telah mendapatkan
otorisasi semestinya.
Dalam sistem online dimaksudkan untuk memberikan keyakinan bahwa:
a. Keluaran yang diterima oleh satuan usaha adalah tepat dan lengkap;
b. Keluaran yang diterima oleh satuan usaha diklasifikasikan dengan benar;
c. Keluaran didistribusikan kepada pegawai yang mempunyai otorisasi.
Yang termasuk kedalam pengendalian keluaran antara lain:
1. Error listing (saat terjadi kesalahan maka ada laporannya)
2. Reference documents (saat sistem mengalami gangguan, ada log mengenai memory
saat terjadi gangguan)
3. Spooling control (spool adalah alokasi memory sementara untuk output)
4. Working document (bukti asli (cek, invoice dsb) terjaga dengan baik, untuk
membandingkan antara input dengan output)
5. Report control (laporan yang dihasilkan akurat, sederhana, tepat waktu dan berarti
serta data yang didistribusikan aman)
6. Exception reporting (menyoroti data yang tidak biasa, agar dapat mengetahui sumber
error yg terjadi)
![Page 10: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/10.jpg)
Pengujian atas application control dapat dilakukan melalui beberapa cara antara lain:
1. Black box approach
Auditor tidak menguji logika internal dari aplikasi, pemahaman atas aplikasi dilakukan
dengan analisis flowchart dan wawancara dengan personel.
pengujian dilakukan dengan cara menguji input yang dimasukkan dan melakukan
verifikasi atas output yang dihasilkan.
2. White box approach
Auditor menguji logika internal dari aplikasi, beberapa teknik uji pengendaliannya
antara lain :
a. Authenticity test, verifikasi apakah sesorang/program yang berusaha
mengakses sistem,otentik atau tidak;
b. Accuracy test, memastikan bahwa sistem hanya memroses data yang
memenuhi kriteria tertentu (misal range test, field test, limit test);
c. Completeness test, identifikasi adanya data yang hilang dalam batch;
d. Redundancy test, memastikan bahwa aplikasi hanya memroses tiap record
sekali;
e. Access test, memastrtikan bahwa aplikasi dapat mencegah pengguna untuk
mengakses data yang tidak sesuai kewenangannya
f. Audit trail test, memastikan aplikasi menciptakan audit trail yang cukup
g. Rounding error test/salami test, verifikasi kebenaran pembulatan yang
dilakukan program
![Page 11: General Control and Application Control](https://reader035.fdokumen.com/reader035/viewer/2022071705/563db822550346aa9a90d7be/html5/thumbnails/11.jpg)
DAFTAR REFERENSI
1. Basalamah, Anies. “Auditing PDE: dengan standar IAI, edisi kelima”. Jakarta:Usaha
Kami, 2011.
2. http://kodomogasuki.blogspot.co.id/search/label/AUDIT
3. http://www.isaca.org/Journal/archives/2002/Volume-5/Pages/Auditing-General-and-
Application-Controls.aspx