Kontrol Output

Kontrol output menentukan akurasi dan kewajaran informasi yang diproses. Kontrol output juga meliputi penyimpanan laporan output. Total catatan yang diproses harus sesuai dengan total input catatan. Formulir yang telah diberi nomor terlebih dahulu dapat membantu mengontrol output karena nomor ini dapat dipertanggungjawabkan. Sebagai contoh, nomor formulir cek penggajian dapat diperbandingkan dengan catatan inputnya.

Di dalam beberapa organisasi, tumpukan kertas dicetak untuk setiap siklus dan tumpukan tersebut dibuang dalam waktu tertentu. Jutaan pohon dikabarkan untuk altar laporan cetak. Beberapa organisasi hanya cetak laporan yang harus ditindaklanjuti, sementara laporan yang digunakan untuk pemeriksaan (jejak audit) dicatat dalam media lainnya. Laporan tidakan meliputi jurnal akun baru yang seharusnya ditelaah, daftar piutang yang jatuh tempo, ayat jurnal dan neraca saldo yang akan dilihat hanya jika suatu transaksi harus ditelusuri melalui sistem tersebut. Laporan penelitian dapat disimpan dalam Computer Orgineted Microfiche (COM atau fiche saja), pada disk optik WORM (Write Once, Read Multiple), atau CD-ROM (Compact Disk-Read Only Memory). Media-media adalah sistem penyimpangan yang permanen dan tidak dapat diubah.

• Microfiche dihasilkan dengan menulis laporan pada layar terminal dan mengambil gambar dari layar tersebut ke dalam film dalam bentuk yang sangat kecil.
• Disk Optik (WORM dan CD-ROM) secara luas dihubungkan dengan compact disk yang digunakan untuk merekam musik.

Kontrol output juga meliput juga meliputi penanganan yang tepat atas berbagai pengecualian. Ketika data yang valid ditolak. kesalahan tersebut mungkin terletak pada kerusakan mesin atau kesalahan operator. Lembar pengetik konsul, sejenis output, harus dipelihara untuk dapat memperlihatkan alasan mengapa terjadi penolakan data yang valid dan juga mencatat langkah yang dilakukan untuk memperbaiki kesalahan.

Outout sistem harus sesuai dengan standart berikut :

• Laporan : Laporan ini harus tepat waktu, akurat, dan berarti.
• Dokumen kerja : Dokumen ini berbentuk cek, saving bonds, pesanan pembelian, dan lain-lain.
• Dokumen referensi: Dokumen ini digunakan untuk memperlihatkan apa yang terdapat di komputer jika fungsi komputer terganggu.
• Laporan kesalahan: Walaupun biasanya jumlahnya kecil, hal ini bisa saja rumit dan sulit untuk ditangani.

Sumber : Sawyer's Internal Auditing

Kontrol Pemrosesan

Biasanya, kontrol pemrosesan telah diterapkan ke ruang mesin. Tujuannya adalah untuk mencegah atau menghilangkan keinginan melakukan manipulasi data yang tidak baik serta untuk memastikan operasi yang memuaskan dan berkelanjutan atas peranti keras (hardware) dan peranti lunak. Kini, jenis kontrol ini mungkin bergeser di luar ruang komputer tempat peralatan komputer ditempatkan.

Akses ke komputer harus dibatasi ke orang-orang yang memiliki otorisasi untuk mengoperasikan peralatan tersebut. Program objek harus hanya dapat diakses ke operator peralatan tersebut. Pemisahan ini tujuannya untuk mempersulit melakukan modifikasi yang tidak sah atas program. Sama halnya, para pemrogram seharusnya tidak memiliki akses tanpa batas ke lokasi komputer, arsip, atau catatan.

Para operator tidak diperkenankan memiliki akses tanpa batas ke sistem. Mereka diperkenankan mengakses hanya ke informasi program yang dibutuhkan untuk tujuan memasang peralatan dan untuk merespon gangguan program. Supervisor pemrosesan data harus merespon ke "abends" (ABnormal ENDS atau gangguan) program yang telah diuji sebelumnya dan disetujui untuk digunakan.

Intervensi operator dalam bentuk apa pun harus dicatat. Bahkan, sebagian besar sistem yang modern memiliki daftar konsol yang mencatat semua intervensi operator dalam sistem tersebut. Oleh karena selalu adanya kemungkinan manipulasi yang tidak baik, peringatan tambahan berikut ini harus dipertimbangkan.

• Tentukan kehadiran paling tidak dua operator terlatih selama pengoperasian peralatan.
• Rotasikan tugas antara operator.

Sistem tersebut harus memiliki kontrol internal yang memadai. Contohnya, jika sebuah sistem membangun serangkaian arsip sementara ketika memproses data, setiap langkah berikutnya harus memeriksa total pengendali yang dibuat oleh langkah sebelumnya dalam "arsip" kontrol sistem.

Fitur kontrol lainnya adalah pemeriksaan tanggal dan arsip. Sistem yang dikontrol dengan baik akan mencatat total dari operasi sebelumnya (nilai uang dan jumlah) serta tanggal dan waktu dari operasi terakhir aplikasi tersebut. Jika aplikasi diserahkan dalam keadaan terdapat kesalahan di dalamnya pada hari yang sama, sebuah pesan kesalahan akan dibuat. Alasannya adalah jarang sekali total input untuk dua hari yang berbeda akan benar-benar sama.

Sumber : Sawyer's Internal Auditing

Kontrol Input

Kontrol input membantu memperkuat hubungan yang lemah dalam rantai kegiatan simtem informasi (SI). Semua cara pemeriksaan dan penyeimbangan dapat di bangun ke dalam program untuk memastikan pemrosesan, penyimpanan, dan penarikan data yang benar, tetapi se mua ini tidaklah berguna jika komputer diberi data yang salah atau tidak lengkap dari semua. Kontrol input dapat dibentuk untuk membantu. Seharusnya terdapat jaminan bahwa apa pun yang diterima oleh mesin adalah data yang lengkap.

Sistem kontrol batch memberi jaminan bahwa tidak ada data yang hilang ketika data tersebut ditransmisikan dari satu tempat ke tempat lainnya sebelum data itu mencapai komputer. Salah satu cara untuk mewujudkan kontrol batch adalah dengan memproses semua transaksi dalam suatu periode waktu tertentu, menjumlah nilainya sebagai bagian dari fitur terminal atau pemrosesan, serta mencatat dan merekonsiliasi total-total tersebut di daftar pada berbagai titik transfer yang berbeda.

Sistem real time tidak dapat melakukan kontrol batch secara langsung. Pada sistem terminal jarak jauh, data dimasukan secara sporadis dan oleh berbagai orang yang berbeda ke dalam terminal hingga tidak mudah dibuat menjadi batch. Selain itu, setiap entri dapat menjadi sasaran program edit untuk memastikan bahwa setiap field memiliki format numerik, alfanumerik, alfabetis yang benar. Terakhir setiap entri dapat diperiksa untuk kewajarannya atau logisnya. Contohnya, suatu bagian data yang tampil lebih dari 24 jam dalam sehari mungkin akan ditolak, atau jenis-jenis bagian data tertentu mungkin dibuat oleh departemen tertentu saja.

Ketika data telah ditolak, harus terdapat beberapa metode guna memastikan entri ulang untuk bahan semacam itu setelah diperbaiki. Kontrol lainnya meliputi :

• Jumlah total (hust total) : Nilai total ini tidak memiliki arti tertentu, tetapi berguna sekali karena mereka menambah jumlah numerik dari informasi nonkeuangan untuk mencegah kehilangan selama pemrosesan aplikasi
• Pemeriksaan format (format check): Pemeriksaan ini menunjukan bahwa data dimasukan ke dalam bentuk yang sesuai dan dalam field yang telah ditetapkan.
• Pemeriksaan batas (limit check): Pemeriksaan ini memastikan input tidak melebihi kisaran yang numerik yang ditetapkan, seperti jam kerja mingguan maksimum.
• Pemeriksaan kewajaran (reasonableness check): Pemeriksaan ini dilakukan melalui perbandingan input dengan informasi lainnya yang tersedia dalam catatan yang ada.
• Pemeriksaan field (field check): Pemeriksaan ini menunjukan kelengkapan informasi, seperti alamat untuk pelanggan baru.
• Pemeriksaan numerik (numerical check): Pemeriksaan ini memastikan bahwa data alfabetis tidak dimasukan ke dalam field yang dikhususkan untuk data numerik.
• Perbandingan historis (historical comparison): Pemeriksaan ini menunjukan apakah informasi yang ada saat ini dapat dibandingkan dengan informasi sebelumnya.
• Pemeriksaan urutan (sequence checking): Pemeriksaan ini memverifikasi urutan alfanumerik dari field kunci dalam bagian data yang akan diproses.
• Pemeriksaan kelebihan bebas (overflow checking): Pemeriksaan ini adalah pemeiksaan programatis untuk mencegah kelebihan kapasitas memori atau field dalam menerima data (biasanya numerik).
• Angkat pemeriksa (check digit): Kontrol ini adalah fungsi dari angka lainnya dalam sebuah angka dan memungkinkan algoritma matematis menetapkan apakah angka tersebut telah diketik dengan benar (terutama berguna dalam mendeteksi kesalahan transposisi)
• Verifikasi ketikan (keysroke verification: Dengan memasukan data ke dalam keyboard kedua kalinya, input yang salah dapat dideteksi melalui sinyal mekanis.
• Otorisasi dan persetujuan and approval): Terdapat dua jenis otorisasi.
• Rekonsiliasi dan penyeimbang (reconciliation and balancing) Terdapat dua jenis rekonsiliasi. Pertama untuk menganalisis perbedaan, kedua untuk membuat uji persamaan.
• Lebel arsip (file label): Label ini mengidentifikasi transaksi, arsip dan output.
• Transaksi pembaruan (pemutakhiran): Proses ini melibatkan data dalam jumlah besar dan biasanya berulang.
• Permintaan: Transaksi ini tidak mengubah arsip, tetapi dapat mengakibatkan pembaruan atau pemeliharaan arsip sebagai hasil dari permintaan.
• Perbaikan kesalahan: Transaksi ini menyebabkan kesulitan paling besar dan merupakan transaksi yang paling sulit dikontrol.

Sumber : Buku Sawyer's Internal Audit.

Perubahan Program

Di dalam lingkungan SI yang umum, perubahan program sering kali dilakukan dan lingkupnya luas. Auditor internal harus menentukan apakah perubahan diotorisasi, diuji, dan diimplementasikan dengan benar. Tanpa sistem kontrol perubahan yang memadai, merupakan hal yang tidak mungkin untuk bersandar pada integritas pemrosesan dari aplikasi terpisah.

Contohnya, bayangkan pengaruh dari perubahan program untuk penipuan pada aplikasi utang usaha berikut ini :

• Ketika pembayaran ke vendor dilakukan, nama dan alamat setiap vendor yang berada di dalam arsip vendor diakses selama check run. Organisasi mensyaratkan otorisasi tertulis untuk perubahan apa pun atas nama vendor dan alamatnya. Selain itu, akses online ke sistem utang usaha membutuhkan password tingkat supervisor khusus, yang secara teratur diubah. Terakhir daftar nama dan alamat vendor untuk utang usaha dicetak serta diperbandingkan dengan dokumen sumber terotorisasi secara triwulan.

Kontrol tradisional, paling tidak dalam sistem utang usaha tempat cek yang dicetak dengan komputer tidak secara terpisah ditelaah oleh karyawan yang memiliki informasi tentang hal tersebut, akan mendeteksi penipuan ini hanya setelah terjadinya kejadian tersebut. Oleh karena nilai uangnya tidak diubah, check run akan seimbang. Daftar cek akan menunjukan bahwa cek tersebut telah dikeluarkan ke vendor yang asli (yang sah). Arsip vendor tidak akan menunjukkan perubahan. Pemrogram, dengan cara "menyusun kembali" program pencetakan cek, dapat menghapus semua bukti dari perubahan program untuk penipuan tersebut. Tentu saja, vendor akhirnya akan menyampaikan keluhannya: tetapi diperlukan waktu beberapa bulan untuk menetapkan sumber masalahnya.

Program kontrol perubahan yang baik meliputi elemen-elemen berikut ini :

• Keamanan: Pemrogram dapat saja membuat perubahan atas salinan uji program komputer, tetapi banyak pustakawan yang benar-benar memindahkan program ujinya (beserta perubahan lain yang terkait) kedalam lingkungan produksi
• Jejak audit: Sejarah terperinci atas semua perubahan program dan JCL (Job Control Language), harus dipelihara.
• Jaminan kualitas: Sistem kontrol perubahan memberikan kerangka kerja untuk sistem telaah kualitas SI.
• Ketentuan untuk perubahan darurat: Di luar upaya yang ditunjukan untuk pengujian dan penjaminan kualitas, program kadang kala akan tetap berhenti berjalan (sering kali disebut sebagai "blowing up" atau "bombing") atau memberikan hasil yang salah.
• Kode sumber dan penelusuran perubahan JCL: Di luar jejak audit yang dapat menunjukan program mana yang diubah dan kapan, daftar terperinci dari setiap baris kode sumber yang telah diubah juga seharusnya tersedia.

Sumber : Buku Sawyer's Internal Auditing

Telekomunikasi

Sistem informasi secara rutin menstransmisikan data dalam jumlah besar dari satu titik ke titik lainnya. Auditor internal harus menilai integritas, keamanan, keandalan, dan kinerja jaringan organisasi untuk menetapkan apakah data tersebut akurat dan tepat waktu.

Banyak organisasi yang sangat bergantung pada telekomunikasi. Sistem reservasi pesawat, misalnya, harus secara terus-menerus terhubung selama jam kerja. Kerusakan telekomunikasi apa pun akan berarti kerugian nyata atas pendapatan. Contoh lainnya adalah transmisi data persediaan atau penjualan dari pusat data regional kepusat data utama. Apapun aplikasinya, berikut ini adalah masalah yang umum dihadapi dalam semua sistem telekomunikasi:

• Data dapat dihilangkan, diubah, atau diduplikasi selama transmisi.
• Jaringan (contohnya, sistem telepon) dapat tidak bisa dioperasikan selama suatu periode waktu.
• Informasi rahasia dapat diekstrasi melalui berbagai teknik penyadapan (eavesdropping) atau yang disebut sebagai penyadapan pasif (passive wiretapping)
• Waktu respons transmisi dapat menjadi begitu lambat sehingga pelanggan merasa jengkel atau fungsi bisnis terpengaruh secara negatif.
• Orang-orang yang tidak memiliki otorisasi dapat memasukan pesan dengan tujuan penipuan ke dalam jaringan (active wiretapping)
• Jaringan telekomunikasi yang kurang baik desainnya dapat mengakibatkan biaya yang berlebihan jika perlengkapan yang tidak sesuai dibeli.

Untungny, kini tersedia berbagai kontrol teknis hingga secara signifikan dapat mengurangi risiko yang berkaitan dengan transaksi data. Berikut adalah beberapa kontrol telekomunikasi yang saat ini digunakan:

• Penyusunan pesan: Nomor pesan dimasukkan ke dalam setiap catatan yang ditransmisikan
• Enkripsi: Data yang ditransmisikan "dipecah-pecah" dengan menggunakan algoritma matematis rumit untuk melakukan enkode data.
• Algoritma pemeriksa mandiri: Berbagai teknik matematis yang canggih seperti "pemeriksaan berlebih yang berulang" digunakan untuk menetapkan apakah ada informasi yang diubah selama transmisi.
• Peranti lunak pemonitor jaringan: Transmisi berjalan melalui banyak siaran publik dan i serta perlengkapan telekomunikasi lainnya.
• Panggilan kembaiotomatis: Banyak basis data komersial yang telah diakses dan, dalam beberapa kasus, dirusak atau diubah untuk penipuan oleh para "hacker."
• Saluran khusus: Bagi organisasi yang mentransfer jumlah tertentu data secara rutin, saluran khusus memberikan tingkat keamanan dan kualitas transmisi tinggi.
• Prosedur penyetelan ulang/pemulihan: Telekomunikasi dapat rusak tanpa peringatan. Pekerjaan bangunan dekat kabel telepon, lonjakan listrik akibat petir, dan bahkan kesalahan pemrograman pada mainframe dapat mengakibatkan kehilangan tiba-tiba dukungan telekomunikasi.

Sumber : Buku Sawyer's Internal Auditing

Sistem Operasi

Sistem operasi adalah jantung komputer. Tanpa kontrol yang memadai atas implementasi dan perawatannya, organisasi akan sering mengalami waktu kerusakan yang lama, pemprosesan yang salah, dan penipuan komputer yang sulit untuk dideteksi.

Sistem operasi dan peranti lunak sistem terkait lainnya adalah rangkaian dari sistem yang saling berhubungan dengan sejumlah besar pilihan yang dipilih oleh pemogram sistem. Pilihan tersebut memungkinkan sistem operasi untuk mencocokan dengan tepat lingkungan peranti keras dan peranti lunak organisasi. Contohnya, angka, ID, dan jenis terminal tampilan tersebutkan ketika sistem operasi dipasang (disebut SYSGEN). Instalasi peranti lunak sistem harus mengikuti siklus hidupnya sendiri, termasuk persetujuan, dokumentasi, pengujian yang tepat, serta konfirmasi keluar oleh operasi komputer dan manajemen SI umum. Perubahan sistem operasi cenderung untuk membawa risiko yang relatif tinggi karena dapat memengaruhi seluruh pusat data dan jaringan.

Ketika peranti lunak dipertimbangkan untuk dibeli, pemrogam sistem (ahli sistem operasi) harus menentukan apakah dibutuhkan "hubungan" (hook) dengan sistem operasi. Jika demikian, paket peranti lunak tersebut harus di install ulang setiap kali terdapat versi baru dari sistem operasi karena hook memodifikasi sistem operasi untuk memungkinkan peranti lunak tertentu bekerja.

Pusat data menengah hingga besar biasanya memiliki banyak paket peranti lunak sistem, yang sebagian besar dipasok oleh vendor peranti keras. contohny meliputi

• Sistem operasi
• Utilitas untuk menyalin, mencetak, menjelajah, dan lainnya untuk memanipulasi data.
• Penyusun untuk mengubah kode sumber program yang dapat dibaca da ke program yang dapat dijalankan mesin.
• Peranti lunak manajemen basis data.

Merupakan hal yang penting bagi komponen-komponen peranti lunak dari sistem operasi untuk tetap diperbarui (dengan kata lain, versi harus yang baru). Kadang kala, vendor menghentikan dukungan untuk versi sistem operasi yang lama. Pemprosesan di organisasi dengan sistem operasi yang lama berisiko dalam hal seringnya terjadi kerusakan karena sumber dari sistem operasi gagal dan kadang sangat sulit untuk diidentifikasi tanpa bantuan para ahli dari vendor.

Sumber : Buku Sawyer's Internal Auditing

Perencanaan Kontinjensi dan Pemulihan Sistem Informasi dari Bencana

Sejak awal era tahun 1960-an, sebagian besar organisasi telah mengotomatiskan fungsi yang dulu dilakukan secara manual. Selain itu, layanan online kini merupakan bagian integral dari rutinitas harian. Hasilnya, ketersediaan SI merupakan hal yang sangat penting bagi keberlanjutan banyak organisasi. Auditor internal harus menelaah rencana kontinjensi maupun kemampuan pembuatan cadangan untuk menetapkan apakah organisasi dapat terus melanjutkan memproses transaksi yang penting ketika terjadi kebakaran, gempa bumi, banjir, serangan bom, atau bencana lainnya yang mempengaruhi pusat data.

Biasanya, organisasi dengan kemampuan yang memadai untuk pulih dari bencana akan lengkapi dengan: 

• Penyimpanan data, program, sistem operasi, dan dokumentasi utama, di luar lokasi kantor (off-sile)
• Dokumen perencanaan yang berisi langkah-langkah terperinci yang harus dilakukan ketika terjadi bencana, contohnya, lokasi pemrosesan di luar kantor, daftar aplikasi yang sangat penting, dokumentasi operasi, informasi telekomunikasi, nama dan nomor telepon karyawan-karyawan utama (baik pengguna maupun personal Sistem Informasi), serta informasi vendor untuk peranti lunak-peranti keras.
• Kesepakatan cadangan (back up) dengan lokasi-lokasi alternatif lainnya.

Hot site sangat terkenal di kalangan perusahaan. Lokasi ini adalah lokasi yang dilengkapi dengan peralatan penuh, dan merupakan lokasi sistem informasi yang dijaga sering kali disediakan gratis oleh vendor luar yang siaga 24 jam per hari. Apabila terjadi bencana, arsip-arsip organisasi dapat dimasukan ke dalam sistem di hot site dan pemrosesan yang penting dapat diteruskan hingga pusat data yang rusak tersebut dapat diperbaiki. Hot site biasanya dilengkapi dengan koneksi telekomunikasi yang ekstensif, karena pemrosesan secara online merupakan hal yang sangat penting bagi perusahaan. Alternatif lainnya adalah perjanjian timbal-balik dengan dua atau lebih perusahaan sepakat untuk berbagai sumber daya sistem (biasanya diluar jam kerja) jika terjadi bencana.

Cold site kadang kala digunakan ketika pemulihan yang cepat dari bencana bukanlah hal yang sangat penting. Cold site adalah bangunan dengan listrik, AC, koneksi telekomunikasi, lantai yang tinggi untuk peralatan komputer, serta persyaratan lingkungan lainnya. Biasanya tidak ada peralatan komputer yang disimpan dalam cold site sampai terjadinya bencana.

Sumber : Sawyer's Internal Auditing

Siklus Hidup Pengembangan Sistem

Pada awal-awal tahun penerapannya, penggabungan Sistem Informasi memiliki kecenderungan gagal begitu akan digunakan. Ketidak beradaan suatu hal adalah alasannya yaitu keterlibatan para eksekutif dan para manajer pengguna SI. Mereka menghindari studi kelayakan, penetapan kebijakan dan tujuan, standar pengembangan, dan pengujian atas aplikasi yang dikembangkan. Mereka menganggap komputer sebagai suatu yang misterius dan tidak dapat dikelola, serta mereka meninggalkannya untuk ditangani oleh para spesialis Sistem Informasi.

Pada tahun-tahun berikutnya, sistem telah dijelaskan oleh beberapa faktor:

• fakta bahwa teknologi informasi masuk ke dalam setiap aspek bisnis dan pemerintahan, telah memaksa para manajer, karyawan dan para auditor untuk belajar tentang bagaimana cara berinteraksi dengan sistem informasi.
• Makin tidak jelasnya populasi penolak komputer telah menyingkirkan banyak orang yang tidak dapat mengadaptasi lingkungan sistem informasi.
• Meningkatnya pengajaran komputer dalam semua tingkat proses pendidikan telah menciptakan generasi pekerja baru yang merasa nyaman dengan komputer, senyaman mereka memprogram VCR mereka.
• Meningkatkan dorongan untuk mengotomatiskan fungsi dan keamanan pekerjaan telah memberikan insentif bagi banyak manajer dan pekerja untuk menguasai penggunaan sistem.

Siklus hidup pengembangan sistem (systems development life cycle SDLC) harus melibatkan seluruh pihak yang berkepentingan dalam sistem yang sedang diciptakan atau yang diperbaiki. Para pihak yang berkepentingan tersebut adalah orang-orang yang memiliki kepentingan organisasional dalam operasi rutin sistem. Mereka diarahkan melalui sesi desain kelompok yang mengidentifikasi dan menetapkan persyaratan pengguna.

Terdapat berbagai isu dan peluang penting bagi para auditor internal untuk ditangani dalam siklus hidup pengembangan sistem. Salah satunya yang cukup penting adalah kepastian bahwa kepentingan para pihak selalu berada dalam urutan atas tujuan pengembangan. Auditor internal juga dilibatkan dalam memastikan bahwa proyek pengembangan mengikuti standar organisasi pengembangan sistem.

Sumber : Buku Sawyer's Internal Auditing

Telaah Sistem Informasi oleh Audit Internal

Telaah atas kontrol organisasi biasanya dimulai dengan pengenalan sistemnya. Para auditor internal bisa mengetahui dengan benar sistem tersebut dengan cara menelaah kebijakan manajemen, struktur organisasi, deskripsi kerja, laporan tenaga kerja dan lembur, prosedur operator sistem, operasi fasilitas dokumentasi dan penyimpanan, kontrol input/output, serta konversi data.

Semua posisi pekerjaan, terutama bagi para pustakawan, operator sistem, kelompok kontrol dan operator entri data, harus dideskripsikan secara memadai agar tidak ada pertanyaan tentang siapa yang bertanggung jawab atas apa. Sebaliknya, mengidentifikasi siapa yang seharusnya tidak melakukan berbagai kewajiban tertentu adalah hal yang penting dalam deskripsi pekerjaan yang berkaitan dengan Sistem Informasi. Batasan-batasan ini, bersama dengan otorisasi khusus, membentuk dasar bagi keamanan logis termasuk sistem kontrol yang terkait dengan password.

Para auditor internal harus mengamati operasi untuk menetapkan apakah pemisahan tugas yang dimaksudkan berhasil. Sering kali, kontrol organisasi tidak didokumentasikan. Oleh karena itu, para auditor internal ingin mengetahui apakah departemen secara fisik terpisah, apakah media yang dapat dibaca oleh mesin berisi label eksternal dan internal, apakah pustakawan tidak terbuka bagi siapa saja yang menginginkan akses tanpa maksud jelas, apakah para supervisor mempertahankan pengawasan yang wajar, dan apakah hanya orang-orang yang memiliki otorisasi yang berada dalam ruang komputer dan yang menggunakan arsip yang dibutuhkan untuk operasi.

Para auditor internal harus menelaah catatan rotasi kerja dan jadwal cuti. Mereka harus memastikan bahwa semua orang dalam aktivitas Sistem Informasi benar-benar mengambil cuti setiap tahunnya dan secara fisik jauh dari operasi perusahaan.

Telaah atas kelompok kontrol Sistem Informasi didesain untuk menetapkan apakah kelompok tersebut bertanggung jawab atas data yang diterimanya dari ketika melalui konverensi data, pemprosesan data, perbaikan kesalahan, dan entri ulang data, hingga pada saat data secara formal disebarkan sebagai output ke para pengguna.

Sumber : Buku Sawyer's Internal Auditing

Pengendalian atas Sistem Informasi

Sebagian besar catatan (record) disimpan dalam peralatan magnetis. Jutaan catatan yang diproses setiap hari mengalir secara tidak tampak dan tanpa campur tangan manusia. Kerusakan yang tidak disengaja, kesalahan, hilangnya data, terdapat disetiap segmen aplikasi ketika data ditranskripsikan dari satu media ke media lainya, ketika data ditransmisikan dari satu lokasi lainnya, ketika data sedang diproses, ketika data ditolak dan dimasukan kembali, serta ketika data disimpan.

Kontrol dalam sistem informasi adalah alat yang digunakan untuk mengelola hal-hal tersebut dan untuk membantu mencapai tujuan dari pihak manajemen. Alat ini berbeda dari alat yang digunakan dalam lingkungan manual karena:

• Sumber data kadang independen dari pengguna data.
• Jejak transaksi dari input ke output jarang tampak oleh mata manusia
• Adanya kebutuhan atas kejelasan jika tidak terdapat pertimbangan manusia
• Dokumentasi harus akurat dan dapat digunakan
• Tanggung jawab informasi pengguna dibagi dengan fasilitas pemrosesan Sistem Informasi.

Agar dapat meringkas berbagai kesulitan yang ada, terdapat sejumlah faktur yang menghalangi pengembangan sistem kontrol yang memadai, yaitu

• Pengumpulan fakta dan evaluasi dapat saja tidak lengkap
• Para pengguna semakin meyakini apa pun yang mereka temukan dalam laporan sistem tersebut hanya karena laporan tersebut berasal dari sistem informasi, mereka tidak mempelajari secara skeptis laporan tersebut untuk melihat "apakah data yang diberikan masuk akal"
• Kurang terdapat arah yang jelas dan sesuai
• Pihak manajemen senior mungkin tidak melakukan tanggung jawabnya atas sistem kontrol pada tingkat dasar karena masalah tersebut terlalu teknis.
• Berbagai kesalahan dapat muncul dalam desain sistem.
• Komunikasi sering kali tidak baik di antara para karyawan bagian sistem, pengguna, dan pihak manajemen, hingga para pengguna gagal untuk mengidentifikasi kontrol mana yang dibutuhkan untuk menangani berbagai transaksi, pemprosesan data, serta menerima output informasi.
• Pemogram yang tidak bertanggung jawab dapat memasukan perintah ke dalam sistem agar dapat menyimpangkan aktiva demi kepentingannya sendiri.

Kontrol harus dimasukkan ke dalam setiap sistem dan aplikasi untuk mengurangi hal-hal yang mungkin timbul seperti catatan yang kurang baik, akuntansi yang tidak tepat, gangguan bisnis, pengambilan keputusan yang buruk, penipuan dan penggelapan, pelanggaran atas ketentuan hukum atau peraturan, peningkatan biaya, hilangnya aktiva, serta hilangnya posisi kompetitif dalam pasar.

Sumber : Buku Sawyer's Internal Auditing

Entri Online/Pemrosesan Batch (Memo Post)

Aplikasi memo post menyediakan entri, permintaan, dan edit data secara online, tetapi memperbarui arsip utama dengan pemrosesan secara batch. Setelah arsip utama diperbarui  (biasanya pada malam hari setelah jam kerja), salinan "memo" dari arsip utama yang baru akan dibuat. Arsip memo tersebut diperbarui dengan entri data dan digunakan untuk pemrosesan permintaan selama hari tersebut. Setelah penyesuaian, arsip memo tersebut dapat digunakan untuk memasukan transaksi ke arsip utama selama pemrosesan batch pada malam berikutnya.

Dalam praktik, berbagai organisasi dapat menggunakan beberapa jenis pemrosesan dalam aplikasi yang sama. Bank, contohnya, sering kali memproses pemeliharaan (contohnya, untuk perubahan alamat nasabah) secara online real time. Transaksi uang, disisi lain, di-memo post-kan selama jam kerja dan diproses secara batch pada malam hari. Dengan melakukan memo post atas transaksi uang selama hari tersebut, bank dapat memelihara saldo terkini masing-masing nasabah dan dapat memonitor penarikan kas. Pemasukan nilai uang yang sesungguhnya (yang permanen) ke dalam rekening terjadi ketika dokumen kertas seperti cek dan slip penyetoran dibaca ke dalam mesin pemilah bank dan diproses secara batch bersama dengan transaksi elektronisnya. Hal ini memungkinkan penggunaan kontrol tradisional atas transaksi uang, termasuk total batch serta verifikasi tanda tangan.

Sumber : Buku Sawyer's Internal Auditing

Komponen Sistem Informasi

Dalam komponen Sistem Informasi, biasanya sistem informasi dapat dibagi kedalam peranti keras dan peranti lunak, penjelasannya sebagai berikut :

Peranti Keras

Sistem peranti keras (hardware) yang digunakan dalam bisnis dapat dikategorikan ke dalam empat kelompok: server, PC, minikomputer, dan mainframe. Pembagian ini tidak didasarkan pada ukuran fisik sistem, tetapi lebih pada kemampuan pemprosesan mereka kecepatan, penyimpanan, dan kapasitas untuk memproses aplikasi yang canggih.

Server adalah sistem yang menerima permintaan dari sistem lainnya, menghubungi klien, dan memproses permintaan tersebut.

PC adalah sistem yang lebih kecil dan yang memiliki sejumlah kecil peralatan input/autput. Tidak seperti mainframe dan minikomputer, lebih ekonomis memperuntukkan sebuah PC bagi pengguna tunggal (oleh karena itu, istilah yang digunakan adalah komputer pribadi. PC yang lebih besar sering kali dibagi dalam sebuah departemen dan mungkin dihubungkan dalam sebuah local area network.

(LAN), yaitu sebuah jaringan dengan jarak maksimum antara dua titik, biasanya kurang dari satu mil. Umumnya, PC terdiri atas sebuah prosesor, keyboard, layar monitor, hard disk (yang tidak dapat dipindahkan), satu drive "floppy" disket (yang dapat dipindahkan), drive CD-ROM, dan sebuah mesin printer.

Minikomputer sangatlah bervariasi dalam ukuran dan kemampuan pemprosesannya. Biasanya minikomputer memiliki "memori" besar, bersama dengan beberapa terminal. printer, dan kapasitas disk drive yang besar. Minikomputer sering kali berfungsi sebagai komputer pusat dalam perusahaan kecil dan menengah. 

Peranti Lunak

Peranti lunak memberikan perintah pada prosesor sistem. Investasi pada peranti lunak, termasuk pembelian paket peranti lunak, gaji karyawan untuk mengembangkan dan memelihara program, serta biaya perawatan yang harus dibayar ke vendor, sering kali secara substansial melebihi biaya peranti keras. Pusat pemprosesan data berukurang sedang hingga besar dapat dengan mudahnya memproses ratusan dari ribuan perintah program untuk aplikasi bisnisnya. Selain itu, komputer dengan segala ukuran membutuhkan rangkaian program yang dipasok oleh vendor, atau yang disebut "sistem operasi dan peranti lunak sistem," yang mengelola sumber daya sistem, hingga memungkinkan program aplikasi melakukan pekerjaan.

Peranti lunak aplikasi melakukan pemprosesan kegiatan bisnis organisasi dan terdiri atas serangkaian program. Keserbagunaan komputer kini digunakan secara komersial. Sistem dapat dikembangkan dari spesifikasi (dibuat sendiri) atau dibeli dari vendor dan dimodifikasi. Paket peranti lunak dari vendor biasanya memiliki 'arsip kontrol sistem' yang memungkinkan penyesuaian program agar sesuai dengan kebutuhan organisasi tertentu. contohnya, sistem penggajian bisa saja memungkinkan diselipkan tarif pajak penghasilan negara atau area ke dalam tabel pajak.

Sumber : Buku Sawyer's Internal Auditing

Pemahaman Auditor Internal Mengenai Sistem Informasi

Pemahaman mengenai sistem informasi (SI), yang dahulu dianggap menyenangkan untuk dimiliki kini menjadi hal mendasar bagi auditor internal. Auditor intrnal perlu memahami dan mengevaluasi berbagai risiko serta peluang yang terkait dengan teknologi informasi karena beberapa alasan.

• Cepatnya pertumbuhan teknologi
• Penggunaan sistem informasi yang lebih di setiap fungsi organisasi yang semakin erat hubungannya satu sama lain.
• Penggunaan mainframe, pemprosesan terdistribusi, dan komputer pribadi (personal computer PC) yang dengan disertai meningkatnya persentase penggunaan di antara para karyawan dan manajer organisasi.
• Peningkatan yang luas atas informasi yang tersedia bagi para manajer.
• Penurunan skeptisme mengenai akurasi data yang diproses melalui sistem informasi.
• Pergeseran manajemen sistem dari bidang keilmuan para ahli pemrograman kepara pengguna akhir
• Peningkatan pengetahuan akan sistem informasi dalam masyarakat umum mengarah pada semakin tersebar luasnya kemampuan untuk menangani data.
• Peningkatan penggunaan local Area Network (LAN) dan lingkungan komputasi yang terdistribusi
• Peningkatan penggunaan basis data (database) personal
• Peningkatan penggunaan sistem perusahaan secara keseluruhan

Para auditor internal harus mampu memahami dan dapat bekerja dengan sistem informasi yang kompleks. Perusahaan baik yang berorientasi pada laba maupun nirlaba didukung oleh sistem yang seringkali membingungkan penggunanya: sistem ini melakukan transaksi tanpa intervensi manusia, membuat keputusan berdasarkan model logis yang sangat rumit, mentransmisikan serta menyimpan ribuan data dalam bentuk elektronik, berkomunikasi secara interaktif dengan para pelanggan dan pemasok, mengoperasikan mesin, dan membuat laporan keuangan.

Agar para auditor internal dapat memberikan kontribusi yang signifikan ke organisasi, mereka harus mampu menggunakan sistem informasi dan memahami berbagai risiko yang terkait dengan penggunaannya. 

Para eksekutif dan manajer operasional berpaling ke karyawan bagian audit intenal untuk membantu memberikan penilaian yang realistis mengenai berbagai risiko dalam organisasi mereka. Sejalan dengan semakin banyaknya pemrosesan (komputasi) terdistribusi dan komputer pribadi (PC atau mikrokomputer) banyaknya lapisan jaringan, banyaknya penyimpanan data, menurunnya tingkat penelaahan transaksi oleh karyawan, serta cepatnya peubahan sistem aplikasi, membuat pihak manajemen bener-bener membutuhkan auditor internal yang dapat melihat gambaran umumnya.

Sumber : Buku Sawyer's Internal Auditing

Pengamanan Fisik-Media yang dapat Diambil dan yang Tidak dapat Diambil

Program dan data yang digunakan dalam suatu komputer mikro dapat disimpan dalam media penyimpanan yang dapat diambil atau media penyimpanan yang tidak dapat diambil. Diskette dan cartridge dapat diambil secara fisik dari komputer mikro, sementara itu, hard disk umumnya dipasang permanen di dalam komputer mikro atau dalam unit yang berdiri sendiri ditempatkan pada komputer mikro. Bilamana komputer mikro digunakan oleh banyak orang, pemakai dapat melakukan sikap yang mengakibatkan kerusakan pada tempat penyimpanan diskette aplikasi atau cartridge yang menjadi tanggung jawabnya. Sebagai akibatnya, diskette yang penting dapat salah letak, diubah tanpa izin, atau hancur.

Pengendalian atas media penyimpanan yang dapat diambil dapat digunakan dengan meletakan tanggung jawab atas media tersebut ke pundak personel yang tanggung jawabnya mencakup tugas sebagai penyimpan dan pustakawan. Pengendalian dapat diperketat jika digunakan sistem pengecekan keluar atau masuknya arsip data dan program serta disediakan tempat penyimpanan tertentu yang berkunci. Pengendalian seperti ini membantu memberikan jaminan bahwa media penyimpanan yang dapat diambil tidak hilang, salah letak, atau diberikan kepada personal yang tidak semestinya. Pengendalian fisik terhadap media penyimpanan yang tidak dapat diambil kemungkinan paling baik dilakukan dengan alat pengunci.

Tergantung dari sifat arsip data dan program, perlu dilakukan penyimpanan semestinya terhadap diskette, cartridge, dan hard disk yang terkini di dalam countainer yang anti api, baik di tempat kerja, di luar tempat kerja atau keduanya. Begitu juga terhadap perangkat lunak sistem operasi dan utilitas serta backup copy of hard disk

Sumber :Standar Profesional Akuntan Publik

Pengamanan Program dan Data

Bila mana komputer mikro dapat siakses oleh banyak pemakai, terdapat risiko bahwa program dan data dapat diubah tanpa izin. Oleh karena perangkat lunak sistem operasi komputer mikro kemungkinan tidak berisi alat-alat pengendalian dan pengamanan, terdapat beberapa teknik pengendalian yang dapat dibangun ke dalam program aplikasi, untuk membantu menjamin agar data diolah dan dibaca sebagaimana yang seharusnya dan agar dapat di cegah terjadinya kecelakaan yang menghancurkan data tersebut. Teknik-teknik ini, yang membatasi akses ke program dan data di tangan personal yang berwenang, mencakup:

• Pemisahan data ke dalam arsip yang disusun ke dalam file directory yang terpisah.
• Penggunaan arsip yang disembunyikan dan nama arsip rahasia 
• penggunaan pasword.
• Penggunaan cryptography

Penggunaan file directory memungkinkan pemakai memisahkan informasi ke dalam media penyimpanan yang dapat diambil dan yang tidak dapat diambil. Untuk informasi penting dan sensitif, teknik ini dapat ditambah dengan penggunaan nama arsip rahasia atau menyembunyikan arsip tersebut.

Jika komputer mikro digunakan oleh berbagai pemakai, teknik pengendalian intern yang efektif adalah dengan menggunakan password, yang menentukan tingkat akses yang diberikan kepada pemakai. Password diberikan dan dikendalikan oleh personel yang independen dari sistem tertentu yang menggunakan password tersebut. Perangkat lunak password dapat dikembangkan oleh entitas yang bersangkutan, namun pada umumnya dibeli dari pihak ketiga.

Cryptography dapat menyediakan pengendalian yang efektif untuk melindungi program dan informasi yang sensitif dari akses dan pengubah yang tidak semestinya oleh pemakai. Biasanya alat pengendalian inidigunakan dalam data sensitif dikirimkan melalui jalur komunikasi, namun juga dapat dipakai atas informasi yang diolah dengan menggunakan komputer mikro.

Directory file, arsip yang disembunyikan, perangkat lunak untuk menentukan otentiknya pemakai, dan cryptography dapat digunakan untuk komputer mikro yang memiliki baik media penyimpanan yang dapat diambil maupun yang tidak dapat diambil. Untuk komputer mikro yang memiliki media penyimpanan yang dapat diambil, cara efektif untuk pengamanan program dan data adalah dengan mengambil diskette dan cartride dari komputer mikro dan menempatkannya di bawah penjagaan pemakai yang bertanggung jawab terhadap data yang terdapat didalamnya atau ditangan pustakawan.

Sumber : Standar Profesional Akuntan Publik   

Integritas Perangkat Lunak Dan Data Sistem Informasi

Komputer mikro diarahkan ke pemakai akhir untuk mengembangkan program aplikasi, pemasukan dan pengolahan data dan pembuatan laporan. Tingkat kecermatan dan keandalan informasi keuangan yang dihasilkan akan tergantung pada pengendalian intern yang ditetapkan oleh manajemen dan digunakan oleh pemakai, begitu pula dengan pengendalian yang dimasukan dalam program aplikasi. Pengendalian terhadap integritas data dan perangkat lunak dapat menjamin bahwa informasi yang diolah bebas dari kekeliruan dan dari manupulasi yang tidak diotorisasi (yaitu bahwa data yang telah diotorisasi telah diolah dengan cara yang telah ditetapkan).

Integritas data dapat ditingkatkan dengan memasukan prosedur pengendalian intern seperti penggunaan format check, range check, dan cross check terhadap hasil. Suatu review terhadap perangkat lunak yang dibeli dapat menentukan apakah perangkat lunak tersebut berisi fasilitas untuk mengecek dan menemukan kekeliruan. Untuk perangkat lunak yang dikembangkan sendiri oleh pemakai, yang mencakup elektronik spreadsheet template dan database application, manajemen dapat menentukan secara tertulis prosedur untuk mengembangkan dan menguji program aplikasi.

Adanya dokumentasi tertulis tentang aplikasi yang digunakan untuk mengolah data dengan komputer mikro dapat memperkuat lebih lanjut integritas perangkat lunak dan pengendalian integritas data. Dokumentasi tersebut meliputi intruksi tahap semi tahap, penjelasan tentang laporan yang dibuat, sumber data yang diolah, penjelasan tentang laporan individual, arsip dan spesifikasi yang lain, seperti perhitungan.

Jika aplikasi akuntansi dipakai di berbagai lokasi, integritas dan konsistensi program aplikasi tersebut dapat ditingkatkan bila program tersebut dikembangkan dan dipelihara di satu tempat bila, bukan di lakukan di berbagai tempat oleh berbagai pemakai. 

Sumber : Standar Profesional Akuntan Publik

Pengendalian Intern Dalam Lingkungan Komputer Mikro

Umumnya, lingkungan SIK yang di dalamnya komputer mikro digunakan kurang terstruktur  bila dibandingkan dengan lingkungan SIK yang dikendalikan secara terpusat. Dalam lingkungan SIK dengan mikro komputer, program aplikasi dapat dikembangkan secara relatif cepat oleh pemakai yang hanya memiliki keterampilan pengolahan data tingkat dasar. Dalam hal ini, pengendalian dalam proses pengembangan sistem (misalnya dkumentasi memadai) dan operasi (misalnya prosedur pengendalian terhadap akses), yang sangat penting dalam menentukan efektivitas pengendalian dalam lingkungan komputer yang lebih besar, dapat tidak dipandang penting dan tidak cost-effective oleh pengembang sistem, pemakai, atau manajemen dalam lingkungan komputer mikro.

Otoritasi Manajemen untuk Mengoperasikan Komputer Mikro

Manajemen dapat memberikan kontribusi dalam mengefektifkan operasi stand-alone microcomputer dengan merumuskan dan menegakan kebijakan untuk pengendalian dan pemakaian komputer tersebut. Pernyataan kebijakan manajemen dapat berupa:

• Tanggung jawab manajemen
• Intruksi atas pemakaian komputer mikro
• Persyaratan pelatihan
• Wewenang untuk akses ke program dan data tanpa izin
• Persyaratan pengamanan, back-up dan penyimpanan
• Standar untuk format laporan dan pengendalian distribusi laporan.
• Kebijakan pemakaian untuk kepentingan pribadi
• Standar integritas data.
• Tanggung jawab untuk koreksi program, data, dan kekeliruan.
• Pemisahan tugas yang semestinya.

Pengamanan Fisik-Ekuipmen

Oleh karena karakteristik fisiknya, komputer mikro mudah dicuri, mengalami kerusakan fisik, dan mudah diakses atau digunakan tanpa izin. 

Satu metode untuk memberikan perlindungan secara fisik terhadap komputer mikro adalah dengan membatasi akses ke komputer mikro pada waktu tidak digunakan dengan menggunakan pintu terkunci atau perlindungan pengamanan yang lain selama jam kerja.

Sumber : Standar Profesional Akuntan Publik

Dampak Sistem Komputer On-Line Atas Sistem Akuntansi Dan Pengendalian Intern Yang Terkait

Dampak suatu m komputer on-line terhadap sistem   dan risiko yang berkaitan  tergantung pada:

• Luasnya sistem online digunakan untuk mengolah aplikasi akuntansi.
• Tipe dan signifikannya transaksi keuangan yang diolah 
• Sifat arsip dan program yang dimanfaatkan dalam aplikasi.

Risiko terjadinya keuangan atau kekeliruan sistem on-line dapat dikurangi dalam keadaan berikut ini:

• Jika pemasukan data secara on-line dilaksanakan pada atau dekat dengan tempat asal transaksi, risiko transaksi tersebut tidak dicatat menjadi berkurang.
• Jika transaksi yang tidak sah dikoreksi dan dimasukkan kembali segera, risiko bahwa transaksi tersebut tidak akan dikoreksi dan dimasukan  segera, risiko bahwa transaksi tersebut tidak akan dikoreksi  dan e kembali kedalam sistem menjadi berkurang.
• Jika pemasukan data dilaksanakan secara on-line oleh individu yang memahami sifat transaksi yang bersangkutan, proses pemasukan data berkurang kemungkinan kekeliruannya bila dibandingkan dengan jika dimasukan oleh individu yang tidak biasa dengan sifat transaksi tersebut.
• Jika transaksi diolah segera secara on-line, risiko transaksi tersebut diolah di dalam periode akuntansi yang keliru menjadi berkurang.

Risiko terjadinya kecurangan dan kekeliruan dalam sistem komputer on-line menjadi meningkat jika terdapat alasan-alasan berikut ini:

• Jika peralatan terminal diletakkan di seluruh entitas, kesempatan untuk menggunakan peralatan terminal tanpa diotorisasi dan transaksi yang tidak diotorisasi menjadi meningkat.
• Peralatan terminal on-line memberikan kesempatan untuk terjadinya penggunaan tidak semestinya seperti: Modidifikasi transaksi atau saldo yang sebelumnya telah dimasukan, modifikasibprogram komputer.
• Jika pengolahan on-line terputus dengan sebab apa pun, seperti, kegagalan telekomunikasi, kemungkinan besar akan terjadi hilangnya transaksi atau arsip dan pemulihannya kemungkinan tidak cermat atau tidak lengkap.

Sistem komputer on-line juga berdampak terhadap pengendalian intern. Karakteristik sistem komputer on-line, sebagaimana dijelaskan di atas, menggambarkan beberapa pertimbangan yang mempengaruhi efektivitas pengendalian intern dalam sistem komputer on-line. Karakteristik tersebut dapat memiliki konsekuensi berikut ini:

• Tidak terdapat dokumen sumber untuk setiap transaksi masukan.
• Hasil pengolahan dapat sangat ringkas; sebagai contoh, hanya total dari peralatan individual yang digunakan untuk pemasukan data secara on-line dapat ditelusuri ke pengolahan selanjutnya.
• Sistem komputer on-line dapat didesain untuk menyediakan laporan tercetak: sebagai contoh, laporan edit dapat digantikan dengan pesan edit yang ditayangkan pada layar terminal.

Sumber : Standar Profesional Akuntan Publik

Karakteristik Database System

Database system dibedakan dengan sistem lain melalui dua karakteristiknya: data sharing dan independensi data. Karakteristik ini memerlukan penggunaan kamus data atau data dictionary dan pembuatan fungsi pengelolaan database

Data Sharing

Suatu database terdiri dari data yang disusun dengan hubungan yang telah ditentukan dan diorganisasikan sedemikian rupa sehingga memungkinkan banyak pemakai menggunakan dan tersebut dalam berbagai aplikasi yang berbeda. Aplikasi secara individual berbagai data dalam database untuk berbagai tujuan yang berbeda. Sebagai contoh, kos (cost) suatu unsur sediaan yang diselenggarakan dalam database dapat digunakan oleh satu program aplikasi untuk menghasilkan laporan kos (cost) penjualan dan oleh program aplikasi lain digunakan untuk menghasilkan penilaian sediaan.

Sumber : Buku Standar Profesional Akuntansi Publik

Independensi Data Dari Program Aplikasi

Oleh karena di butuhkan data sharing, maka diperlukan pula indenpendensi data dari program aplikasi. Hal ini dicapai dengan DBMS (database management system) mencatat data sekali untuk digunakan oleh berbagai program aplikasi. Dalam non-database system, arsip data terpisah diselenggarakan untuk setiap program aplikasi dan data yang sama yang dipakai oleh beberapa aplikasi dapat diulangi pada beberapa arsip yang berbeda. Namun, dalam suatu database system, satu arsip data (atau database) digunakan oleh banyak aplikasi, dengan meminimumkan data redundancy.

DBMS berbeda dalam tingkat independensi data yang disediakan. Tingkat independensi data berkaitan dengan kemudahan yang diperoleh personel di dalam menyelesaikan perubahan program aplikasi atau dengan database. Independensi sebenarnya suatu data dicapai bilamana struktur data di dalam database dapat diubah tanpa mempengaruhi program aplikasi, dan sebaliknya.

Sumber : Buku Standar Profesional Akuntan Publik

Dampak Database Terhadap Prosedur Audit

Prosedur audit di dalam lingkungan database secara prinsip akan dipengaruhi oleh luasnya data di dalam database yang digunakan untuk sistem akuntansi. Bila aplikasi akuntansi yang signifikan menggunakan database yang umum, auditor dapat menggunakan secara cost effective prosedur yang dijelaskan dalam paragraf-paragraf berikut ini.

Untuk memahami lingkungan pengendalian database dan arus transaksi, auditor dapat mempertimbangkan dampak berikut ini terhadap risiko audit dan perencanaan audit. 

1. DBMS dan aplikasi akuntansi signifikan yang menggunakan database.
2. Standar dan prosedur untuk pengembangkan dan pemeliharaan program aplikasi yang menggunakan database.
3. Fungsi pengolahan database.
4. Deskripsi pekerjaan, standar dan prosedur bagi individu yang bertanggung jawab terhadap dukungan teknis, desain, pengelolaan, dan operasi database.
5. Prosedur yang digunakan untuk menjamin integritas, keamanan, dan kelengkapan informasi keuangan yang terdapat di dalam database.
6. Ketersediaan fasilitas audit di dalam DBMS

Selama proses penaksiran risiko, dalam penentuan seberapa jauh kepercayaan dapat diletakkan atas pengendalian intern yang berkaitan dengan penggunaan database dalam sistem akuntansi, auditor dapat mempertimbangkan bagaimana pengendalian. Jika kemudian ia memutuskan untuk mempercayai pengendalian tersebut, ia akan mendesain dan melaksanakan pengujian pengendalian yang semestinya.

Bilamana auditor memutuskan untuk melakukan pengujian pengendalian atau pengujian substantif berkaitan dengan database system, prosedur audit dapat mencakup fungsi DBMS

1. Menghasilkan data penguji.
2. Menyediakan jejak audit.
3. Mengecek integritas database.
4. Menyediakan akses ke database atau suatu copy bagian database yang relevan untuk tujuan penggunaan perangkat lunak audit.
5. Mendapatkan informasi yang diperlukan untuk audit

Pada waktu menggunakan fasilitas dalam DBMS, auditor perlu mendapatkan keyakinan memadai tentang berfungsinya DBMS secara benar.

Sumber : Buku Standar Profesional Akuntan Publik

Dampak Database Terhadap sistem Akuntansi

Dampak sistem database terhadap sistem akuntan dan risiko yang berkaitan umumnya tergantung pada:

• Luasnya database digunakan untuk aplikasi akuntansi
• Tipe dan signifikannya transaksi keuangan yang diolah.
• Sifat database, DBMS (termasuk kamus data), tugas pengelolaan database, dan apliksi (misalnya batch atau on-line update).
• Pengendalian umum SIK yang sangat penting dalam lingkungan database.

Sistem dataabase umumnya memberi kesempatan untuk menyediakan data yang lebih tinggi tingkat keandalannya bila dibandingkan dengan non-databse system. Hal ini dapat turunnya risiko kecurangan dan kekeliruan dalam sistem akuntansi yang menggunakan database. Faktor-faktor berikut ini dalam kombinasi dengan pengendalian memadai, membantu meningkatkan keandalan data

• konsistensi data meningkat karena data dicatat dan di-update hanya sekali, tidak seperti halnya dengan non-database system.
• Integritas data menjadi meningkat dengan menggunakan fasilitas yang terdapat dalam DBMS, seperti pemulihan, restart routines, generalized edit and validation rountines, dan alat-alat pengendalian dan pengamanan.
• Fungsi lain yang tersedia dalam DBMS dapat memberikan kemudahan dalam prosedur pengendalian dan audit.

Di lain pihak, risiko kecurangan dan kekeliruan dapat meningkat jika database system digunakan tanpa pengendalian memadai. Dalam lingkungan non-database pada umumnya, pengendalian dilaksanakan oleh para pemakai secara individual dapat menutupi kelemahan pengendalian umum SIK. Namun, di dalam  database system, hal ini tidak mungkin dilaksanakan, karena pengendalian pengelolaan database yang tidak memadai tidak dapat selalu ditutup oleh pemakai secara individual.

Sumbem : Standar Profesional Akuntan Publik

Pengendalian Intern Dalam Lingkungan Database

Umumnya, pengendalian intern dalam lingkungan database memerlukan pengendalian efektif terhadap database, DBMS dan aplikasi. Efektivitas pengendalian intern tergantung terutama atas sifat tugas pengeloaan database. 

Oleh karena adanya data sharing, independensi dan karakteristik lain sistem database, pengendalian umum sistem informasi komputer (SIK) umumnya lebih besar pengaruhnya terhadap sistem database dibandingkan dengan pengendalian aplikasi. Pengendalian umum SIK terhadap database, DBMS, dan aktivitas fungsi pengelolaan database berpengaruh pervasif atas pengolahan aplikasi. Pengendalian umum SIK yang penting dalam lingkungan database dapat digolongkan ke dalam kelompok berikut ini :

• Pendekatan baku untuk pengembangan dan pemeliharaan program aplikasi.
• Kepemilikan data.
• Akses ke database
• Pemisahan tugas

Pendekatan Baku untuk Pengembangan dan Pemeliharaan Program Aplikasi

Oleh karenanya data dibagi ke banyak pemakai, pengendalian dapat ditingkatkan jika digunakan pendekatan baku di dalam pengembangan setiap program aplikasi dan modifikasi terhadap program aplikasi. Pengendalian ini mencakup diikutinya pendekatan resmi dan tahap demi tahap yang harus dipatuhi oleh individu yang mengembangkan atau mengubah program aplikasi. Pengendalian ini juga mencakup dilaksanakannya analisis terhadap dampak transaksi baru dan yang telah ada atas database setiap kali modifikasi diperlukan. Hasil analisis akan menunjukan dampak perubahan tersebut atas keamanan dan integritas database. 

Kepemilikan Data

Dalam lingkungan database, yang di dalamnya banyak individu dapat menggunakan program untuk memaskan dan mengubah data, diperlukan pembebanan tanggung jawab secara jelas dan tertentu batas-batasnya bagi pengelola database tentang kecermatan dan integritas setiap unsur data.

Akses ke Database

Akses oleh pemakai ke database dapat dibatasi dengan menggunakan pasword. Pembatasan ini dapat diterapkan kepada individu, peralatan terminal, dan program. Agar pasword efektif, diperlukan prosedur memadai untuk mengubah pasword, penjagaan kerahasiaan pasword dan pelaksanaan review dan penyelidikan terhadap usaha untuk melanggar keamanan. 

Pemisahan Tugas

Tanggung jawab untuk melaksanakan berbagai aktivitas yang diperlukan untuk mendesain, mengimplementasikan, dan mengoperasikan database dibagi di antara personel teknis, desain, pengelola, dan pemakai.Tugas mereka menyangkup desain sistem, desain database, pengelolaan, dan operasi

Sumber : Buku Standar Profesional Akuntan Publik

Pengelolaan Database

Penggunaan data yang sama oleh berbagai program aplikasi menekankan pentingnya koordinasi terpusat terhadap penggunaan definisi data dan penjagaan integritas, keamanan, kecermatan, dan kelengkapan data tersebut. Koordinasi biasanya dilaksanakan oleh sekelompok individu yang tanggung jawabnya pada umumnya disebut dengan "pengelolaan database." individu yang mengepalai fungsi tersebut umumnya disebut "pengelola database (database administrator). Pengelola database umumnya bertanggung jawab untuk definisi, struktur, administrator). Pengelola database umumnya bertanggung jawab untuk definisi, struktur, keamanan, efisiensi dan pengendalian operasional database, termasuk definisi dan aturan yang digunakan untuk mengakses dan menyimpan data.

Tugas pengelolaan database dapat juga dilaksanakan oleh para individu yang bukan merupakan bagian dari kelompok pengelola database pusat. Bilamana pengelolaan database tidak terpusat, namun didistribusikan di antara unit-unit organisasi yang ada, berbagai tugas yang berbeda tersebut masih tetap memerlukan koordinasi.

Tugas-tugas pengelolaan database mencakup:

• Pendefinisian struktur database→penentuan bagaimana data didefinisikan, disimpan dan diakses oleh pemakai database untuk menjamin bahwa semua persyaratan dipenuhi pada waktu yang tepat.
• Penjagaan integritas, keamanan dan kelengkapan data→pengembangan, implementasi dan penegakan aturan untuk integritas, kelengkapan dan akses data. 
• Koordinasi operasi komputer yang berkaitan dengan database→pembebanan tanggung jawab kepada individu terhadap sumber daya fisik komputer dan pemantauan pemakaian fasilitas tersebut berkaitan dengan operasi database.
• Pemantauan kinerja sistem→pengembangan ukuran kinerja untuk memantau integritas data dan kemampuan database memberikan respon terhadap kebutuhan para pemakai.
• Penyediaan dukungan pengelolaan→pengkoordinasian dan penghubung dengan penjual DBMS, pencarian informasi tentang versi baru yang diterbitkan oleh penjual dan dampaknya terhadap entitas, pemasangan versi baru dan penyelenggarakan pendidikan intern yang semestinya dilakukan.

Dalam beberapa aplikasi, lebih dari satu database dapat digunakan. Dalam keadaan ini, tugas kelompok pengelola database perlu menjamin bahwa:

1. Terdapat keterkaitan antar-database
2. Koordinasi fungsi dapat dipertahankan
3. Data yang terdapat dalam berbagai database konsisten.

Sumber : Buku Standar Profesional Akuntan Publik

Dampak Sistem Komputer On-Line Terhadap Prosedur Audit

Berikut ini merupakan hal sangat penting bagi auditor dalam menghadapi sistem komputer on-line.

• Otorisasi, kelengkapan dan kecermatan transaksi on-line.
• Integritas catatan dan pengolahan, karena adanya akses secara on-line terhadap sistem oleh banyak pemakai dan pemogram.
• Perubahan dalam kinerja prosedur audit yang mencakup penggunaan Teknik Audit Berbantuan Komputer 

Prosedur dilaksanakan selama tahap perencanaan dapat mencakup:

• Partisipasi individu yang memiliki keahlian teknis dalam sistem komputer on-line dan pengendalian yang berkaitan di dalam tim audit.
• Pertimbangan pendahuluan dalam proses penaksiran risiko tentang dampak sistem komputer on-line terhadap prosedur audit. Umumnya, di dalam sistem kompter on-line yang didesain dengan baik, kemungkinan besar auditor akan meletakkan kepercayaan lebih besar ke pengendalian intern dalam sistem tersebut di dalam menentukan sifat, saat, dan luasnya prosedur audit.

Prosedur audit yang dilaksanakan bersamaan dengan pengolahan on-line mencakup pengujian kepatuhan pengendalian di dalam aplikasi on-line. Sebagai contoh, prosedur audit dapat dilaksanakan dengan cara memasukan transaksi penguji melalui peralatan terminal on-line atau dengan menggunakan perangkat lunak audit. Tes ini dapat digunakan oleh auditor baik untuk mengkorfirmasi pemahamannya tentang sistem komputer on-line maupun untuk menguji pengendalian seperti pasword dan pengendalian akses yang lain.

Prosedur yang dilaksanakan oleh auditor setelah pengolahan selesai dapat dilakukan dengan :

• Pengujian kepatuhan terhadap pengendalian atas transaksi yang direkam dalam transaction log melalui sistem on-line tentang otorisasi, kelengkapan dan kecermatan.
• Pengujian substantif terhadap transaksi dan hasil pengolahan, bukan pengujian pengendalian, bilamana pengujian substantif dapat lebih cost-effective atau bilamana sistem komputer on-line tidak didesain dan dikendalikan dengan baik.
• Pengolahan kembali transaksi dalam prosedur pengujian kepatuhan atau prosedur subtantif.

Karakteristik sistem komputer on-line dapat membuatnya lebih efektif bagi auditor untuk melakukan review terhadap aplikasi akuntansi secara on-line sebelum diimplementasikan daripada review terhadap aplikasi setelah sistem komputer on-line tersebut dipasang.

Sumber : Standar Profesional Akuntan Publik