Pengendalian intern adalah suatu
proses yang dijalankan oleh dewan komisaris, manajemen, dan personil lain
entitas, yang didesain untuk memberikan keyakinan memadai tentang pencapaian
tiga golongan tujuan pengendalian. Adapun tiga golongan tujuan pengendalian
intern menurut IAI dan COSO adalah:
1. Kehandalan pelaporan keuangan,
manajemen memastikan bahwa informasi yang disajikan sesuai ketentuan SAK
2. Efektivitas dan efisisensi
operasi, dengan mendorong penggunaan sumber daya organisasi secara efektif dan
efisien guna memaksimalkan tujuan operasi.
3. Ketaatan pada peratturan
perundang-undangan.
Untuk mencapai tujuan tersebut,
tentu ada hal-hal yang perlu diperhatikan, antara lain:
a. Adanya pemisahan tugas yang
memadai,
b. Adanya dokumentasi dan
catatan-catatan yang memadai,
c. Adanya otorisasi yang memadai
dari manajemen,
d. Adanya pengendalian yang memadai
atas aktiva dan catatan-catatan,
e. Adanya penilaian yang independen
terhadap kinerja para pegawai,
f. Adanya pegawai yang kompeten,
g. Adanya uraian tugas
h. Adanya struktur organisasi yang
baik dengan garis wewenang dan tanggung jawab yang jelas
i. Adanya pengelolaan (manajemen)
yang baik dengan tingkat integritas tinggi
Lingkungan pengendalian juga salah
satu aspek yang tidak dapat dianggap remeh. Lingkungan pengendalian
menggambarkan sikap, kepedulian, dan tindakan berbagai pihak yang ada di dalam
organisasi. Menurut IAI, sebagaimana menurut COSO report, lingkungan
pengendalian mencakup beberapa komponen yang di dalamnya terdiri dari
unsur-unsur sebagai berikut:
1. Integritas dan nilai etis yang
harus dimiliki oleh seluruh anggota organisasi.
2. Mempertimbangkan keahlian yang
dibutuhkan dalam melaksanakan pekerjaan (commitment to competence)
3. Partisipasi Dewan Komisaris dan
Komisi Audit
4. Falsafah dan gaya kepemimpinan
dari manajemen
5. Struktur organisasi
6. Penetapan otoritas dan tanggung
jawab sehingga setiap pegawai, serta
7. Kebijakan dan praktik-praktik
mengenai sumber daya manusia.
Pengendalian diklasifikasikan
berdasarkan berbagai kriteria, dan oleh berbagai lembaga. Menurut IAI dan COSO
sendiri, pengendalian terdiri atas pengendalian umum (general control)
dan pengendalian aplikasi (application control).
General Control Tests
General Control/ IT General Control(ITGC) adalah kebijakan dan prosedur
yang berhubungan dengan aplikasi sistem informasi dan mendukung fungsi dari
application control dengan cara membantu menjamin keberlangsungan sistem
informasi yang ada.
Tujuannya untuk menjamin pengembangan dan implementasi aplikasi secara
tepat, serta menjamin integritas dari program, data files dan operasi komputer.
Bentuk ITGC yang sering digunakan : IT Organization Structure, Logical access controls
over system, applications, and data, System development life cycle controls,
Program change management controls., Data
center physical security controls, System and data backup and recovery
controls, dan Computer operation controls.
General
Control berlaku untuk semua komponen sistem , proses , dan data untuk sebuah
organisasi atau sistem lingkungan tertentu , termasuk : tata kelola TI ,
manajemen risiko , manajemen sumber daya , operasional TI , pengembangan
aplikasi dan pemeliharaan , manajemen pengguna , keamanan logis , keamanan
fisik , manajemen perubahan , backup dan recovery , dan kelangsungan usaha.
Tujuan utamanya adalah untuk memahami :
a.tujuan audit di setiap daerah kontrol umum dan
b.sifat dari tes dimana auditor melakukan untuk
mencapai tujuan tersebut .
Jenis –Jenis General Control
1. operating system controls
memverifikasi
bahwa kebijakan dan pengendalian prosedur keamanan cukup ketat untuk melindungi
sistem operasi terhadap hardware failure, software efforts, destructive acts by
employees or hackers, virus infection
2. data management controls
Tujuan
dari data management control adalah melindungi terhadap akses tidak sah atau
kerusakan data & memadai backup data. Adapun control tersebut meliputi
kontrol terhadap:
–
access - encryption, user
authorization tables, inference controls and biometric devices are a few
examples
–
backup - grandfather-father-son
and direct access backup; recovery procedures
3. organizational
structure controls
Tujuan
dari organizational structure control adalah:
Ø menentukan apakah fungsi telah
diidentifikasi dan dipisahkan sesuai dengan tingkat paparan potensial
Ø Tmenentukan apakah pemisahan ditopang lingkungan kerja
yang mempromosikan hubungan formal antara tugas-tugas yang tidak kompatibel
control terhadap: review organizational
& systems documentation, observe behavior, and review database authority
tables
4. systems
development controls
Tujuan dari system development control
adalah untuk memastikan bahwa :
Ø Kegiatan SDLC diterapkan secara konsisten dan sesuai
dengan kebijakan manajemen
Ø sistem diterapkan bebas dari kesalahan bahan dan
penipuan
Ø sistem ini dinilai tidak diperlukan dan dibenarkan di
berbagai pos pemeriksaan di seluruh SDLC
Ø dokumentasi sistem cukup akurat dan lengkap untuk
memfasilitasi kegiatan audit dan pemeliharaan
Controls: systems authorization
techniques, good development procedures, internal audit team participation,
appropriate testing of system
5. systems
maintenance controls
Tujuan
system maintenance controls : mendeteksi program pemeliharaan yang tidak sah
dan menentukan bahwa ...
Ø prosedur perawatan melindungi aplikasi dari perubahan
yang tidak sah
Ø aplikasi bebas dari kesalahan bahan
Ø perpustakaan Program dilindungi dari akses yang tidak
sah
Controls: authorization requirements for
program maintenance, appropriate documentation of changes, adequate testing of
program changes, reconciling program version numbers, review programmer
authority table, test authority table
6. computer
center security and control
Computer center objectives: menentukan
bahwa
Ø kontrol keamanan fisik yang memadai melindungi
organisasi dari eksposur fisik
Ø pertanggungan asuransi pada peralatan yang memadai
untuk mengkompensasi organisasi dari penghancuran , atau kerusakan
Ø dokumentasi Operator yang memadai untuk menangani
operasi rutin serta kegagalan sistem
Ø rencana pemulihan bencana organisasi memadai dan layak
Controls: well-planned physical
layout, backup and disaster recovery planning, review critical application list
7. Internet and
Intranet controls
Internet & Intranet objectives:
menentukan bahwa pengendalian komunikasi...
Ø dapat mendeteksi dan memperbaiki pesan yang benar
akibat kerugian dan kegagalan peralatan
Ø dapat mencegah dan mendeteksi akses ilegal baik secara
internal maupun dari Internet
Ø akan membuat sia-sia data yang berhasil ditangkap oleh
pelaku
Ø cukup untuk menjaga integritas dan keamanan data yang
terhubung ke jaringan
Controls:
–
equipment
failure: line checks (parity & echo),and backups
–
subversive
threats: access controls, encryption of data, and firewalls
–
message
control: sequence numbering, authentication, transaction logs, request-response
polling
8. electronic
data interchange (EDI) controls
Ø semua transaksi EDI diautorisasi, divalidasi, dan
sesuai dengan kebijakan organisasi
Ø tidak ada organisasi yang tidak sah yang mendapatkan
akses ke catatan data base
Ø mitra dagang resmi hanya memiliki akses ke data yang
disetujui
Ø kontrol yang memadai di tempat untuk memastikan
transaksi EDI lengkap
Controls:
sophisticated authorization & validation techniques, access controls, audit
trail modules and controls
9. personal
computer controls
Ø pengawasan dan operasi prosedur yang memadai untuk
mengkompensasi kurangnya pemisahan antara tugas pengguna , programmer , dan
operator
Ø akses ke mikrokomputer , file data , dan file program
dibatasi untuk petugas yang berwenang
Ø prosedur cadangan berada di tempat untuk mencegah data
dan kehilangan program dari kegagalan hardware
Ø sistem seleksi dan akuisisi prosedur menghasilkan
aplikasi yang berkualitas tinggi , bebas dari kesalahan , dan dilindungi dari
perubahan yang tidak sah
Controls: increased supervision, access
& security controls, backup controls, systems development and maintenance
controls, systems development and acquisition controls
Pengendalian umum merupakan pengendalian
menyeluruh yang berdampak terhadap lingkungan sistem informasi computer (SIK),
meliputi kebijakan dan prosedur mengenai semua aktifitas PDE, yang bertujuan
untuk membuat kerangka pengendalian yang menyeluruh mengenai aktifitas PDE,
serta untuk memberikan tingkat keyakinan yang memadai bahwa seluruh tujuan
pengendalian intern dapat tercapai. Pengendalian ini diperlukan untuk
memberikan jaminan bahwa pengendalian aplikasi berjalan dengan baik sebagaimana
mestinya, yang bergantung pada sumber daya komputer. Karena jika pengendalian
aplikasi tidak berfungsi, misalnya ada format data yang tidak sesuai tapi dapat
dibaca komputer, pengendalian umum akan langsung bereaksi dan memberikan umpan
balik. Dengan begitu, petugas dapat segera melakukan koreksi. Adanya
pengendalian umum ini merupakan bentuk kombinasi kebaikan yang terdapat pada
Auditing Manual dan Auditing PDE.
Menurut IAI, pengendalian umum
meliputi unsur-unsur sebagai berikut.
1. Pengendalian Organisasi dan
Manajemen,
meliputi pemisahan fungsi serta
kebijakan dan prosedur yang berkaitan dengan ffungsi pengendalian.
2. Pengendalian terhadap
Pengembangan dan Pemeliharaan Sistem Aplikasi,
untuk memperoleh keyakinan bahwa
sistem PDE telah dikembangkan dan dipelihara secara efisien dan ada
otorisasinya.
3. Pengendalian terhadap Operasi
Sistem, untuk poin-poin sebagai berikut:
a. Sistem digunakan hanya untuk
hal-hal yang telah ada otorisasinya
b. Akses ke operasi komputer hanya
diijinkan kepada mereka yang telah memiliki otorisasi
c. Program yang digunakan juga hanya
yang ada otorisasinya
d. Kesalahan pengolahan dapat
dideteksi dan dikoreksi.
4. Pengendalian terhadap Perangkat
Lunak Sistem,
Untuk meyakinkan bahwa perangkat
lunak sistem dimiliki dan dikembangkan secara efisien, serta diotorisasikan
5. Pengendalian terhadap Entri Data
dan Program
Struktur otorisasi ditetapkan dengan
jelas atas transaksi, serat akses ke data dan program dibatasi hanya kepada
mereka yang memiliki otorisasi.
6. Pengendalian terhadap Keamanan
PDE
Menjaga PDE lain yang berhubungan
dengan PDE bersangkutan, misalnya digunakannya salinan cadangan (backups)
di tempat yang terpisah, prosedur pemulihan (recovery procedures)
ataupun fasilitas pengolahan di luar perusahaan dalam hal terjadi bencana.
Keenam kategori tersebut dapat
diklasifikasikan menjadi tujuh jenis pengendalian umum, yakni:
1. Pengendalian organisasi dan
manajemen
2. Pengendalian piranti lunak dan
piranti keras
3. Pengendalian akses
4. Pengendalian data dan prosedur
5. Pengendalian pengembangan sistem baru
6. Pengendalian pemeliharaan sistem
dan program
7. Pengendalian dokumentasi
Berikutnya adalah Pengendalian
Aplikasi (Application Control), dimaksudkan untuk memberikan kepastian
bahwa pencatatan, pengklasifikasian, dan pengikhtisaran transaksi sah serta
pemutakhiran file-file induk akan menghasilkan informasi yang akurat, lengkap,
dan tepat waktu.
Aplication Control
Aplication control adalah sistem pengendalian intern komputer yang
berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan.
Tujuan pengendalian aplikasi :
Tujuan pengendalian aplikasi :
1.
Input data akurat, lengkap, terotorisasi dan benar
2.
Data diproses sebagaimana mestinya dalam periode waktu yang tepat
3.
Data disimpan secara tepat dan lengkap
4.
Output yang dihasilkan akurat dan lengkap
5.
Adanya catatan mengenai pemrosesan data dari input sampai menjadi output
Aplication Control berkaitan dengan
ruang lingkup proses bisnis individu atau sistem aplikasi, termasuk : suntingan
data, pemisahan fungsi bisnis ( misalnya , transc inisiasi terhadap otorisasi )
, menyeimbangkan total pengolahan , transc logging , dan pelaporan kesalahan .
Teknik untuk aplikasi komputer audit dibagi ke dalam
dua kelas :
1 ) teknik untuk pengendalian aplikasi pengujian
2 ) teknik untuk memeriksa rincian transaksi dan saldo
akun - substantif pengujian
1) Testing Aplication Control
- Black Box Approach - understanding flowcharts, input procedures, & output results
- White Box Approach - understanding the internal logic of the application : authenticity (access) tests, accuracy tests, completeness tests, redundancy tests, audit trail tests, rounding error tests
Ø Metode pengujian Data : pengujian untuk
logika atau kontrol masalah - baik untuk sistem baru atau sistem yang
telah mengalami perawatan baru-baru ini
• Base Case System Evaluation ( BCSE
) - menggunakan seperangkat transaksi uji
• tracing - menunjukkan elektronik logika
internal aplikasi
Ø Uji Metode Data are not fool - proof
• snapshot - satu titik dalam pemeriksaan
kali
• tingginya biaya pengembangan data uji
yang memadai
White Box Testing Techniques
• Integrated Test Facility ( ITF ) :
sebuah otomatis , on- akan teknik yang memungkinkan auditor untuk menguji
logika aplikasi dan kontrol selama operasi normal
• Parallel Simulation : auditor menulis
program simulasi dan menjalankan transaksi yang sebenarnya dari klien melalui
sistem
2)
Substantive Test
Substantive
Test Techniques
Ø Menelusuri kewajiban yang tidak tercatat
Ø Konfirmasi piutang untuk memastikan
mereka tidak dilebih-lebihkan
Ø Menentukan nilai yang benar dari
persediaan , dan memastikan mereka tidak dilebih-lebihkan
Ø Menentukan ketepatan akrual untuk biaya
yang dikeluarkan , namun belum menerima ( juga pendapatan jika sesuai )
Embedded
Audit Module
Ø Modul yang sedang berlangsung yang
menyaring transaksi non - materi
Ø Dipilih , transaksi material yang
digunakan untuk pengambilan sampel dalam tes substantif
Ø Membutuhkan sumber daya tambahan
komputasi oleh klien
Ø Sulit untuk mempertahankan sistem dengan
pemeliharaan yang tinggi
Generalized
Audit Software (GAS)
Ø Very popular & widely used
Ø Can access data files & perform
operations on them:
·
screen
data
·
statistical
sampling methods
·
foot
& balance
·
format
reports
·
compare
files and fields
·
recalculate
data fields
Pengendalian aplikasi ini dibagi
menjadi tiga kategori pengendalian, yakni pengendalian atas masukan,
pengendalian atas pengolahan dan file data komputer, serta pengendalian atas
keluaran. Lebih lanjut tujuan pengendalian aplikasi ini adalah untuk memperoleh
keyakinan:
1. Bahwa setiap transaksi telah
diproses dengan lengkap dan hanya diproses satu kali
2. Bahwa setiap data transaksi
berisi informasi yang lengkap dan akurat
3. Bahwa setiap pemrosesan transaksi
dilakukan dengan benar dan tepat
4. Bahwa hasil-hasil pemrosesan
digunakan sesuai dengan maksudnya
5. Bahwa aplikasi-aplikasi yang ada
dapat berfungsi terus
Perbedaan utama antara pengendalian
umum dan pengendalian aplikasi adalah bahwa sifat pengendalian umum adalah
prosedural, sedangkan pengendalian aplikasi bersifat lebih berorientasi pada
data. Oleh sebab itu, bagi auditor mungkin saja menilai pengendalian umumnya
secara terpisah dari penilaian terhadap pengendalian aplikasi.
