KONSEP PENGENDALIAN
KEMAMPUAN AKHIR YANG DIHARAPKAN
Mampu menganalisis dan
menjelaskan pentingnya
Hakikat Pengendalian
•
Pengendalian (Controls)
Untuk menghindari terjadinya sesuatu yang tidak
diinginkan:
–
Preventive
–
Detective
–
Corrective
–
Compensating
•
Pengendalian Intern (Internal Controls)
Hakikat Pengendalian
•
Defnition of Internal Control
Internal control is a process, efected by an
entity’s board of directors, management and
other personnel, designed to provide reasonable
assurance
regarding
the
achievement
of
objectives in the following categories:
•
Efectiveness and efciency of operations
•
Reliability of fnancial reporting
•
Compliance with applicable laws and
Hakikat Pengendalian
•
Key Concepts
–
Internal control is a process. It is a means to an
end, not an end in itself.
–
Internal control is efected by people. It’s not
merely policy manuals and forms, but people at
every level of an organization.
–
Internal control can be expected to provide only
reasonable assurance, not absolute assurance, to
an entity’s management and board.
–
Internal control is geared to the achievement of
objectives in one or more separate but
Hakikat Pengendalian
• Pengendalian TI
Untuk menghindari terjadinya sesuatu yang tidak diinginkan atas teknologi informasi sehubungan dengan tujuan &
kegiatan organisasi
• Basic
– Management/General – Application
• COBIT (Control Objectives for Information and Related
Technology)
– Planning & Organization
– Acquistion & Implementation – Delivery & Support
Top Management dan IS Management
Auditor dapat mengevaluasi Top Manajemen dengan memeriksa sebagaimana baik mereka melaksanakan keempat fungsi utamanya :
• Fungsi Perencanaan – menentukan tujuan fungsi SI dan maksud mencapai tujuan tsb
• Fungsi Pengorganisasian & Stafng – mendapatkan, mengalokasikan dan mengkoordinasikan sumberdaya yang dibutuhkan untuk mencapai tujuan
• Fungsi Kepemimpinan – memotivasi, memandu dan mengkomunikasikannya dengan personel
• Fungsi Pengendalian – membandingkan kinerja aktual
Top Management dan IS Management
•
Fungsi Perencanaan
– Aktivitas
• Kenali peluang dan permasalahan TI
• Identifkasi sumber daya yang dibutuhkan
• Susun strategi untuk memperoleh sumber daya yang
dibutuhkan
– Jenis-jenis Rencana
• Rencana Stratejik
• Rencana Operasional
•
Peran Auditor
Top Management dan IS Management
•
Fungsi Perencanaan
–
Model Perencanaan
•
Mc Farlan’s Strategic Grid Model
•
Sullivan’s Infusion-Difusion Model
–
KomiteTI
•
IT Strategic Committee
•
IT Security Committee
Top Management dan IS Management
•
Fungsi Pengorganisasian
–
Resourcing
•
Hardware
•
Software
•
Personil
•
Infrastruktur
–
Stafng
• Rekruitment
• Pengembangan personil • Pemberhentian personil
Top Management dan IS Management
Peran Auditor
–
Menanyakan apakah Top Manajer memiliki
pemahamaan
–
yang bagus atas peran fungsi SI yang harus
dijalankan dalam perusahaan
–
Mengevaluasi sebagaimana bagusnya setiap
Peran Auditor dlm Pengendalian
•
Fungsi
Pengorganisasian
– Fungsi Utama TI
• Development • System Analyst
• Application Programmer • Systems Programmer • Quality Assurance
– Administrator
• Data Administrator
• Database Administrator • Security Administrator • Network Administrator
–
Operator
• Librarian• Data Entry
Peran Auditor
• Mengevaluasi apakah tanggung jawab setiap posisi pekerjaan yang terdapat dalam fungsi TI telah
dirumuskan dan dipahami secara jelas oleh personel SI
Peran Auditor dlm Pengendalian
•
Fungsi Kepemimpinan
• Memotivasi personil
– There is no one best way of motivating people, the best
way depends on individuals and their environmet
• Menyesuaikan style kepemimpinan dengan personel dan
pekerjaan sistem informasi
• Komunikasi yang efektif • Peran Auditor
– Mengevaluasi sebagaimana baikanya Top Manajemen
Peran Auditor dlm Pengendalian
•
Fungsi Pengendalian
–
Pengendalian atas biaya dan manfaat
–
Pengendalian atas aktivitas TI
• Standar metode • Standar kinerja
• Standar dokumentasi
• Project control standards - GANTT Chart, PERT Chart
• Post audit standards
–
Pengendalian atas pengguna
Peran Auditor dlm Pengendalian
•
Peran Auditor
–
Mengevaluasi apakah fungsi SI efektif
–
Mengevaluasi
sebagaimana
baiknya
Top
Manajemen memonitor fungsi SI-nya
–
Mengevaluasi standar yang telah ditetapkan
untuk pengendalian aktivitas sistem informasi
–
Mengevaluasi pilihan top manajemen atas
System Development Management
•
Auditor
–
Auditor memerlukan model normatif
–
Membandingkan praktik aktual dengan model
System Development Management
System Development Life Cycle (SDLC)
• Perencanaan
– Feasibility study (studi Kelayakan)
• Analisa
– Requirement defnition (defnisi kebutuhan)
• Perancangan
– Merancang sistem (system design)
• Pengembangan
– Pemrograman (programming) – Pembuatan dokumen
– Uji penerimaan (acceptance testing)
• Implementasi
– Konversi
System Development Management
•
Bagaimana audit atas pengembangan
sistem
–
Concurrent Audit
–
Post Implementation Review
System Development Management
Studi kelayakan
• Kelayakan dilihat dari aspek: – Technical
System Development Management
Peran Auditor
• Concurrent
– Memastikan bahwa pilihan solusi yang ditetapkan oleh stakeholder bermanfaat
– Memastikan pendekatan yang memdai telah dipilih dan digunakan untuk analisis kelayakan
• Ex Post
– Mengevaluasi proses dan pendekatan yang
digunakan oleh tim pengembang dalam penilaian kelayakan
– Mengevaluasi sebagaimana bagusnya penilaian kelayakan dilakukan
System Development Management
Defnisi kebutuhan
–
Auditor harus memeriksa dan mengevaluasi
prosedur yang digunakan oleh stakeholder
dalam mencapai kesepakatan atas kebutuhan
stratejik
–
Prosedur yang digunakan untuk membantu
System Development Management
Perancangan sistem
• Pengumpulan detil kebutuhan – auditor harus mengevaluasi pendekatan yang digunakan untuk mendiskripsikan kebutuhan dan kualitas dokumentasi yang dibuat atas diskripsi kebutuhan
• Desain alur data dan informasi – auditor harus secara hati-hati mengevaluasi aktivitas yang dilakukan dalam tahap ini untuk menetukan apakah rancangan yang dihasilkan memenuhi kebutuhan yang ditetapkan untuk sistem tsb
System Development Management
• Desain interface – auditor mengevaluasi bahwa
perancang telah mengikuti standar perancangan interface yang memadai, dan auditor harus
menginvestigasi apakah perancang telah mem-prototype-kan penggunaan interface
• Desain phisikal – auditor harus berusaha mencari bukti bahwa perancang mengikuti suatu pendekatan terstruktur dalam melakukan perancangan phisikal
• Desain platform – auditor harus memastikan bahwa
System Development Management
Pemrograman
– Coding, compiling etc
– Akuisisi atau mengembangkan
Peran auditor
• Akuisisi kecukupan spesifkasi kebutuhan yang disediakan untuk vendor; kualitas prosedur yang digunakan untuk mengevaluasi software yang ditenderkan atas fungsionalitasnya, akurasinya dan kelengkapatnya; kualitas dokumentasi; kestabilan vendor dan dukungan vendor
System Development Management
Pembuatan dokumen
• System documentation, user manual
Peran auditor
• Auditor harus menilai kualitas rancangan prosedur
• Audtor harus mengevaluasi apakah spesifkasi atas
minimum prosedur telah dicakup
• Memeriksa tim perancang prosedur apakah terdiri atas
perwakilan semua grup stakeholder
• Mengevaluasi pendekatan yang digunakan untuk menguji
prosedur
System Development Management
Uji penerimaan
• Unit testing ; System testing; & User testing
Peran auditor :
• Mengevaluasi pekerjaan yang dilakukan selama tahap pengujian penerimaan dengan menanyakan :
• Bagaimana proses pengujian direncanakan
• Bagaimana data uji dirancang dan dibuat
• Data uji apa yang digunakan
• Hasil uji apa yang diperoleh
• Tindakan apa yang diambil atas error/kelemahan yang teridentifkasi
• Modifkasi apa yang dibuat atas data uji berdasarkan pengalaman uji sebelumnya
System Development Management
Konversi
• Konversi ke sistem baru dapat dilakukan dengan 3 cara
• Abrupt Changeover ,Phased Changeover, & Parallel Changeover
• Perpindahan ke sistem baru dapat melibatkan 4 aktivitas
• Pelatihan pengguna
• Instalasi hardware & software
• Konversi fle dan program
• Pengoperasian
• Auditor :
• gangguan yanng dapat terjadi dan berisiko pada pengemanan aset, integritas data, efektivitas dan efsien sistem
• Indikasi permasalahan dengan penerimaan user
• Seringkali trade-of dibuat antara integritas data pada sistem baru dan kebutuhan untuk segera menjalankan sistem
• Perencanaan yang hati-hati atas aktivitas yang dilakukan selama tahap konversi.
• Pengendalian untuk mematikan pengamanan aset, integritas data, efektivitas dan
System Development Management
Operasi dan pemeliharaan
• Tiga tipe perubahan yang dapat terjadi :
• Perbaikan (repair maintenance) – kekeliruan logik
• Penyesuaian (adaptive maintenance) – perubahan dalam
lingkungan sistem dan pengguna
• Penyempurnaan (perfective maintenance) – meningkatkan
efsiensi pemrosesan
• Auditor harus mengevaluasi keberadaan proses perubahan
yang formal untuk mengidentifkasi, & mencatat
Programing Management
• Karakteristik utama program yang berkualitas tinggi
– Berfungsi dengan benar dan lengkap
– Mempunyai interface pengguna yang berkualitas tinggi
– Bekerja secara efektif
– Didesain dan didokumentasikan dengan baik
– Mudah dipelihara
Programing Management
Planning• Teknik estimasi biaya
– Algorithmic Models
– Expert Judgment
– Analogy
– Top-down Estimation
– Bottom-up Estimation
• Aspek yang harus diperhatikan
– Design Approach
– Implementation Approach
– Integration & Testing Approach
– Project Team Organization
Peran Auditor
Auditor harus mengevaluasi apakah sifat dan sejauh mana/seluas apa perencanaan dilakukan pada
software yang dikembangkan atau diakuisisi.
Auditor harus mengevaluasi
Programing Management
Design• Pendekatan desain berdasarkan bahasa pemrograman
– Programer berusaha untuk menspesifkasikan struktur dan operasi program
yang akan memenuhi kebutuhan yang telah diidentifkasi selama tahap perancangan sistem pemrosesan informasi pada pengembangan sistem Peran Auditor
– Akan mencari tahu apakah programer telah menggunakan suatu tipe
pendekatan yang sistematik untuk perancangan
– Auditor bisa mendapatkan bukti atas praktik-praktik perancangan yang
digunakan dengan melakukan
– Interviu – menentukan apakah programer telah memahami perlunya suatu
pendekatan perancangan yang sistematik
– Observasi – menentukan apakah programer menggunakan pendekatan
sistematik untuk merancang program
– reviu atas dokumen – menentukan apakah dokumen tersebut berisi item
Programing Management
Coding
• dilakukan saat software yang
dikembangkan/diakuisisi dimodifkasi.
• Programer menulis dan mendokumentasikan source
code kedalam bahasa pemrograman untuk mengimplementasikan rancangan program
• Implementasi modul dan strategi integrasi
– Auditor harus berusaha mencari bukti pada tingkat perhatian apa yang dilakukan oleh manajemen pemrograman dalam memilih strategi implementasi dan integrasi modul
Programing Management
Strategi coding
• mekanisme “GO TO” - 3 struktur pengendalian dasar
dalam coding
– Simple sequence SEQUENCE
– Selection based on a test IF-THEN-ELSE – Conditional Repetition DO-WHILE
Peran auditor
• Harus berusaha menemukan bukti untuk menentukan
apakah manajemen pemrograman memastikan bahwa konvensi pemrograman yang terstruktur diikuti oleh programer
• Interviu manajer dan programer, observasi pekerjaan
Programing Management
Testing
• Program yang dikembangkan/diakuisisi dievaluasi untuk menentukan apakah program memenuhi kebutuhan yang telah dispesifkasikan
• Untuk mengidentifkasi adanya error pada rancangan
atau coding program
• Langkah pengujian
– Memilih batasan pengujian
– Menentukan tujuan pengujian
– Memilih pendekatan pengujian
– Mengembangkan pengujian
– Melakukan dan menilai pengujian
Programing Management
Unit Testing
– Analysis Test – Desk Checking
– Structured Walk-Through – Design & Code Inspections – Dynamic Analytic Test
– Black Box Testing – White Box Testing
Integration Testing System Testing
Programing Management
Peran Auditor
• Unit testing Auditor dapat melakukan interviu,
observasi, dan pemeriksaan dokumen untuk mengevaluasi sebagaimana bagusnya pengujian dilakukan
• Integration testing umumnya dilakukan hanya ketika program yang besar dan kompleks dikembangkan secara in house/vis kontraktor. Auditor mengevaluasi kualitas
Programing Management
Operation & Maintenance
• Program menjadi bagian operasional saat program
direlease untuk penggunaan operasi keseharian
• Tipe pemeliharaan yang perlu dilakukan agar
program tetap beroperasi :
– Perbaikan
– Penyesuaian
Programing Management
Peran auditor
• Penggunaan operasional atas program apakah kinerja dimonitor secara memadai
• Mengevaluasi prosedur yang digunakan untuk melakukan pemeliharaan atas program
• Memastikan efektivitas dan ketepatan waktu pelaporan kebutuhan pemeliharaan dan memastikan pemeliharaan dilakukan dengan pengendalian yang memadai
• Berusaha menemukan bukti bahwa manajemen telah
mengimplementasikan suatu sistem reviu dan memberikan/ melimpahkan tanggungjawab untuk memonitor status
program di operasional
Programing Management
Pengendalian pemrograman
• Monitoring kemajuan dibandingkan dengan rencana untuk menjamin efsiensi dan ketepatan waktu, misalnya Work Breakdown Structure, Gantt Charts, Program Evaluation & Review Techniques (PERT)
• Pengendalian akses untuk menjamin autentikasi, akurasi dan kelengkapan, misalnya Program Library Software
Peran Auditor
• Mengevaluasi apakah sifat dari dan sejauh mana aktivitas pengendalian dilakukan secara memadai terhadap beberbagai tipe software yang dikembangkan dan di akuisisi
Programing Management
Sejumlah aspek pengendalian
• Pekerjakan hanya staf programer yang berkualitas tinggi • Lakukan pemisahan fungsi seoptimal mungkin
• Buat standar metode dan kinerja • Batasi kewenangan programer
• Pelihara log manual dan machine log atas aktivitas
programer
• Mintakan jasa konsultan independen untuk menilai
pekerjaan pemrograman
• Lakukan uji silang atas pekerjaan antar programer secara
Data Management
Tujuan Data Management• Shareability
– Setiap pengguna berhak mengakses dan menggunakan data yang sama • Availability
– Setiap pengguna dapat mengakses dan menggunakan data pada setiap saat, dimanapun dan dalam form yang mereka inginkan
• Evolvalibity
– Data dan defnisi data dapat dimodifkasi untuk merespon kebutuhan stakeholder
• Integrity
Data Management
Pengendalian atas integritas database:
• Pengendalian defnisi • Pengendalian eksistensi • Pengendalian akses
• Pengendalian update