123
Pengendalian
Sistem Komputerisasi
Tujuan disusunnya sistem pengendalian intern komputerisasi untuk:
ƒ Meningkatkan pengamanan (improve safeguard) aset dan data/ catatan
akuntansi (accounting records)
ƒ Meningkatkan integritas data (improve data integrity)
ƒ
Meningkatkan efektifitas sistem (improve system effectiveness)
ƒ
Meningkatkan efisiensi sistem (system efficiency)
Management and System Objectives
1
To provide reliable
data
a.
b.
c.
d.
e.
Completeness : input/process/output
Accuracy : input/process/output
Uniqueness
Reasonableness
Errors are detected
2
To encourage
adherence to
prescribed
accounting policies
a. Timeliness : captured/enter/process
b. Valuation : calculation, summary,etc
c. Classification
3
To safeguard assets
and records
a.
b.
c.
d.
Transaction authorized
Distribution of output
Validity, no nonvalid data processed
Security of data and records
Tabel 6.6: Tujuan Sistem Bagi Manajemen
Sumber: Watne (1984, p.x)
Alasan makin pentingnya system controls sistem berbasis komputer :
ƒ Besarnya biaya dan kerugian kalau sampai data komputer hilang
ƒ “Biaya yang harus dibayar” bila sampai mutu keputusan buruk akibat
data yang salah.
ƒ Potensi kerugian kalau terjadi kesalahan/ penyalahgunaan komputer
ƒ Nilai (investasi) yang tinggi pengadaan mesin (hardware & software)
ƒ Nilai atau biaya yang tinggi yang dikeluarkan untuk pendidikan personil
ƒ Biaya yang tinggi bila terjadi computer errors
ƒ Perlunya dijaga privacy, mengingat di komputer tersimpan data rahasia
124
ƒ Agar perkembangan dan pertumbuhan komputerisasi dapat terkendali
(Controlled evolution of computer used)
Ditinjau dari sifatnya, sistem pengendalian intern dapat dibedakan:
ƒ Preventive,
ƒ Detection),
ƒ Corrective
Sistem pengendalian intern sesungguhnya adalah juga suatu sistem.
Untuk dapat mendesain sistem yang baik perlu dilakukan perencanaan,
analisis, desain/ rancangan, pengujian, penerapan, dan evaluasi untuk
perbaikan. Sistem yang baik adalah harus yang telah dikaji dan teruji
kelayakannya: ekonomis, operasional, teknis, dan sebagainya. Sistem yang
canggih tetapi dengan biaya (bisa berarti uang, waktu, tenaga, konsekuensi)
yang sangat besar belum tentu sistem yang terbaik.
Metodologi pembangunan
digambarkan sebagai berikut:
sistem
pengendalian
intern
dapat
General
Exposures
result from
error
/irregulariti
es
Manageme
nt control
objective
System
controls
objective
Application
controls
Controls
Berdasarkan metodologi yang digambarkan dalam diagaram tersebut
jelas bahwa di dalam mendesain sistem pengendalian intern komputerisasi,
langkah yang perlu dilaksanakan adalah sebagai berikut:
1. Pertama-tama ialah bahwa pengalaman yang lalu
2. Langkah berikutnya adalah pertimbangan manajemen
3. Selanjutnya menetapkan tujuan dari sistem pengendalian intern itu
sendiri
4. Akhirnya menetapkan sistem pengendalian yang bersifat umum
maupun yang khusus berlaku untuk unit/bagian/area/fungsi/subsistem
tertentu.
Struktur pengendalian intern menurut Watne (1984, p.99) seperti tabel
6.2 pada bagian akhir bab ini. Adapun sistem pengendalian intern yang
perlu dilakukan pada sistem berbasis komputer (Weber, 1999, p.38) pada
garis besarnya berikut ini.
125
A. Pengendalian Umum
Pengendalian umum (general controls) ialah sistem pengendalian
intern komputer yang berlaku umum meliputi seluruh kegiatan
komputerisasi sebuah organisasi secara menyeluruh. Kesalahan yang
bersifat manage-ment framework misalnya adalah:
ƒ Unit komputer tidak direncanakan dengan baik.
ƒ Unit komputer tidak dikelola dengan efektif, efisien, ekonomis.
ƒ Tidak kebijakan yang jelas mengenai pola karier, kualifikasi
pegawai teknis, pelatihan, dan sebagainya.
ƒ Tidak ada kebijakan yang jelas mengenai standardisasi.
ƒ Tidak ada kebijakan yang jelas mengenai pola manajemen proyek,
metodologi pengembangan sistem.
ƒ Kurang pedulinya top management mengenai mutu sistem
informasi dan perlunya quality assurance.
Pengendalian umum terdiri dari :
a. Pengendalian top manajemen (top management controls).
b. Pengendalian manajemen sistem informasi (Information system
management controls).
c. Pengendalian manajemen pengembangan sistem (system development
mana-gement controls), termasuk manajemen program (programminng
management controls).
d. Pengendalian manajemen sumber data (Data resources management
controls).
e. Pengendalian manajemen jaminan kualitas (Quality assurance
management controls).
f. Pengendalian manajemen keamanan (Security adminstration
management controls).
g. Pengendalian manajemen operasi (Operations management controls).
1. Pengendalian Manajemen Sistem Informasi
Seperti layaknya tugas pokok dan fungsi manajemen pada
umumnya, manajemen pada fungsi/unit sistem informasi mempunyai tugas
untuk melakukan fungsi planning, organizing, Actuating, dan controlling
(POAC). POAC dalam pengelolaan sumber daya informasi, sebagai
berikut:
ƒ Planning
ƒ Organizing
ƒ Actuating
ƒ Controlling
126
Topik penting lainnya yang tercakup dalam manajemen sistem
informasi, khususnya pada isu organizing, ialah masalah organisasi pusat
komputer atau unit fungsional sistem informasi itu sendiri. Berbagai hal
yang perlu diperhatikan antara lain mengenai:
¾ Organisasi Pusat Komputer
ƒ “Letak” unit komputer di dalam suatu organisasi
ƒ Masalah lain adalah apakah komputer dikelola secara sentralisasi,
atau de-sentralisasi, terbagi, atau tersebar.
ƒ Struktur organisasi pusat komputer secara tradisional terdiri dari:
9 Bagian Aplikasi (terdiri dari para sistem analis dan
programmer).
9 Bagian Produksi (terdiri dari para operator yang secara
langsung menjalankan operasional komputer).
9 Bagian Dukungan Teknis (terdiri dari para spesialis operating
systems, ahli database, ahli komuniksi data).
ƒ Organisasi komputer dengan lingkungan berbasis komputer
mempunyai ciri-ciri yang berbeda dengan instalasi komputer induk.
¾ Kebijakan Personil
ƒ Pada suatu instalasi komputer, terdapat tipe pegawai administratif
(klerk), pegawai operasional (para operator), serta knowledge
worker/professional (sistem analis, programmer, dan lainnya).
Kebijakan umum dari pimpinan organisasi juga sangat diperlukan
dalam kaitan pemisahan tugas dan fungsi:
9 Fungsi pengembang sistem informasi (system development)
9 Fungsi pelaksanaan (operasional/produksi) sistem
komputerisasi
9 unit fungsional pengguna jasa informasi (user). Di lingkungan
user itupun juga perlu diperjelas yang mana merupakan fungsi
otorisasi, fungsi akuntabilitas, dan fungsi pelaksanaan
olperasional.
¾ Pengendalian lainnya, misalnya pengendalian prosedur administratif.
2. Pengendalian Manajemen Pengembangan Sistem
Pengendalian intern dalam manajemen pengembangan sistem atau
system development management controls (Weber, 1999, p.132-137)
dilakukan dengan menetapkan kebijakan pimpinan unit informasi tentang
berikut ini:
a). Prosedur Pengembangan (Procedures Development)
b). Tes Kelayakan (Acceptance Testing)
127
Terdiri dari 4 bagian yaitu program testing, system testing, user
testing, quality assurance testing.
c). Konversi (Conversion)
d). Operasi dan Perawatan (Operation and Maintenance)
ƒ Repair maintenance
ƒ Adaptive maintenance
ƒ Perfective maintenance
Disamping perawatan tersebut, perubahan sistem dalam katagori
yang lebih berat adalah updating, enhancement atau reengineering
sistem.
Dalam pengembangan sistem aplikasi komputer, terdapat beberapa
metodologi atau pendekatan yang dapat dipilih, misalnya: system
development life cycle, waterfall approach, prototyping, soft system
methodology, dan sebagainya. Pimpinan harus menetapkan standar yang
harus dianut. Dalam suatu organisasi komputer, standar yang ditetapkan
misalnya adalah seperti pada tabel berikut. Kutipan information system
principles/standard ada di bagian akhir bab ini.
Jenis
Standar
Methods
standards
Keterangan
Yaitu pedoman atau prosedur yang harus diikuti, a.l.
bagaimana melakukan analisis, desain, pemrograman dan prosedur produksi atau bagaimana suatu
sistem dioperasikan.
Performance Yaitu pedoman tentang sumber daya dan hasil yang
dicapai. Misalnya acuan tentang waktu untuk test/
standards
pemrograman, response-time suatu online systems.
Documentati Yaitu pedoman tentang dokumentasi kegiatan sistem
on standards yang harus dibakukan dan dipertegas minimal isinya.
Misalnya, format spesifikasi sistem, spesifikasi
program, pedoman kerja operator dan sebagainya.
ProjectYaitu pedoman tentang pengelolaan proyek/tim
control
aplikasi, misalnya, checkpoints yang harus ada untuk
standards
review sistem dan monitor prosedur kerja proyek.
Post-audit
standards
Yaitu pedoman ex post reviews terhadap kegiatan
teknis yang dilakukan.
Tabel 6.1. Standar Kegiatan Pengembangan Aplikasi
Sumber : Weber (1999, p.90)
128
Kata-kunci yang berkaitan dengan System Development &
Controls
ƒ Metodologi, antara lain SDLC, waterfall, Prototyping, CASE
4GL dan Object Oriented/softsystem methodology.
ƒ Manajemen Tim (system development project management)
ƒ Tahap-tahap kegiatan dalam pengembangan aplikasi.
ƒ Tes Program, String/Runstream, tes Sistem dan Parallel-test
ƒ Standard Operating Procedures.
ƒ Konversi Sistem.
ƒ Post evaluation/ System Maintenance
ƒ Pengendalian Perubahan.
Hal-hal yang perlu diperhatian dalam pengembangan sistem aplikasi
komputer, ialah:
¾ Pengendalian dokumentasi
ƒ Dalam suatu instalasi komputer perlu diatur sistem dokumentasi:
9 Standardisasi dokumentasi (jenis maupun teknis penulisannya)
9 Dokumentasi yang lazim ada bagi suatu aplikasi komputer:
9 Dokumentasi program yang sebaiknya ada:
9 Dokumentasi sistem komputerisasi (spesifikasi) yang sebaiknya
ada bagi pengguna bila sistem komputerisasi tersebut sudah
dioperasikan:
Perlu dipahami, bahwa dokumentasi mempunyai banyak manfaat:
‰
‰
‰
‰
‰
‰
Sebagai bagian tak terpisahkan dari sistem komputerisasi tersebut.
Sumber informasi tentang sistem komputerisasi tersebut.
Dasar penyusunan pelatihan.
Dasar untuk komunikasi antar teknisi ataupun teknisi dengan user.
Sumber pengendalian (akuntansi).
Sebagai Road-map bagi auditing.
¾ Kebijakan audit (quality assurance) pada pengembangan sistem dan
dasar pemikiran pentingnya keterlibatan quality assurance tersebut.
¾ Dalam pengendalian pengembangan sistem perlu ditetapkan prosedur
standard tertulis proses pengembangan sistem, metodologi formal yang
baku (tertulis), standard manajemen proyek pengembangan aplikasi
(development team), peranan steering-committee, user, team, supporting
unit.
¾ Prosedur dan konvensi pemrograman:
¾ Prosedur tes keandalan dalam pengembangan sistem
129
3. Pengendalian Manajemen Sumber Data
Menurut Weber (1999, p 206) pengendalian sumber data (Data
Resources Management) yang baik adalah:
ƒ user harus dapat membagi data (data sharing among users).
ƒ data harus tersedia untuk digunakan kapan saja, dimana pun, dan
dalam bentuk apapun (sudah tentu dengan aturan akses/wewenang
yang jelas).
ƒ data harus dapat dimodifikasi dengan mudah (user friendly) oleh
yang berwenang sesuai dengan kebutuhan user.
Bentuk pengendalian manajemen data lainnya yang yang perlu
diterapkan misalnya antara lain ialah:
ƒ Akses database (access controls).
ƒ Data dictionary/directory, system file handling controls serta file
handling controls
ƒ Audit-trail
ƒ Trigger policy
ƒ Kebijakan tentang pola update antar lokasi, database induk
ƒ Existence controls
4. Pengendalian Manajemen Mutu
Menurut Weber (1999) ada enam alasan yang menyebabkan
kebutuhan quality assurance makin penting bagi organisasi:
a.
b.
c.
d.
e.
Makin meningkatnya kesadaran bahwa mutu itu perlu.
Pengguna (user) makin menuntut (demanding) atas jasa yang baik
Ambisi memenuhi kepuasan pelanggan makin meningkat.
Organisasi makin bertanggungjawab untuk tidak defect product.
Apabila kesadaran kualitas tidak ditingkatkan, maka resiko dan
mungkin konsekuensi biaya perbaikan malahan akan sangat tinggi.
f. Peningkatan kualitas adalah sudah menjadi worlwide trend, bahwa para
produsen akan meningkatkan mutu barang dan/atau jasa yang diberikan.
Pimpinan organisasi yang baik perlu lebih menggalakkan fungsi
quality assurance, yaitu antara lain dalam bentuk:
a. Mengembangkan budaya mutu, khususnya membantu kesadaran
mutu dan bagaimana menetapkan sasaran kualitas ke anggota
development team.
b. Menetapkan, mengelola, dan mensosialisasikan standar, khususnya
untuk kegiatan yang berkaitan dengan sistem informasi.
130
c. Memonitor apakah standar yang ada sudah dipatuhi.
d. Mengkaji bidang-bidang yang perlu perbaikan, terutama yang
berkaitan dengan masalah kualitas.
e. Memberikan pelatihan-pelatihan tentang peningkatan mutu
produk/jasa.
5. Pengendalian Manajemen Operasi
Menurut Weber (1999, p 288), secara garis besar pengendalian
mana-jemen operasi (operations management controls) bertanggungjawab
terhadap hal-hal sebegai berikut:
1. Pengoperasian Komputer (Computer Operations)
Tipe pengendalian yang harus dilakukan :
ƒ Menentukan fungsi-fungsi yang harus dilakukan operator
komputer maupun fasilitas operasi otomatis.
ƒ Menentukan penjadwalan kerja pemakaian hardware/software.
ƒ Menentukan perawatan hardware agar dapat berjalan baik.
ƒ Pengendalian perangkat keras berupa hardware controls dari
produsen untuk deteksi hardaware malfunction.
2. Pengoperasian Jaringan (Network Operation)
Pengendalian yang dilakukan ialah seperti memonitor dan
memelihara jaringan dan pencegahan terhadap akses oleh pihak yang
tidak bewenang.
3. Persiapan dan Pengentrian Data (Preparation and Entry Data)
Fasilitas-fasilitas yang ada harus dirancang untuk memiliki
kecepatan dan keakuratan data serta telah dilakukan pelatihan
terhadap pengentri data.
4. Pengendalian Produksi (Production Control)
ƒ Penerimaan dan pengiriman input dan output.
ƒ Penjadwalan kerja.
ƒ Manajemen pelayanan.
ƒ Peningkatan pemanfaatan komputer.
6. Pengendalian Manajemen Keamanan
Menurut Weber (1999, pp 257-266) pengendalian intern terhadap
mana-jemen keamanan (security managemen controls) dimaksudkan untuk
menjamin agar aset sistem informasi tetap aman. Ancaman utama terhadap
keamanan dapat bersifat karena alam, manusia (bersifat kelalaian maupun
kesengajaan), antara lain:
a. Ancaman kebakaran
a. Ancaman banjir
b. Perubahan tegangan sumber energi
131
c.
d.
e.
f.
g.
Kerusakan struktural
Polusi
Penyusup
Virus
Hacking
Untuk mengantisipasi adanya resiko-resiko tersebut,
pengendalian intern lainnya yang dapat diterapkan misalnya ialah:
sistem
ƒ Pengendalian keamanan fisik
9 Pengendalian terhadap bencana
9 Pengendalian pengamanan fisik preventif
9 Pengendalian pengamanan prosedural
ƒ Pengendalian kemanan data dan fasilitas pengolahan
9 Adanya data-log, file-protection, access restriction, back-up &
recovery.
ƒ Pengendalian Security dan Data Communication
ƒ Standard operating procedures (SOP)
Hal0hal yang perlu diatur dalam SOP misalnya ialah mengenai:
9 Penjadwalan kerja pengoperasian komputer
9 Sasaran kinerja komputer (computer performance, computer
time, utilization,response time. dan sebagainya)
9 Prosedur Job Run
9 Console Log
9 Staff Time Record
9 File Control Standard
9 Prosedur pengawasan dan hal-al tak terduga
Pengendalian akhir
Jika benar-benar terjadi bencana, pengendalian akhir yang dilaksanakan:
1.
Rencana Pemulihan Bencana
Rencana pemulihan menjadi keadaan normal setelah terjadinya
bencana dilakukan kegiatan-kegiatan yang misalnya:
o
o
o
o
2.
Rencana Darurat (Emergency Plan)
Rencana Backup (Backup Plan)
Rencana Pemulihan (Recovery Plan)
Rencana Pengujian (Test Plan)
Asuransi
Perlu dikalkulasi cost/benefit-nya untuk asuransi peralatan, fasilitas,
media penyimpanan, gangguan bisnis, dokumen dan kertas yang
berharga yang ada di instalasi. Jika perlu dalam suatu proyek
komputerisasi yang besar perlu dibuat asuransi kemungkinan biaya
tambahan proyek bila terjadi overrun cost and schedule.