enggunaan teknologi informasi berbasis
komputer sudah merupakan hal yang
umum dan menjadi suatu kebutuhan yang
sangat vital dalam era informasi saat ini. Penyam-
paian informasi secara jelas dan cepat dari pengi-
rim di tempat yang berada ribuan mil jaraknya
secara geografis dari tempat si penerima, saat ini
sudah dapat dilaksanakan dalam tempo singkat
dengan memanfaatkan perangkat komputer dan
fasilitas satelit di alam raya cyber. Namun banyak
pihak yang masih meragukan keakurasian
pengolahan informasi yang berbasis komputer.
Sebagaimana yang pernah penulis dengar dalam
pemilihan kepala desa, terjadi ketegangan dian-
tara pihak kontestan mengenai kebenaran hasil
penghitungan suara saat itu yang dilakukan
secara komputerisasi. Kontestan yang kalah
pada saat itu mengklaim telah dirugikan dengan
cara penghitungan semacam itu, dengan alasan
keakuratan penghitungan secara manual lebih
terpercaya dibanding dengan penghitungan
dengan teknologi informasi berbasis komputer.
Dalam penggunaan teknologi informasi
berbasis komputer tersebut memang terdapat
beberapa risiko yang harus disikapi oleh peng-
gunanya, namun alasan demikian tidak meng-
haruskan kita serta merta menolak informasi
yang dihasilkan, dan harus kembali hidup mundur
ratusan tahun lagi ke belakang agar dapat me-
yakini hasilnya. Hal ini juga mengenai pihak
auditor yang dalam melaksanakan tugas auditnya
selama ini secara manual, sekarang harus mening-
galkan cara kerja lamanya tersebut dan beralih
kepada audit berbasis komputer.
Dari sudut pandang auditor, penggunaaan
komputer dalam pengolahan informasi akan
mempengaruhi 2 aspek risiko audit yaitu :
1). Kebutuhan penjamahan kepada risiko
pengendalian terhadap pengendalian sistem
informasi berbasis komputer atas tahapan
pemrosesan transaksi.
2). Pengelolaan risiko deteksi atas transaksi
yang diproses oleh komputer yang terkait
dengan saldo-saldo yang ada di dalam file
komputer hasil pemrosesan itu sendiri.
Patut disikapi oleh auditor bahwa audit
trail atas transaksi yang diproses secara kompu-
terisasi mempunyai suatu bentuk yang berbeda
yang ditandai dengan dokumentasi yang lebih
sedikit dibandingkan dengan pemrosesan secara
manual. Penyimpanan transaksi dan file secara
internal di dalam perangkat komputer akan
mengurangi penyimpanan hard copy. Berkurang-
nya dokumentasi ini memerlukan perhatian yang
lebih kepada pengendalian program untuk me-
yakini adanya konsistensi dan akurasi dalam
pemrosesan setiap transaksi.
Audit trail yang biasanya dapat dilihat secara
visual oleh kasat mata manusia telah ditransfor-
masikan secara internal ke dalam komputer se-
hingga pengujian pengendalian telah beralih dari
pemeriksaan atas dokumen menjadi inspeksi atas
transaction log, dan observasi atas efektivitas
pengendalian yang dilaksanakan selama input.
Atas modifikasi audit trail tersebut, dalam
pemrosesan transaksinya komputer mengga-
bungkan beberapa fungsi yang biasanya dipisah-
kan pada sistem manual, misalnya komputer
dalam memroses order penjualan memvalidasi
nomor pelanggan, limit jumlah penjualan kredit,
nomor persediaan barang melalui editing yang
dilakukan secara internal. Demikian juga di dalam
sistem pembayaran gaji, komputer secara inter-
nal menguji kesesuaian nomor pekerja untuk
menentukan apakah seseorang tersebut benar-
benar pekerja yang sah/ terdaftar di perusahaan
itu, kebenaran tingkat upah yang diberikan mau-
pun kelayakan jam kerjanya. Sedangkan dalam
sistem manual, pekerjaan validasi seperti hal ter-
sebut dilaksanakan melalui pengujian dan reviu
secara visual oleh pihak lain.
Dari uraian tersebut, seorang auditor dalam
melakukan audit berbasis komputer akan diha-
dapkan pada kebutuhan melakukan pengujian-
pengujian secara langsung terhadap pengendalian
program yang digunakan pada aplikasi pemro-
sesan data yaitu dengan melaksanakan pengujian
terbatas, tes validitas dan pengujian saldo-saldo.
Hal itu memungkinkan auditor yang bersangkut-
an melakukan asersi secara langsung terhadap
pemrosesan transaksi dimaksud. Jika auditor
merasa pengendalian pemerosesan transaksi
transaksi cukup reliabel, maka auditor tersebut
dapat mengambil suatu kesimpulan mengenai
tingkat akurasi dari data yang ada.
Beberapa tipe sistem informasi berbasis
komputer antara lain
Sistem sentralisasi
Didalam Sistem ini, unit pemroses data me-
ngendalikan pencatatan transaksi pada suatu
lokasi sentral. Data ditransmisikan oleh unit pe-
milik data dengan menggunakan terminal kepada
bagian pemroses data yang selanjutnya akan
mengolah data yang masuk tersebut. Pihak analis
dan pengembang sistem, pemrogram dan
pengendali data seluruhnya berada pada lokasi
sentral. End-user dapat memperoleh informasi
dari sentral dalam bentuk hard-copy atau meng-
aksesnya melalui terminal secara terbatas,
misalnya hanya dapat melihat/membaca data
tetapi tidak dapat mengubah data yang ada.
Sistem Pendistribusian Pemrosesan
Data
Dalam sistem ini, pada suatu entitas ter-
dapat beberapa unit pemroses data pada masing-
masing unit pemilik data sesuai fungsinya,
misalnya pemasaran, produksi, dan keuangan.
Masing-masing unit tersebut dihubungkan me-
lalui sistem jaringan (networking) yang memung-
kinkan satu sama lainnya saling berkomunikasi
maupun dalam berbagi kerja dalam pemrosesan
data. Dalam sistem ini terdapat risiko pengaman-
an data sehubungan dengan terbukanya akses
dari pihak-pihak yang tidak mempunyai otorisasi
kepada database maupun kemungkinan
pengubahan data.
3)
On Real Time Processing System
Di dalam sistem ini, transaksi dimasukkan
dan diproses serta dilakukan up-dating secara
kontinyu melalui masing-masing terminal. Dari
segi pandangan auditor risiko pengendalian pada
sistem ini lebih tinggi dibanding pada sistem yang
lainnya sehingga memerlukan lebih banyak pe-
laksanaan prosedur pengujian substantif.
4)
Batch Processing System
Di dalam sistem ini, transaksi diakumulasi-
kan dan diproses secara kelompok sehingga lebih
terdokumentasikannya audit trail sehingga lebih
memudahkan dilakukannya pengujian oleh
auditor.
Multi User System
Di dalam sistem ini, unit yang ada berdasar-
kan fungsional dan geografisnya dapat digabung-
kan ke dalam sistem operasi tunggal pada lokasi
sentral, dimana data dimasukkan hanya sekali
saja ke dalam sistem data base yang telah terin-
tegrasi sehingga dapat digunakan oleh banyak
pengguna dan dapat dihindarkan pengulangan
pekerjaan yang tidak berguna.
Sistem ini terkait dengan perdagangan barang
dan jasa yang menggunakan fasilitas internet.
Risiko pengendalian yang terdapat dalam sistem
ini adalah adanya akses dari pelanggan kedalam
sistem yang di dalam perusahaan tersebut. Salah
satu bentuk perdagangan secara elektronis ini
adalah Electronic data interchange yaitu pertu-
karan dokumen/informasi bisnis dari suatu per-
usahaan dengan perusahaan lain dengan meng-
gunakan teknologi informasi berbasis komputer.
Secara spesifik, suatu sistem komputer
suatu perusahaan dihubungkan ke sistem per-
usahaan lainnya. Perusahaan Wall Mart, misal-
nya dalam melakukan pembelian guna memenuhi
persediaan barangnya telah melakukan link antara
jaringan komputer yang ada di kasirnya dengan
sistem yang ada pada perusahaan pemasoknya,
sehingga pada saat mesin scanner yang ada pada
kasirnya memasukkan data transaksi penjualan
yang terjadi atas suatu barang tertentu pada saat
seorang pembeli melakukan pembayaran di kasir,
pada saat tersebut juga secara bersamaan tersam-
bung/disampaikan order pesanan barang yang
sama ke sistem pemasoknya. Sistem ini dapat
juga secara indirect ( tidak langsung) di mana
suatu network antara sistem komputer beberapa
perusahaan dengan perusahaan lainnya melalui
mail box / protocol yang mengubah pesan dari
pengirim dan penerima satu sama lainnya kepada
suatu format yang dapat diterima masing-masing
pihak sehingga pihak pengirim tidak perlu
merubah data/dokumen yang dikirimnya kepada
suatu format yang dapat diterima pihak lain, oleh
karenaprotokolyangakan
mengkonversikannya.
Pengendalian terhadap sistem informasi
yang berbasis komputer dapat dikelompokkan
ke dalam 3 tipe yaitu:
1. General control;
2. Application control;
3. User control;
General control meliputi pengendalian atas
seluruh tugas pemrosesan secara luas. Di dalam
General control dipersyaratkan adanya pemi-
sahan dari fungsi-fungsi berikut ini:
1) Manager Sistem: yang mempunyai tugas
atau tanggung jawab menyeluruh terhadap
aktivitas pemrosesan data;
2) Sistem Analis: yang mempunyai tugas
memodifikasi sistem yang ada ataupun
mendesain sistem yang baru sesuai
informasi yang dibutuhkan oleh end-user;
3) Programmer: yang mempunyai tugas men-
ciptakan program dan melakukan pengujian
atas aplikasinya atau memodifikasinya;
4) Operator Komputer: yang mempunyai
tugas memroses transaksi sesuai intruksi dari
operator;
5) Input Group: yang mempunyai tugas
mengubah input data ke bentuk yang dapat
dibaca oleh komputer.
6) Librarian: yang mempunyai tugas mem-
pertahankan pengamanan master file dan
program dan menjaga akses hanya oleh
pihak yang mempunyai otoritas.
7) Data Control Group: yang mempunyai
tugas mendistribusikan output sekaligus
memantau apakah terdapat kesalahan-
kesalahan dengan melakukan pengujian,
yaitu membandingkan antara input dan
outputnya.
Selain dari pemisahan tugas-tugas tersebut
terdapat hal-hal lain yang perlu dilakukan dalam
general control ini antara lain:
1)
Pengembangan sistem dan pengendali-
an dokumentasi
Untuk menjamin keakurasian dalam peme-
rosesan data dibutuhkan kontrol yang efektif ter-
hadap desain, pengembangan, pengujian dan
dokumentasi sistem dan programnya.
Sistem dan program yang didesain harus di-
dokumentasikan dan disahkan sebelum diguna-
kan sehingga memudahkan pengkajian dan pe-
mutakhirannya menyesuaikan kepada perubahan
yang ada, dan juga meminimalkan kemungkinan-
usaha pengubahan sistem dan program yang
tidak terotorisasi sehingga dapat dihindarkan
terjadinya kehilangan kendali dan turunnya
tingkat reliabilitas data.
Access Control
Untuk mencegah penggunaan file dan prog-
ram secara tidak sah, aksesnya harus terbatas
pada orang-orang yang mempunyai otorisasi.
Pengendalian atas akses ini meliputi file, prog-
ram, dokumentasi maupun perangkat keras kom-
puter. Dalam hal ini dapat ditempuh dengan
pemberian password kepada pihak tertentu
untuk dapat mengakses hal yang tertentu pula.
Password dimaksud tentunya tetap harus
dimutakhirkan dan harus dibatalkannya pass-
word yang diberikan kepada pihak-pihak yang
tidak aktif lagi, misalnya pegawai yang telah ber-
henti/pensiun. Atau juga pengendalian akses ter-
sebut dengan pembatasan pengaksesan data
seperti akses hanya untuk membaca/melihat saja
tanpa dapat mengubah suatu file ataupun
program.
3)
Data dan Procedural Control
Perangkat kendali ini dimaksudkan untuk
mengendalikan operasi komputer yang meliputi
Sistem back-up files yang disimpan maupun file
yang telah dihapus, juga melindungi hilangnya
file atau data akibat temperatur, kelembaban,
debu, virus maupun terjadinya bencana. Dalam
hal Electronic Data Interchange, dapat dicegah
hilangnya data selama dalam perjalanan/
transmisi akibat kehilangan daya atau virus,
maupun oleh karena sabotase dari para hacker
yang masuk ke Sistem yang ada dan melakukan
pengubahan data yang sebenarnya. Dalam hal
ini dapat juga dilakukan dengan cara Data
Encryption yang mem-back-up data yang dikirim-
kan ke dalam suatu bentuk yang hanya dapat
dimengerti oleh pihak pengirim dan penerima
dengan menggunakan kunci dalam menerjemah-
kannya.
Application Control meliputi Input Control,
Processing Control dan Output Control. Dalam
hal ini, Input Control berkaitan dengan penekanan
pada akurasi dan kelengkapan data yang dima-
sukkan ke dalam sistem pemerosesan data,
contohnya melalui editing dan audit trail yang
tercatat pada transaction log. Editing merupakan
program rutin yang telah dibangun di dalam
komputer untuk mengecek validitas dan akurasi
dari input, antara lain pengujian sebagai berikut:
1) Numeric Field Test: yaitu untuk menentukan
hanya data numerik yang dimasukkan ke
dalam kolom numerik, atau sebaliknya
hanya data alfabetis yang dimasukkan ke
dalam kolom alfabetis.
Test for Valid Codes: yaitu merupakan
pengujian terhadap keakurasian dari nomor-
nomor kode yang dimasukkan sebagai input
ke dalam sistem, seperti nomor pelanggan,
nomor karyawan atau kode produk.
Test for Reasonableness: yaitu merupakan
pengujian terhadap ketidaklaziman yang
terdapat pada sutu input yang dimasukkan
ke dalam sistem. Misalnya, komputer akan
menolak input yang berkaitan dengan peng-
gajian karyawan pada suatu bulan tertentu
oleh karena adanya ketidaklaziman dalam
jumlah jam kerja pegawai yang melebihi 60
jam dalam satu minggu.
Completeness Test: yaitu merupakan suatu
bentuk pengujian lainnya yang memintakan
kelengkapan atas input yang meliputi misal-
nya nama, nomor karyawan dan jabatan
karyawan pada lembar penggajian.
otorisasi.
Output Control adalah bentuk lain dari peng-
ujian yang berhubungan dengan verifikasi dan
kelayakan distribusi suatu output komputer,
misalnya output telah didistribusikan kepada
pihak yang sah yang mempunyai otorisasi.Juga
pengujian atas kebenaran jumlah dengan
menambahkan batch total kepada saldo awal dan
membandingkannya dengan saldo akhir suatu
transaksi yang diinput.
Sedangkan User Control merupakan prose-
dur kendali manual dari unit organisasi pemilik
data berupa kontrol total yaitu dalam menghitung
total sebelum pemberian data untuk diproses,
dan selanjutnya akan dibandingkan dengan
outputnya. Misalnya, unit penggajian suatu
perusahaan dapat membuat kontrol total untuk
sejumlah pencairan sejumlah cheque untuk pem-
bayaran gaji karyawan dengan membandingkan
totalnya dengan yang terdapat pada Ikhtisar Gaji
yang telah dibuat.
Referensi:
1. Sistem Akunting dan Informasi, Joseph W.,
Wilkonsin, dialihbahasakan oleh Herman
Wibowo, Bina Rupa Aksara, 1996, Bab 19,
Jaringan Komunikasi hal 55 – 109
2. Internal Control and Computer Based
Information System, Larry F. Konrath,
Auditing, A Risk Analysis Approach, South
Western – Thomson Learning, 2002, 5-th
Edition, pp 302 –335.
2)
3)
4)
Processing Control merupakan pengendalian
terhadap tahapan pemerosesan data secara layak
dan benar, misalnya terhadap kebenaran nama
file, catatan perhitungan maupun data lainnya.
Contoh dari processing control misalnya Echo
Check yang meyakinkan bahwa suatu input telah
dimasukkan ke dalam sistem secara benar,
ataupun suatu data yang dikirimkan telah
diterima oleh yang dituju yang mempunyai
Tidak ada komentar:
Posting Komentar