IT Control atau Pengendalian IT
merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah
sistem komputer yang digunakan telah dapat melindungi aset milik organisasi,
mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi
secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien
(Weber, 2000).
Pada dasarnya, Audit Sistem
Informasi dibedakan menjadi dua kategori, yaitu:
1. Pengendalian Aplikasi (Application
Control)
Tujuan pengendalian aplikasi
dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam
aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas
output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan
atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki
kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.
2. Pengendalian Umum (General
Control)
Tujuan pengendalian umum lebih
menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus
meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan
pemrosesan data.
PENGENDALIAN UMUM
Pengendalian umum pada perusahaan
dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal dilakukan
terhadap aset-aset fisik perusahaan, sedangkan aspek logikal terhadap sistem
informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri
digolongkan menjadi beberapa, diantaranya:
a)
Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan pengendalian
organisasi adalah secara umum terdapat pemisahan tugas dan jabatan antara
pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat
dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah
diotorisasi oleh administrator.
b) Pengendalian operasi.
Operasi sistem informasi dalam
perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut
dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
c)
Pengendalian perubahan.
Perubahan-perubahan yang dilakukan
terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi dari
sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan
atas diimplementasikannya sebuah sistem informasi.
d)
Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan
dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu
perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap
sistem operasi sistem tersebut (misal: windows).
PENGENDALIAN APLIKASI
Pengendalian aplikasi adalah
prosedur-prosedur pengendalian yang didisain oleh manajemen organisasi untuk
meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses
bisnisnya dapat berjalan dengan baik.
Macam Aplikasi
Aplikasi berwujud perangkat lunak,
yang dapat dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit
PDE:
- Perangkat lunak berdiri sendiri
Terdapat pada organisasi yang belum
menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri
sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB
pada fungsi akuntansi dan keuangan.
- Perangkat lunak di server
Tedapat pada organisasi yang telah
menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe
struktur sistemnya memakai sistem client-server . Client hanya
dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server.
Macam Pengendalian Aplikasi
a.
Pengendalian Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir
sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi
yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator,
pengguna, hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, terpusat
hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi.
Selain itu juga terdapat pengendalian role based menu dibalik
pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu
mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat
dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan
sandi nya.
b.
Pengendalian Input
Pengendalian input memastikan
data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan
terverifikasi.
c.
Pengendalian Proses
Pengendalian proses biasanya terbagi
menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada
berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2)
tahapan database, proses yang dilakukan pada berkas-berkas master.
d.
Pengendalian Output
Pada pengendalian ini dilakukan
beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output
yang dihasilkan juga kasat mata.
e.
Pengendalian Berkas Master
Pada pengendalian ini harus terjadi
integritas referensial pada data, sehingga tidak akan diketemukan
anomali-anomali, seperti:
- Anomaly penambahan
- Anomaly penghapusan
- Anomaly pemuktahiran/pembaruan
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum
dan aplikasi bersifat pervasif. Artinya apabila pengendalian umum terbukti
jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila
pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga
baik.
