PERTEMUAN 10: Risiko & Pengendalian Aplikasi¶
- 📑 Slide: Slide
- 📊 Dataset: Latihan Minggu 10
- TUGAS: Pengumpulan Tugas
- Praktik Pengendalian Aplikasi Pada Aplikasi KeuanganMyob: Link
Materi¶
1. Foundation of IT Controls¶
1.1 Mengapa Sistem Membutuhkan Pengendalian?¶
- Weak control → unreliable data → unreliable audit conclusion.
- Kesalahan pada:
- Input → transaksi salah
- Proses → perhitungan salah
- Output → pelaporan salah
Auditor tidak hanya menganalisis data, tetapi memastikan data dapat dipercaya.
Accountant uses data.
Auditor validates data.
1.2 Tidak Ada Sistem yang Sempurna¶
Dalam praktik audit sering ditemukan: - Kontrol ada tetapi tidak berjalan - Kontrol dibypass - Kontrol tidak didesain dengan baik
Dampak: - Salah saji laporan keuangan - Keputusan manajemen yang keliru - Fraud tidak terdeteksi
1.3 Konsep IT Controls¶
A. IT General Control (ITGC)¶
Kontrol yang berlaku untuk seluruh lingkungan TI.
Jika ITGC lemah, maka Application Control tidak dapat dipercaya.
Contoh ITGC: - Access control (logical access, segregation of duties, privileged access) - Change management - IT operations (job scheduling, monitoring) - Backup & recovery
Karakteristik: - Level: Entity level - Dampak: Tidak langsung ke output - Fokus: IT Officer
B. Application Control (AppCon)¶
Kontrol spesifik dalam aplikasi untuk menjamin: - Accuracy - Completeness - Authorization - Integrity
Contoh: - Input validation - Approval workflow - Processing checks - Output restriction
Karakteristik: - Level: Transaction level - Dampak: Langsung ke output - Fokus: User
- ITGC = Fondasi rumah
- AppCon = Pintu dan kunci
Jika fondasi lemah, kunci yang kuat tidak berarti.
2. Bentuk Pengendalian Aplikasi¶
2.1 Berdasarkan Tahapan Proses¶
1. Input Controls¶
Memastikan data: - Authorized - Accurate - Complete
2. Processing Controls¶
Mencegah dan mendeteksi error saat pemrosesan.
3. Output Controls¶
Memastikan: - Informasi akurat - Didistribusikan ke pihak berwenang - Tepat waktu
2.2 Berdasarkan Interaksi Manusia¶
| Jenis | Deskripsi |
|---|---|
| Manual | Dilakukan manusia |
| Semi-Manual | Kombinasi user & sistem |
| Automated | Diprogram & embedded dalam sistem |
3. Contoh Pengendalian Input¶
3.1 Field Interrogation¶
- Check Digit
- Missing Data Check
- Numeric-Alphabet Check
- Limit Check
- Range Check
- Validity Check
3.2 Record Interrogation¶
- Reasonableness Check
- Sign Check
- Sequence Check
3.3 File Interrogation¶
- Internal & External Label Check
- Version Check
4. Dampak Kelemahan Kontrol ke Laporan Keuangan¶
Rantai dampak:
Control weakness
→ Error / manipulation
→ Transaksi salah dicatat
→ Laporan keuangan terdampak
Auditor harus menjelaskan: “So what?”
5. Risiko pada Siklus Bisnis¶
5.1 Sales, Receivables, Cash Receipt¶
Risiko: - Revenue manipulation - Cash misappropriation
Kontrol: - Credit limit validation - Sequential invoice number - Matching DO dengan invoice - Cash reconciliation
5.2 Purchasing & Payables¶
Risiko: - Fake vendor - Duplicate payment - Unauthorized purchase
Red flag: - Vendor baru + pembayaran besar + approval oleh orang yang sama
5.3 Inventory¶
Risiko: - Selisih kuantitas - Manipulasi biaya - Stock adjustment tanpa otorisasi
5.4 Reporting¶
Risiko: - Manual journal override - Manipulasi parameter report - Editing manual di Excel setelah export
5.5 Import–Export Data¶
Risiko: - Data tidak lengkap - Duplikasi - Interface tidak tervalidasi
6. Audit AppCon dan ITGC¶
6.1 Tujuan Audit¶
Menilai: - Design adequacy - Effectiveness of control
6.2 Tahapan Audit¶
- Process understanding
- Application walkthrough
- Risk Control Matrix (RCM)
- Test of Design (ToD)
- Test of Effectiveness (ToE)
- Conclusion
6.3 Test of Design¶
Tujuan: Memastikan kontrol sudah didesain untuk mitigasi risiko.
Metode: - Simulation - Negative test
Contoh: Sistem menolak pembuatan transaksi yang melanggar aturan.
6.4 Test of Effectiveness¶
Tujuan: Memastikan kontrol berjalan konsisten.
Metode: - Historical data analysis - CAATs (test script)
6.5 Pengujian ITGC¶
Cakupan: - Database server - Application server - Configuration - Web application security
Metode: - Configuration analysis - Penetration testing script
7. Contoh Pengujian Pengendalian Aplikasi (Excel)¶
Contoh Pengujian Pengendalian Aplikasi (Excel)¶
| No | Jenis Pengendalian | Tujuan Pengujian | Contoh Kasus | Cara Uji di Excel | Contoh Formula |
|---|---|---|---|---|---|
| 1 | Check Digit | Memastikan nomor identifikasi valid | Validasi ISBN-13 | Hitung ulang check digit dan bandingkan | =LEFT(), =MID(), =RIGHT(), =IF() |
| 2 | Missing Data Check | Memastikan tidak ada data kosong | Nomor invoice tidak boleh kosong | Hitung jumlah sel kosong | =COUNTBLANK(range) |
| 3 | Numeric-Alphabet Check | Memastikan format data sesuai | Kolom jumlah harus numerik | Uji apakah sel bertipe angka | =ISNUMBER(cell) |
| 4 | Limit Check | Memastikan nilai tidak melebihi batas | Transaksi maksimal Rp20.000.000 | Bandingkan dengan batas maksimum | =IF(A2>20000000,"Over Limit","OK") |
| 5 | Range Check | Memastikan nilai dalam rentang tertentu | Usia 17–21 tahun | Uji dengan AND | =IF(AND(A2>=17,A2<=21),"Valid","Invalid") |
| 6 | Validity Check | Memastikan data sesuai referensi | Kode akun sesuai COA | Cocokkan dengan tabel referensi | =IF(ISNUMBER(MATCH(A2,Ref!A:A,0)),"Valid","Invalid") |
| 7 | Reasonableness Check | Menguji kewajaran logika data | Tanggal kirim ≥ tanggal pesan | Bandingkan dua tanggal | =IF(B2>=A2,"Valid","Invalid") |
| 8 | Sign Check | Memastikan nilai sesuai tanda | Nilai transaksi tidak boleh minus | Uji apakah negatif | =IF(A2<0,"Invalid","OK") |
| 9 | Sequence Check | Memastikan nomor berurutan | Nomor invoice harus urut | Bandingkan selisih nomor | =IF(A3-A2=1,"OK","Gap") |
| 10 | Pengujian Akurasi | Menghitung ulang perhitungan | Hitung ulang pajak/diskon | Rekalkulasi dan bandingkan | =IF(C2=D2*0.11,"OK","Error") |
| 11 | Konsistensi Data | Memastikan konsistensi kategori | Gender hanya "Pria/Wanita" | Gunakan filter atau IF | =IF(OR(A2="Pria",A2="Wanita"),"OK","Tidak Konsisten") |
| 12 | Duplikasi Data | Mendeteksi data ganda | Nomor invoice tidak boleh duplikat | Hitung kemunculan data | =IF(COUNTIF(A:A,A2)>1,"Duplicate","OK") |
| 13 | Keseragaman Data | Memastikan satuan seragam | Semua nilai dalam Rupiah | Cek format atau simbol | Pemeriksaan format / validasi data |
8. Mindset Setelah Pertemuan Ini¶
Sebelum: - Output sistem = fakta - Data = bukti
Sesudah: - Output sistem = klaim - Data harus divalidasi - Auditor fokus pada proses, bukan hanya hasil