Dalam era digital, hampir seluruh proses bisnis bergantung pada sistem informasi. Mulai dari pencatatan transaksi keuangan hingga pengambilan keputusan strategis, teknologi informasi menjadi tulang punggung organisasi. Tidak mengherankan jika audit teknologi informasi semakin krusial. Salah satu topik yang paling sering dibahas auditor dan praktisi adalah perbedaan IT general controls dan application controls. Meski terdengar teknis, pemahaman yang tepat tentang keduanya menentukan kualitas hasil audit dan tingkat keandalan sistem perusahaan.
Artikel ini akan mengulas secara ringkas namun komprehensif mengenai konsep, perbedaan, serta contoh general controls dan application controls, dilengkapi pandangan para ahli dan regulasi yang relevan.
Mengapa Pengendalian TI Penting dalam Audit?
Pengendalian TI berfungsi memastikan sistem informasi menghasilkan data yang akurat, lengkap, dan andal. Menurut kerangka COSO Internal Control – Integrated Framework, pengendalian internal adalah proses yang dirancang untuk memberikan keyakinan memadai atas pencapaian tujuan organisasi, termasuk keandalan pelaporan keuangan.
Dalam konteks audit TI, pengendalian ini umumnya dibagi menjadi dua kelompok besar: IT General Controls (ITGC) dan Application Controls.
Baca Juga : Peran Audit Teknologi Informasi Mengelola Risiko
Apa Itu IT General Controls?
IT General Controls adalah pengendalian yang berlaku secara menyeluruh terhadap lingkungan teknologi informasi. Pengendalian ini tidak terkait dengan satu aplikasi tertentu, melainkan menopang seluruh sistem TI.
Menurut COBIT 2019 yang diterbitkan ISACA, ITGC mencakup kebijakan, prosedur, dan praktik yang memastikan sistem TI dikembangkan, dioperasikan, dan dipelihara secara andal dan aman.
Contoh General Controls dan Application Controls (Bagian ITGC)
Beberapa contoh general controls yang umum diaudit antara lain:
- Pengendalian akses logis
Pengaturan hak akses pengguna, penggunaan user ID dan kata sandi, serta mekanisme otorisasi. - Pengendalian perubahan sistem (change management)
Prosedur persetujuan dan pengujian sebelum perubahan sistem diterapkan. - Pengendalian operasi TI
Proses backup, recovery, dan pemantauan operasional sistem. - Keamanan fisik dan lingkungan
Pengamanan ruang server, kontrol suhu, dan perlindungan dari bencana.
Jika ITGC lemah, maka auditor biasanya tidak dapat sepenuhnya mengandalkan application controls.
Apa Itu Application Controls?
Berbeda dengan ITGC, application controls adalah pengendalian yang tertanam langsung dalam aplikasi tertentu. Fokusnya adalah memastikan setiap transaksi diproses secara benar, lengkap, dan sah.
Menurut Romney dan Steinbart dalam Accounting Information Systems, application controls dirancang untuk mencegah, mendeteksi, dan memperbaiki kesalahan atau kecurangan pada level transaksi.
Contoh General Controls dan Application Controls (Bagian Application Controls)
Beberapa contoh application controls meliputi:
- Input controls
Validasi data, seperti pengecekan format tanggal atau batas nilai transaksi. - Processing controls
Mekanisme perhitungan otomatis dan pemeriksaan logika proses. - Output controls
Rekonsiliasi laporan dan pembatasan akses hasil keluaran sistem. - Interface controls
Pengendalian pertukaran data antar sistem agar tidak terjadi kehilangan data.
Perbedaan IT General Controls dan Application Controls
Secara ringkas, perbedaan IT general controls dan application controls dapat dilihat dari beberapa aspek utama:
- Ruang lingkup
ITGC mencakup seluruh lingkungan TI, sedangkan application controls spesifik pada satu aplikasi. - Tujuan
ITGC bertujuan menciptakan fondasi sistem yang andal, sementara application controls memastikan keakuratan transaksi. - Ketergantungan
Application controls sangat bergantung pada efektivitas ITGC. - Pendekatan audit
Audit ITGC biasanya dilakukan lebih awal untuk menentukan sejauh mana auditor dapat mengandalkan pengendalian aplikasi.
Regulasi dan Standar yang Relevan
Di Indonesia, audit TI tidak terlepas dari kerangka regulasi berikut:
- Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) beserta perubahannya, yang menekankan keamanan dan keandalan sistem elektronik.
- PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, yang mewajibkan pengendalian keamanan sistem.
- ISO/IEC 27001 sebagai standar internasional sistem manajemen keamanan informasi.
- COBIT sebagai kerangka tata kelola dan pengendalian TI yang banyak digunakan auditor.
Pandangan ISACA menyatakan bahwa kombinasi ITGC dan application controls yang efektif adalah kunci untuk memastikan kepatuhan, keamanan, dan keandalan sistem informasi.
FAQ’s
Apakah IT General Controls lebih penting daripada Application Controls?
Keduanya sama penting. Namun, ITGC menjadi fondasi yang menentukan apakah application controls dapat diandalkan.
Apakah semua perusahaan wajib menerapkan ITGC dan application controls?
Secara praktik terbaik, iya. Terutama bagi perusahaan yang bergantung pada sistem TI dalam pelaporan keuangan.
Apakah audit laporan keuangan selalu melibatkan audit TI?
Pada perusahaan yang menggunakan sistem informasi, auditor hampir selalu mempertimbangkan pengendalian TI.
Bisakah application controls efektif jika ITGC lemah?
Umumnya tidak. Kelemahan ITGC dapat merusak efektivitas application controls.
Kesimpulan
Memahami perbedaan IT general controls dan application controls bukan sekadar kebutuhan teknis auditor, tetapi juga kebutuhan manajemen dalam menjaga keandalan sistem informasi. ITGC berperan sebagai fondasi, sedangkan application controls memastikan setiap transaksi diproses dengan benar. Keduanya saling melengkapi dan tidak dapat dipisahkan.
Dalam lingkungan bisnis yang semakin digital dan teregulasi, penguatan kedua jenis pengendalian ini bukan lagi pilihan, melainkan keharusan.
Ingin memastikan sistem TI perusahaan Anda siap diaudit dan sesuai regulasi? Mulailah dengan menilai IT general controls dan application controls secara menyeluruh. Audit yang baik selalu dimulai dari pengendalian yang kuat.