Anda di halaman 1dari 7

SISTEM INFORMASI DAN PENGENDALIAN

INTERNAL








KELOMPOK 7
Amerina Sitompul (14MPAXXIXA03)
Erdhiani Dwi Purnami (14MPAXXIXB44)
Nasta Aulia Listi (14MPAXXIXB76)

Dosen : Dr. Syaiful Ali, MIS





PROGRAM PENDIDIKAN PROFESI AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS GAJAH MADA
2014
Chapter 7
Discussion Questions
7.2 Pemisahan tugas secara efektif terkadang tidak mungkin secara ekonomis untuk bisnis kecil.
Elemen-elemen pengendalian internal apa yang menurut Anda dapat mengimbangi ancaman
tersebut?

Elemen-elemen pengendalian internal yang dapat diterapkan pada bisnis kecil yaitu :
Melakukan pengawasan yang efektif dan pemeriksaan independen atas kinerja yang
dilakukan oleh pemilik/manager. Contohnya: rekonsiliasi bank, memverifikasi bahwa
akun pemeriksa telah sesuai dengan laporan bank.
Fidelity bonding merupakan bentuk kedua pengendalian internal yang sangat penting
untuk orang-orang yang memegang otorisasi kepercayaan yang tidak sepenuhnya
dikendalikan oleh pemisahan fungsi.
Desain dan penggunaan dokumen serta catatan yang memadai.
Otorisasi transaksi dan kegiatan yang memadai. Apabila diperlukan, karyawan diminta
untuk menandatangani dokumen untuk mempertanggung jawabkan atas transaksi atau
persediaan.Dalam organisasi kecil, manajemen dapat menggunakan komputer untuk
melakukan beberapa fungsi pengendalian untuk menjaga aset dan pencatatan yang
memadai.
7.7 Bandingkan dan bedakan tiga kerangka berikut:: COBI T, Pengendalian Terintegrasi COSO
I ntegrated Control, dan ERM.
Perbandingan dan perbedaan COBIT, COSO Integrated Control dan ERM yaitu:
a. COBIT
COBIT mengkonsolidasikan IT untuk suatu pengendalian internal.
Tujuan COBI T Pengoperasian sistem yang efektif dan efisien,
kerahasiaan, kesatuan dan ketersediaan
informasi yang dilengkapi dengan sistem
pelaporan keuangan yang handal disesuaikan
dengan peraturan yang berlaku.
Pengguna Manajemen, operator dan auditor sistem
informasi.
Proses Perencanaan dan organisasi, akuisisi dan
implementasi, pengiriman dan dukungan, dan
monitoring dan evaluasi.
Fokus Pengendalian Teknologi informasi yang digunakan oleh
perusahaan.
Pertanggungjawaban atas Sistem
Pengendalian
Ditujukan kepada Manajemen.
Komponen Pengendalian Perencanaan dan pengorganisasian, pemaduan
dan penerapan, pengawasan atas dukungan serta
pendistribusian.

b. COSO
Kerangka Pengendalian Internal COSO secara luas diterima sebagai otoritas padap engendalian
internal dan dimasukkan ke dalam kebijakan.
Tujuan COBI T Pengoperasian sistem yang efektif dan efisien, kerahasiaan,
kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem
pelaporan keuangan yang handal disesuaikan dengan peraturan
yang berlaku.
Pengguna Manajemen dan Internal Auditor.
Proses Monitoring &control proses identifikasi, analisis, danpengelolaan
risikoorganisasi.
Fokus Pengendalian Seluruh kegiatan organisasi.
Pertanggungjawaban atas
Sistem Pengendalian
Ditujukan kepada Manajemen.
Komponen Pengendalian Pengendalian atas lingkungan, manajemen resiko, pengawasan
serta pengendalian atas aktivitas informasi dan komunikasi.
c. ERM
ERM adalah proses yang dilakukan direksi dan manajemen untuk mengatur strategi,
mengidentifikasi peristiwa yang dapat mempengaruhi entitas, menilai dan mengelola risiko, dan
memberikan keyakinan yang memadai bahwa perusahaan mencapai tujuan dan sasaran. Dengan ERM
manajemen dapat mengelola, menerima, menghindari, mendeversifikasi resiko-resiko yang ada di dalam
suatuorganisasi.
Tujuan COBI T Mengantisipasi resiko yang muncul di masa
datang.
Pengguna Manajemen Resiko.
Proses Analisis proses bisnis, identifikasi resiko yang
akan muncul, pengendalian terhadap resiko,
proses pengendalian manajemen.
Fokus Pengendalian Resiko Organisasi yang akan muncul.
Pertanggungjawaban atas Sistem
Pengendalian
Ditujukan kepada Manajemen.

Problems
7.7 Berdasarkan situasi yang disajikan, jelaskan rekomendasi yang sebaiknya dibuat oleh para auditor
internal untuk mencegah masalah yang serupa di masa depan!

Situation 1:Many employees of a firm that manufactures small tools pocket some of the tools for their
personal use. Since the quantities taken by any one employee are immaterial, the individual employees do
not consider the act as fraudulent or detrimental to the company. The company is now large enough to
hire an internal auditor. One of the first things she did was to compare the gross profit rates for industrial
tools to the gross profit for personal tools. Noting a significant difference, she investigated and uncovered
the employee theft.
Dengan adaya kasus ini, perusahaan dapatmeninjau ulang dan mengusulkan kebijakan peraturan
yang baru atau pengendalian internal yang baru. Peraturan tersebut memuat juga sanksi yang akan didapat
jika terdapat pelanggaran. Kemudian peraturan tersebut harus disosialisasikan dan dikomunikasikan
dengan baik.Sehingga karyawan dapat memahami mengenai tindakan-tindakan yang seharusnya tidak
dilakukan oleh karyawan.Jika terbukti ada karyawan yang melanggar, manajemen dengan tegas harus
memproses kasus tersebut sesuai sanksi yang telah tertera di kebijakan baru.
Selain itu, auditor juga dapat melaksanakan pelatihan mengenai fraud untuk semua karyawan.
Tujuan diadakannya pelatihan ini yaitu untuk mengomunikasikan bahwa menggunakan persedian barang
dagang untuk kepentingan pribadi merupakan tindakan pencurian (fraud) dan dampaknya bagi
perusahaan. Auditor mengomunikasikan dampaknya dalam bentuk perhitungan perbedaan yang signifikan
dari membandingkan tingkat keuntungan kotor untuk alat-alat industri dengan laba kotor alat bantu
pribadi.
Untuk memantau atau mengontrol adanya pencurian ini, kita harus tetap membandingan tarif laba
kotor untuk alat-alat industri dengan laba kotor alat-alat pribadi.Hal ini dimaksudkan agar ketika terjadi
indikasi pencurian bisa dapat langsung ditangani dan dicegah.Selain itu harus membuat otorisasi akses
secara fisik atau dalam bentuk program yang jelas.Hal ini bertujuan untuk mencegah terjadinya
pencurian. Untuk memastikan pengendalian yang dilakukan perusahaan sudah tepat, auditor dapat
melakukan inspeksi mendadak untuk mereview penerapan kebijakan atau pengendalian internal yang
baru, apakah karyawan sudah tidak lagi menggunakan persediaan untuk kepentingan pribadi mereka.

Situation 2:A manufacturing firms controller created a fake subsidiary. He then ordered goods from the
firms suppliers, told them to ship the goods to a warehouse he rented, and approved the vendor invoices
for payment when they arrived. The controller later sold the diverted inventory items, and the proceeds
were deposited to the controllers personal bank account. Auditors suspected something was wrong when
they could not find any entries regarding this fake subsidiary office in the property, plant, and equipment
ledgers or a title or lease for the office in the real-estate records of the firm.
Menurut kelompok kami, yang dapat dilakukan auditor internal berdasarkan situasi 2 diatas yaitu
melakukan pemisahan tugas dan pembagian tugas yang jelas sesuai dengan tanggung jawab masing-
masing karyawan.Untuk transaksi pembelian harus ada persetujuan/otorisasi oleh departemen pembelian,
karena departemen pembelian bertanggung jawab atas semua transaksi tersebut.Jika tidak mendapatkan
persetujuan dari departemen pembelian bearti transaksi tersebut illegal. Proses pembayaran yang
dilakukan juga harus didukung oleh dokumen dan bukti yang relevan dan tepat. Semua dokumen
pendukung harus ditandatangani oleh petugas yang berwenang, sehingga jika terjadi kesalahan dapat
ditelusuri dengan mudah.Selain itu harus diberikan otorisasi pada petugas-petugas yang
berkepentingan.Contohnya yaitu pada bagian pengiriman, dimana pada petugas pengiriman harus
memastikan bahwa barang telah sampai di lokasi dan diterima oleh konsumen yang benar.Penerima
barang harus menandatangi dokumen penerimaan barang yang telah dibawa oleh petugas pengiriman.












Chapter 8
Discussion Questions
8.1 J elaskan mengapa sebuah organisasi ingin menggunakan seluruh pengendalian kemanan
informasi berikut: firewall, intrusion prevention system, intrusion detection system, dan CI RT.
Suatu organisasi ingin menggunakan semua pengendalian kemanan informasi agar organisasi
mendapatkan pertahanan berlapis bagi sistem informasinya. Tipe-tipe pengendalian terdiri dari:
a. Preventive (Pencegahan)Pada tingkat ini sistem digunakan untuk melakukan pencegahan atau
mencegah masalah sebelum masalah tersebut benar-benar terjadi. Pengendalian yang dapat
digunakan yaitu firewall dan intrusion prevention systems.
b. Detective (Deteksi)Pada tingkat ini sistem digunakan untuk mengidentifikasi masalah dan
insiden atau menemukan masalah segera setelah masalah tersebut terjadi. Pengendalian yang
dapat digunakan yaitu intrusion detection systems.
c. Corrective (Koreksi) Pada tingkat ini sistem digunakan untuk merespon dan menengahi
masalah dan insiden atau memcahkan masalah yang ditemukan oleh pengendalian detektif.
Pengendalian yang dapat digunakan yaitu CIRT (Computer Incident response teams).
Keamanan informasi akan mamadai jika firewall dan intrusion prevention systems bisa menunda serangan
dari lebih panjang selanjutnya daripada waktu yang dibutuhkan sistem deteksi untuk mengidentifikasi
bahwa serangan sedang berjalan dan CIRT untuk meresponnya.


Problems
8.4 Pengendalian preventif, detektif, dan korektif manakah yang paling baik untuk menanggulangi
ancaman-ancaman berikut?

a. Laptop seorang pegawai dicuri di bandara. Laptop tersebut memiliki informasi pribadi tentang
pelanggan perusahaan yang secara potensial dapat digunakan untuk melakukan pencurian identitas.
Preventif: Kebijakan terhadap menyimpan informasi sensitif pada laptop dan membutuhkan
bahwa jika informasi tersebut harus ada pada laptop yang dienkripsi dan pelatihan tentang
bagaimana melindungi laptop saat bepergian untuk meminimalkan risiko pencurian.
Korektif: Pemasangan software "telepon rumah" mungkin dapat membantu organisasi untuk
memulihkan laptop atau menghapus informasi yang dikandungnya dari jarak jauh.
b. Seorang pramuniaga berhasil login ke dalam sistem penggajian dengan menebak password
supervisor penggajian.
Preventif: Persyaratan kriteria password yang kuat. Misalnya, password minimal 8 karakter yang
terdiri dari angka, huruf dan symbol yang diacak dan kebijakan yang mengharuskan mengganti
password secara rutin.
Detektif: Sistem yang memblokir akun secara otomatis setelah pengguna mencoba 3 kali login
dengan password yang salah.
c. Seorang penjahat mengakses dari jarak jauh database sensitif menggunakan tanda bukti autentikasi
(user ID dan password yang kuat) milik seorang manajer TI. Pada saat serangan itu terjadi, manajer
TI sedang login ke sistem workstation di kantor pusat perusahaan.
Preventif: Mengintegrasikan keamanan fisik dan logis. Dalam hal ini, sistem harus menolak
setiap upaya pengguna jarak jauh untuk login ke sistem jika pengguna yang sama sudah login dari
workstation fisik.
Detektif: Memiliki sistem yang memberitahukan staf keamanan mengenai insiden-insiden seperti
diatas.
d. Seorang karyawan menerima email yang mengaku berasal dari bosnya dan memberitahukannya
sebuah kebijakan absensi baru yang penting. Ketika dia mengklik link yang ada di email untuk
melihat kebijakan baru, laptopnya terinfeksi keystroke logger.
Preventif: Pelatihan akan kesadaran keamanan adalah cara terbaik untuk mencegah masalah
tersebut. Karyawan harus diajarkan bahwa ini adalah contoh umum dari penipuan phishing
canggih.
Detektif dan Korektif: Software anti-spyware yang secara otomatis memeriksa dan membersihkan
semua spyware yang terdeteksi pada komputer karyawan sebagai bagian dari proses log on untuk
mengakses ke sistem informasi perusahaan.
e. Staf pemrograman sebuah perusahaan menulis kode pesanan untuk fitur keranjang belanja di
situsnya. Kode tersebut mengandung kerentanan limpahan buffer yang dapat dimanfaatkan ketika
pelanggan mengetikkan alamat kirim-ke.
Preventif: Ajarkan programmer tentang praktek pemrograman yang aman, termasuk kebutuhan
untuk berhati-hati dalam memeriksa semua input pengguna. Manajemen harus mendukung
komitmen untuk mengamankan praktik coding, bahkan jika itu menyebabkan keterlambatan
dalam menyelesaikan, pengujian, dan menggunakan program baru.
Detektif: Memastikan program yang diuji secara menyeluruh sebelum mulai digunakan dan
memiliki auditor internal yang secara rutin menguji perangkat lunak dikembangkan sendiri.
f. Sebuah perusahaan membeli software e-commerce "off-the-shelf" terkemuka untuk menghubungkan
tampilan awal elektronik untuk database persediaan. Seorang pelanggan menemukan cara untuk
mengakses secara langsung back-end database dengan memasukkan kode SQL yang sesuai.
Preventif: Bersikeras kode aman sebagai bagian dari spesifikasi untuk pembelian perangkat lunak
pihak ke-3, menguji dengan benar perangkat lunak sebelum digunakan, dan mempekerjakan
program manajemen patch sehingga setiap vendor yang tersedia dapat memperbaiki dan
menampungnya segera setelah software diimplementasikan.
g. Seorang penyerang menerobos masuk ke sistem informasi perusahaan melalui titik akses nirkabel
yang terletak di salah satu toko ritel. Titik akses nirkabel telah dibeli dan dipasang oleh manajer toko
tanpa memberitahu TI pusat atau keamanan.
Preventif: Menetapkan kebijakan yang melarang pemasangan titik akses nirkabel yang tidak sah.
Detektif: Melakukan audit rutin untuk titik akses nirkabel yang tidak sah atau sembarangan.
Korektif: Memberikan sanksi pada karyawan yang melanggar kebijakan dan menginstal titik
akses nirkabel sembarangan.
h. Seorang karyawan memungut USB drive di tempat parkir dan mencolokkannya ke laptop untuk
"melihat apa yang di dalamnya," yang mengakibatkan keystroke logger terpasang pada laptop itu.
Preventif: Memberikan pelatihan kesadaran keamanan. Ajarkan karyawan untuk tidak pernah
memasukkan USB drive sembarangan kecuali mereka benar-benar yakin dari sumber mereka.
Langkah preventif lainnya yaitu memasang software anti-spyware yang secara otomatis
memeriksa dan membersihkan semua spyware terdeteksi pada komputer karyawan sebagai bagian
dari proses log on.
i. Segera setelah serangan terhadap website perusahaan ditemukan, butuh lebih dari 30 menit untuk
menentukan siapa yang harus dihubungi untuk memulai tindakan respon.
Preventif: Lihat dokumen semua anggota CIRT dan informasi kontak mereka, dan praktekkan
rencana respon insiden.
j. Untuk memudahkan bekerja di rumah, seorang karyawan memasang modem di stasiun kerja
kantornya. Seorang penyerang berhasil menembus sistem perusahaan dengan dialling ke modem itu.
Preventif: Secara rutin memeriksa modem tidak sah atau nakal dengan cara menghubungi semua
nomor telepon yang diberikan kepada perusahaan dan yang teridentifikasi terhubung ke modem.
k. Seorang penyerang memperoleh akses ke jaringan internal perusahaan dengan memasang titik akses
nirkabel di lemari pengkabelan yang terletak di sebelah lift di lantai empat sebuah kantor bergedung
tinggi yang berisikan perusahaan itu sendiri dan tujuh perusahaan lainnya.
Preventif: Memastikan keamanan atau mengunci semua lemari kabel, memerlukan otentikasi kuat
untuk semua upaya login ke sistem dari klien nirkabel, dan menerapkan intrusion detection
system.




























Sumber:
http://www.stie-andala.ac.id/elearning/courses/EKA1123/document/bahan_pustaka/audit_kecurangan-
cegah_deteksi.pdf
http://eptik-fraud.blogspot.com/2013/04/jenis-fraud-dan-cara-pencegahan.html
http://wikanardhi.wordpress.com/
Romney, B. Marshall and Paul J. Stenbart.2012. Accounting Information System, Twelfth Edition,
Prentice Hall.