PENGENDALIAN SISTEM INFORMASI BERBASIS KOMPUTER

A. PENGENDALIAN UMUM Pengendalian umum dirancang untuk menjamin bahwa seluruh system computer dapat berfungsi secara optimal dan pengolahan data dapat dilakukan secara lancar sesuai dengan yang direncanakan.

Pengendalian Umum dapat dilakukan dengan cara sbb: 1. Penyusunan Rencana Pengamanan Penyusunan dan pembaruan berkelanjutan sebuah rencana pengamanan adalah salah satu jenis pengendalian penting yang dapat diterapkan oleh sebuah perusahaan. Cara yang baik menyusun rencana adalah menentukan siapa yang membutuhkan akses ke informasi apa, kapan mereka membutuhkan informasi tersebut dan subsistem apa yang menghasilkan informasi tersebut. Informasi ini dapat digunakan untuk menentukan ancaman, risiko dan bentuk dan untuk memilih cara-cara pengamanan yang efektif. Dalam hal ini, manager puncak harus ditugasi untuk menyusun,mengawasi, dan menerapkan rencana. Rencaca tersebut harus di komunikasikan ke selurulh karyawan dan secara berkelanjutan dikaji dan diperbarui

2. Pemisahan Tugas Dalam Fungsi Sistem Untuk menanggulangi ancaman-ancaman, organisasi harus menerapkan prosedur pengendalian yang memadai seperti pemisahan tugas dalam fungsi system informasi, akuntansi. Wewenang dan tanggung jawab harus secara jelas dibagi diantara fungsi sbb: a. Analisis Sistem Analisis system bekerjasama dengan para pemakai untuk menentukan informasi yang dibutuhkan dan kemudian merancang sebuah SIA untuk memenuhi kebutuhan tersebut. Analisis system harus dipisahkan dari pemograman untuk mencegah pengubahan secara tidak sah progam aplikasi atau data

b. Pemrogaman Para pemogram menindak lanjuti rancangan yang diterima dari analisis system dengan menulis progam computer. Organisasi atau perusahaan harus menentukan persyaratan otorisasi formal untuk melakukan pengubahan progam computer c. Operasi computer Operator computer menjalankan software pada computer perusahaan. Mereka memastikan bahwa data telah dimasukkan secara tepat ke dalam computer, bahwa data telah diproses secara benar, dan bahwa output yang dibutuhkan telah dihasilkan d. Pengguna Departemen-departemen pengguna adalah pihak yang mencatat transaksi, mengotorisasi data yang diproses, dan menggunakan output yang dihasilkan oleh system. e. Kepustakaan SIA. Pustakawan SIA memelihara dan menjaga database, file, dan progam dengan menempatkannya di tempat penyimpanan terpisah, yaitu perpustakaan SIA. Untuk memisahkan fungsi operasi dan fungsi penjagaan, akses ke file dan progam harus dibatasi hanya operator computer yang tertera pada jadwal yang telah ditetapkan. f. Pengawas data Kelompok pengawas data memberikan jaminan bahwa sumber data telah disetujui, memantau arus kerja di dalam computer, membandingkan input dan output, memelihara catatan kesalahan input untuk menjamin bahwa koreksi dilakukan dengan semestinya dan kemudian dimasukkan kembali ke system, dan mendistribusikan output system.

3. Pengendalian Proyek Penyusunan Sistem Informasi Untuk meminimumkan kegagalan penyusunan sebuah system informasi, prinsip-prinsip dasar akuntansi pertanggungjawaban harus diterapkan terhadap fungsi SIA. Penggunaan prinsip tersebut dapat mengurangi secara signifikan potensi pembengkakan biaya dan kegagalan proyek sekaligus memperbaiki secara subtansial efisiensi dan efektifitas SIA. Pengendalian proyek penyusunan system informasi melibatkan elemen-elemen sebagai berikut: a. Rencana induk jangka panjang

b. Rencana proyek penyusunan system informasi c. Jadwal pengolahan data

d. Penetapan tanggung jawab e. f. Penilaian kinerja periodic Kaji ulang pasca implementasi

g. Pengukuran kinerja system

4. Pengendalian Akses Fisik Kemampuan untuk menggunakan peralatan computer disebut dengan akses fisik, sedangkan kemampuan untuk memperoleh akses data perusahaan disebut akses logis. Kedua akses ini harus dibatasi. Pengamanan akses fisik dapat dicapai dengan pengendalian sebagai berikut: 1) Penempatan computer dalam ruang terkunci dan akses hanya diizinkan untuk karyawan yang sah saja. 2) Hanya menyediakan satu atau dua pintu masuk saja pada ruang computer. Pintu masuk harus senantiasa terkunci dan secara hati-hati dipantau oleh petugas keamanan dan kalau memungkinkan diawasi dengan menggunakan kamera pengawas 3) mensyaratkan identitas karyawan yang jelas, seperti pemakaian badge untuk dapat lolos melalui pintu akses 4) Mensyaratkan bahwa setiap pengunjung untuk membubuhkan tanda tangan ditempat yang telah tersedia setiap akan masuk atau keluar dari lokasi pengolahan data 5) Penggunaan system alarm untuk mendeteksi akses tidak sah diluar jam kantor 6) Pembatasan akses ke saluran telepon pribadi, terminal atau PC yang sah 7) Pemasangan kunci pada PC dan peralatan computer lainnya

5. Pengendalian Akses Logis Untuk membatasi akses logis, sebuah system harus membedakan antara pemakai yang sah dan pemakai yang tidak sah dengan cara mengecek apa yang dimiliki atau diketahui oleh para pemakai, dimana para pemakai mengakses system, atau dengan mengenali karakteristik pribadi. Cara-cara untuk membatasi akses logis adalah sbb: 1) Password 2) Identifikasi pribadi. Misalnya:kartu identitas yang berisi nama, foto, dll

3) Identifikasi biometric. Misalnya; sidik jari, pola suara, hasil rekaman retina, pola dan bentuk wajah, bau badan, dan pola tandatangan. 4) Uji Kompatibilitas. Uji kompabilitas harus dilaksanakan untuk menentukan apakah pemakai tersebut memiliki hak untuk menggunakan komputer tersebut

6. Pengendalian Penyimpanan Data Informasi yang dimiliki perusahaan harus dilindungi dari pengrusakan dan penyajian secara tidak sah karena informasi mampu mengantarkan perusahaan sebagai leader dalam peta persaingan industri, namun sekaligus juga dapat mengantarkan perusahaan ke jurang kebangkrutan. Label file dapat pula digunakan untuk melindungi file data dari penggunaan yang tidak tepat. Label ekstern yaitu berupa tempelan secarik kertas di bagian luar disket, berisi nama file, isi, dan tanggal diproses. Label intern yaitu label yang ditulis dengan bahasa mesin dan berada didalam computer. Label intern ada 3 jenis, yaitu: 1) label volume yang mengidentifikasi seluruh isi setiap file data yang terekam dalam media penyimpanan seperti disket, hard disk atau pita. 2) Label header terletak pada awal setiap file data, berisi nama file, tanggal ekspirasi dan identifikasi data lainnya 3) Label trailer terletak pada ahir file berisi file total control.

7. Pengawasan Transmisi data Untuk mengurangi risiko kegagalan transmisi data, perusahaan harus memantau jaringan untuk mendeteksi titik lemah, memelihara cadangan komponen, dan merancang jaringan sedemikian rupa sehingga kapasitas yang tersedia cukup untuk menangani periode padat pemrosesan data

8. Standar Dokumentasi Prosedur dan standar dokumentasi untuk menjamin kejelasan dan ketepatan dokumentasi. Kualitas dokumentasi memudahkan komunikasi dan pengkajian kemajuan pekerjaan selama

tahap penyusunan sisitem informasi dan dapat digunakan sebagai referensi dan sarana pelatihan bagi karyawan baru. Dokumentasi dapat diklasifikasikan sebagai berikut: 1. Dokumentasi administrative 2. Dokumentasi Sistem 3. Dokumentasi operasi 9. Minimisasi Waktu Penghentian Sistem Cara-cara untuk mencegah tidak berfungsinya hardware atau software yang akan mengakibatkan perusahaan akan menderita kerugian keuangan, yaitu: 1) Pemeliharaan preventif, yaitu mencakup pengujian regular terhadap komponen system informasi, dan penggantian komponen-komponen yang usang. 2) Uninteruptible power system, adalah alat tambahan yang berfungsi sebagai penyangga listrik sementara, jika aliran listrik regular (misalnya dari PLN) terhenti. 3) Fault tolerance, yaitu kemampuan system untuk tetap melanjutkan kegiatannya ketika sebagian komponen system mengalami kegagalan melaksanakan fungsinya.

10. Perencanaan Pemulihan dari Bencana Tujuan rencana pemulihan ini adalah: 1. meminimumkan derajat kerusakan dan kerugian 2. menetapkan cara (darurat) untuk mengolah data 3. meringkas prosedur operasi secepat mungkin 4. melatih dan membiasakan karyawan dengan situasi darurat Rencana pemulihan yang ideal harus mencakup elemen-elemen sbb: 1. Prioritas bagi proses pemulihan 2. Backup file data and progam 3. Penugasan khusus 4. Pembuatan dokumentasi 5. Backup komputer dan fasilitas telekomunikasi

 Aspek lain yang perlu dipertimbangkan dalam rencana pemulihan adalah: 1. Pengujian rencana melalui simulasi 2. Kaji ulang dan revisi terus menerus 3. Memasukkan penutupan asuransi 11. Perlindungan Terhadap PC dan Fasilitas Jaringan Penggunaan computer pribadi dan jaringan lebih rentan terhadap resiko keamanan dibandingkan system computer mainframe karena hal-hal sebagai berikut: 1) PC ada dimana-mana, hal ini bermakna bahwa pengawasan akses fisik menjadi lebih sulit dilakukan. Setiap PC akan menjadi sebuah alat yang harus dikendalikan. Semakin legitimate seorang pemakai, semakin besar risiko terhadap jaringan 2) Pengguna PC tidak tidak menyadari pentingnya pengamanan dan pengendalian 3) Semakin banyak orang yang mampu mengoperasikan computer dan terampil dalam menggunakan computer 4) Pemisahan fungsi menjadi sulit dilakukan karena PC ditempatkan diruang masing-masing departemen pemakai dan seorang karyawan ditunjuk sebagai penanggung jawab untuk dua hal sekaligus yaitu menyusun system/progam sekaligus mengoperasikannya. 5) Jaringan dapat diakses dari lokasi yang jauh dengan menggunakan modem, EDI, dan system komunikasi lain. Kondisi ini jelas meningkatkan risiko terhadap jaringan 6) PC dapat dibawa kemana-mana (portable) dan system pengamanan yang paling canggih di dunia pun tidak dapat mengatasi kehilangan data apabila PC atau komputernya hilang, dicuri atau dipindah ke tempat lain. Untuk mengatasi persoalan-persoalan diatas, tersedia beberapa prosedur dan kebijakan yang dapat diterapkan, antara lain: 1) Melatih pengguna PC tentang konsep dan pentingnya pengawasan 2) Membatasi akses dengan menggunakan kunci PC atau disk drive 3) Menetapkan kebijakan dan prosedur untuk: a) mengendalikan data yang dapat di simpan / di-download PC b) meminimumkan potensi pencurian terhadap PC c) melarang karyawan untuk mengkopi file data dan software dari dank e disk pribadi /

melarang penggunaan software yang bukan wewenangnya.

4) Menyimpan data yang sensitive di tempat yang aman 5) Memasang software yang secara otomatis akan mematikan (shut-down) sebuah terminal 6) Membuat cadangan data secara regular 7) Melindungi file dengan kata kunci (password) sehingga data yang dicuri menjadi tidak bermanfaat bagi pencurinya 8) Menggunakan progam utility super erase yang mampu benar-benar menghapus disk secara bersih jika data penting/rahasia dihapus 9) Menciptakan pelindung diseputar system operasi untuk mencegah para pemakai mengubah file system yang penting 10) Karena umumnya PC tidak terlindungi ketika dihidupkan, maka sebaiknya proses booting dilakukan dengan menggunakan system pengamanan yang memadai 11) Jika pemisahan tugas secara fisik sulit dilakukan, gunakan password berjenjang untuk membatasi akses ke data 12) Lakukan pelatihan terhadap para pemakai tentang risiko virus computer, dan cara meminimumkan risiko tersebut.

Langkah-langkah strategi penyusunan sebuah pengendalian intern untuk PC: 1) Identifikasi dan pendataan seluruh PC yang digunakan termasuk penggunanya 2) Setiap PC harus diklasifikasikan sesuai dengan derajat risiko yang terkait dengan progam aplikasi yang digunakan 3) Pemasangan progam pengamanan untuk setiap PC sesuai dengan derajat risiko dan karakteristik system aplikasinya

12. Pengendalian Internet (Internet Control) Hal-hal yang perlu dicermati tentang internet sebelum menggunakannya adalah: 1) Kejelasan tentang ukuran dan kompleksitas internet 2) Variabilitas yang sangat besar dalam kualitas, kompatibilitas, kelengkapan dan stabilitas jaringan produk dan jasa 3) Sebelum sebuah pesan internet sampai ke tujuannya, pesan tersebut melalui 5-10 komputer 4) Beberapa situs (web-site) memiliki kelemahan pengamanan 5) Kemungkinan adanya pembajak

Untuk mengatasi persoalan-persoalan tersebut, dapat digunakan cara-cara tertentu dalam pengamanan aktivitas internet, seperti password, teknologi encryption dan prosedur verifikasi routing. Salah satu pendekatan lain yang dapat dilakukan adalah pemasangan firewall, yaitu gabungan antara perangkat keras komputer dan software yang mengendalikan komunikasi antara sebuah jaringan internal perusahaan yang sering disebut dengan trusted network, dan jaringan eksternal (untrusted network) seperti internet. Pengamanan internet dapat pula dicapai dengan menggunakan pendekatan yang disebut tunneling. Dalam tunneling, jaringan dihubungkan melalui internet-firewall ke firewall-dan didata dibagi ke dalam segmen-segmen yang disebut paket internet Protokol (IP), diringkas digabung (dicampur) dengan jutaan paket dari ribuan computer lain dan dikirim melalui internet.

B. PENGENDALIAN APLIKASI Tujuan utama pengendalian aplikasi adalah untuk menjamin akurasi dan validitas input. File, progam, dan output sebuah progam aplikasi. Pengendalian aplikasi dan pengendalian umum saling melengkapi satu sama lain, jadi keduanya penting dan perlu, karena pengendalian aplikasi akan jauh lebih efektif jika didukung oleh adanya pengendalian umum yang kuat. Jika pengendalian aplikasi lemah, output SIA akan mengandung kesalahan. Output yang mengandung kesalahan ini jika digunakan untuk membuat keputusan, akan menghasilkan keputusan yang tidak tepat/keliru dan dapat berpengaruh negative terhadap hubungan antara perusahaan dengan pelanggan, pemasok, dan pihak eksternal lainnya. Dalam system pengolahan data secara kelompok, pengendalian input dilakukan dengan prosedur sebagai berikut: 1. lakukan penjumlahan kelompok data baik penjumlahan angka moneter (financial total) atau penjumlahan angka non-moneter (hash total), atau penjumlahan transaksi (record count) sebelum data diproses dan tulisan angka jumlah tersebut ke dalam secarik kertas yang disebut batch control sheet. 2. ketika data dimasukkan ke dalam computer, computer pertama-tama akan menjalankan progam untuk penghitungan kelompok data. 3. Setelah entry data dan penjumlahan kelompok data selesai dilakukan, cetak hasil perhitungan pada langkah sebelumnya dan lakukan pencocokan.

Lima katagori pengendalian aplikasi, yaitu: 1. Pengendalian Sumber Data (Source Data Controls) Pengendalian sumber data adalah salah satu bentuk pengendalian terhadap input, guna memastikan bahwa input data yang dimasukkan kekomputer untuk diolah lebih lanjut, tidak mengandung kesalahan. Dalam melaksanakan pengendalian ini, perlu dibentuk sebuah fungsi yang disebut dengan fungsi pengawas data (data control function) yang memiliki tugas antara lain: sebelum data diproses, fungsi pengawas data mengecek otorisasi pemakai dan mencatat nama, sumber transaksi dan total transaksi ke dalam sebuah file yang disebut control log. Setelah data mulai diproses fungsi ini memonitor setiap tahap pengolahan dan membandingkan total untuk setiap tahap dan melakukan koreksi jika ada kesalahan. Jenis-jenis pengendalian sumber data yang berfungsi mengatur akurasi, validitas dan kelengkapan input, yaitu: a) Key verification, seperti: kode pelanggan, nilai transaksi, dan kuantitas barang yang dipesan oleh pelanggan. b) Check digit verification c) Pre-numbered form sequence test (pengujian nomor urut dokumen yang telah tercetak) d) Turnaround document e) Otorisasi f) Pembatalan dokumen

g) Visual scanning h) Fungsi pengawas data

2. Progam Validasi Input (Input Validation Routines) Progam validasi input adalah sebuah progam yang mengecek validitas dan akurasi data input segera setelah data tersebut dimasukkan ke dalam system. Progam ini lebih sering disebut dengan progam edit, dan pengecekan akurasi yang dilaksanakan oleh progam disebut dengan edit check. Beberapa contoh edit checks yang digunakan dalam progam validasi input: a) Cek urutan (sequence check) b) Cek tempat data (field checks)

c) Uji batas (limit test) d) Uji kisaran (range test) e) Uji kewajaran (reasonableness test) f) Pengecekan data ulang (redundant data check)

g) Pengecekan tanda (sign check) h) Pengecekan validitas (validity check) i) Pengecekan kapasitan (capacity check)

3. Pengendalian Entry Data Secara On-Line. (One-Line Data Entry Controis) Tujuan dilakukannya pengendalian semacam ini adalah untuk menjamin akurasi dan integritas data transaksi yang dimasukkan dari terminal on-line dan PC. Pengendalian entry data on-line mencakup: a) Edit checks b) User ID dan passwords c) Compatibility tests d) Prompting e) Preformating f) Compieteness test

g) Closed-loop verification h) Transaction log

4. Pengendalian Pengolahan Data dan Pemeliharaan File Cara-cara pengendalian yang dapat dilakukan adalah: a) Pengecekan keterkinian data (data currency check) b) Nilai standar (default value). Dalam field-field tertentu. c) Pencocokan data (data matching) d) Pelaporan perkecualian (exception reporting) e) Rekonsiliasi data eksternal (external data reconciliation) f) Rekonsiliasi rekening control (control account reconciliation)

g) Pengamanan file (file security) h) Pengendalian konversi file (file conversion control)

i) j)

Tampungan kesalahan (error logs) Pelaporan kesalahan (error reporting)

5. Pengendalian Output (Outpur Control) Pengendalianl Output dilakukakn dengan membentuk fungsi pengawas data. Petugas pengawas data harus memeriksa ulang seluruh output untuk menjamin kelayakan dan ketepatan format output, dan harus membandingkan jumlah data output dan input. Pengawas juga bertugas mendistrubusikan output hanya kepada departemen yang berhak saja. Cara-cara khusus harus diterpkan untuk menangani cek dan dokumen/laporan yang sifatnya sensitive dan rahasia. Dalam hal ini para pemakai output juga bertanggung jawab memeriksa ulang kelengkapan dan akurasi output computer yang diterimanya. Apabila ada dokumen yang tidak terpakai lagi, namun berisi data yang sifatnya rahasia, maka dokumen tersebut harus dihancurkan,

Pengendalian SIA secara Konsep, berbasis komputer dan Ancaman-ancaman terhadap SIA
Pengendalian SIA secara konsep Apakah definisi dari pengendalian internal itu ? Pengendalian internal adalah rencana organisasi dan metode bisnis yang dipergunakan untuk menjaga aset, memberikan informasi yang akurat dan andal, mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah ditetapkan. Pada tahun 1977, gelombang keterkejutan berkumandang di seluruh profesi akuntansi ketika kongres memasukkan bahasa dari standar AICPA ke dalam Foreign Corrupt Practices Act. Tujuan utama dari undang-undang ini adalah mencegah penyuapan atas para pejabat luar negeri untuk mendapatkan bisnis. Akan tetapi, pengaruh yang siknifikan dari undang-undang ini membutuhkan kerja sama untuk memelihara sistem pengendalian internal akuntansi yang baik. The Committee of Sponsoring Organizations (COSO) adalah kelompok sektor swasta yang terdiri dari 5 organisasi, antara lain : American Accounting Association American Institute of Certified Public Accountants Institute of Internal Auditors Institute of Management Accountants Financial Executives Institute Pada tahun 1992, COSO mengeluarkan hasil penelitian untuk mengembangkan definisi pengendalian internal dan memberikan petunjuk untuk mengevaluasi sistem pengendalian internal. Laporan tersebut telah diterima secara luas sebagai ketentuan dalam pengendalian internal. Penelitian COSO mendefinisikan pengendalian internal sebagai proses yang diimplementasikan oleh dewan komisaris, pihak manajemen, dan mereka yang berada di bawah arahan keduanya, untuk memberikan jaminan yang wajar bahwa tujuan pengendalian dicapai dengan pertimbangan hal-hal berikut :

Efektifitas dan efisiensi operasional organisasi Keandalan pelaporan keuangan Kesesuaian dengan hukum dan peraturan yang berlaku

Lima komponen model pengendalian internal COSO yang saling berhubungan : Lingkungan pengendalian Aktivitas pengendalian Penilaian resiko Informasi dan komunikasi Pengawasan (Monitoring) Struktur sistem informasi manajemen (SIM) dapat pula dipandang menurut konsep struktural yang memungkinkan pembahasan dan perancangan sistem fisik yang akan mendefinisikan cara pelaksanaan SIM. Struktur Konseptual SIM didefinisikan sebagai suatu gabungan subsistem fungsional yang masing-masing dibagi dalam empat macam pengolahan informasi, yaitu: pengolahan transaksi, dukungan operasional sistem informasi, dukungan pengendalian manajerial sistem informasi, dukungan perencanaan stategi sistem informasi. Pengendalian dalam SIA berbasis Komputer Akuntansi adalah sistem informasi yang mencatat, mengumpulkan dan mengkomunikasikan data keuangan untuk tujuan pengambilan keputusan. Sistem akuntansi yang efektif memberikan tiga tujuan luas. Pertama, pelaporan internal ke manajer untuk perencanaan dan pengendalian kegiatan rutin. Kedua, pelaporan internal untuk perencanaan strategik, dan ketiga untuk pihak eksternal yaitu: pemegang saham, pemerintah dan pihak luar lainnya. Ketiga-tiganya dihasilkan melalui pemrosesan data yang disebut transaksi akuntansi. Pemrosesan data menjadi informasi dapat dilakukan secara manual atau dengan menggunakan peralatan elektronik berupa komputer. Kemajuan dalam teknologi komputer mempunyai dampak yang luar biasa pada seluruh aspek kegiatan usaha. Akuntansi, sudah barang tentu tidak terlepas dari dampak tersebut. Dalam sistem akuntansi manual, data sebagai masukan (input) diproses menjadi informasi sebagai keluaran (output) dengan menggunakan tangan. Pada sistem akuntansi yang berkomputer atau yang lebih sering disebut Pemrosesan Data Elektronik (PDE), data sebagai input juga diproses menjadi informasi sebagai output. Keuntungan yang dapat dilihat secara jelas dari penggunaan komputer ini adalah kecepatan, ketepatan, dan kemudahan dalam memproses data menjadi informasi akuntansi.

Disamping keuntungan tersebut, ada beberapa hal yang perlu diperhatikan dalam menggunakan komputer sebagai alat pengolah data yaitu resiko-resiko yang khas dalam suatu lingkungan akuntansi berbasis komputer. Auditor harus menyadari resiko-resiko ini karena hal ini merupakan ancaman yang tidak ada dalam proses akuntansi manual. Resiko-resiko dalam lingkungan pemrosesan data elektronik antara lain: (Penggunaan teknologi yang tidak layak) Teknologi komputer memberi para analis sistem (system analyst) dan pemrogram (programmer) berbagai kemampuan pemrosesan. Teknologi ini harus disesuaikan dengan kebutuhan pemakai untuk mengoptimalkan implementasi kebutuhan tersebut. Kekeliruan dalam penandingan antara teknologi dengan kebutuhan pemakai kebutuhan dapat mengakibatkan pengeluaran yang tidak perlu atas sumberdaya organisasi. Salah satu penyalahgunaan teknologi adalah penggunaan teknologi baru sebelum adanya kepastian yang jelas mengenai kebutuhannya. Banyak organisasi memperkenalkan teknologi database tanpa menetapkan dengan jelas kebutuhan akan teknologi tersebut. Pengalaman menunjukkan bahwa para pemakai awal (new user) suatu teknologi baru seringkali mengkonsumsi jumlah sumberdaya yang cukup besar selama mempelajari cara penggunaan teknologi baru tersebut. Penggunaan teknologi yang tidak layak antara lain: * Analis sistem atau pemrogram tidak mempunyai keahlian yang cukup untuk menggunakan teknologi tersebut. * Pemakai yang awam terhadap teknologi hardware yang baru. * Pemakai yang awam terhadap teknologi software yang baru. * Perencanaan yang minim untuk instalasi teknologi hardware dan software yang baru.

(Pengulangan kesalahan) Dalam pemrosesan manual, kesalahan-kesalahan dibuat secara individual. Jadi seseorang dapat memproses satu pos dengan benar, membuat kesalahan pada pos berikutnya, memproses 20 pos berikutnya dengan benar dan kemudian membuat kesalahan lainnya lagi. Dalam sistem yang terotomatisasi, aturan-aturan diterapkan secara konsisten. Jadi, jika aturan-aturannya benar, pemrosesannya akan selalu benar. Tetapi jika aturan-aturannya salah, pemrosesannya akan selalu salah.

Kondisi-kondisi yang mengakibatkan pengulangan kesalahan meliputi: * Tidak cukupnya pengecekan atas pemasukan informasi input. * Tidak cukupnya tes atas program * Tidak dimonitornya hasil-hasil dari pemrosesan (Kesalahan berantai) Kesalahan berantai merupakan efek domino dari kesalahan-kesalahan di segenap sistem aplikasi. Kesalahan suatu bagian program atau aplikasi akan berakibat pada kesalahan kedua yang meskipun tidak berkaitan di bagian lain aplikasi. Kesalahan kedua ini dapat berakibat kesalahan ketiga dan seterusnya. Resiko kesalahan berantai sering dikaitkan dengan pelaksanaan perubahan sistem aplikasi. Perubahan dilaksanakan dan diuji dalam program di mana perubahan terjadi. Namun demikian, beberapa kondisi dapat berubah karena adanya perubahan yang menimbulkan kesalahan di bagian lain sistem aplikasi tersebut. Rantai kesalahan dapat terjadi di antara aplikasi-aplikasi. Resiko ini akan semakin besar sejalan dengan semakin terpadunya aplikasi. (Pemrosesan yang tidak logis) Pemrosesan yang tidak logis merupakan akibat dari suatu kejadian yang diotomatisasi yang dapat dikatakan sangat tidak mungkin dalam proses manual. Contohnya adalah pembuatan cek untuk gaji dan upah untuk seorang pegawai yang melampaui Rp. 100 juta. Hal ini mungkin saja terjadi dalam sistem yang terotomatisasi yang timbul karena kesalahan pemrograman atau kesalahan hardware, akan tetapi tidak mungkin terjadi dalam sistem manual. Kondisi yang dapat mengakibatkan pemrosesan yang tidak logis adalah karena: * Field-field yang terlalu kecil atupun terlalu besar. * Tidak diceknya nilai-nilai yang cukup besar dan tidak lazim pada dokumen output. * Tidak diamatinya dokumen-dokumen output. (Ketidakmampuan menerjemahkan kebutuhan pemakai ke dalam persyaratan teknis) Salah satu kegagalan utama pengolahan data adalah adanya kegagalan komunikasi antara para pemakai dengan personil teknis. Dalam banyak kasus, para pemakai tak dapat menyatakan dengan baik kebutuhan-kebutuhan mereka dalam cara yang memudahkan proses penyiapan aplikasi komputer. Sebaliknya, orang-orang teknis komputer seringkali

tidak mampu menyerap dengan baik kepentingan dan permintaan para pemakainya. Resiko pemuasan kebutuhan ini merupakan resiko yang kompleks. Resiko yang timbul meliputi kegagalan untuk mengimplementasikan kebutuhan karena para pemakai tidak memiliki kemampuan teknis. Dampaknya adalah kebutuhan yang diimplementasikan adalah kebutuhan yang tidak layak karena personil teknis tidak memahami kebutuhan sebenarnya dari pemakai. Akibat lainnya adalah munculnya sistem manual yang semakin besar untuk menutup kelemahan-kelemahan dalam aplikasi komputer. Kondisi ketidakmampuan menerjemahkan kebutuhan pemakai ini disebabkan antara lain: * Para pemakai tidak memiliki keahlian teknis EDP * Orang-orang teknis tidak memiliki pemahaman yang cukup mengenai permintaan pemakai. * Ketidakmampuan untuk merumuskan permintaan dengan cukup terinci. * Sistem yang digunakan oleh banyak user tanpa ada user yang bertanggung jawab atas sistem tersebut. (Ketidakmampuan dalam mengendalikan teknologi) Pengendalian memang sangat diperlukan dalam penggunaan lingkungan berteknologi. Pengendalian-pengendalian akan menjamin bahwa versi yang tepat berada digunakan pada saat yang tepat; bahwa file-file yang tepat digunakan; bahwa para operator komputer melaksanakan instruksi yang tepat; prosedur yang memadai dikembangkan untuk mencegah, mendeteksi dan memperbaiki permasalahan yang terjadi; dan bahwa data yang tepat disimpan dan kemudian diperoleh dengan mudah jika diperlukan. Kondisi yang menimbulkan teknologi yang tak terkendali mencakup: * Pemilihan kemampuan pengendalian sistem yang ditawarkan oleh rekanan pemrogram sistem yang tanpa memperhatikan kebutuhan audit. * Terlalu banyaknya pengendalian yang dikorbankan demi menjaga efisiensi operasi. * Prosedur-prosedur untuk memulai kembali/pemulihan (recovery data) yang tidak memadai. (Pemasukan data yang tidak benar) Data dimasukkan dalam berbagai cara. Ada yang sistem batch atau on-line dengan melalui berbagai media input seperti key-to-disk, scanner dan sebagainya. Data input yang salah

atau palsu merupakan penyebab yang paling sederhana dan paling lazim dari prestasi yang tidak diinginkan dalam suatu sistem aplikasi. Dikalangan orang-orang yang berkecimpung dalam dunia komputer ada istilah GIGO (Garbage In Garbage Out), artinya bila ada data masukan (input) yang diolah salah maka informasi yang dihasilkan juga akan salah Kondisi yang dapat menimbulkan kesalahan pemasukan data, antara lain: * Nilai-nilai data sumber yang tidak layak atau tidak konsisten mungkin tidak dideteksi. * Kesalahan manusiawi dalam mengetik (keying) data atau kesalahan-kesalahan selama transkripsi mungkin tidak dideteksi. * Record data yang tidak lengkap atau diformat secara buruk mungkin diterima seakanakan record itu lengkap. * Kesalahan mekanis peralatan hardware. * Kesalahan interpretasi karakter-karakter atau pengertian input yang dicatat secara manual. * Kesalahan prosedur pemasukan data.{/slide}{slide=8. Data yang terkonsentrasi.} Dalam sistem manual, data ditimbun dan disimpan di berbagai tempat, jadi sukar bagi seseorang yang tak berwenang menghabiskan banyak waktu untuk melihat-lihat lemarilemari arsip atau bidang penyimpanan manual lainnya. Aplikasi yang dikomputerisasi seringkali memusatkan data dalam suatu format yang mudah diakses. Seseorang yang tak berwenang dapat melihat-lihat dengan menggunakan program komputer. Ini akan sulit dideteksi tanpa adanya pengamanan yang memadai. Selain itu, data dapat disalin dengan cepat tanpa meninggalkan jejak yang dapat terlihat atau menghancurkan data orisinilnya. Jadi, pemilik data tidak akan sadar bahwa data tersebut telah dicuri atau dirusak. Teknologi database ternyata telah meningkatkan resiko manipulasi data dan pencurian nilai informasi itu bagi seseorang yang tidak berwenang. Sebagai contoh, informasi mengenai seseorang dalam aplikasi gaji dan upah terbatas pada pembayaran berjalan. Tetapi kalau data tersebut disertai dengan riwayat personil, maka bukan hanya informasi pembayaran berjalan saja yang tersedia akan tetapi juga riwayat pembayaran gaji, keahlian individual, tahun masa kerja, perkembangan pekerjaan dan mungkin juga mengenai evaluasi prestasi. Konsentrasi data meningkatkan permasalahan mengenai reliabilitas (andalnya) data yang lebih besar dari sekadar sekeping data atau sebuah file data saja. Jika fakta yang dimasukkan ternyata salah, semakin banyak aplikasi yang mengandalkan data tersebut, semakin besar dampak kesalahannya. Selain itu, semakin banyak aplikasi yang menggunakan data yang terkonsentrasi, semakin besar dampaknya jika data tersebut hilang

karena problem yang terjadi pada hardware atau software yang digunakan untuk memroses data tersebut. Kondisi yang dapat menimbulkan permasalahan akibat konsentrasi data mencakup: * Tidak memadainya pengendalian akses yang memungkinkan akses yang tidak berwenang ke data. * Data yang salah dan dampaknya terhadap pemakai data tersebut. * Dampak gangguan-gangguan hardware dan software yang menyediakan data bagi para pemakai. ( Ketidakmampuan dalam mendukung pemrosesan.} Aplikasi yang dikomputerisasi harus memiliki kemampuan untuk mendukung pemrosesan. Dukungan ini meliputi baik kemampuan untuk merekonstruksi pemrosesan suatu transaksi saja maupun kemampuan untuk merekonstruksi total pengendalian. Aplikasi-aplikasi yang dikomputerisasi harus dapat menghasilkan semua sumber transaksi yang mendukung pengendalian menyeluruh. Tujuannya adalah untuk tujuan perbaikan kesalahan dan pembuktian kebenaran pemrosesan. Kalau terjadi kesalahan, personil komputer harus menunjukkan penyebab kesalahan itu sehingga penyebab-penyebab itu dapat diperbaiki. Auditor seringkali memverifikasi kebenaran pemrosesan, yaitu apakah pemrosesan data telah benar. Kondisi yang dapat mengakibatkan timbulnya ketidakmampuan untuk penyediaan pendukung pemrosesan antara lain: * Bukti pendukung tidak disimpan cukup lama * Biaya untuk mendukung pemrosesan melebihi manfaat yang dapat diperoleh dari proses.{/slide} . Penyalahgunaan pemakai akhir (end user) Sistem aplikasi didesain untuk melayani pemakai akhir, tetapi mereka juga dapat menyalahgunakan untuk tujuan-tujuan yang tidak diinginkan. Seringkali sangat sulit menentukan apakah pengguanaan sistem tersebut sesuai dengan pelaksanaan masingmasing pekerjaan mereka yang sah. Seorang karyawan mungkin mengubah informasi untuk penggunaan tidak sah; misalnya, ia mungkin menjual data rahasia mengenai informasi kepada perusahaan lain atau pesaing. Atau ia dapat menggunakan sistem untuk kepentingan pribadinya. Atau karyawan yang tidak puas atau yang dipecat mungkin merusak atau mengubah record sedemikian rupa, sehingga record-record pendukungnya juga rusak dan tidak berguna. {slide=11. Kesalahan prosedur pada fasilitas EDP}

Baik kesalahan maupun tindakan yang tak sengaja dilakukan oleh staf operasi EDP dapat menimbulkan prosedur-prosedur yang tidak tepat dan pengendalian yang terlambat dan mungkin kehilangan-kehilangan dalam media penyimpanan dan output. Contohnya antara lain: * File-file mungkin rusak selama reorganisasi database atau selama membersihkan ruang disk. * Pemeliharaan hardware mungkin dilakukan sementara data tengah berada dalam posisi on-line. * Suatu program mungkin dilaksanakan dua kali dengan menggunakan sebuah transaksi yang sama. * Pengawasan personel operasi yang tidak memadai selama pergantian jam istirahat. * File-file atau disk yang penting mungkin disusun tanpa adanya penulisan yang dilindungi atau label yang gampang terhapus.{/slide}{slide=12. Kesalahan-kesalahan program} Meskipun program dirancang dan dikembangkan melalui prosedur yang pengujian dan review yang memadai namun demikian masih mungkin akan berisikan kesalahan yang tidak memadai. Selain itu para pemrogram dapat dengan sengaja memodifikasi program untuk menghasilkan pengaruh sampingan yang tidak diinginkan, atau mereka dapat menyalahgunakan program yang menjadi tanggungjawab mereka. Contohnya antara lain: * Record-record mungkin dihapus dari file penting tanpa ada jaminan bahwa record yang dihapus tersebut dapat direkonstruksi kembali. * Para pemrogram mungkin menyelipkan perintah tertentu dalam program yang dapat memanipulasi data untuk kepentingan mereka sendiri. * Perubahan-perubahan program tidak diuji dengan cukup memadai sebelum digunakan dalam pelaksanaan produksi. * Perubahan program dapat menimbulkan kesalahan baru karena adanya interaksi yang tak terduga diantara modul-modul program. * Program tidak mampu mendeteksi kesalahan-kesalahan yang terjadi hanya untuk kombinasi input yang tidak lazim ( mis. program yang diharapkan dapat menolak semua nilai kecuali rentang nilai tertentu ternyata dapat menerima nilai tambahan). * Para pemrogram mungkin tidak menyediakan suatu log (catatan perubahan) atau salinan pendukung untuk memformalisasikan aktivitas aplikasi.{/slide}{slide=13. Kerusakan sistem komunikasi.}

Informasi yang dikirim atau disebarkan dari satu lokasi ke lokasi lainnya melalui jalur komunikasi adalah rawan terhadap kerusakan yang tidak sengaja atau penyadapan serta modifikasi dengan sengaja oleh pihak yang tidak berwenang. Kerusakan yang tidak sengaja: * Kesalahan komunikasi yang tidak dideteksi dapat menghasilkan data yang tidak benar atau berubah. * Informasi mungkin tak sengaja diarahkan ke terminal yang salah. * Sinyal komunikasi mungkin meninggalkan penggalan-penggalan pesan yang tak terlindungi dalam memori selama interupsi pemrosesan yang tidak terduga atau tiba-tiba. * Protocol komunikasi mungkin tidak mengidentifikasi secara positif pengirim atau penerima pesan. Tindakan-tindakan yang disengaja: * Jalur komunikasi mungkin dipantau oleh orang-orang yang tidak berwenang. * Data atau program mungkin dicuri oleh pemakai gelap melalui sirkuit telepon dari suatu terminal entri jarak jauh. * Jika digunakan sandi, kunci-kuncinya mungkin dicuri. * Pesan-pesan palsu mungkin diselipkan ke dalam sistem aplikasi. * Pesan-pesan benar mungkin dihapus dari dalam sistem aplikasi. Adanya kelemahan-kelemahan seperti tersebut diatas, pengendalian akuntansi sangat diperlukan dalam Pengolahan Data Elektronik (PDE). Pengolahan data elektronik adalah pengolahan data yang menggunakan komputer. Pengendalian akuntansi ini bertujuan untuk menghasilkan informasi yang dapat dipercaya. Pengendalian akuntansi mempunyai tujuan utama mengamankan harta kekayaaan perusahaan dan menjamin kebenaran data serta ketepatan data akuntansi. ANCAMAN-ANCAMAN ATAS SIA Salah satu ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik, seperti : Kebakaran atau panas yang berlebihan Banjir, gempa bumi

 Badai angin, dan perang Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak berfungsinya peralatan, seperti : o Kegagalan hardware o Kesalahan atau terdapat kerusakan pada software, kegagalan sistem operasi, gangguan dan fluktuasi listrik. o Serta kesalahan pengiriman data yang tidak terdeteksi. Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja, seperti Kecelakaan yang disebabkan kecerobohan manusia Kesalahan tidak disengaja karen teledor Kehilangan atau salah meletakkan Kesalahan logika Sistem yang tidak memenuhi kebutuhan perusahaan Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja, seperti : * sabotase * Penipuan komputer * Penggelapan Mengapa ancaman-ancaman SIA meningkat? Peningkatan jumlah sistem klien/server memiliki arti bahwa informasi tersedia bagi para pekerja yang tidak baik. Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak pemakai, mereka lebih sulit dikendalikan daripada sistem komputer utama yang terpusat. WAN memberikan pelanggan dan pemasok akses ke sistem dan data mereka satu sama lain, yang menimbulkan kekhawatiran dalam hal kerahasiaan.