Sistem adalah serangkaian dua atau lebih komponen yang saling berkait dan berinteraksi
untuk mencapai tujuan. Sebagian besar sistem terdiri dari subsistem yang lebih kecil yang
mendukung sistem yang lebih besar. Contoh, sekolah tinggi bisnis adalah sistem yang terdiri dari
berbagai departemen yang masing-masing merupakan subsistem.
Informasi adalah (information) adalah data yang telah dikelola dan diproses untuk
memberikan arti dan memperbaiki proses pengambilan keputusan.
Akuntansi adalah sistem informasi yang mengukur aktivitas bisnis, memperoses data
menjadi laporan, dana mengkomunikasikan hasilnya kepada para pengambil keputusan.
Maka sistem informasi akuntansi adalah struktur yang menyatu dalam suatu entitas, yang
menggunakan sumber daya fisik dan komponen lain, untuk merubah data transaksi keuangan
akuntansi menjadi informasi akuntansi dengan tujuan untuk memenuhi kebutuhan akan informasi
dari pata pengguna atau pemakainnya.
BAB 2
TINJAUAN PEMROSESAN TRANSAKSI DAN SISTEM ENTERPRISE RESOURCE
PLANNING
A.
Sedangkan siklus pengolahan data (data processing cycle) adalah operasi yang dilakukan pada
data untuk menghasilkan informasi yang penting dan relevan yang disebut secara kolektif
Empat tahapan siklus pengolahan data
1. Input data
Proses mengambil data transaksi dan memasukannya kedalam sistem proses pengambilan
data bisanya dipicu oleh aktivitas bisnis. Secara historis sebagian besar bisnis
menggunakan:
a. Dokumen sumber
Dokumen sumber yang digunakan untuk memperoleh data transaksi pada sumbernya
b. Dokumen turnaround
Dokumen data perusahaan yang dikirim ke pihak eksternal dan kemudian
dikembalikan kesistem sebagai input
c. Otomatisasi data sumber
Pengumpulan data transaksi dalam bentuk yang dapat dibaca mesin pada waktu dan
tempat asalnya
2. Penyimpanan data
Proses penyimpanan dan pengaturan data akuntan oleh SIA sehingga pengaksesan data
akuntansi seperti faktur dapat dicari dengan efisien
a. Buku besar
Buku yang berisikan informasi akuntansi kumulatif yang disimpan dalam 2 bagian
buku yaitu :
Buku besar umum : ringkasan level data untuk akun-akun aktiva, kewajiban,
pelanggan
b. Teknik pengkodean
Penetapan sistematis secara logis menggunakan angka atau huruf untuk
mengklasiffikasikan item-item tersebut.
Kode urut : item yang diberikan nomor secara berurutan contoh : nomor faktur
Kode blok : blok angka yang dicadangkan untuk katagori data tertentu
sehingga dapat membantu untuk mengatur data. Contohnya adala bagan akun
Kode produk
1000000-1999999
2000000-2999999
3000000-3999999
4000000-4999999
Jenis produk
Kompor lelektrik
Kulkas
Mesin cuci
Pengering
Kode grup : dua atau lebih sub grup digit yang digunakan untuk kode item
Posisi digit
1-2
Arti
Lini produk, ukuran, dan
3
4-5
6-7
corak
Warna
Tahun pembuatan
Fitur opsional
Kode mnemonik : huruf dan angka yang diselingi untuk mengidentifikasi item
Contoh : YA001R adalah mobil yaris no 1 warna merah
c. Bagan akun adalah semua angka yang ditetapkan untuk neraca dan laporan laba-rugi
d. Jurnal
Jurnal umum adalah jurnal yang digunakan untuk mencatat transaksi yang
B.
BAB III
SISTEM TEKNIK DOKUMENTASI
A.
PENDAHULUAN
Dokumentasi (documentation) menjelaskan cara sistem bekerja, termasuk siapa, apa,
kapan, dimana, mengapa dan bagaimana entri data, pengolahan data, output informasi,
dan sistem penggajian. Adapun alat-ala dokumentasi sebagai berikut :
1. Diagram arus data (DAD)
Merupakan deskripsi grafis sumber data, arus data, proses informasi, penyimpanan
dan tujuan data
2. Bagan alir
Yang merupakan deskripsi grafis sistem. Adapaun jenis-jenis bagan alir :
a. Bagan alir dokumen : yang menunjukkan arus dokumen dan informasi antar
departemen
b. Bagan alir sistem : yang menunjukkan hubungan antar input, pemrosesan dan
output informasi
c. Bagan alir program :yang menunjukkan urutan operasi logis komputer yang
menjalankan program
3. Diagram proses bisnis yanng merupakan deskripsi grafis dari proses bisnis yang
digunakan oleh perusahaan
B.
Nama
Sumber dan tujuan
Penjelasan
Orang dan organisasi yang
data
Arus data
Proses transformasi
proses
Proses mentransformasikan atau
perubahan data
Penyimpanan
Penyimpanan data
Pengendalian intern
Pengendalian intern
Aktivitas
1. Memperbaharui
Input data
file Formulir karyawan baru
induk karyawan
2. Membayar karyawan
Output data
File penggajian
yang
Kartu waktu
diperbaharui
Cek karyawan
File penggajian
Register penggajian
File
penggajian
diperbaharui
Laporan penggajian
manajemen
4. Pajak pembayaran
Laporan
5. Memperbaharui
besar
File karyawan
pajak,
telah
yang
pembayaran
BAGAN ALIR
Teknik analitis bergambar yang digunakan untuk menjelaskan beberapa aspek dari sistem
informasi secara jelas, ringkas dan logis. Adapun simbol bagan alir sebagai berikut :
1. Simbol input atau ouput : menunjukkan input /output dari sistem
2. Simbol pemrosesan : menunjukkan pengolahan data baik secara elektronik
3. Simbol penyimpanan : menunjukkan tempat data disimpan
4. Simbol arus dan lain-lain : menunjukkan arus data dari mulai hingga akhir
Pedoman untuk mempersiapkan bagan alir :
Simbol
Simbol input atau output
Nama
Penjelasan
Dokumen
Berbagai salinan
dokumen kertas
Output elektronik
kanan atas
Informasi ditampilkan oleh alat
telepon
Entri data elektronik dan
elektronik
Simbol pemrosesan
Fungsi pemrosesan yang
Pemrosesan komputer
N
Operasi manual
informasi
Operasi pemrosesan yang
dilakukan secara manual
Simbol komponen
Database
Data magnetik
pemrosesan
Hubungan komunikasi
Konektor dalam
halaman
Konektor luar halaman
Terminal
Keputusan
Penambahan komentar
tembusan
Simbol
Nama
Penjelasan
Menghubungkan arus pemrosesan
Konektor dalam
halaman
Menghubungkan arus pemrosesan
Konektor dalam
halaman
Aktivitas dalam proses
Keputusan
proses bisnis
Arus data dan informasi
Informasi anotasi
BAB 4
DATABASE RELASIONAL
A.
PENDAHULUAN
FILE VERSUS DATABASE
File adalah gabungan dari beberapa catatan yang berhubungan sedangkan database adalah
gabungan dari file yang saling berhubungan dan dikoordinasikan secara terpusat. Adapun
jenis-jenis pendekatan sistem :
a. Sistem file : hanya mengelola data berbasis file sehinggga sulit karena terbagi-bagi
b. Sistem database (DBMS : Database Manajemen System)
yaitu program yang mengelola dan mengendalikan data sertaa hubungan data dari
program-program aplikasi yang menggunakan data yang disimpan dalam database
yang bertanggung jawab adalah administrator database
Fitur 4-1
Elemen Elemen Dasar Hierarki Data
MENGGUNAKAN GUDANG DATA UNTUK BUSINESS INTELLIGENCE
Gudang data adalah database yang sangat besar berisi data mendetail dan ringkasan
selama beberapa tahun yang digunakan untuk analisis bukan pemrosesan transaksi.
Sedangkan business intelegence adalah proses menganalisis data dalam jumlah yang
besar untuk pembuatan keputusan strategis. Adapun teknik utama yang digunakan dalam
business intelegence :
a. Pemrosesan analitikal onlie
Pemrosesan business intelegence yang menggunakan beberapa query untuk
menyelidiki hipotesis hubungan diantara data
b. Penggalian data (data minning)
Pemrosesan business intelegence menggunakan analisis statistik yang canggih untuk
menemukan hubungan yang tidak dihipotesiskan dalam data
Figur 4-2
Sistem beorientasi file versus sitem database
KEUNGGULAN SISTEM DATABASE
Database memberikan organisasi keuntungan-keuntungan sebagi berikut :
a. Integrasi data
Menggambarkan file induk kedalm kelompok-kelompok besar atas yang diakses
oleh banyak program aplikasi
b. Pembagian data
Data yang diintegrasi mudah dibagi dengan pengguna yang sah sehingga mudah
dicari untuk meneliti masalah atau memperoleh informasi mendetail tentang
laporan
c. Meminimalkan kelebihan dan inkonsistensi data
Dikarenakan semua data disimpan sekali sehingga dapat meminimalkan kelebihan
dan inkonsistensi data
d. Independensi data
Mengubah data tetapi tidaj berubah secara keseluruhan
e. Analisis lintas fungsional
Hubungan atas biaya penjualan dan promosi dapat didefinisikan dan digunakan
dalam laporan manajemen
B.
SISTEM DATABASE
Tampilan Logis dan Fisik Data
Sistem database memisahkan tampilan logis dan fisik data. Tampilan logis adalah
bagaimana pemakai atau programer secara konseptual mengatur dan memahami data.
Tampilan fisik merujuk pada bagaimana dan dimana data secara fisik diatur dan disimpan
dalam disk, tape, CD-ROM, atau media lainnya.
Kamus Data
Salah satu komponen kunci dari DBMS adalah kamus data, yang mencakup informasi
mengenai struktur database. Setiap elemen data yang disimpan dalam database, seperti
nomor pelanggan, memiliki catatan di kamus data yang mendeskripsikan elemen tersebut.
DBMS biasanya memelihara kamus data. Bahkan, kamus data ini sering kali
merupakan salah satu aplikasi pertama dari sistem database yang baru diimplementasikan.
Masukan untuk kamus data mencakup elemen data yang baru atau yang sudah dihapus, serta
perubahan nama, deskripsi, atau penggunaan elemen data yang ada. Keluaran mencakup
berbagai laporan yang berguna bagi programer, perancang database dan pemakai sistem
informasi. Laporan sampel mencakup (1) daftar dari semua program dimana suatu data
digunakan, (2) daftar dari semua sinonim untuk elemen data dalam file tertentu, (3) daftar
dari semua elemen data yang digunakan oleh pemakai tertentu, dan (4) daftar dari seluruh
laporan output dimana elemen data digunakan.
Bahasa DBMS
Ada beberapa bahasa DBMS, antara lain:
Bahasa definisi data (DDL) digunakan untuk membangun kamus data,
mengawali atau menciptakan database, mendeskripsikan pandangan logis untuk setiap
pemakai atau programer, dan memberikan batasan untuk keamanan field atau catatan
pada database.
Bahasa manipulasi data (DML) digunakan untuk perawatan data, yang
mencakup operasi seperti pembaruan, penyisipan dan penghapusan suatu bagian dari
database, memudahkan program penulisan untuk melaksanakan tugas-tugas tersebut
dengan hanya menanyakan suatu nama dari bagian data, bukan meminta lokasi
penyimpanan fisiknya.
Bahasa permintaan data (DQL) dipergunakan untuk menyelidiki database.
DQL hanya dipergunakan untuk mengambil data, menyortir data, menyusun data dan
menyajikan suatu bagian dari database sebagai respon atas permintaan data.
C.
DATABASE RELASIONAL
DBMS dikarakteristikan melalui jenis model logis data yang mendasarinya. Model Data
adalah perwakilan abstrak dari isi suatu database. Kebanyakan DBMS yang baru disebut sebagai
database relasional. Model relasional data mewakili semua yang disimpan di database.
Jenis-Jenis Atribut
Tabel-tabel dalam database relasional memiliki tiga jenis atribut kunci utama adalah
atribut, atau kombinasi dari beberapa atribut yang secara unik mengidentifikasi baris tertentu
dalam sebuah tabel. Kunci luar adalah atribut yang muncul dalam suatu tabel, yang juga
merupakan kunci utama dalam tabel lainnya. Kunci-kunci luar digunakan untuk
menghubungkan tabel-tabel. Atribut lainnya yang bukan berupa atribut kunci di dalam setiap
tabel, menyimpan informasi penting mengenai entitasnya.
3.
4.
database dapat mengarah pada ditinggalkannya model akuntansi pembukuan berpasangan (doble
entry). Alasan dasar sistem pembukuan berpasangan adalah pengulangan pencatatan jumlah
suatu transaksi sebanyak dua kali, yang berfungsi sebagai alat pemeriksa proses data yang
akurat. Setiap transaksi menghasilkan masukan debit dan kredit yang sama besar, kemudian
persamaan debit dan kredit yang sama besar, kemudian persamaan debit dan kredit diperiksa lagi
dan lagi dengan berbagai cara, dalam suatu proses akuntansi. Akan tetapi, pengulangan data
berlawanan dengan konsep database. Apabila jumlah yang berhubungan dengan sebuah transaksi
dimasukkan ke dalam sistem database dengan benar, maka jumlah tersebut hanya perlu disimpan
sekali saja, bukan dua kali. Proses data terkomputerisasi sudah cukup akurat tanpa harus
mempergunakan sistem pemeriksaan dan pemeriksaan ulang, yang merupakan ciri khas dari
model akuntansi pembukuan berpasangan.
Sistem database juga memiliki potensi untuk mengubah sifat pelaporan eksternal secara
signifikan. Pengaruh sistem database yang paling signifikan mungkin dalam hal cara informasi
akuntansi akan dipergunakan dalam pengambilan keputusan. Kesulitan merumuskan permintaan
khusus dalam sistem akuntansi berdasarkan pendekatan file atau sistem DBMS yang tidak
rasional, membuat akuntan bertindak seolah-olah sebagai penjaga gerbang informasi. Informasi
keuangan tersedia hanya dalam format yang belum tetap dan dalam waktu tertentu saja. Akan
tetapi, database rasional menyediakan bahasa permintaan yang luas dan mudah dipergunakan.
Jadi para manajer tidak perlu lagi terhalang dengan berbagai detail prosedur mengenai cara
mendapatkan informasi. Sebagai gantinya, mereka dapat berkonsentrasi hanya untuk
menspesifikasikan informasi apa yang mereka inginkan. Hasilnya, laporan keuangan dapat
dengan mudah dipersiapkan untuk mencakup periode waktu manapun yang ingin dipelajari oleh
para manajer, bukan hanya dalam periode yang secara tradisional dipergunakan oleh para
akuntan.
DBMS relasional juga dapat mengakomodasi berbagai pandangan atas suatu fenomena
yang sama. Sebagai contoh, tabel-tabel yang menyimpan informasi mengenai aset dapat berisi
kolom-kolom yang bukan hanya berdasarkan biaya historis, tetapi juga biaya pergantian dan nilai
pasar. Jadi para manajer tidak lagi dipaksa melihat data dalam cara yang telah ditetapkan oleh
para akuntan.
Terakhir, DBMS relasional menyediakan kemampuan untuk mengintegrasikan data
keuangan dan operasional. Sebagai contoh data mengenai kepuasan pelanggan yang
dikumpulkan melalui survey atau wawancara, dapat disimpan di dalam tabel yang sama yang
juga dipergunakan untuk menyimpan informasi mengenai saldo saat ini dan batas kredit. Jadi,
manajer akan memiliki akses ke serangkaian data yang lebih luas untuk membuat keputusan
taktis dan strategis.
Melalui cara-cara ini, DBMS relasional memiliki potensi untuk meningkatkan
penggunaan dan nilai informasi akuntansi dalam membuat keputusan yang taktis dan strategis
untuk menjalankan perusahaan. Akan tetapi, para akuntan harus memiliki pengetahuan lebih
banyak mengenai sistem database agar mereka dapat berpartisipasi dalam mendesain sistem
informasi akuntansi di masa mendatang.
BAB 5
PENIPUAN KOMPUTER
A.
PENDAHULUAN
Ancaman untuk sistem informasi akuntansi
Ancaman
Contoh
Bencana alam
Kebakaran, banjir, gempa bumi
Kesalahan pernagkat lunak dan kegagalan Kegagalan perangkat keras dan perangkat
fungsi perakitan
lunak
Kesalahan perangkat lunak
Pemadaman listrik dan fluktuasi
Tindakan
yang
komputer)
B.
disengaja
kegagalan
untuk
mengikuti
komputer,
penyalahgunaan aset
Penipuan adalah sesuatu atau segala sesuatu yang digunakan oleh seseorang untuk
memperoleh keuntungan secara tidak adil terhadap orang lain. Tindakan curang meliputi
kebohongan, penyembunyian kebenaran, muslihat dan kelicikan, dan tindakan tersebut sering
mencakup pelanggaran kepercayaan. Pelaku penipuan sering disebut sebagai penjahat berkerah
putih (white collar criminals), untuk membedakannya dari penjahat yang melakukan kejahatan
dengan kekerasan.
1.
2.
3.
membebankan item yang dicuri ke suatu akun biaya. Cara lain untuk menyembunyikan
penurunan asset adalah denganc ara gali lubang tutup lubang (lapping). Dalam skema gali lubang
tutup lubang, pelaku mencuri uang yang diterima dari pelanggan A untuk membayar piutangnya.
Di dalam skema perputaran (kiting), pelaku menutupi pencuriannya dengan cara menciptakan
uang melalui transfer uang antar bank.
Penipuan internal dapat dibedakan menjadi dua kategori:
1. penggelapan aset : Penggelapan aset atau penipuan pegawai, dilakukan oleh seseorang
atau kelompok orang untuk keuntungan keuangan pribadi. Penipuan yang ditemukan oleh
Jason Scott suatu penggelapan aset.
penipuan pelaporan keuangan : Komisi Nasional atas Penipuan Pelaporan Keuangan
(Treadway Commision) mendefinisikan penipuan pelaporan keuangan sebagai tindakan
yang sembrono atau disengaja, baik melalui tindakan
2.
Peluang
Peluang adalah kondisi atau situasi yang memungkinkan seseorang untuk
melakukan dan menutupi suatu tindakan yang tidak jujur. Peluang sering kali berasal dari
kurangnya pengendalian internal. Situasi lain yang mempermudah seseorang untuk
melakukan penipuan adalah kepercayaan berlebih atas pegawai utama, personil supervisi
yang tidak kompeten, tidak memperhatikan perincian, jumlah pegawai tidak memadai,
kurangnya pelatihan, dan kebijakan perusahaan yang tidak jelas.
Opportunity adalah peluang yang memungkinkan fraud terjadi. Biasanya
disebabkan karena internal control suatu organisasi yang lemah, kurangnya pengawasan,
dan/atau penyalahgunaan wewenang. Di antara 3 elemen fraud triangle, opportunity
merupakan elemen yang paling memungkinkan untuk diminimalisir melalui penerapan
proses, prosedur, dan control dan upaya deteksi dini terhadap fraud.
3.
Rasionalisasi
Kebanyakan pelaku penipuan mempunyai alasan atau rasionalisasi yang membuat
mereka merasa perilaku yang illegal tersebut sebagai sesuatu yang wajar. Para pelaku
membuat rasionalisasi bahwa mereka sebenarnya tidak benar-benar berlaku tidak jujur
atau bahwa alasan mereka melakukan penipuan lebih penting daripada kejujuran dan
integritas. Mungkin, rasionalisasi yang paling umum adalah pelaku hanya meminjam
asset yang dicuri karena mereke bermaksud untuk mengembalikannya pada perusahaan.
Beberpaa pelaku membuat rasionalisasi bahwa mereka tidak menyakiti seseorang secara
langsung. Pihak yang terpengaruh hanyalah system computer yang tidak bermuka dan
bernama atau perusahaan besar yang bukanlah manusia yang tidak akan merasa
kehilangan uang tersebut. Berikut ini adalah rasionalisasi yang sering digunakan :
C.
PENIPUAN KOMPUTER
Departemen Kehakiman Amerika Serikat mendefinisikan penipuan komputer sebagai
tindak illegal apapun yang membutuhkan pengetahuan teknologi computer untuk melakukan
tindakan awal penipuan, penyelidikan, atau pelaksanaannya. Secara khusus,penipuan
computer mencakup hal-hal berikut ini :
a. Pencurian, penggunaan, akses, modifikasi,penyalinan, dan perusakan software atau
data secara tidak sah.
b. Pencurian uang dengan mengubah catatan computer atau pencurian waktu computer.
c. Pencurian atau perusakan hardware computer.
d. Penggunaan atau konspirasi untuk menggunakan sumber daya computer dalam
e.
Penipuan Input
Pengubahan input komputer merupakan cara yang paling umum dan sederhana
untuk melakukan pengrusakan maupun penipuan. pelaku hanya perlu memahami
bagaimana sistem beroperasi sehingga mereka dapat menutupi perbuatan mereka.
2.
Penipuan Processor
4.
Penipuan data
Hal ini dapat diawali dengan mengubah atau merusak file-file ata perusahaan.
Dapat juga berupa menyalin, menggunakan, maupun mencari file dari data
perusahaan tanpa otorisasi. Kasus ini lebih lebih mudah dilakukan pada file
perusahaan yang disimpan di web site.
5.
Penipuan output
Output sebuah sistem biasanya ditampilkan pada layar atau dicetak di kertas.
Output tersebut dapat menjadi subjek mata-mata salinan file yang tidak sah. Ada
sebuah penelitian bahwa banyak monitor komputer memancarkan sinyal mirip dengan
televise, sehingga dapat diambil dari berbagai terminal hinga sejauh 2 mil.
Cracking (menjebol)
Denial of service attack (serangan penolakan pelayanan)
Eavesdropping (menguping)
E-mail forgery and threats (pemalsuan e-mail)
Internet misinformation and terrorism (informasi yang salah di internet dan
terorisme internet)
Virus
Password cracking (penjebolan password)
Software piracy (pembajakan software)
Scavenging (pencarian)
Worm (cacing)\
Kuda Troya (Trojan Horse)
Sekumpulan perintah computer yang tidak sah yang masuk ke dalam program
computer yang sah dan berfungsi dengan baik.
Pembulatan ke bawah
Teknik yangs erring digunakan padainstitusi keuangan yang membayar
bunga.
Teknik salami
Sejumlah kecil uang yang dicuri.
Pintu jebakan
Cara masuk ke system tanpa melewati pengendalian system yang normal.
Serangan cepat
Penggunaan tidak secara tidak sah dari program system khusus untuk
memotong pengendalian system regular dan melakukan tindakan yang illegal
Pembajakan software
Menyalin software tanpa izin dari pembuatnya.
Mengacak data
Mengubah data sebelum, selama, atau setelah dimasukkan ke system.
Kebocoran data
Mengacu pada penyalinan tidak sah atas data perusahaan.
Menyusup
Menyadap masuk ke saluran telekomunikasi dan mengunci diri ke pemakai
yang sah sebelum pemakai tersebut memasuki suatu system.
1.
2.
Mengendalikan data yang sensitive dan adanya pengamanan sistem maupun saluran
informasi
3.
4.
Bab 6
TEKNIK PENYALAHGUNAAN DAN KECURANGAN (FRAUD) KOMPUTER
Spamming adalah e-mailing atau teks pesan yang tidak diminta oleh banyak orang
pada waktu yang sama, sering berusaha untuk menjual sesuatu. Spammers menggunakan
software khusus untuk menebak alamat sebuah perusahaan dan mengirim pesan e-mail
kosong.
Blog (singkatan dari Web log) adalah Web site yang berisi jurnal dan komentar online.
Hackers menciptakan splogs (kombinasi dari spam dan blog) dengan link dimana Web site
yang mereka miliki menjadi naik pada Google Page Rank, yang seringkali Web page
(halaman web) tersebut dijadikan referensi bagi Web page yang lain. Plog diciptakan untuk
memalsukan tayangan iklan yang mempengaruhi pengujung untuk melakukan pembayaran,
menjual link, atau untuk mendapatkan situs baru di index.
Spoofing membuat suatu komunikasi elektronik kelihatan seperti seseorang
mengirimnya untuk memperoleh kepercayaan dari penerimanya, Spoofing bisa dalam
berbagai bentuk, termasuk yang dibawah ini:
1. Email spoofing membuat email terlihat seperti asllinya meskipun dikirim dari sumber
yang berbeda
2. IP address spoofing menciptakan paket Internet Protocol (IP) dengan alamat IP palsu
untuk menyembunyikan identitas pengirim atau untuk menyerupai sistem komputer
3.
lain.
Address Resolution Protocol (ARP) sppofing mengirimkan pesan ARP palsu pada
sebuah Enthernet LAN. ARP merupakan jaringan protokol untuk menentukan alamat
Zero-day attack (atau zero hour attack) merupakan suatu serangan antara waktu suatu
software lemah baru ditemukan dan saat pengembang software mengumunkan solusi yang
dapat mengatasi masalah tersebut.
Vulnerability windows bisa berakhir selama berjam-jam bahkan selamanya jika user
tidak menemukan solusi untuk sistemnya.
Cybercrook mengambil keuntungan dari lingakrang update keamanan Microsoft dengan
cara menjadwalkan serangan baru sesaat sebelum atau sesudah Patch Tuesday hari selasa
minggu kedua setiap bulan, pada saat pembuat software mengumumkan perbaikannya. Istilah
zero-day Wednesday menjelaskan strategi ini.
Cross site scripting (XSS) merupakan suatu kelemahan dalam halaman Web dinamis
yang membolehkan penyerang untuk melakukan bypass terhadap mekanisme keamana
browser dan memerintahkan browser korban untuk membuat kode dari Web site yang
diinginkan.
Buffer overflow attack terjadi ketika kapasitas data yang dimasukkan ke dalam program
lebih besar daripada kapasitas memori (Input buffer) yang tersisa. Overflow input biasanya
menimpa instruksi komputer berikutnya, yang menyebabkan sistem crash/rusak.
Pada SQL injection (insertion) attack, kode berbahaya dalam bentuk SQL query
dimasukkan pada input sehingga dapat dikirimkan dan dijalankan oleh sebuah program
aplikasi. Ide tersebut untuk meyakinkan aplikasi untuk menjalankan kode SQL sehingga tidak
dimaksudkan untuk mengeksekusi dengan memanfaatkan kerentanan database.
Man-in-the-middle attack (MITM) menempatkan hacker antara klien dan host dan
menyadap lalu lintas jaringan antara mereka. Suatu MITM attack sering disebut serangan sesi
pembajakan. Serangan MITM digunakan untuk menyerang sistem enkripsi kunci publik di
mana informasi sensitif dan berharga lalu lalang
Masquareding atau impersonation adalah berpura-pura menjadi pengguna yang
berwenang untuk mengakses sistem. Hal ini mungkin terjadi ketika pelaku penipuan
mengetahui nomor ID dan password pengguna atau menggunakan komputer pengguna
setelah dia login masuk (sementara pengguna berada dalam pertemuan atau makan siang).
Piggybacking memiliki beberapa arti:
a. Pemakaian secara diam diam jaringan Wi Fi tetangga; hal ini dapat dicegah dengan
mengaktifkan fitur keamanan pada di jaringan wireless
b. Merekam saluran telekomunikasi dan elektronik yang ada pada pengguna yang sah
sebelum pengguna masuk kedalam sistem yang aman, pengguna yang sah tidak tahu
bahwa dia telah membawa masuk pelaku penipuan kedalam sistem tersebut
c. orang yang tidak berhak mengikuti orang yang berwenang melalui pintu yang aman,
melewati kontrol keamanan fisik keypad, ID, atau scanner identifikasi biometrik
Password cracking adalah menembus pertahanan suatu sistem, mencuri file yang berisi
password yang valid, decrypting mereka, dan menggunakan mereka untuk masuk kedalam
program, file, dan data.
War dialling adalah pemrograman komputer untuk menghubungi ribuan saluran telepon
mencari jaringan modem dial up. Hacker menyusup ke PC yang tersambung dengan modem
dan mengakses jaringan yang terhubung.
Phreaking menyerang sistem telepon untuk mendapatkan akses saluran telepon gratis
untuk mengirimkan virus dan untuk mengakses, mencuri, dan menghancurkan data.
Data Diddling adalah mengubah data sebelum, selama atau setelah data tersebut
dimasukkan ke dalam sistem untuk menghapus, mengubah, atau menambah, atau melakukan
update data sistem kunci yang salah.
Data leakage (kebocoran data) adalah penyalinan data perusahaan yang tidak sah.
Karyawan Jaminan Sosial mencuri 11.000 nomor Jaminan Sosial dan informasi identitas
lainnya dan menjualnya kepada pelaku penipuan identitas.
Salami teknik (teknik salami) digunakan untuk menggelapkan uang "irisan daging
asap" dari akun yang berbeda. Seorang pegawai yang tidak puas memprogram komputer
perusahaan tersebut untuk meningkatkan semua biaya produksi dengan sepersekian persen
dan menempatkan kelebihan dalam rekening vendor bodoh dibawah kendalinya.
Espionase (spionase) ekonomi adalah pencurian informasi, rahasia dagang, dan
kekayaan intelektual.
Pemerasan cyber adalah mengancam untuk merusak/membahayakan suatu perusahaan
atau orang jika sejumlah tertentu uang tidak dibayarkan.
Cyber bullying menggunakan internet, telepon seluler, atau teknologi komunikasi
lainnya untuk mendukung perilaku yang disengaja, berulang, dan bermusuhan yang
menyiksa, mengancam, melecehkan, menghina, memalukan, atau merugikan orang lain.
Internet terorisme adalah aksi mengganggu perdagangan elektronik dan merugikan
komputer dan komunikasi.
Internet misinformation menggunakan internet untuk menyebarkan informasi palsu atau
menyesatkan.
Internet auction fraud menggunakan situs lelang internet untuk menipu orang lain.
Internet pump-and-dump fraud menggunakan Internet untuk memompa harga saham
dan kemudian menjualnya.
Pembajakan piranti lunak adalah penyalinan yang tidak sah dari distribusi software
yang sah. Pembajakan perangkat lunak biasanya memakai satu dari tiga bentuk. : (1) menjual
komputer dengan software pre-loaded ilegal (2) menginstal satu salinan-lisensi pada
beberapa mesin, dan (3) Memuat perangkat lunak pada server jaringan dan memungkinkan
akses tidak terbatas untuk itu dengan melanggar perjanjian lisensi perangkat lunak.
B. Rekayasa Sosial
Rekayasa Sosial mengacu pada teknik atau trik psikologis yang digunakan untuk
membuat orang untuk mematuhi keinginan pelaku penipuan dalam rangka untuk
mendapatkan akses fisik atau logis untuk bangunan, komputer, server, atau jaringan biasanya untuk mendapatkan informasi yang dibutuhkan untuk akses sistem dengan tujuan
untuk mendapatkan data rahasia.
Pada shoulder surfing, seperti namanya, pelaku penipuan melihat melalui bahu
seseorang di tempat umum untuk mendapatkan informasi seperti nomor PIN ATM atau ID
dan password pengguna.
Pada Lebanese lopping, pelaku penipuan menyisipkan lengan baju ke dalam ATM
untuk mencegah ATM menolak kartu tersebut. Ketika jelas bahwa kartu tersebut yang
terperangkap, pelaku kejahatan akan mendekati korban dan berpura-pura untuk membantu,
menipu orang agar memasukkan PIN lagi, Setelah korban menyerah, pencuri menghilangkan
kartu dan PIN untuk menarik uang di ATM sebanyak - banyaknya. Lebanese looping sangat
umum dinegara dengan jumlah mesin ATM yang banyak
Skimming adalah gesekan double kartu kredit di terminal sah atau diam-diam
menggesekkan kartu kredit di kecil, reader tersembunyi, mengkontrol car reader yang
mencatat data kartu kredit untuk digunakan nantinya.
Chipping adalah penyamaran sebagai seorang insinyur dan menanam chip kecil yang
mencatat data transaksi di pembaca kartu kredit yang sah. Chip ini kemudian dihapus untuk
mengakses data yang tercatat di atasnya.
Eavesdropping adalah mendengarkan komunikasi pribadi atau memanfaatkan transmisi
data.
C. Malware
Malware merupakan perangkat lunak yang dapat digunakan untuk melakukan
kejahatan. Software Spyware diam-diam memonitor dan mengumpulkan informasi pribadi
tentang pengguna dan mengirimkannya ke orang lain. Informasi ini dikumpulkan dengan log
keystrokes, pemantauan situs web yang dikunjungi dan pemindaian dokumen pada hard drive
komputer. Spyware juga dapat membajak browser, menggantikan halaman home komputer
dengan halaman pencipta spyware yang ingin Anda kunjungi. Infeksi spyware, yang biasanya
tidak disadari oleh penggunanya, berasal dari berikut ini:
a. Downloads seperti program file sharing, sistem utilitas, permainan, wallpaper,
screensaver, musik, dan video
b. Situs web yang secara diam-diam men-download spyware. Ini disebut drive by
downloading
c. Seorang hacker menggunakan lubang keamanan pada web dan perangkat lunak
lainnya
d. Malware yang menyamar sebagai software antispyware keamanan
e. Sebuah worm atau virus
f. Jaringan
wireless
publik.
Pada
Kinko
di
Manhattan,
seorang
karyawan
mengumpulkan data yang diperlukan untuk membuka rekening bank dan mengajukan
permohonan kartu kredit atas nama orang-orang yang menggunakan jaringan wireless
Kinko ini
Spyware merupakan hal yang sangat bermasalah bagi perusahaan dengan karyawan
yang berkomunikasi atau jarang mengakses jaringan. Spyware pada komputer ini merekam
interaksi jaringan pengguna, menyalin data perusahaan, dan memperkenalkan spyware ke
seluruh organisasi.
Adware adalah spyware yang muncul pada iklan banner di monitor, mengumpulkan
informasi tentang pengguna Web surfing dan kebiasaan belanja, dan meneruskannya kepada
pencipta adware.
Bab 7
PENGANDALIAN DAN SISTEM INFORMASI AKUNTANSI
A.
PENDAHULUAN
Satu ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik,
seperti kebakaran, panas yang berlebihan, banji, gempa bumi, badai, angin, dan perang.
Bencana yang tidak diprediksi dapat secara keseluruhan menghancurkan system informasi
yang menyebabkan kejatuhan sebuah system informasi
B.
yang dipergunakan untuk menjaga asset, memberikan informasi yang akurat dan andal,
mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian
dengan kebijakan yang telah ditetapkan.
Struktur Pengendalian Internal (internal control structure) terdiri dari kebijakan
dan procedure yang dibuat untuk memberikan tingkat jaminan yang wajar atas pencapaian
tujuan tertentu organisasi. Pengendalian internal melaksanakan tiga fungsi penting yaitu :
a. Pengendalian untuk pencegahan (preventive control) mencegah timbulnya suatu
masalah sebelum mereka muncul.
b. Pengendalian untuk pemeriksaan (detective control) dibutuhkan untuk mengungkap
masalah begitu masalah muncul.
c. Pengendalian korektif (corrective control) memecahkan masalah yang ditemukan
oleh pengendalian untuk pemeriksaan.
Sebuah sistem batas : membantu pegawai bertindak secara etis dengan membangun
b.
c.
d.
1.
perusahaan menyuap pejabat asing agar mendapatkan bisnis. Padsa akhir 1990 dan awal 2000
terdapat penipuan akuntansi di enron, WorldCom, Xerox dll, ini adalah kebangkrutan terbesar
sepanjang sejarah amerika. SOX merupakan undang-undang beriorientasi bisnis yang paling
penting dalam 80 tahun terakhir. Undang-undang ini mengubah cara dewan direksi dan
manajemen beroprasi serta memiliki dampak yang kuat tehadap CPA yang mengaudit mereka
. berikut beberapa aspek terpenting SOX :
a.
Public company accounting oversight board (PCAOB)
b.
Aturan-aturan baru bagi oara auditor
c.
Peran baru bagi komite audit
d.
Aturan baru bagi para manajemen
e.
Ketentuan baru pengendalian internal.
Setelah SOX dikeluarkan, SEC memerintahkan bahwa manajemen harus
KERANGKA PENGENDALIAN
Ada tiga kerangka yang digunakan untuk mengembangkan sistem pengendalian
internal.
1.
Kerangka Cobit
Controlo Objektivies for Information and Related Technology ( COBIT) adalah sebuah
dan
(3)
para
auditor
memperkuata
opini
pengendalian
internal
dan
swasta yang terdiri atas Asosiasi Akuntansi Amerika, AICPA, Ikatan Auditor internal, Ikatan
Akuntan Manajemen, dan Ikatan Eksekutif Keuangan. IC merupakan sebuah kerangka COSO
yang menjelaskan pengendalian internal dan memberikan panduan untuk mengevaluasi dan
meningkatkan system pengendalian internal..
3.
dewan direksi dan manjemen untuk mengatur strategi, mengidentifikasi kejadian yang
mungkin memengaruhi entitas, menilai dan mengelola risiko, serta memnyediakan jaminan
mamadai bahwa perusahaan mencapai tujuan dan sasarannya. Prinsip-prinsip dasar di balik
ERM adalah sebagai berikut :
a. Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.
b. Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima
sat menciptakan nilai.
c. Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu
secara negatif memngaruhi kemampuan perusahaan untuk menghasilkan atau
mempertahankan nilai.
d. Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa sesuatu
secara positif memengaruhi kemampuan perusahaan untuk menghasilkan atau
mempertahankan nilai.
e. Kerangka ERM dapat
memngelola
ketidakastian
serta
menciptakan
dan
mempertahankan nilai.
4.
SOX. Kerangka ERM yang lebih komprehensif menggunaka pendekatan berbasis risiko
daripada berbasis pengendalian. ERM menembahkan tiga (3) elemen tambahan ke kerangka
IC COSO
a. penetapan tujuan
b. pengidentifikasian kejadian yang mungkin memengaruhi perusahaan
c. pengembangan sebuah respons untuk risiko yang dinilai. Hasilnya, pengendalian
bersifat fleksibel dan relevan karena mereka ditautkan dengan tujuan organisasi
terkini.
D.
LINGKUNGAN INTERNAL
Lingkungan internal (internal inviroment), atau budaya perusahaan, memengaruhi,
cara organisasi menetapkan strategi dan tujuannya, membuat struktur aktivitas bisnis dan
mengidentifikasi, dan menilai, serta merespons risiko. Sebuah lingkungan internal mencakup
hal-hal sebagai berikut :
a.
jelas mereka berkomunikasi, maka semakin besar kemungkinan para pegawai akan bertindak
dengan tanggung jawab.
b.
Struktur organisasi
Aspek-aspek penting dari struktur organisasi menyertakan hal-hal sebagai berikut.
e.
deskripsi pekerjaan formal, pelatihan pegawai, jadwal pengoperasian, anggaran, kode etik
serta kebijakan dan prosedur tertulis.
f.
dan kemajuan karier dapat menjadi kekuatan dalam mendorong kejujuran, efisiensi dan,
layanan yang loyal.
g.
Pengaruh eksternal
Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek,
financial accounting standars board (FASB), PCAOB, dan SEC. mereka juga menyertakan
persyaratan yang dipaksakan oleh badan-badan regulasi, seperti bank, utilitas, dan perusahaan
asuransi.
E.
PENETAPAN TUJUAN
1.
F.
IDENTIFIKASI KEJADIAN
Committee of Sponsoring Organizasion (COSO) mengidentifikasi kejadian (event)
sebagai sebuah insiden atau peristiwa yang berasal dari sumber-sumber internalatau eksternal
yang memengaruhi implementasi strategi atau pencapaian tujuan, yang mungkin memiliki
dampak positif atau dampak negative atau bahkan keduanya.
Perusahaan menggunakan beberapa teknik untuk mengidentifikasi kejadian termasuk
penggunaan sebuah daftar komprehensif dari kejadian potensial, pelaksanaan sebuah analisis
internal, pengawasan kejadian-kejadian yang menjadi penyebab dan titik-titik pemicu,
pengadaan seminar dan wawancara, penggunaan data mining, dan penganalisisan prosesproses bisnis.
G.
ancaman, termasuk bencana alam dan politisi. Dampak risiko dapat dinilai dengan
menggunakan salah satu dari keempat cara dibawah ini:
a.
b.
c.
d.
Mengurangi
Menerima
Membagikan
Menghindari
Langkah pertama adalah identifikasi kejadian.
1.
dipertimbangkan
bersamaan.
Hal
yang
kemungkinannya terjadi besar kadang menimbulkan dampak yang tidak terlalu besar dan
tidak mengancam eksistensi perusahan seperti penipuan..
2.
Mengidentifikasi pengendalian
Manajemen harus mengidentifikasi pengendalian yang melindungi pengendalian dari
setiap kejadian. Pengendalian preventif biasanya superior dibandingkan pengendalian
detektif.
3.
Memperkirakan biaya dan manfaat
Tidak ada pengendalian internal yang memberikan perlindungan sangat mudah
terhadap seluruh kejadian, karena memiliki banyak sekali pengendalian membutuhkan biaya
yang besar dan secara negative mempengaruhi efesiensi operasional
4.
Menentukan efektivitas biaya/manfaat
Manajemen harus menentukan apakah sebuah pengendalian merupakan biaya
menguntungkan. Dalam mengevaluasi pengendalian internal, manajemen harus lebih
mempertimbangkan factor-faktor yang lain dari pada factor-faktor yang ada didalam
perhitungan biaya/manfaat yang diperkirakan.
5.
Mengimplementasikan pengendalian atau menerima, membagi, atau menghindari
resiko
AKTIVITAS PENGENDALIAN
Aktivitas pengendalian adalah kebijakan , prosedur dan aturan yang memberikan
jaminan memadai bahwa tujuan pengendalian telah dicapai dan respon risiko di lakukan.
Manajemen harus memastikan bahwa:
a.
b.
c.
1.
penting,
otoritas
sering
didokumentasikan
dengan
tandatangan,
penginisialisasian dan memasukan sebuah kode otoritasi pada sebuah dokumen atau catatan.
2.
Pemisah Tugas
Pengendalian internal yang baik mensyarakan tidak ada satu pawaipun diberi
tanggungjawab yang terlalu banyak atas transaksi atau bisnis. Pemisahan tugas dibahas dalam
dua sesi yang berbeda:
a.
Pemusahan tugas akuntansi (otoritas, pencatatan, dan penyimpanan)
b.
Pemisahan tugas system
3.
Administrator system
Manajemen jaringan
Manajemen keamanan
Manajemen perubahan,
Pengembangan proyek dan pengendalian akuisisi
Memiliki metodologi merupakan hal penting untuk mengatur pengambangan, akuisisi,
implementasi
dan
memelihara
system
informasi.
Metodologi
harus
mengandung
c.
d.
e.
f.
4.
tingkat
atas,
manajemen
harus
mengawasi
hasil
perusahaan
dan
I.
PENGAWASAN
Metode-metode pengawasan kinerja adalah sebagai berikut:
1.
yang cukup untuk seluruh pengguna dan pengguna harus diinformasikan mengenai
konsekuensi penggunaan perangkat lunak yang tidak berlisensi.
6.
Menjalankan Audit Berkala
Para auditor harus menguji pengendalian sistem secara reguler dan menelusuri file
penggunaan sistem untuk mencari aktivitas mencurigakan secara periodik.
7.
Mempekerjakan Petugas Keamanan Komputer dan Chief Cimpliance Officer (CSO).
Seorang CSO bertugas atas keamanan system, independen dari fungsi system
informasi, dan melapor kepada chief operating officer (COO) atau CEO.
8.
Menyewa Spesialis Forensik
BAB 8
PENGENDALIAN UNTUK KEAMANAN IFORMASI
A.
PENDAHULUAN
Trust Service Framework yang dikembangkan oleh AICPA dan CICA membagi
pengendalian terkait IT ke dalam 5 prinsip yang berkontribusi dalam keandalan suatu sistem
yaitu:
1. Security akses (baik fisik maupun logical) terhadap sistem dan data dikendalikan
dan dibatasi hanya kepada pengguna yang sah
2. Confidentiality informasi organisasi yang sensitif dilindungi dari pengungkapan
yang tidak berhak
3. Privacy informasi personal terkait pelanggan, karyawan, suplier atau partner bisnis
hanya digunakan dalam hal kepatuhan terhadap kebijakan internal dan persayaratan
aturan eksternal dan dilindungi dari pengungkapan yang tidak sah
4. Processing integrity data diproses secara akurat, lengkap dan hanya dengan otorisasi
yang sah
5. Availability sistem dan informasinya tersedia bagi kebutuhan operasional dan
kewajiban kontraktual
B.
D.
PENGENDALIAN PREVENTIF
Manusia: Menciptakan budaya sadar akan keamanan
Untuk menciptakan budaya sadar akan keamanan, manajemen seharusnya tidak hanya
membawa malware
6. Pelatihan karyawan supaya tidak menginstall software gratisan atau ilegal.
Solusi IT: Pengendalian terhadap Akses Jaringan
seluruh serangan. Oleh karena itu COBIT 5 menjelaskan aktivitas yang suatu organisasi juga
perlukan untuk memungkinkan deteksi terhadap masalah dan gangguan. Empat tipe dari
pengendalian deteksi adalah sebagai berikut:
1. Log analysis
Yaitu proses menguji logs untuk mengidentifikasi bukti-bukti dari kemungkinan
serangan
2. Intrusion detection systems (IDS)
Yaitu sistem yang membuat logs dari semua lalu lintas jaringan yang diizinkan untuk
melalui firewall kemudian menganalisa logs tersebut terhadap jejak atau gangguan
yang berhasil.
3. Penetration testing
Yaitu percobaan untuk menembus sistem informasi organisasi.
4. Monitoring berelanjutan
Yaitu memantau secara berkelanjutan terkait kepatuhan karyawan terhadap kebijakan
keamanan informasi organisasi dan kinerja proses bisnis secara keseluruhan.
F.
PENGENDALIAN KOREKSI
G.
komputer. Hal ini akan menerkan biaya hardware karena semakin sedikit server yang perlu
untuk dibeli. Cloud computing adalah memanfaatkan bandwith yang besar dari jaringan
telekomunikasi global yang memungkinkan karyawan menggunakan browser untuk
mengakses dari jarak jauh sebagai software untuk mengakses, perangkat untuk penyimpanan
data, hardware dan lingkungan keseluruhan aplikasi. Cloud computing dapat menghemat
biaya secara signifikann.
Virtualization dan cloud computing dapat meningkatkan risiko ancaman bagi
keamanan informasi. Dengan demikian virtualization dan cloud computing sebenarnya
mempunyai dampak positif dan negatif terhadap keamanan informasi dari keseluruhan level,
tergantung bagaimana organisasi atau cloud provider menerapkan pengendalian pencegaha,
deteksi dan koreksi secara bertingkat.
BAB 9
PENGENDALIAN KERAHASIAAN DAN PRIVASI
A.
Manajemen mengidentifikasi informasi yang sensiif dan perlu untuk dilindungi dari
pengungkapan tidak sah.
Langkah Melindungi Kerahasiaan
Privasi
Perbedaan dasar antara privasi dan kerahasiaan adalah privasi lebih terfokus pada
perlindungan data pribadi pelanggan daripada perlindungan pada data perusahaan.
Fokus Perhatian
a. SPAM
SPAM adalah e-mail yang berisi advertising atau offensive konten. Spam tidak hanya
mengurangi keefisiensian dari e-mail, juga bisa menimbulkan virus, worm, spyware
program, juga malware. Jadi organisasi mengatasinya, antara lain:
identitas pengirim harus secara tuntas di perlihatkan di header of message
subjek harus diidentifikasi
body message harus menyediakan dengan link yang bekerja
body of message harus mencakup postal addressyang valid
organisasi tidak tidak mengirim pesan acak
b. Identity thef, adalah penggunaan personal informasi seseorang untuk keuntungan
tertentu yang tidak bertanggung jawab
c. Privacy regulation and generally accepted privacy principles
Dibawah ini dijabarkan 10 praktek perlindungan privasi pelanggan
1. Managemen
Perusahaan membuat aturan dan prosedur untuk melindung data pelanggan.
2. Pengumuman
Sebelum pengumpulan data pribadi, perusahaan mengumumkan aturan dan prosedur,
pengumuman selambat-lambanya saat pengumpulan data.
3. Choice and Consent
Perusahaan harus menjelaskan pilihan yang ada
4. Collection
Perusahaan hanya mengumpulkan data yang sesuai kebutuhan kedua belah pihak.
5. Use and Retention
Perusahaan hanya menggunakan data pribadi sesuai aturan dan kebutuhan yang telah
disepakati
6. Acces
Perusahaan mengijinkan pelanggan mengakses data mereka untuk kepentingan
bersama
7. Disclosure to third parties
Perusahaan hanya akan memberikan data pribadi pelanggan kepada pihak ketiga
apabila dibutuhkan dan hal tersebut sesuai dengan kesepakatan
8. Security
Perusahaan mengambil langkah yang beralasan untuk melindungi data pribadi
pelanggan
9. Quality
Perusahaan mempertahankan kebenaran pada data pribadi pelanggan
10. Monitoring and Enforcement
Perusahaan melindungi data pribadi dengan memperkerjakan karyawan untuk
bertanggung jawab mengawasi data.
C.
Regulasi
Regulasi adalah mengendalikan perilaku manusia atau masyarakat dengan aturan
atau pembatasan. Regulasi dapat dilakukan dengan berbagai bentuk, misalnya: pembatasan
hukum diumumkan oleh otoritas pemerintah, regulasi pengaturan diri oleh suatu industri
seperti melalui asosiasi perdagangan, Regulasi sosial (misalnya norma), co-regulasi dan
pasar.
D.
Enskripsi
Enkripsi adalah tindakan kontrol secara preventif yang dapat digunakan melindungi
Hashing
Hashing adalah proses yang mengambil plaintext panjang dan mengubahnya menjad
signatures
Digital signature adalah campuran dokumen atau file yang dienkripsi menggunakan
pembuat dokumen private key. Digital signatures menyediakan bukti tentang 2 keluaran
yakni kopi dokumen atau file tidak dapat diubah siapa yang membuat versi original dari
digital dokumen atau file.
G.
Sertifikat Digital
Sertifikat digital memiliki sepasang kunci elektonik yang bisa digunakan untuk
H.
kita seolah-olah membuat jaringan di dalam jaringan atau biasa disebut tunnel.
Cara Kerja VPN
1. Dibutuhkan server yang berfungsi menghubungkan antar PC, bisa berupa komputer
dengan aplikasi VPN server atau router.
2. Komputer dengan aplikasi VPN Client mengontak Server VPN, VPN Server
kemudian memverifikasi username dan password dan apabila berhasil maka VPN
Server memberikan IP Address baru pada komputer client dan selanjutnya sebuah
koneksi / tunnel akan terbentuk.
3. Selanjutnya komputer client bisa digunakan untuk mengakses berbagai resource
(komputer atau LAN) yang berada di VPN Server.
BAB 10
PENGENDALIAN INTEGRITAS PEMROSESAN DAN KETERSEDIAAN
10.1
INTEGRITAS PEMROSESAN
Prinsip Proses Integritas menyatakan bahwa sistem yang andal adalah salah satunya
Ancaman/Resiko
Datanya :
Pengendalian
Bentuk desain, pembatalan dan
Kesalahan
output
dan
penyimpanan
dokumen,
(eror)
pada
data
yang
tersimpan.
Output:
output review, rekonsiliasi dan
kesalahan penanganan
pengendalian
komplit
Pengungkapan
tidak
sah
informasi
dalam perjalanan
Field Check (cek filed) menentukan apakah karakter dalam field dari jenis yang tepat..
Sign check (cek sign) menentukan apakah data dalam field memiliki tanda sesuai
aritmatika.
Limit check (cek batasan) menguji jumlah angka terhadap nilai tetap.
Range check (cek ring) menguji apakah jumlah angka jatuh diantara batas bawah dan atas
Completeness check (cek kelengkapan) pada setiap input yang direkam menentukan
ada.
Reasonableness check (cek kewajaran) menentukan kebenaran dari hubungan logis antara
dua item.
Nomor ID resmi (seperti nomor pekerja) dapat berisi suatu cek digit yang dihitung dari
digit lainnya.
Pengujian data entry terdahulu (preceding) digunakan dua metode yaitu batch processing
dan online real-time processing.
Batch processing bekerja lebih efisien jika transaksi disortir (diurutkan) sehingga akun-
akun yang terpengaruh berada pada urutan yang sama seperti rekaman dalam master file.
Error log menunjukkan review terhadap kesalahan data input (tanggal, sebab, masalah)
yang tepat waktu dan pengajuan transaksi yang tidak dapat diproses.
Batch total meringkas nilai penting untuk rekaman batch input. Berikut ini adalah tiga
batch total yang umumnya digunakan:
1. Total jumlah keuangan adalah field yang berisikan nilai-nilai moneter
2. Total jumlah Hash adalah field angka non keuangan
3. Record count adalah jumlah rekaman dalam batch.
Prompting, memastikan bahwa semua data yang diperlukan dimasukkan (dengan kata lain,
Pencocokan data. Pada kasus tertentu, dua atau lebih item data harus dicocokkan terlebih
dahulu sebelum terjadinya suatu tindakan
Label file. File label membutuhkan pemeriksaan untuk memastikan bahwa file-file yang
trailer record.
Pengujian saldo cross-footing dan saldo nol
Mekanisme write-protection. Pengendalian ini telah lama digunakan untuk melindungi
Pemeriksaan pengguna terhadap output. Pengguna harus secara hati-hati memeriksa output
sistem untuk memverifikasi bahwa output tersebut layak, lengkap, dan bahwa mereka
10.2
Ketersediaan (Availability)
Tujuan utama adalah untuk meminimalkan resiko tidak bekerjanya sistem. Tabel 10-2
Key Controls
tindakan pencegahan dengan melakukan
perawatan
toleransi kesalahan
pusat data, dan desain
pelatihan
software antivirus
Prosedur membackup
Disaster recovery plan (DRP)
Business continuity plan (BCP)
peralatan komputer.
Kabel dengan rancangan khusus yang tidak dapat dengan mudah dicabut, mengurangi
Perbaikan termasuk loading pertama dan full backup terakhri dan kemudian diinstal tiap
kelanjutan incremental backup dari rangkaian yang cocok.
2. Differential backup. Semua Salinan differential backup atau backup berbeda berubah
dibuat sejak full backup atau backup penuh terakhir. Jadi setiap file differential backup
yang baru terdiri dari pengaruh kumulatif dari semua aktivitas sejak full backup terakhir.
Dengan demikian, kecuali dari hari pertama mengikuti full backup, diffrential backup
harian memiliki waktu yang lebih lama daripada incremental backup. Akan tetapi,
restolution atau Perbaikan lebih simpel, karena full backup terakhir membutuhkan untuk
disuplemen dengan hanya differential backup terbaru,daripada seperangkat file
incremental backup harian.
Tidak masalah prosedure backup mana yang digunakan, salinan berlipat ganda
seharusnya diciptakan. Satu salinan dapat disimpan pada on-site, untuk penggunaan suatu
kejadian dari masalah minor yang relativ terjadi, seperti kerusakan hard drive. Pada kejadian
dari masalah yang lebih serius lagi, seperti kebakaran atau banjir, setiap salinan backup
disimpan on-site akan lebih mudah hancur atau tidak dapat diakses. Oleh karena itu, salinan
backup kedua perlu untuk disimpan off-site. File-file backup tersebut dapat dipindahkan pada
site penyimpanan yang jauh baik secara fisik ataupun elektronik. pada kasus yang lain,
kontrol keamanan yang sama perlu untuk diaplikasikan untuk backup file yang digunakan
untuk melindungi salinan asli dari informasi. Hal itu berarti salinan backup dari data sensitif
harus dienkripsikan diantara tempat penyimpanan dan selama transmisi elektronik. Akses ke
backup file juga perlu dikontrol dan dimonitori secara hati-hati.
Penting juga untuk melatih sistem penyimpanan secara periode dari backupnya. hal
tersebut berverifikasi bahwa prosedur backup bekerja dengan benar dan
bahwa media
backup (tape atau disk) dapat dibaca dengan sukses oleh hardware yang digunakan.
Backup dipakai hanya selama periode waktu yang relativ singkat. Sebagai
contoh,banyak organisasi bertahan hanya beberapa bulan dari backup. Bagaimanapun,
beberapa informasi harus disimpan lebih lama. sebuah arsip adalah salinan dari database,
master file, atau software yang dipakai secara tidak langsung sebagai catatan historis, yang
biasanya legal dan memerlukan pengaturan. Sebagai backup, salinan arsip yang berlipat
ganda seharusnya dibuat dan disimpan pada lokasi yang berbeda. Tidak seperti halnya
backup, arsip jarang dienkripsikan karena mereka memiliki rentetan waktu yang lama yang
meningkatkan resiko kehilangan kunci decryption. Akibatnya, kontrol akses secara fisik dan
logis adalah alat pokok untuk melindungi arsip file.
Media apa yang seharusnya digunakan untuk backup dan arsip-arsip, tape atau disk?
Disk backup lebih cepat dan disk mudah hilang. Tape lebih murah, lebih mudah untuk
dibawa, dan lebih berdurasi lama. Dengan demikan, banyak organisasi menggunakan kedua
media tersebut. Pertama data diback up ke disk, untuk cepat, kemudian ditransfer ke tape.
Perhatian spesial perlu dibayar untuk backup dan pengarsipan e-mail, karena telah
menjadi repositori penting dari tingkah laku organisasi dan informasi. Alih-alih, e-mail sering
terdiri dari solusi-solusi untuk masalah yang spesifik. E-mail juga biasanya terdiri dari
informasi yang relevan terhadap lowsnit. seharusnya menarik untuk sebuah organisasi untuk
menyadari suatu polis dari penghapusan semua e-mail secara periode, untuk mencegah
gugatan pengacara dari penemuan suatu "smoking gun" dan untuk mencegah biaya penemuan
e-mail yang diminta oleh partai lainnya. Kebanyakan para ahli, menyarankan melawan
seperti politisi-politisi, karena ada beberapa hampir menjadi salinan-salinan dari e-mail yang
disimpan di arsip-arsip luar organisasi. Oleh karena itu, sebuah kewenangan menghapus
secara regular seluruh e-mail yang berarti bahwa organisasi tidak akan dapat untk
mengatakan bagian dalam cerita; pengadilan (dan hakim) hanya akan membaca e-mail yang
diciptakan oleh polis lainnya untuk dipeselisihkan. Pernah juga ada kasus dimana pengadilan
telah mendenda organisasi jutaan dolar karena gagal memberikan e-mail yang diminta. Oleh
karena itu, organisasi perlu untuk mengbackup dan mengarsip e-mail penting ketika purging
secara periode sejumlah volume rutin, sisa-sisa e-mail.
Pemulihan Bencana Alam dan Perencanaan Kelanjutan Bisnis (Disaster Recovery and
Business Continuity Planning)
Backup dirancang untuk masalah mitigasi ketika satu atau lebih file atau database
menjadi di karena hardware, software, atau human error. Pemulihan Bencana Alam dan
Perecanaan Kelanjutan Bisnis dirancang untuk mitigasi masalah yang lebih serius.
Perencanaan pemulihan bencana atau Disaster Recovery Plan (DRP) outline prosedur
untuk menyimpan kembali fungsi organisasi IT pada suatu kejadian yang pusat datanya
terusak oleh bencana alam atau akibat dari terorisme. Organisasi memiliki tiga pilihan dasar
untuk menggantikan IT infrastruktur mereka yang tidak hanya termasuk komputer,tapi juga
jaringan komponen seperti routers dan switches, software, data, akses internet, printer, dan
supplies. Pilihan pertama adalah untuk mengontrak untuk kegunaan dari cold site. Yaitu
sebuah gedung kosong diprewired untuk keperluan akses telepon dan internet, ditambah
sebuah kontrak dengan satu atau lebih vendor untuk menyediakan semua perlengkapan yang
perlu dalam periode waktu yg spesifik. Cold site masih meninggalkan organisasi tanpa
penggunaan dari sistem informasi selama periode waktu,jadi sesuai jika hanya ketika
organisasi RTO pada satu hari atau lebih. Pilihan waktu kedua adalah untuk mengontrak
untuk penggunaan dari hot site, yaitu sebuah fasilitas yang tidak hanya prewired untuk akses
telepon dan internet tapi juga tetdiri dari semua perlengkapan kantor dan komputer organisasi
yang perlu untuk menampilkan aktivitas esensi bisnis. Hot site secara tipikal berhasil dalam
RTO hitungan jam.
Masalah antara cold dan hot site adalah
berlebihan kapasitasnya, dibawah asumsi bahwa dalam sekali waktu hanya sedikit klien yang
akan perlu untuk menggunakan fasilitas. Asumsi tersebut biasany dibenarkan. Pada kejadian
bencana pada umumnya, seperti badai katrina, mempengaruhi semua organisasi dalam area
geografik, bagaimanapun juga beberapa organisasi dapat menemukan bahwa mereka tidak
dapat meraih akses ke cold dan hot site mereka. Akibatnya, pilihan ketiga pergantian
infrastruktur bagi organisasi dengan jangka pendek RTO adalah untuk membangun pusat data
kedua sebagai back up dan menggunakannya untuk implementasikan real-time mirroring.
Business continuity plan (BCP) atau kelanjutan perencanaan bisnis menspesifikasikan
bagaimana cara untuk meringkas tidak hanya operasional IT tapi semua proses bisnis,
termasuk pemindahan ke kantor baru dan menyewa tempat sementara, jikambencana besar
tidak hanya menghancurkan pusat data organisasi tapi juga pusat kepala bagian. Perencanaan
seperti itu sangat penting karena lebih dari setengah organisasi tanpa DRP dan BCP tidak
pernah buka kembali setelah ditekan untuk tutup lebih dari beberapa hari karena bencana.
Maka, memiliki DRP dan BCP dapat berarti perbedaan antara bertahan atas major catastrophe
seperti badai katrina atau 9/11 dan bangkrut.
Memiliki DRP dan BCP bagaimanapun juga tidaklah cukup. Kedua perencanaan
harus didokumentasikan dengan baik. Dokumentasi tersebut seharusnta tidak hanya termasuk
instruksi untuk notifikasi kesesuaian staf dan langkah-langkah untuk mengambil ringkasan
operasional, tapi juga dokumentasu vendor dari semua hardware dan software. penting
khususnya untuk mendokumentasikan modifikasi numerous yang dibuat untuk konfigurasi
default, sehingga pergantian sistem memiliki fungsi yang sama sebagai aslinya. Kegagalan
melakukan hal tersebut dapat menciptakan biaya substansial dan menunda implementasi
proses pemulihan. Instruksi operasional secara rinci juga dibutuhkan, khususnya jika
pergantian sementara telah disewa. Akhirnya, salinan dari seluruh dokumen perlu untuk
disimpan anatara on-site dan off-site sehingga dapat tersedia ketika dibutuhkan.
Pengetesan secara periode dan revisi kemungkinan adalah komponen yang paling
penting dan efektif terhapa pemulihan bencana dan kelancaran perencanaan bisnis.
Kebanyakan perencanaan gagal meinisialkan tes mereka karena tidak mungkin untuk
memenuhi segala antisipasi yang bisa saja salah. Waktu untuk menemukan masalah seperti
itu tidak selama emergenci aktual, tapi lebih pada pengaturan yang mana kelemahan dapat
dengan hati-hati dan melalui analisa dan perubahan yang sesuai pada prosedur yang dibuat.
Oleh karena itu pemulihan bencana dan kelancaran perencanaan bisni perlu untuk dites pada
akhir dasar annual untuk meyakinkan bahwa mereka dengan akurat mencerminkan perubahan
terbaru pada perlengkapan dan prosedur. sangat penting khususnya untuk mengetes prosedur
termasuk dalam mentransfer operasi aktual pada cold dan hot site. Akhirnya, dokumentasi
DRP dan BCP Perlu untuk diperbaharui untuk merefleksikan setiap perubahan dalam
prosedur yang dibuat dalam merespon untuk identifikasi masalah selama pengujian rencanarencana tersebut.
Pengaruh Virtualisasi dan Cloud Computing (Effects of Virtualization and Cloud
Computing)
Mesin virtual hanya koleksi dari file software. Oleh karena itu, jika server fisik
ditempatkan bahwa mesin gagal, file-file dapat diinstal pada host mesin dalam hitungan
menit. Maka, virtualisasi secara signifikan mengurangi waktu yang diperlukan untuk
memulihkan (RTO) dari masalah hardware. Catat bahwa virtualisasi tidak mengeliminasi
keperluan selama backup; organisasi masih perlu untuk menciptakan periode "snapshots" dari
dekstop dan jaringan mesin virtual dan kemudian menyimpan snapshots pada network drive
sehingga mesin dapat diciptakan kembali. Virtualisasi dapat juga digunakan untuk
mendukung real-time mirroring yang mana dua salinan dari setiap mesin virtual dijalankan
berurutan di dua fisik host yang terpisah. Setiap transaksi diproses disetiap mesin virtual. Jika
satu gagal, yang lainnya diambil tanpa jeda pada jaringan.
Cloud computing memiliki pengaruh positif dan negatif dalam ketersediannya. Cloud
computing secara tipikal memanfaatkan bank dari jaringan yang redunda pada lokasi yang
berlipatganda, dengan demikan dapat mengurangi resiko bahwa bencana tunggal dapat
membawa pada sistem downtime dan kehilangan seluruh data. Walaubagaimanapun, jika
penyedia publik cloud bangkrut, akan sulit, jika tidak mungkin, untuk menyelamatkan setiap
data disimpan pada cloud. Oleh karena itu, sebuah polis membuat backup regular dan
menyimpan backup tersebut dimanapun tempat lain daripada dengan penyedia cloud secara
kritik. Sebagai tambahan, akuntan perlu untuk menilai kelangsungan keuangan orang banyak
dalam jangka panjang dari penyedia cloud sebelum organisasi menjalankan untuk sumber
luar disetiap data atau aplikasinya untuk sebuah cloud public.
Control perubahan
Alamat COBIT bagian AI 6, AI 7 , dan Ds 9 merupakan aspek yang berbeda dari topik
penting perubahan kontrol. Organisasi memodifikasi sistem informasi untuk mencerminkan
praktek-praktek bisnis baru dan mengambil keuntungan dari kemajuan teknologi informasi.
Perubahan kontrol adalah proses formal yang digunakan untuk memastikan bahwa modifikasi
hardware, software, atau proses tidak mengurangi keandalan sistem. Bahkan, perubahan
kontrol yang baik sering menyebabkan kinerja operasional secara keseluruhan menjadi lebih
baik: pengujian dilakukan secara hati-hati sebelum pelaksanaan untuk mengurangi
kemungkinan membuat perubahan yang menyebabkan sistem downtime, dokumentasi yang
menyeluruh akan cepat memfasilitasi "pemecahan masalah" dan resolusi dari setiap masalah
yang memang terjadi. Perusahaan dengan proses kontrol yang baik juga kurang
memungkinan untuk menderita kerugian keuangan atau reputasi dari insiden keamanan.
Prosedur perubahan yang efektif memerlukan control teratur untuk pemantauan
perubahan yang tidak sah dan sanksi bagi siapa saja yang sengaja memperkenalkan
perubahan tersebut. Prinsip-prinsip lain dari proses kontrol yang dirancang dengan perubahan
yang baik meliputi:
Untuk menilai dampak dari perubahan yang diusulkan pada kelima prinsip keandalan
sistem, perubahan harus benar-benar diuji sebelum pelaksanaan di lingkungan,
Nonproduksi harus terpisah, sistem harus benar-benar digunakan untuk proses bisnis
sehari-hari. (teknologi virtualisasi dapat digunakan untuk mengurangi biaya dalam
membuat pengujian terpisah dan pengembangan sistem). Data database dari file lama
dimasukkan ke dalam struktur data baru, kontrol percakapan diperlukan untuk
memastikan bahwa media penyimpanan data baru bebas dari kesalahan. Sistem lama dan
baru harus dijalankan secara paralel setidaknya sekali dan hasilnya dibandingkan untuk
mengidentifikasi perbedaan. Auditor Internal harus meninjau proses konversi data untuk
akurasi.
Semua dokumentasi (Program petunjuk, deskripsi sistem, backup dan rencana pemulihan
bencana, dll) harus diperbarui untuk mencerminkan perubahan berwenang untuk sistem.
Perubahan "darurat"
atau penyimpangan dari kebijakan standar operasi harus
didokumentasikan dan dikenakan tinjauan formal serta proses persetujuan sesaat setelah
implementasi sebagai praktis. Semua perubahan darurat perlu dicatat untuk menyediakan
jejak audit.
rencana "backout" memerlukan pengembangan untuk kembali kepada kasus konfigurasi
sebelumnya dalam kasus. Perubahan tersebut memerlukan persetujuan untuk terganggu
atau ditinggalkan.
Pengguna hak dan keistimewaan harus dipantau dengan teliti pada proses perubahan
untuk memastikan bahwa pemisahan tugas yang tepat bisa dipertahankan
Mungkin kontrol perubahan yang paling penting adalah pemantauan yang memadai dan
mereview atas tindakan manajemen untuk memastikan bahwa perubahan yang diusulkan dan
yang dilaksanakan berjalan konsisten dengan rencana multiyear strategis organisasi. Tujuan
dari pengawasan ini adalah untuk memastikan bahwa sistem informasi organisasi terus efektif
untuk mendukung strategi. Banyak organisasi IT menciptakan komite kemudi untuk
melakukan pemantauan fungsi penting ini.
online, dengan penggunaan luas dari rutinitas dan memasukkan validasi untuk memastikan
keakuratan dari komponen kunci laporan keuangan secara teratur lintas-divalidasi dengan
sumber independen. Misalnya, persediaan dihitung secara triwulanan, dan hasil penghitungan
fisik didamaikan dengan jumlah yang disimpan didalam sistem.
Jason prihatin tentang efektivitas pengendalian yang dirancang untuk memastikan
ketersediaan sistem, namun. Dia mencatat bahwa meskipun Northwest industri telah
mengembangkan pemulihan bencana dan rencana kelangsungan bisnis, rencana tersebut
belum ditinjau atau diperbarui selama tiga tahun. Perhatian yang lebih besar adalah fakta
bahwa banyak bagian dari rencana, termasuk pengaturan untuk situs dingin yang terletak di
California, belum pernah diuji. Keprihatinan Jason yang terbesar adalah bagaimanapun itu
berkaitan dengan prosedur cadangan. Semua file mingguan pada hari Sabtu dimasukkan ke
DVD, backup incremental tidak dienkripsi, dan satu salinan tersebut disimpan di tempat
ruang server utama.
Jason juga mendokumentasikan bukti kelemahan tersebut terkait dengan perubahan kendali.
Salah satu titik perhatian adalah temuan bahwa perubahan "darurat" yang dibuat selama
setahun terakhir tidak didokumentasikan. Fakta Lainnya adalah fakta bahwa untuk
menghemat uang, Northwest industri memberikan programmer akses ke sistem pemrosesan
transaksi untuk membuat perubahan, daripada menggunakan pengujian terpisah dan
pengembangan sistem.
Jason menyimpulkan laporannya dengan laporan rekomendasi khusus untuk mengatasi
kelemahan yang telah ditemukan. Dia merekomendasikan bahwa Northwest industri segera
menguji cadangan prosedur restorasi dan mengenkripsi file cadangan. Jason juga dianjurkan
menguji rencana DRP dan CBP. Rekomendasi lain adalah untuk membeli sebuah server yang
akan menggunakan perangkat lunak virtualisasi untuk membuat sebuah sistem pengujian dan
pengembangan serta membatasi akses programmer hanya pada sistem virtual. Akhirnya, ia
disarankan harus menetapkan seseorang CIO untuk memperbarui dokumentasi untuk
merekam efek "perubahan darurat" yang dibuat selama tahun lalu dan menerapkan prosedur
untuk memastikan bahwa semua perubahan masa depan dapat didokumentasikan. Jason
merasa yakin sekali bahwa mereka dapat melaksanakan rekomendasi, manajemen sangat
yakin bahwa sistem informasi Northwest industri telah memenuhi kriteria AICPA trust,
kerangka layanan dan prinsip-prinsip keandalan sistem.
Di dunia saat ini, makin banyak perusahaan yang bergantung pada teknologi
informasi (TI) untuk memproses informasi bisnisnya secara elektronis. Organisasi
menggunakan
TI
untuk
menjalankan
bisnisnya,
produksinya,
dan
melaksanakan
2.
Keamanan (security). Sistem dilindungi dari akses fisik maupun logis yang tidak memiliki
otorisasi. Hal ini akan membantu mencegah: a) penggunaan yang tidak sesuai,
pemutarbalikan, penghancuran atau pengungkapan informasi dan software, serta, b)
pencurian sumber daya sistem.
3.
4.
Integritas (integrity). Pemrosesan sistem bersifat lengkap, akurat, tepat waktu dan
diotorisasi. Sebuah sistem dikatakan memiliki integritas apabila dapat melaksanakan fungsi
yang diperuntukkan bagi sistem tersebut secara keseluruhan dan bebas dari manipulasi
sistem, baik yang tidak diotorisasi maupun yang tidak disengaja.
Bagi setiap prinsip keandalan di atas, tiga kriteria berikut ini dikembangkan untuk
mengevaluasi pencapaian prinsip-prinsip tersebut, yaitu:
1.
Entitas memiliki tujuan kinerja (performance objective), kebijakan, dan standar yang telah
ditetapkan, didokumentasikan, dan dikomunikasikan, dan telah memenuhi tiap prinsip
keandalan. Tujuan Kinerja didefinisikan sebagai tujuan umum yang ingin dicapai entitas.
Kebijakan adalah peraturan-peraturan yang memberikan arah formal untuk mencapai tujuan,
dan mendorong kinerja. Standar merupakan prosedur yang dibutuhkan dalam implementasi,
agar sesuai dengan kebijakan.
2.
Entitas menggunakan prosedur, sumber daya manusia, software, data dan infrastruktur
untuk mencapai setiap prinsip keandalan, dengan berdasarkan pada kebijakan dan standar
yang telah ditetapkan.
3.
Entitas mengawasi sistem dan mengambil tindakan untuk mencapai kesesuaian dengan
tujuan, kebijakan, dan standar, untuk setiap prinsip keandalan.
Pengendalian yang Berhubungan dengan Beberapa Prinsip Keandalan
Pengendalian berikut ini sesuai untuk beberapa prinsip keandalan, yaitu: perencanaan
strategis dan penganggaran, mengembangkan rencana keandalan sistem, dan melaksanakan
dokumentasi.
Tabel Ringkasan Pengendalian Umum Utama Keandalan
Kategori Pengendalian
Ancaman/Risiko
Pengendalian
Perencanaan strategis dan Sistem Informasi mendukung Rencana strategis berlapis
penganggaran
strategi
bisnis,
penggunaan
kurangnya yang
sumber
secara
periodik
jalannya
bisnis,
anggaran
rencana Ketidakmampuan
memastikan
sistem
strategis.
untuk Memberikan tanggung jawab
keandalan perencanaan
ke
pihak
rencana;
mengidentifikasi,
mendokumentasikan,
dan
dan
keandalan
standar
pemakai;
mengidentifikasi
dan
pemakai
atas
perubahan;
mendokumentasikan,
menganalisis,
dan
keandalan
sistem;
penyimpanan,
daya
mengembangkan
kesadaran
atas
informasi;
program
keamanan
serta mengkomunikasikannya
pada
seluruh
pegawai;
perjanjian
melaksanakan
Desain,
operasi,
sistem.
tinjauan, Dokumentasi
dapat
Dokumentasi administratif
(standar dan prosedur untuk
memproses,
menganalisis,
mendesain,
memprogram,
menangani
file
dan
menyimpan
data),
(2)
kesalahan
penanganan),
(3)
dokumentasi
operasional
(konfigurasi
perlengkapan,
prosedur,
Pendahuluan
Bab ini berfokus pada audit Sistem Informasi Akuntansi (SIA). Audit adalah proses
sistematis untuk memperoleh dan mengevaluasi bukti mengenai pernyataan tentang tindakan
dan peristiwa ekonomi dalam rangka untuk menentukan seberapa baik mereka sesuai dengan
kriteria yang telah ditetapkan. Hasil audit tersebut kemudian dikomunikasikan kepada
pengguna yang tertarik. Audit membutuhkan perencanaan yang matang dan koleksi, review,
dan dokumentasi dari bukti audit. Dalam mengembangkan rekomendasi, auditor
Sifat Audit
Sekilas Proses Audit
PERENCANAAN AUDIT.
dan oleh siapa audit akan dilakukan. Langkah pertama adalah untuk menetapkan ruang
lingkup audit dan tujuan. Sebagai contoh, audit dari perusahaan publik menentukan apakah
laporan keuangan disajikan secara wajar. Sebaliknya, audit internal dapat memeriksa
departemen tertentu atau aplikasi komputer. Ini mungkin fokus pada pengendalian internal,
informasi keuangan, kinerja operasional, atau beberapa kombinasi dari ketiganya.
Audit direncanakan sehingga jumlah terbesar dari pekerjaan audit berfokus pada
bidang dengan faktor risiko tertinggi. Ada tiga jenis risiko audit:
1.
Risiko Inheren adalah kerentanan terhadap risiko materi tanpa adanya kontrol. Sebagai
contoh, sebuah sistem yang menggunakan pengolahan online, jaringan, database,
telekomunikasi, dan bentuk lain dari teknologi canggih memiliki risiko yang lebih melekat
2.
3.
KOLEKSI BUKTI AUDIT Upaya audit Kebanyakan dihabiskan mengumpulkan buktibukti. Karena tes audit yang banyak tidak dapat dilakukan pada semua item di bawah review,
mereka sering dilakukan secara sampel. Berikut ini adalah cara yang paling umum untuk
mengumpulkan bukti audit:
Pengamatan
Diskusi dengan karyawan tentang pekerjaan mereka dan tentang bagaimana mereka
Pemeriksaan fisik dari kuantitas dan/atau kondisi aset berwujud seperti peralatan dan
persediaan
Konfirmasi keakuratan informasi seperti saldo rekening nasabah melalui komunikasi
apakah
mendukung
kesimpulan
yang
menguntungkan
atau
tidak
menguntungkan. Jika tidak meyakinkan, auditor melakukan prosedur tambahan yang cukup
untuk mencapai kesimpulan definitif.
Karena kesalahan ada di kebanyakan sistem, auditor berfokus pada mendeteksi dan
melaporkan orang-orang bahwa interpretasi secara signifikan dampak manajemen terhadap
temuan audit. Menentukan materialitas, apa yang bisa dan tidak penting dalam audit, adalah
masalah pertimbangan profesional. Materialitas yang lebih penting untuk audit eksternal, di
mana penekanannya adalah kewajaran laporan keuangan, daripada audit internal, di mana
fokusnya adalah pada kepatuhan terhadap kebijakan manajemen.
Auditor mencari keyakinan memadai bahwa tidak ada kesalahan material ada dalam
informasi atau proses diaudit. Karena itu mahal untuk mencari jaminan lengkap, auditor
memiliki beberapa risiko bahwa kesimpulan audit yang tidak benar. Ketika inherent risk atau
kontrol yang tinggi, auditor harus memperoleh keyakinan yang lebih besar untuk
mengimbangi ketidakpastian yang lebih besar dan risiko.
Dalam semua tahap audit, temuan dan kesimpulan yang didokumentasikan dalam kertas kerja
audit. Dokumentasi sangat penting pada tahap evaluasi, ketika kesimpulan harus dicapai dan
didukung.
KOMUNIKASI HASIL AUDIT Auditor menyampaikan laporan tertulis menyimpulkan
temuan-temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan
pihak lain yang sesuai. Setelah itu, auditor sering melakukan studi lanjutan untuk memastikan
apakah rekomendasi telah dilaksanakan.
penyalahgunaan disengaja atau tidak disengaja dan kerusakan yang sistem terkena.
Mengidentifikasi prosedur kontrol yang mencegah, mendeteksi, atau mengoreksi ancaman.
Ini semua adalah kontrol yang manajemen telah dimasukkan ke dalam tempat dan bahwa
3.
tempat.
b.
Pengujian pengendalian dilakukan untuk menentukan apakah kontrol yang ada bekerja
sebagaimana dimaksud.
4.
Mengevaluasi kelemahan kontrol untuk mengetahui efeknya pada waktu, sifat, atau luasnya
prosedur audit. Jika auditor menentukan risiko pengendalian yang terlalu tinggi karena
sistem kontrol memadai, auditor mungkin harus mengumpulkan lebih banyak bukti, bukti
yang lebih baik, atau bukti lebih tepat waktu. Kontrol kelemahan dalam satu bidang mungkin
dapat diterima jika ada kontrol kompensasi di daerah lain.
Pendekatan berbasis risiko menyediakan auditor dengan pemahaman yang lebih jelas
dari penipuan dan kesalahan yang dapat terjadi dan risiko terkait dan eksposur. Hal ini juga
membantu mereka merencanakan bagaimana untuk menguji dan mengevaluasi pengendalian
internal, serta bagaimana merencanakan prosedur audit berikutnya. Hasilnya adalah dasar
yang kuat untuk mengembangkan rekomendasi kepada manajemen tentang bagaimana sistem
kontrol AIS harus ditingkatkan.
Ketentuan keamanan melindungi peralatan komputer, program, komunikasi, dan data dari
dan khusus.
Program modifikasi memiliki otorisasi manajemen dan persetujuan.
Pengolahan transaksi, lalat, laporan, dan catatan komputer lainnya adalah akurat dan
5.
lengkap.
Sumber data yang tidak akurat atau tidak benar berwenang diidentifikasi dan ditangani
TABEL 11-1 Kerangka Kerja Untuk Audit Keamanan Komputer Secara Keseluruhan
Jenis Kesalahan dan Penipuan
Prosedur Kontrol
Kompensasi Kontrol
Masalah-masalah ini dapat dikontrol dengan mewajibkan otorisasi manajemen dan pengguna
dan persetujuan, pengujian menyeluruh, dan dokumentasi yang tepat.
Selama peninjauan sistem, auditor harus mendiskusikan prosedur pembangunan dengan
personil sistem manajemen, pengguna sistem, dan informasi. Mereka juga harus meninjau
kebijakan, prosedur, standar, dan dokumentasi yang tercantum dalam Tabel 11-2.
Tab
el 11-2 Kerangka Audit Pengembangan Program
Jenis Kesalahan dan Penipuan
pelaksanaan
Tab
el 11-3 Kerangka Audit Modifikasi Program
Jenis Kesalahan dan Penipuan
Kontrol Prosedur
Tes Audit Independen untuk perubahan program yang tidak sah atau salah
Kontrol pengolahan kuat
Ketika perubahan program diajukan untuk disetujui, daftar semua pembaruan yang
diperlukan harus disusun dan disetujui oleh manajemen pengguna dan program. Semua
perubahan program harus diuji dan didokumentasikan. Selama proses perubahan, program
pembangunan harus dipisahkan dari versi produksi. Setelah program yang dimodifikasi
disetujui, versi produksi menggantikan versi perkembangan.
Selama peninjauan sistem, auditor harus mendiskusikan proses perubahan dengan
personil manajemen dan pengguna. Kebijakan, prosedur, dan standar untuk menyetujui,
memodifikasi, pengujian, dan mendokumentasikan perubahan harus diperiksa. Semua bahan
dokumentasi akhir untuk perubahan program, termasuk prosedur tes dan hasil, harus ditinjau
ulang. Prosedur yang digunakan untuk membatasi akses logis untuk program pembangunan
harus ditinjau.
Auditor harus menguji program secara mengejutkan untuk menjaga terhadap seorang
karyawan memasukkan perubahan program yang tidak sah setelah audit selesai dan
menghapus mereka sebelum audit berikutnya. Ada tiga cara tes auditor untuk perubahan
program yang tidak sah:
1.
Setelah menguji program baru, auditor menyimpan salinan kode sumbernya. Auditor
menggunakan program kode sumber perbandingan untuk membandingkan versi saat ini dari
program dengan kode sumber. Jika tidak ada perubahan yang berwenang, dua versi harus
identik, perbedaan harus diselidiki. Jika perbedaan adalah perubahan resmi, auditor
memeriksa spesifikasi program perubahan untuk memastikan bahwa perubahan telah
2.
Tabel 11-4 menyediakan kerangka kerja untuk audit pengolahan transaksi, file, dan catatan
komputer terkait untuk memperbarui file dan database dan menghasilkan laporan.
Selama pemrosesan komputer, sistem mungkin gagal untuk mendeteksi masukan yang salah,
kesalahan input benar, masukan proses yang salah, atau tidak benar mendistribusikan atau
mengungkapkan output. Tabel 11-4 menunjukkan prosedur pengendalian untuk mendeteksi
dan mencegah ancaman dan review sistem dan tes kontrol yang digunakan untuk memahami
kontrol, evaluasi kecukupan mereka, dan uji. Apakah mereka berfungsi dengan baik.
Auditor secara berkala mengevaluasi kembali kontrol pengolahan untuk memastikan
keandalan lanjutan mereka. Jika mereka tidak memuaskan, pengguna dan sumber data
kontrol mungkin cukup kuat untuk mengimbangi. Jika tidak, kelemahan materi ada, dan
langkah-langkah harus diambil untuk menghilangkan kekurangan kontrol.
Teknik khusus Beberapa digunakan untuk menguji kontrol pengolahan, yang masing-masing
memiliki kelebihan dan kekurangan. Teknik Tidak efektif untuk semua situasi, semua lebih
tepat dalam beberapa situasi dan kurang begitu pada orang lain. Auditor tidak harus
mengungkapkan teknik yang mereka gunakan, karena hal itu dapat mengurangi efektivitas
mereka. Masing-masing prosedur sekarang dijelaskan.
Tabel 11-4 Kerangka Audit Kontrol Pengolahan Komputer
Jenis Kesalahan dan Penipuan
Kegagalan untuk mendeteksi benar, input data tidak lengkap, atau tidak sah
Kegagalan untuk benar kesalahan kopi ditandai oleh prosedur editing data yang
Pengenalan kesalahan ke file atau database selama memperbarui
Tidak Layak distribusi atau pengungkapan output komputer
Disengaja atau tidak disengaja ketidakakuratan pelaporan
Kontrol Prosedur
Kontrol pengguna yang kuat dan kontrol yang efektif dari sumber data
Pengolahan Data Uji. Salah satu cara untuk agar program adalah untuk memproses set
hipotesis transaksi yang valid dan tidak valid. Program ini harus memproses semua transaksi
yang valid benar dan menolak semua yang tidak valid. Semua jalur logika harus diperiksa
oleh satu atau lebih transaksi uji. Data yang tidak valid termasuk catatan dengan hilang,
bidang data yang mengandung sejumlah besar tidak masuk akal, nomor rekening tidak valid
atau kode pengolahan, data nonnumeric di bidang numerik, dan catatan keluar dari urutan.
Sumberdaya berikut ini whets membantu mempersiapkan data uji:
Dalam sistem batch processing, program perusahaan dan salinan file yang relevan digunakan
untuk memproses data uji. Hasil dibandingkan dengan output yang benar yang telah
ditentukan, perbedaan mengindikasikan kesalahan pengolahan atau kekurangan kontrol untuk
diselidiki.
Dalam sistem online, auditor memasukkan data uji dan kemudian mengamati dan log respon
sistem. Jika sistem menerima transaksi pengujian yang salah, auditor membalikkan efek dari
transaksi, menyelidiki masalah, dan merekomendasikan bahwa kekurangan diperbaiki.
Pengolahan transaksi uji memiliki dua kelemahan. Pertama, auditor harus menghabiskan
waktu yang cukup memahami sistem dan mempersiapkan transaksi uji. Kedua, auditor harus
memastikan bahwa data uji tidak mempengaruhi file perusahaan dan database. Auditor dapat
membalikkan efek dari transaksi uji atau memproses transaksi dalam jangka terpisah
menggunakan salinan dari file atau database. Namun, menjalankan terpisah menghilangkan
beberapa keaslian diperoleh dari pengolahan data tes dengan transaksi biasa. Karena prosedur
pembalikan dapat mengungkapkan keberadaan dan sifat dari tes auditor untuk personil kunci,
bisa kurang efektif daripada tes tersembunyi.
Concurrent Audit Teknik. Karena transaksi dapat diproses dalam sistem online tanpa
meninggalkan jejak audit, bukti yang dikumpulkan setelah data diolah tidak cukup untuk
tujuan audit. Selain itu, karena banyak sistem online proses transaksi terus menerus, sulit
untuk menghentikan sistem untuk melakukan tes audit. Dengan demikian, auditor
menggunakan teknik audit bersamaan untuk terus memonitor sistem dan mengumpulkan
bukti audit sementara data hidup diproses selama jam operasi rutin. Teknik audit bersamaan
menggunakan modul audit yang tertanam, yang merupakan segmen kode program yang
melakukan fungsi audit, hasil laporan pengujian, dan menyimpan bukti yang dikumpulkan
untuk diperiksa auditor. Teknik audit bersamaan yang memakan waktu dan sulit untuk
digunakan, tetapi kurang sehingga jika dimasukkan ketika program dikembangkan.
Auditor biasanya menggunakan lima teknik audit bersamaan.
1.
Sebuah Fasilitas Uji Terintegrasi (FUT) menyisipkan catatan fiktif yang mewakili sebuah
divisi fiktif, departemen, pelanggan, atau pemasok di file induk perusahaan. Pengolahan
transaksi tes untuk memperbarui mereka tidak akan mempengaruhi catatan sebenarnya.
Karena catatan fiktif dan yang sebenarnya diproses bersama-sama, karyawan perusahaan
tidak menyadari pengujian. Sistem ini membedakan catatan FUT dari catatan yang
3.
4.
dipertanyakan.
Kait Audit adalah pemeriksaan rutin yang memberitahukan auditor transaksi dipertanyakan,
sering terjadi. Penggunaan State Farm terhadap kait audit, termasuk bagaimana perusahaan
5.
operasi, dan dokumentasi program serta printout dari source code. Mereka juga menggunakan
paket perangkat lunak berikut:
Program keputusan Otomatis meja menafsirkan kode sumber dan menghasilkan tabel
keputusan.
Pemindaian rutinitas mencari program untuk semua kejadian dari item tertentu.
Program Pemetaan mengidentifikasi kode program yang tidak dijalankan. Perangkat
lunak ini bisa menemukan kode program yang programmer bermoral dimasukkan untuk
Program tracing berurutan mencetak semua program langkah dieksekusi ketika program
berjalan, bercampur dengan output teratur sehingga urutan peristiwa eksekusi program dapat
diamati. Program tracing membantu mendeteksi instruksi program yang tidak sah, jalur
logika yang salah, dan kode program yang tidak dijalankan.
Fokus: Menggunakan Hooks Audit di Perusahaan Asuransi Jiwa State Farm
Pertanian Negara. Perusahaan Asuransi Jiwa sistem komputer memiliki komputer host di
Bloomington, Illinois, dan komputer kecil di kantor regional. Sistem proses lebih dari 30 juta
transaksi per tahun selama lebih dari 4 juta kebijakan individu senilai lebih dari $ 7 miliar.
Ini, online update real-time sistem file dan database sebagai transaksi terjadi. Kertas audit
telah hampir lenyap, dan dokumen pendukung perubahan pada catatan polis telah dieliminasi
atau diadakan hanya dalam waktu singkat sebelum disposisi.
Karena siapapun yang memiliki akses dan pengetahuan kerja sistem dapat melakukan
penipuan, staf audit internal diminta untuk mengidentifikasi semua cara penipuan adalah
mungkin. Mereka menyerbu otak-cara untuk menipu sistem dan mewawancarai pengguna
sistem, yang memberikan wawasan yang sangat berharga.
Tujuan 5: Sumber Data
Sebuah masukan kontrol matriks digunakan untuk mendokumentasikan penelaahan kontrol
sumber data. Matriks pada Gambar 11-3 menunjukkan prosedur pengendalian yang
diterapkan untuk masing-masing bidang record input.
Fungsi kontrol data harus independen dari fungsi lainnya, mempertahankan tog data
kontrol, menangani error, dan menjamin efisiensi keseluruhan operasi. Hal ini biasanya tidak
layak secara ekonomis untuk usaha kecil untuk memiliki data fungsi kontrol independen.
Untuk kompensasi, pengguna kontrol departemen harus ia kuat sehubungan dengan persiapan
data, total kontrol batch, mengedit program, pembatasan akses fisik dan logis, dan kesalahanpenanganan prosedur. Prosedur ini harus menjadi fokus kajian sistem auditor dan tes kontrol
ketika tidak ada data fungsi kontrol independen.
Jika sumber data kontrol tidak memadai, pengguna departemen dan kontrol
pengolahan data dapat kompensasi. Jika tidak, auditor harus merekomendasikan bahwa
sumber data kekurangan kontrol dikoreksi.
Tabel 11-5 menunjukkan pengendalian internal yang mencegah, mendeteksi, dan
memperbaiki sumber data yang tidak akurat atau tidak sah. Hal ini juga menunjukkan system
review dan tes pengendalian auditor menggunakan prosedur. Dalam sistem online, sumber
data fungsi masuk dan pengolahan satu operasi. Oleh karena itu, sumber data kontrol yang
terintegrasi dengan pengolahan kontrol pada Tabel 11-4.
Gambar 11-3
Kontrol masukan Matrix
Tujuan 6: Data File
Tujuan keenam menyangkut akurasi, integritas, dan keamanan data yang tersimpan pada
mesin-dibaca file. Tabel 11-6 merangkum kesalahan, kontrol, dan prosedur audit untuk tujuan
ini. Jika kontrol file yang serius kekurangan, terutama berkenaan dengan akses fisik atau
logis atau prosedur backup dan pemulihan, auditor harus merekomendasikan mereka
diperbaiki.
Tabel 11-5 Kerangka Audit Kontrol Sumber Data
Jenis Kesalahan dan Penipuan
Diskusikan sumber data kontrol dengan personil kontrol data, pengguna sistem, dan
manajer
Tabel 11-5 Lanjutan
Audit Prosedur: Tes Kontrol
Penghancuran data yang disimpan karena kesalahan, perangkat keras atau perangkat
Kontrol Prosedur
Penyimpanan data di perpustakaan file aman dan pembatasan akses fisik ke file data
Kontrol akses logis dan matriks kontrol akses
Proper penggunaan label file dan menulis-mekanisme perlindungan
Kontrol pembaruan concurrent (yang terjadi bersama-sama)
Enkripsi data untuk data rahasia
Virus software perlindungan
Off-situs cadangan dari semua file data
Checkpoint dan rollback prosedur untuk memfasilitasi pemulihan sistem
Audit Prosedur: Sistem Ulasan
pemulihan sistem
Ulasan kontrol untuk update Concurrent, enkripsi data, konversi file, dan rekonsiliasi
Audit Software
Teknik audit berbantuan komputer (CAATS) mengacu mengaudit software, sering
disebut audit software umum (GAS), yang menggunakan auditor yang disediakan spesifikasi
untuk
menghasilkan
sebuah
program
yang
melakukan
fungsi
audit,
sehingga
mengotomatisasi atau menyederhanakan proses audit. Dua dari paket perangkat lunak yang
paling populer adalah Audit Control Language (ACL) dan interaktif Ekstraksi Data dan
Analisis (IDEA). CAATS cocok untuk memeriksa file besar data untuk mengidentifikasi
catatan yang membutuhkan pengawasan audit lebih lanjut.
Berikut ini adalah beberapa kegunaan yang lebih penting dari CAATS:
yang umum
Meneliti catatan untuk kualitas, kelengkapan, konsistensi, dan kebenaran
Stratifikasi catatan, memilih dan menganalisis sampel statistik
Pengujian untuk risiko spesifik dan mengidentifikasi cara untuk mengendalikan risiko
yang
Melakukan tes analitis, seperti rasio dan analisis kecenderungan, mencari pola data tak
terduga atau tidak dapat dijelaskan yang dapat mengindikasikan penipuan
pengolahan data
Menyesuaikan jumlah fisik yang dihitung, pengujian akurasi ulama ekstensi and
itu, tujuan dari audit operasional meliputi efektivitas mengevaluasi, efisiensi, dan pencapaian
tujuan.
Langkah pertama dalam audit operasional adalah audit perencanaan, di mana ruang
lingkup dan tujuan audit ditetapkan, system review awal dilakukan, dan program audit
tentatif disiapkan. Langkah selanjutnya, pengumpulan bukti, meliputi kegiatan:
perbaikan
secara
substansial
akan
meningkatkan
hasil.
Auditor
Romney and Steinbart (2015:366), Siklus pendapatan adalah seperangkat berulang kegiatan
bisnis dan operasi pemrosesan informasi terkait yang berhubungan dengan menyediakan
barang dan jasa kepada pelanggan dan mengumpulkan uang tunai dalam pembayaran untuk
penjualan tersebut. Informasi tentang kegiatan siklus pendapatan juga mengalir ke siklus
akuntansi lainnya. buku besar dan fungsi pelaporan menggunakan informasi yang dihasilkan
oleh siklus pendapatan untuk menyiapkan laporan keuangan dan laporan kinerja.
Romney and Steinbart (2015:366), Tujuan utama siklus pendapatan adalah untuk
menyediakan produk yang tepat di tempat yang tepat pada waktu yang tepat sesuai harga
yang tepat. Kita mulai dengan menggambarkan desain sistem informasi siklus pendapatan
dan kontrol dasar yang diperlukan untuk memastikan bahwa ia menyediakan manajemen
dengan informasi yang dapat dipercaya.
PENGENDALIAN
data
kontrol
integritas
kerusakan data
pemulihan
4. Kinerja yang buruk
4.1 Laporan Manajerial
Entri pesanan 5. lengkap / pesanan5.1 data entri mengedit kontrol
5.2 Pembatasan akses ke data master
penjualan
akurat
1.1 Signatures untuk mengotorisasi
6. perintah tidak valid
7.
rekening
Tak penjualan
7.1 Batas Kredit
Tertagih
7.2 otorisasi khusus untuk menyetujui
8. stockouts atau
penjualan kepada pelanggan baru
kelebihan
9.
Kehilangan atau penjualan yang melebihi batas
pelanggan
kredit pelanggan
7.3 Aging piutang
8.1 sistem pengendalian persediaan
Perpetual
8.2 Penggunaan kode bar atau RFID
8.3 Pelatihan
8.4 penghitungan fisik periodik
persediaan
8.5 perkiraan penjualan dan laporan
kegiatan
9.1 sistem CRM, self - situs Web
bantuan, dan evaluasi yang tepat
tagihan
14.
pengiriman fungsi
Rekonsiliasi periodik
kesalahan
13.2
faktur
Penagihan
dengan pesanan penjualan, tiket
15. kesalahan Posting
memetik,
dan
dokumen
piutang
pengiriman
16. memo kredit yang
14.1Konfigurasi sistem untuk secara
tidak akurat atau
otomatis memasukkan data harga
tidak valid
14.2 Pembatasan akses ke harga
Master Data
14.3 data entri mengedit kontrol
14.4
Rekonsiliasi
dokumen
pengiriman (mengambil tiket, bill
of lading, dan packing list) untuk
order penjualan
15.1data entri kontrol
15.2 Rekonsiliasi total angkatan
15.3 Mailing laporan bulanan untuk
15.4
pelanggan
Rekonsiliasi anak perusahaan
dan
rekening nasabah
16.2
Konfigurasi
pemeliharaan
sistem
untuk
baik
dokumentasi
terkait
Pencurian
uang
17.1
tunai
18. masalah arus kas
pembayaran
daftar
semua
pembayaran
pelanggan
yang
17.5
diterima
Prompt, dukungan membatasi
17.6
mengandung
mungkin
pembayaran
pelanggan
17.7 Penggunaan cash register
17.8 deposito harian dari semua
18.1
penerimaan kas
Lockbox arragements, kartu
ditangani oleh bagian pesanan penjualan ataupun oleh departemen terpisah untuk pelayanan
pelanggan yaitu menjawab pertanyaan pelanggan.
Mengambil
pesanan
pelanggan
Data pesanan pelanggan akan dicatat dalam dokumen pesanan penjualan. Pesanan penjualan
berisi informasi mengenai nomor barang, kuantitas, harga, dan syarat penjualan lainnya
(Romney
and
Steinbart
(2015:371).
- Sales order ; dokumen yang dibuat selama penjualan order entry daftar nomor item,
kuantitas,
harga,
dan
syarat
penjualan.
secara
otomatis
diproses
oleh
sistem
informasi
Persetujuan
penerima.
kredit
kemampuannya
untuk
membayar
(Romney
and
Steinbart
(2015:373).
- Credit limit ; saldo maksimum yang diijinkan rekening kredit, untuk setiap pelanggan,
berdasarkan
sejarah
kredit
masa
lalu
dan
kemampuan
untuk
membayar.
- Accounts receivable aging schedule ; laporan daftar saldo rekening nasabah oleh lamanya
waktu
yang
Memeriksa
luar
ketersediaan
biasa.
barang
Romney and Steinbart (2015:375), Langkah berikut adalah menetapkan apakah tersedia
cukup persediaan untuk memenuhi pesanan tersebut, agar pelanggan dapat menginformasikan
mengenai perkiraan tanggal pengiriman. Akurasi proses ini adalah penting, karena apabila
catatan persediaan tidak akurat dan sesuai dengan kondisi terakhir, pelanggan bisa saja
kecewa ketika terjadi penundaan tidak terduga dalam pemenuhan pesanan mereka tersebut.
Apabila tersedia cukup banyak persediaan untuk memenuhi pesanan tersebut, pesanan
penjualan tersebut dilengkapi dan kolom jumlah yang tersedia dalam file persediaan untuk
setiap barang dikurangi sejumlah barang yang dipesan. Departemen pengiriman, pengawasan
persediaan, dan departemen penagihan kemudian akan diberitahu mengenai penjualan
tersebut, dan pemberitahuan dapat dikirim ke pelanggan. Apabila tidak tersedia cukup banyak
persediaan di perusahaan untuk memenuhi pesanan tersebut, pemesanan ulang (back order)
untuk barang-barang tesebut harus dibuat. Ketika ketersediaan persediaan telah dipastikan,
sistem tersebut kemudian akan membuat kartu pengambilan barang (picking ticket) yang
berisi daftar jenis barang-barang, dan jumlah setiap jenig barang, yang dipesan pelanggan.
Kartu pengambilan memberikan otorisasi bagi bagian pengawasan persediaan untuk
melepaskan barang dagangan ke bagian pengiriman. Walaupun secara tradisional merupakan
dokumen dari kertas, kartu pengambilan pada saat ini sering merupakan formulir elektronis.
Guna meningkatkan efisiensi, kartu pengambilan barang sering kali mendaftar barang dalam
urutan tempat mereka disimpan dalam gudang, daripada dalam bentuk pesanan yang didaftar
dalam
pesanan
penjualan.
- Back order ; dokumen otorisasi pembelian atau produksi barang-barang yang dibuat ketika
ada
persediaan
cukup
untuk
memenuhi
pesanan
pelanggan.
- Picking ticket ; dokumen yang berisi daftar item dan jumlah yang dipesan dan otorisasi
fungsi pengendalian persediaan untuk melepaskan barang dagangan yang ke departemen
pengiriman.
Menjawab
pertanyaan
pelanggan
Proses entri pesanan penjualan meliputi pemberian jawaban atas permintaan pelanggan.
Kadang kala, permintaan-permintaan ini mendahului suatu pesanan, dan sering kali mereka
terjadi
setelah
pesanan
dibuat
(Romney
and
Steinbart
(2015:377).
Proses pengiriman mencakup dua tahap. Kedua tahap dalam proses pengiriman adalah
mengambil dan mengepak pesanan dan mengirim pesanan tersebut. Departemen bagian
penggudangan dan pengiriman yang melakukan aktivitas tersebut (Romney and Steinbart
(2015:378).
Mengambil
dan
mengepak
pesanan
Kartu pengambilan barang yang dicetak sesuai dengan entri pesanan penjualan akan memicu
proses pengambilan dan pengepakan. Para pekerja bagian gudang menggunakan kartu
pengambilan barang untuk mengidentifikasi produk mana, dan jumlah setiap produk, untuk
mengeluarkannya dari persediaan. Para pekerja bagian gudang mencatat jumlah setiap barang
yang diambil, baik dalam kartu pengambilan barnag itu sendiri jika menggunakan dokumen
kertas, maupun dengan memasukkan data ke dalam sistem jikaformulir elektronis yang
digunakan. Persediaan kemudian akan dipindahkan ke departemen pengiriman (Romney and
Steinbart
(2015:378).
Mengirim
Pesanan
catatan
mereka.
- Packing slip ; dokumen daftar kuantitas dan deskripsi setiap item yang termasuk dalam
pengiriman.
- Bill of lading ; kontrak hukum yang mendefinisikan tanggung jawab untuk barang-barang
sementara
mereka
berada
dalam
perjalanan.
Penagihan
Aktivitas dasar ketiga siklus pendapatan melibatkan penagihan ke para pelanggan dan
memelihara data piutang usaha. Gambar berikut menunjukkan penagihan dan pembaruan
piutang usaha sebagai proses terpisah dan keduanya dilakukan oleh dua fungsi terpisah dalam
departemen
akuntansi
(Romney
and
Steinbart
(2015:383).
Penagihan
Penagihan yang akurat dan tepat waktu atas barang dagangan yang dikirimkan adalah hal
yang penting. Aktivitas penagihan hanyalah aktivitas pemrosesan informasi yang mengemas
ulang serta meringkas informasi dari entri pesanan penjualan dan aktivitas pengiriman.
Aktivitas ini membutuhkan informasi dari departemen pengiriman yang mengidentifikasi
barang dan jumlah yang dikirm, serta informasi mengenai harga dan syarat
khusus penjualan lainnya dari departemen penjualan. Dokumen dasar yang dibuat dalam
proses penagihan adalah faktur penjualan, yang memberitahukan pelanggan mengenai jumlah
yang harus dibayar dan ke mana harus mengirimkan pembayaran (Romney and Steinbart
(2015:383).
- Sales invoice ; dokumen memberitahukan pelanggan dari jumlah penjualan dan di mana
untuk
mengirim
Maintain
pembayaran.
accounts
receivable
Fungsi piutang usaha, yang bertanggung jawab kepada kontroler, melakukan dua tugas dasar,
yaitu menggunakan informasi dalam faktur penjualan untuk mendebit rekening pelanggan
dan karenanya mengkredit rekening tersebut ketika pembayaran diterima. Dua cara dasar
untuk memelihara data piutang usaha adalah dengan metode faktur terbuka dan
pembayaran gabungan. Perbedaan kedua metode tersebut terletak pada kapan pelanggan
mengirimkan pembayaran, bagaimana pembayaran tersebut digunakan untuk memperbarui
file induk piutang usaha, dan format laporan keuangan yang dikirim ke para pelanggan
(Romney
and
Steinbart
(2015:385).
sesuai
dengan
setiap
faktur.
- Remittance advice ; salinan faktur penjualan kembali dengan pembayaran pelanggan yang
menunjukkan
faktur,
laporan,
atau
barang-barang
lainnya
yang
dibayar.
menginformasikan
pelanggan
dari
saldo
rekening
mereka
saat
ini.
- Cycle billing ; memproduksi laporan bulanan untuk subset dari pelanggan pada waktu yang
berbeda.
- Credit memo ; dokumen, yang disetujui oleh manajer kredit, otorisasi departemen
penagihan
Penagihan
untuk
kredit
account
pelanggan.
Kas
Romney and Steinbart (2015:388), Langkah terakhir dalam siklus pendapatan adalah
penagihan kas. Kasir, orang yang melapor pada bendahara, menangani kiriman uang
pelanggan dan menyimpannya ke bank. Oleh karena kas dan cek dari pelanggan dapat dicuri
dengan mudah, maka fungsi piutang usaha, yang bertanggung jawab atas pencatatan kiriman
uang pelanggan, seharusnya tidak memiliki akses fisik ke kas atau cek. Akan tetapi, fungsi
piutang usaha harus mampu mengidentifikasi sumber kiriman uang dari mana pun dan faktur
penjualan terkait harus dikredit. Salah satu solusinya adalah dengan mengirimkan dua salinan
faktur ke pelanggan dan memintanya untuk mengembalikan salah satu salinan tersebut
bersama dengan pembayaran. Solusi alternatifnya adalah dengan meminta petugas bagian
surat-menyurat untuk mempersiapkan daftar pengiriman uang (remittance list), yaitu
dokumen yang mengidentifikasi nama dan jumlah semua kiriman uang pelanggan, serta
mengirimkan daftara ini ke bagian piutang usaha. Cara lainnya untuk menjaga kiriman
kiriman uang dari pelanggan adalah dengan membuat perjanjian lockbox dengan sebuah
bank. Lockbox adalah alamat pos yang dituju oleh pelanggan ketika mereka mengirimkan
uang mereka. Bank yang terlibat mengambil cek dari kotak pos dan menyimpannya ke dalam
rekening milik perusahaan. Bank tersebut kemudain mengirimkan pemberitahuan pengiriman
uang, sebuah daftar elektronis semua kiriman uang, dan fotocopi semua cek ke perusahaan.
- Remmitance list ; dokumen daftar nama dan jumlah semua pembayaran pelanggan yang
diterima
-
Lockbox
melalui
;
alamat
pos
yang
pelanggan
pos.
mengirimkan
uang
mereka.
setelah
menerima
pembayaran.
- Electronic funds transfer (EFT) ; transfer dana melalui penggunaan perangkat lunak
perbankan
online.
- Financial electronic data interchnage (FEDI) ; kombinasi EFT dan EDI yang
memungkinkan baik data remittance dan transfer dana instruksi untuk dimasukkan dalam satu
paket
elektronik.
informasi
rinci
tentang
rekening
bank-nya.
- Cash flow budget ; anggaran yang menunjukkan arus kas masuk dan keluar diproyeksikan
untuk jangka waktu tertentu.
BS
1. Siklus Pendapatan
-
informasi terkait yang terus berlangsung dengan menyediakan barang dan jasa ke para
pelanggan dan menagih kas sebagai pembayaran dari penjualan penjualan tersebut.Siklus
Pendapatan merupakan prosedur pendapatan dkimulai dari bagian penjualanotorisasi kredit,
pengambilan barang, penerimaan barang, penagihan sampai denganpenerimaan kas.
-
Tujuan utama siklus pendapatan adalah menyediakan produk yang tepat di tempat dan waktu
yang tepat dengan harga yang sesuai.
Tujuan tujuan lain :
o Semua transaksi telah diotorisasikan dengan benar
o Semua transaksi yang dicatat valid (benar-benar terjadi)
o Semua transaksi yang valid, dan disahkan, telah dicatat
o Semua transaksi dicatat dengan akurat
Ancaman
/Aktivitas
diterapkan
Entri
pesanan
penjualan
akurat
ke pelanggan yang
3. Legitimasi pesanan
4. Habisnya persediaan,
5. Kesalahan pengiriman:
6. Pencurian persediaan
Penagihan
7. Kegagalan untuk
dan piutang
menagih pelanggan
penagihan
8. Kesalahan dalam
usaha
penagihan
9. Kesalahan dalam
Daftar harga
Rekonsiliasi buku pembantu
Penagihan
kas
Masalah -
masalah
pengendalia
n umum
12. Kinerja yang buruk
F.
o Penjualan Kredit
Departemen Penjualan
Proses yang pertama dari penjualan terdapat pada departemen penjualan yang dimana
departemen ini akan mencatat jenis barang dan kuantitas barang dagang yang akan dipesan
oleh pelanggan.
Departemen Kredit
Pada departemen ini memiliki proses awal yaitu melakukan transaksi persetujuan yang
dimana dengan melihat kelayakan dari pelanggan dalam hal pembelian kredit terhadap
pelanggan tersebut. Dalam memutuskan sifat / jenis pemeriksaan akan disesuaikan dengan
kondisi nyata pada saat terjadinya penjualan.
Departemen Pengiriman
Tugas dari departemen ini adalah mengirimkan barang yang dipesan ke pelanggan. Pada
proses ini, departemen pengiriman menerima surat jalan dan dokumen pengiriman barang
dagangnya. Kemudian departemen ini memberikan dokumen pengiriman beserta barang yang
dipesan kepada pelanggan tersebut.
Prosedur Gudang
Departemen penjualan mengirim salinan surat pengeluaran barang 9 stock release disebut
juga tiket pengambilan) dari pesanan penjualan ke bagian gudang.
Departemen Penagihan
Bagian Penagihan menerima dua buah dokumen untuk kemudian disatukan menjadi suatu
faktur. Dokumen tersebut adalah tembusan SO yang diterima dari bag. Penjualan dan Nota
Pengiriman yang diberikan oleh bag. Pengiriman. Bag. Penagihan kemudian membandingkan
dan menjumlah semua biaya yang terjadi untuk kemudian membuat faktur yang sesuai.
Departemen Pengendalian Persediaan
Departemen pengendalian persediaan menggunakan dokumen pengeluaran barang untuk
memperbaruinakun buku besar pembantu persediaan (inventory subsidiary ledger).
Departemen Piutang Dagang
Tugas dari departemen ini adalah memposting data salinan buku besar pesanan penjualan
ke buku besar tambahan piutang. Sehingga dengan adanya departemen ini akan memudahkan
perusahaan mengetahui seberapa besar piutang yang dimilikinyan dan mengetahui pelanggan
mana yang belum melunasi utangnya.
Departemen Buku BesarUmum
Pada departemen ini,semua jenis dokumen akan diberikan dan akan diolah. Data yang
terkait adalah dokumen jurnal dari departemen penagihan dan departemen pengawasan
persediaan. Selain itu juga ringkasan rekening dari departemen piutang. Hal ini dilakukan
pada saat penutupan periode pemrosesan.
o Retur Penjualan
Disebabkan oleh beberapa hal,antara lain :
1.
2.
3.
4.
Penjual terlalu terlambat mengirimkan barang atau terjadi keterlambatan karena penundaan
saat transit, dan pembeli menolak pengiriman tersebut
Prosedur retur penjualan :
Staf pengendalian persediaan menyesuaikan catatan persediaan dan meneruskan memo kredit
ke departemen piutang, dimana rekening pelanggan akan disesuaikan.
Departemen buku besar umum
Staf departemen umum menerima voucher journal dari departemen penagihan dan
pengendalian persediaan serta rangkuman akun dari departemen piutang dagang.
o Penerimaan Kas
o Prosedur ruang penerimaan dokumen
Ruang penerimaan dokumen menerima cek dari pelanggan bersama dengan permintaan
pembayaran. Dokumen ini berisi informasi utama yang diperlukan untuk akun pelanggan.
o Departemen penerimaan kas
Kasir meverifikasi keakuratan dan kelengkapan antara cek dengan permintaan pembayaran.
Setiap cek yang hilang dan salah dikirimkan dari ruang penerimaan dokumen dan departemen
penerimaan kas diidentifikasi pada proses ini.
o Departemen piutang dagang
Staf departemen piutang dagang melakukan prosespembukuan permintaan pembayaran pada
akun pelanggan di buku besar pembantu piutang dagang.
o Departemen buku besar
Secara berkala, departemen buku besar menerima voucher jurnal dari departemen penerimaan
kas dan rangkuman akun dari departemen piutang dagang.
o Departemen kontroler
Secara berkala(mingguan atau bulanan), staf dari departemen kontroler mencocokkan
penerimaan kas dengan membandingkan dokumen berikut ini :
1.
2.
3.
Voucher jurnal dari departemen penerimaan kas dan departemen piutang dagang.
Jurnal khusus (jurnal penjualan, jurnal penerimaan kas, dan jurnal umum untuk mencatat
memo kredit)
Buku besar
o Kategori file :
1.
3.
4.
5.
File transaksi (transaction file), file ini berisi data transaksi tertentu, misalnya transaksi
penjualan, penerimaan kas, dan retur penjualan. Data pada file transaksi digunakan sebagai
basis pemutakhiran file induk (master file).
File induk (master file), file ini berisi data lengkap setiap pelanggan dan tersedia untuk
seluruh pelanggan.
o Mengotomatiskan Pemrosesan Pesanan Penjualan Dengan Teknologi Batch
Pemasukan data
Proses ini dimulai dengan diterimanya sekumpulan dokumen pemberitahuan pengiriman
dari departemen pengiriman. Dokumen ini merupakan salinan dari pesanan dari penjualan
yang berisi informasi tentang jumlah unit yang dikirimkan dan informasi mengenai
pelanggan.
Pengeditan
Sistem penjualan batch dilakukan secara berkala. Bergantung pada volume transaksi dan
kebutuhan akan informasi terbaru, hal ini bisa dijalankan satu kali saja pada hari kerja atau
beberapa kali per hari.
Prosedur pembaruan
Proses pembaruan akses langsung dengan menggunakan data percontoh. Mulai dari
bagian atas file pesanan penjualan yang diedit, program pembaruan memasukkan transaksi
pertama ke record buku besar pembantu persediaan dan piutang dagang dengan
menggunakan kunci sekunder(nomor persediaan dan nomor akun) untuk mencari record yang
sesuai secara langsung. Record transaksi dicatat dalam jurnal, dan program kemudian pindah
ke transaksi selanjutnya dan mengulangi proses ini.
o Rekayasa Ulang Pemrosesan Pesanan Penjualan dengan Teknologi Real-Time
Prosedur penjualan
Pada pemrosesan secara real time, staf penjualan menerima pesanan dari pelanggan dan
memproses setiap transaksi secara terpisah pada saat itu.
Prosedur pergudangan
Terminal komputer staf pergudangan segera mencetak dokumen pengeluaran barang yang
akan dikirim secara elektronik.
Departemen pengiriman
Staf pengiriman mencocokkan barang, dokumen pengeluaran barang, dan slip pengepakan
yang dibuat oleh terminal komputer.
Dokumen
Pesanan penjualan (sales order)
Penjualan Kredit
Penjualan tunai
Penerimaan kas
Retur penjualan
Potongan piutang
(Sales allowance)
Penghapusan piutang
I.
Piutang dagang adalah sejumlah nilai yang menjadi hak perusahaan sebagai akibar dari
timbulnya transaksi penjulan secara kredit. Terdapat 2 pendekatan dasar dalam aplikasi
piutang dagang, yaitu :
1)
Dibuatkan catatan terpisah untuk setiap faktur pelanggan. Pada saat nota pengiriman uang
diterima, dicocokkan ke faktur faktur yang belum dilunasi.
2)
Pemrosesan saldo
Nota nota pelanggan dibebankan ke saldo total piutang pelanggan dan bukan ke faktur
faktur pelanggan.
Pengolahan
piutang
dagang
merupakan
hal
yang
sangat
kompleks
piutang tidak terjadi misalnya adalah dengan surat peringatan,surat tindak lanjut atau agen
penagihan.
J.
Laporan control
Sistem akuntansi menghasilkan laporan control selama sistem itu memproses perubahan
ganda terhadap suatu file. Laporan control mungkin membuka transaksi, jumlah total atau
sejumlah transaksi atau daftar perubahab yabg dibuat selama pemeliharaan file.
Daftar
Adalah daftar semua transaksi dari jenis tertentu yang diproses selama periode
pemrosesan tunggal. Daftar merupakan komponen yang penting pada system akuntansi sebab
daftar itu menyediakan audit yang dimana daftar itu mengijinkan auditor untuk
menghubungkan transaksi catatan dokumen dengan neraca rekening buku besar umum yang
meringkasnya.
Laporan khusus
Dibagi menjadi 4, yaitu :
1.
Laporan pelanggan
Laporan pelanggan merupakan daftar dari semua transaksi pada rekening pelanggan
selama periode waktu tertentu. Banyak perusahaan mengirim rekening pada masing masing
pelanggan aktif secara bulanan. Hal ini menunjukkan penjualan yang ditujukan pada
pelanggan, karena rekening terakhir, pembayaran yang diterimadan keseimbangannya masih
dimiliki oleh pelanggan itu.
Rekening bulanan memiliki 2 manfaat, antara lain :
Rekening itu memungkinkan para pelanggan untuk memonitor transaksi dalam rekeningnya.
Hal ini mungkin membuka kesalahan atau ketidakteraturan yang dideteksi oleh prosedur
control dalam sistem akuntansi.
Rekening itu mengingatkan pelanggan supaya membayar rekeningnya lebih cepat.
2.
3.
4.
Sering kali, beberapa pesanan pembelian dibuat untuk memenuhi satu permintaan
pembelian.
Menerima dan menyimpan barang, Perlengkapan dan jasa (layanan)
Aktivitas bisnis utama kedua dalam siklus pengeluaran adalah penerimaan dan
penyimpanan barang yang dipesan.
Keputusan-keputusan penting dan kebutuhan-kebutuhan informasi:
Bagian penerimaan mempunyai dua tanggung jawab utama:
1. Memutuskan apakah menerima pengiriman
2. Memeriksa jumlah dan kualitas barang
Dokumen-dokumen dan prosedur-prosedur:
Laporan penerimaan adalah dokumen utama yang digunakan dalam subsistem penerimaan
dalam siklus pengeluaran, laporan ini mendokumentasikan rincian mengenai: setiap kiriman,
termasuk tanggal penerimaan, pengiriman, pemasok, dan nomor pesanan pembelian.
-Bagi setiap barang yang diterima, laporan ini menunjukkan nomor barang, deskripsi, unit
ukuran, dan jumlah barang yang diterima.
Membayar barang dan jasa (layanan):
Menyetujui Faktur Pemasok
Aktivitas utama ketiga dalam siklus pengeluaran adalah menyetujui faktur penjualan
dari vendor untuk pembbayaran.
Bagian utang usaha menyetujui faktur penjualan untuk dibayar
Kasir bertanggung jawab untuk melakukan pembayaran
Membayar barang dan jasa (layanan): Memperbaiki Utang Usaha
Pemrosesan efisiensi dapat diperbaiki dengan:
Meminta para pemasok untuk memberikan faktur secara elektronis, baik melalui EDI atau
melalui Internet
Penghapusan faktur vendor (pemasok). Pendekatan tanpa faktur ini disebut Evaluated
Receipt Settlement (ERS).
Membayar Barang: Membayar faktur penjualan yang telah disetujui
Kasir menyetujui faktur
Gabungan dari faktur vendor dengan dokumen pendukungnya disebut : Bundel voucher.
Keputusan penting dalam proses pengeluaran kas adalah menetapkan apakah akan
memanfaatkan diskon yang ditawarkan untuk pembayaran awal.
Kebutuhan Informasi
Fungsi ketiga dari SIA adalah menyediakan informasi yang berguna untuk pengambilan
keputusan.
Kegunaan dalam siklus pengeluaran berarti bahwa SIA harus memberikan informasi
operasional yang dibutuhkan untuk melakukan fungsi-fungsi berikut ini :
Menetapkan kapan dan seberapa banyak tambahan persediaan yang akan dipesan.
Memilih pemasok yang tepat untuk pesanan.
Memverifikasi akurasi faktur dari vendor.
Memutuskan apakah diskon pembelian harus dimanfaatkan.
Mengawasi kebutuhan arus kas untuk membayar kewajiban yang belum diselesaikan.
Sebagai tambahan, SIA harus memberikan informasi evaluasi strategis dan kinerja berikut
ini:
Efisiensi dan efektivitas bagian pembelian
Analisis kinerja pemasok, seperti pengiriman tepat waktu dan kualitas.
Waktu yang digunakan untuk memindahkan barang dari area penerimaan ke produksi.
Persentase diskon pembelian yang dimanfaatkan.
Check mungkin tidak dicatat, dikendalikan dengan check yang bemomor urut tercetak.
Auditor melakukan pengujian terhadap penggunaan dokumen bemomor urut tercetak.
Kesalahan-kesalahan dalam pencatatan check, dikendalikan dengan pembuatan rekonsiliasi
bank secara periodik oleh pihak yang bebas. Auditor dapat melakukan pengujian terhadap
bank rekonsiliasi.
Check tidak dicatat dengan segera, dikendalikan oleh pihak yang bebas untuk mencocokkan
tanggal check dan tanggal pencatatannya. Pengujian yang dilakukan dengan memperlihatkan
kembali adanya kebebasan dalam pengecekan.
Tujuan Pengendalian, Ancaman, dan Prosedur
Fungsi lain SIA yang dirancang dengan baik adalah untuk memberikan pengendalian yang
cukup untuk memastikan bahwa tujuan-tujuan berikut terpenuhi:
Transaksi-transaksi diotorisasi dengan tepat.
Transaksi-transaksi dicatat dengan valid.
Valid, otorisasi transaksi dicatat.
Transaksi dicatat secara akurat.
Aset (Kas, persediaan, dan data) diamankan (dijaga) dari kehilangan atau pencurian.
Aktivitas bisnis dilakukan secara efisien dan dengan efektif.
Apakah ancaman-ancaman itu ?
Mencegah kehabisan &/atau keleihan persediaan
Meminta barang yg tidak dibutuhkan
Membeli dengan harga yg dinaikkan
Membeli barang berkualitas rendah
Membeli dari pemasok yang tidak diotorisasi
Komisi (kickbacks)
Menerima barang yang tidak dipesan
Membuat kesalahan dalam penghitungan
Mencuri persediaan
Gagal memanfaatkan diskon pembelian yang tersedia
Kesalahan mencatat dan memasukkan data dalam utang usaha
Kehilangan data
Apakah prosedu-prosedur pengendalian itu ?
Sistem pengendalian persediaan
Analisis kinerja pemasok
Persetujuan permintaan pembelian