SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

DISUSUN OLEH :

1. Ratna Juwita
2. Haisyah
3. Januari Silvia RA
4. Khansa Shahibah

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS BRAWIJAYA
2017
 SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

1.1 Konsep Dasar Pengendalian Sistem Informasi

Saat ini organisasi bergantung pada teknologi informasi (TI). Manajemen menginginkan
jaminan bahwa informasi yang dihasilkan oleh sistem akuntansinya adalah andal. Cobit
berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar panduan untuk
membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan IT. Cobit
memberikan panduan kerangka kerja yang bisa mengendalikan semua kegiatan organisasi
secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di
level top dalam organisasi.Oleh karena itu sangat penting untuk memastikan adanya
pengendalian yang memadai terhadap sumber-sumber daya IT untuk memastikan informasi
yang diberikan memnuhi tujuh kriteria sistem dalam kerangka pengendalian COBIT :

1 Efektivitas : berkenaan dengan informasi yang diperoleh harus relevan dan berkaitan
dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten,
dan bermanfaat.
2 Efisiensi : berkaitan dengan penyediaan informasi melalui sumber daya (yang paling
produktif dan ekonomis) yang optimal.
3 Kerahasiaan : Menyangkut perhatian atas perlindungan informasi yang sensitif dari
pihak-pihak yang tidak berwenang.
4 Integritas : Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga
validitasnya sesuai nilai-nilai dan harapan bisnis.
5 Ketersediaan : Berkaitan dengan informasi harus dapat tersedia ketika dibutuhkan oleh
suatu proses bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait
dengan pengamanan atas sumber daya yang perlu dan kemampuan yang terkait.
6 Kepatuhan : Terkait dengan pemenuhan sesuai dengan ketentuan hukum, peraturan,
perjanjian kontrak, dimana dalam hal ini proses bisnis dipandang sebagai suatu subjek.
7 Keandalan : Berkaitan dengan pemberian informasi yang tepat bagi manajemen untuk
mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka untuk membuat
pelaporan keuangan.

Cobit memiliki 4 cangkupan :

Planning and Organization
 Domain ini mencakup strategi serta taktik atas identifikasi bagaimana IT secara
maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari
visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk berbagai
perspektif yang berbeda. Ditambah dengan pengorganisasian yang baik dengan
menempatkan infrastruktur teknologi ditempat yang semestinya.
PO1 Tentukan rencana teknologi informasi strategis
PO2 Tentukan arsitektur informasi
PO3 Tentukan arah teknologi
PO4 Tentukan organisasi TI dan hubungan
PO5 Mengelola investasi di bidang teknologi informasi
PO6 Berkomunikasi tujuan manajemen dan arah
PO7 Mengelola sumber daya manusia
PO8 Memastikan kepatuhan dengan persyaratan eksternal
PO9 Menilai risiko
PO10 Mengelola proyek
PO11 Mengelola kualitas
Acquisition & Implementation
Agar tercapainya strategi IT, solusi IT harus diidentifikasi, dikembangkan,
diimplementasikan dan terintegrasi dengan baik ke dalam proses bisnis. Selain itu,
perubahan serta pemeliharaan sistem yang ada harus dicakup dalam domainini untuk
memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.
AI1 Mengidentifikasi solusi otomatis
AI2 Memperoleh dan memelihara perangkat lunak aplikasi
AI3 Memperoleh dan memelihara infrastruktur teknologi
AI4 Mengembangkan dan memelihara prosedur IT
AI5 Memenuhi Sumber Data TI
AI6 Mengelola perubahan
AI7 Instalasi dan mengakreditasi sistem beserta perubahannya
Delivery & Support
Domain ini memberikan fokus utama pada aspek penyampaian IT. Dalam delivery
and support tercakup area-area seperti pengaplikasian aplikasi-aplikasi dalam sistem IT
dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT
tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu tentang
keamanan dan pelatihan.
DS1 mendefinisikan dan mengelola tingkat layanan
DS2 Mengelola layanan pihak ketiga
DS3 Mengelola kinerja dan kapasitas
DS4 Memastikan layanan yang berkelanjutan
DS5 Pastikan sistem keamanan
DS6 Mengidentifikasi dan mengalokasikan biaya
DS7 Mendidik dan melatih pengguna
DS8 Mengelola service dan insiden
DS9 Mengelola konfigurasi
DS10 Mengelola permasalahan
DS11 Mengelola Data
 DS12 Mengelola Fasilitas
DS13 Mengelola operasi
Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk dapat menjaga
kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya
pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian
independen yang dilakukan oleh auditor internal maupun eksternal, atau dapat
diperoleh dari sumber-sumber alternatif lainnya.
M1 Mengawasi dan mengevaluasi kinerja TI
M2 Mengawasi dan mengevaluasi control internal
M3 Memastikan pemenuhan terhadap kebutuhan eksternal
M4 Menyediakan tata kelola TI

Dalam Pengendalian internal atas keamanan informasi, terdapat dua konsep

fundamental yang perlu dipahami :

1 Keamanan informasi merupakan persoalan manajemen, bukan persoalan teknologi:

SOX mengharuskan para CEO dan CFO perusahaan untuk memberikan pernyataan bahwa
laporan keuangan mencerminkan hasil dari aktivitas perusahaan. Akurasi dari laporan
keuangan bergantung pada keandalan sistem informasi. Dengan demikian keamanan
informasi merupakan dasar dari keandalan sistem. Akibatnya keamanan informasi
merupakan tanggung jawab manajemen.
2 Defense in depth and time based model dari keamanan informasi
Ide derense in depth adalah menggunakan beberapa lapisan pengendalian untuk
menghindari adanya satu titik kegagalan. Misalnya banyak organisasi tidak hanya
menggunakan firewall namun juga menggunakan metode-metode autentikasi (misalnya
password, token dan biometrik) untuk membatasi akses. Penggunaan pengendalian
berlapis, tambahan dan berulang dapat meningkatkan efektivitas pengendalian secara
keseluruhan karena jika satu jenis pengendalian gagal masih ada metode pengendalian lain
nya yang berjalan sesuai rencana.

2.1 Pengendalian Preventif, Korektif dan Detektif

2.1.1 Pengendalian Preventif

Pengendalian preventif memiliki fungsi untuk mencegah masalah sebelum mereka

muncul. Contohnya termasuk mempekerjakan personil yang berkualitas, memisahkan tugas
karyawan, dan mengendalikan akses fisik ke aset dan informasi. Organisasi biasanya
membatasi akses terhadap sumber daya informasi sebagai pengendalian preventif atas
keamanan sumber IT antara lain :
 a Pelatihan
b Kendali atas akses para pengguna
c Kendali atas akses fisik
d Kendali atas akses jaringan
e Kendali atas piranti keras/lunak

2.1.2 Pengendalian detektif (detective control)

Pengendalian detektif meningkatkan keamanan dengan cara memonitor aktivitas

pengendalian preventik dan mendeteksi insiden yang berhasil ditangani oleh pengendalian
preventif. Pengendalian detektif yang digunakan antara lain :

a Analisis Log
b Instrution Detectif System
c Laporan manajemen
d Pengujian keamanan

2.1.3 Pengendalian korektif (corrective control)

Mengidentifikasi dan mengendalikan masalah serta memperbaiki dan memulihkannya

dari kesalahan yang dihasilkan.Banyak pengendalian korektif yang mengandalkan penilaian
manusia. Konsekuensinya efektifitas nya tergantung pada sejauh mana perencanaan dan
persiapan yang sudah dilakukan. Hal ini menyebabkan COBIT DS 5.6 mengharuskan untuk
mendefinisikan dan mengkomunikasikan karakteristik insiden keamanan untuk menfasilitasi
klasifikasi dan perlakuan yang tepat.

3.1 Pengendalian umum dan aplikasi

Pada dasarnya, audit sistem informasi di bagi menjadi dua kategori:

3.1.1 Pengendalian Umum

Bertujuan memastikan jaminan atas data sistem komputer yang terintegritas, sekaligus
meyakinkan jika program yang terintegritas tersebut digunakan untuk pemrosesan data.
Pengendalian umum dilakukan terhadap aspek fisikal (aset fisik perusahaan ) dan aspek logikal
terhadap sistem informasi di level manajemen. Pengendalian Umum terbagi menjadi :

a. Pengendalian Organisasi dan otorisasi

Merupakan pemisahan tugass dan jabatan antara pengguna sistem dan administrator
sistem. Dan Pengguna hanya dapat mendapat akses sistem juka di otorisasi oleh
administrator
b. Pengendalian Operasi
 Perusahaan membutukan pengendalian sistem informasi dapat beoperasi sesuai
dengan yang diharapkan.
c. Pengendalian Perubahan
Perlu dilakukan pengendalian atas perubahan yang terjadi pada sistem informasi.
Termasuk pengendalian versi dari sistem informasi, catatan perubahan versi serta
manajemen perubahan atas diimplementasikannya sebuah sistem informasi.
d. Pengendalian akses fisikal dan logikal
Pengendalian akses fisikal diujukan pada pengaksesan fisik terhadap fasilitas sistem
informasi perusahaan. Sedangkan, akses logikal berkaitan dengan pengelolaan akses
terhadap sistem operasi sistem, misalnya windows.

3.1.2 Pengendalian Aplikasi

Pengendalian aplikasi merupakan prosedur pengendalian yang didesain oleh

manajemen organisasi agar dapat meminimalkan risiko dari aplikasi yang ada di perusahaan
agar proses bisnisnya belangsung baik. Pengendalian aplikasi terdapat bermacam macam,
diantaranya:

a. Pengendalian Organisasi dan Akses Aplikasi

Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi,
namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi,
tugas administrator, pengguna, hingga pengembangan aplikasi tersebut.Untuk
pengendalian akses, terpusat hanya pada pengendalian logika saja untuk menghindari
akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik
pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu
mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan
kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi
nya.
b. Pengendalian Input
Pengendalian input memastikan data-data yang dimasukkan ke dalam sistem telah
tervalidasi, akurat, dan terverifikasi.
c. Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi,
dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang
permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas
master.
d. Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun
manual (kasat mata) jika output yang dihasilkan juga kasat mata.
e. Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan
diketemukan anomali-anomali, seperti:
Anomaly penambahan
Anomaly penghapusan
Anomaly pemuktahiran/pembaruan
3.1.3 Hubungan Pengendalian Umum dan Aplikasi

Hubungan antara pengendalian umum dan aplikasi bersifat pervasif. Artinya apabila
pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga,
sedangkan bila pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya
juga baik.

4.1 Kerahasiaan dan privasi

4.1.1 Menjaga Kerahasiaan

Menjaga kerahasiaan kekayaan intelektual organisasi dan informasi serupa yang dibagi
(shared) dengan rekan bisnis, telah lama dikenan sebagai sebuah tujuan utama keamanan
informasi. Empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas
informasi sensitive yaitu :

a. Mengidentifikasi dan Klasifikasi Informasi

Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi
bisnis sensitive lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan
orang yang mengaksesnya. Langkah selanjutnya adalah mengklasifikasikan informasi
untuk organisasi berdasarkan nilainya.
b. Enkripsi
Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan. Ia
adalah satu-satunya cara untuk melindungi informasi dalam lintasnya melalui internet.
c. Pengendalian Akses
Pengendalian akses terhadap informasi sensitive dapat dilakukan melalui :
1 IRM (Information Rights Management)
2 DLP (Data Loss Prevention)
3 Watermark Digital
4 Pelatihan

Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dengan
orang luar dan jenis informasi yang perlu dilindungi.

4.1.2 Privasi

Pengendalian yang perlu diimplementasikan untuk melindungi privasi sama dengan

pengendalian yang digunakan untuk melindungi kerahasiaan: identifikasi informasi yang perlu
dilindungi, enkripsi, pengendalian akses, dan pelatihan.

a. Pengendalian Privasi
Langkah pertama untuk melindungi privasi informasi pribadi yang dikumpulkan oleh
pelanggan, pegawai, pemasok, dan rekan bisnis, yaitu mengidentifikasi jenis informasi
yang dimiliki organisasi, letak ia disimpan, dan orang yang memiliki akses terhadapnya.
b. Permasalahan Privasi
Dua permasalahan utama terkait privasi adalah spam dan pencurian identitas.
c. SPAM
 Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten
serangan.
d. Pencurian Identitas
Pencurian identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi
seseorang demi keuntungan pelaku.
e. Regulasi Privasi dan Prindip-Prinsip Privasi yang Diterima Secara Umum (Generally
Accepted Privacy Principles-GAPP)
Untuk membantu organisasi agar hemat biaya dalam mematuhi banyaknya persyaratan
ini, American Institute of Certified Publik Accountant (AICPA) dan Canadian Institute of
Chartered Accountant (CICA) bersama-sama mengembangkan sebuah kerangka yang
disebut Prinsip-Prinsip Privasi yang Diterima secara Umum (generally Accepted Privacy
Principles-GAPP). Kerangka tersebut mengidentifikasi dan mendefinisikan pelaksanaan
10 praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi
pribadi para pelanggan.
1) Manajemen
Organisasi perlu membuat satu set prosedur dan kebijakan untuk melindungi privasi
informasi pribadi yang mereka kumpulkan dari para pelanggan, begitu pula dengan
informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit.
2) Pemberitahuan
Organisasi harus memberikan pemberitahuan tentang kebijakan dan praktik privasinya
pada saat atau sebelum organisasi tersebut mengumpulkan informasi pribadi dari para
pelanggan atau segera sesudahnya.
3) Pilihan dan persetujuan
Organisasi harus menjelaskan pilihan-pilihan yang disediakan kepada para individu
serta mendapatkan persetujuannya sebelum mengumpulkan dan menggunakan
informasi pribadi mereka.
4) Pengumpulan
Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk memenuhi
tujuan yang dinyatakan dalam kebijakan privasinya.
5) Penggunaan dan retensi
Organisasi harus menggunakan informasi pribadi pada pelanggan hanya dengan cara
yang dideskripsikan pada kebijakan privasi yang dinyatakan dan menyimpan informasi
tersebut hanya selama informasi tersebut diperlukan untuk memenuhi tujuan bisnis yang
sah.
6) Akses
Organisasi harus memberikan individu dengan kemampuan mengakses, meninjau,
memperbaiki, dan menghapus informasi pribadi yang tersimpan mengenai mereka.
7) Pengungkapan kepada pihak ketiga
Organisasi harus mengungkapkan informasi pribadi pelanggannya hanya untuk situasi
dan cara yang sesuai dengan kebijakan privat organisasi serta hanya kepada pihak
ketiga yang menyediakan tingkatan perlindungan privasi yang sama, sebagaimana
organisasi sebelumnya yang mengumpulkan informasi tersebut.
8) Keamanan
Organisasi harus mengambil langkah-langkah rasional untuk melindungi informasi
pribadi para pelanggannya dari kehilangan atau pengungkapan yang tanpa terotorisasi.
Oleh karena itu, tidak mungkin untuk melindungi privasi tanpa keamanan informasi yang
memadai.
 9) Kualitas
Organisasi harus menjaga integritas informasi pribadi pelanggannya dan menggunakan
prosedur yang memastikan informasi tersebut akurat secara wajar.
10) Pengawasan dan penegakan
Organisasi harus menugaskan satu pengawal atau lebih guna bertanggung jawab untuk
memastikan kepatuhan terhadap kebijakan privasi yang dinyatakan.

5.1 Pengendalian Integritas Pemrosesan Dan Ketersediaan

Pada bagian sebelumnya telah dijelaskan tentang 3 prinsip pertama dari keandalan
sistem yang di identifikasi dalam Trust Service Framework yaitu tentang keamanan,
kerahasiaan, dan privasi. Bagian selanjutnya akan dijelaskan tentang 2 prinsip lainnya yaitu
integritas pemrosesan dan ketersediaan.

5.1.1 Integritas pemrosesan

Prinsip integritas pemrosesan dari Trust Service Framework menyatakan bahwa sebuah
sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi yang akurat,
lengkap, tepat waktu, dan valid. Berikut adalah tabel yang menjelaskan ringkasan pembahasan
selanjutnya.

Tahap proses Ancaman/risiko Pengendalian

Input Data yang :
Tidak valid
Tidak diotorisasi
Tidak lengkap
Tidak akurat
Pemrosesan Kesalahan dalam output dan
data yang tersimpan
Output penggunaan laporan yang
tidak akurat / tidak lengkap
pengungkapan : yang tidak
diotorisasi informasi sensitif
kehilangan, perubahan, atau
Bentuk desai,
pembatalan dan
penyimpanan dokumen,
otorisasi dan pemisahan
tugas pengendalian,
pemindaian visual,
pengendalian entri data
pencocokan data,label file
total batch
pengujian saldo cross footing
dan saldo nol
mekanisme menulis
perlindungan (write-
protection)
pemrosesan data base
pengendalian integritas
Pemeriksaan dan
rekonsiliasi
Enkripsi dan pengendalian
akses
Pengecekan berimbang
 pengungkapan informasi Teknik pengakuan pesan
dalam transit.

a. Pengendalian input
Pengendalian dalam penginputan sangat penting karena jika kita memasukan data yang
salah maka out yang dihasilkan pun juga salah oleh karenanya penting untuk dilakukan
pengendalian. Beberapa cara yang dapat dilakukan untuk pengendalian input adalah
1. Bentuk desain : dokumen sumber dan bentuk lainnya harus didesain untuk
meminimalkan kemungkinan kesalahan dan kelalaian. Dua bentuk utama desain
pengendalian yang terpenting melibatkan dokumen sebelum penomoran
(prenumbering) secara berurutan dan menggunakan dokumen turnaround
2. Pembatalan dan penyimpanan dokumen sumber : dokumen dokumen sumber
yang telah dimasukkan ke dalam sistem harus di batalkan sehingga mereka tidak
dapat dengan sengaja memasukan data secara ulang. Begitu juga dengan dokumen
kertas, harus ditandai jika sudah di proses.
3. Pengendalian entri data : dokumen dokumen sumber harus dipindai untuk
kewajaran dan kebenaran sebelum dimasukkan ke dalam sistem. Meskipun
demikian pengendalian manula ini harus di lengkapi dengan pengendalian otomatis
seperti : pengecekan field, pengecekan tanda, pengecekan batas, pengecekan
jangkauan, pengecekan ukuran, pengecekan / pengujian kelengkapan, validitas, tes
kewajaran dll.

b. Pengendalian pemrosesan
Pengendalian ini diperlukan untuk memastikan bawa data yang diproses itu benar.
Cakupan pengendalian pemrosesan diantaranya :
1. Pencocokan data
2. Lebel file
3. Perhitungan ulang total batch
4. Pengujian saldo cross footing dan saldo nol
5. Mekanisme write protectioan
6. Pengendalian pembaruan secara bersamaan

c. Pengendalian output
Pengendalian output terdiri dari :
1. Pemeriksaan pengguna terhadap output : pengguna harus memeriksa output sistem
untuk memverifikasi output tersebut apakah masuk akal, lengkap atau tidak, dan
pengguna adalah pengguna yang di tuju
2. Prosedure rekonsiliasi : secara periodik seluruh transaksi dan pembaruan sistem
lainnya harus di rekonsiliasi untuk laporan pengendalian, laporan status/pembaruan
file, atau mekanisme lainnya
3. Rekonsiliasi data eksternal. Total database harus di rekonsiliasi secara periodik
dengan data yang dikelola di luar sistem.
4. Pengendalian transmisi data. Organisasi juga perlu mengimplementasikan
pengendalian yang didesain untuk mengecilkan ancaman/ resiko kesalahan
transmisi data.

5.1.2 KETERSEDIAN
 Gangguan dalam proses bisnis yang dikarenakan tidak tersedianya informasi dapat
menyebabkan kerugian keuangan yang signifikan. Tujuannya adalah untuk meminimalkan risiko
penghentia resiko (system downtime). Meskipun demikian, ketersediaan sistem dan informasi
mustahil untuk sepenuhnya mengeliminasi risiko penghentian. Oleh karena itu, organisasi juga
perlu memiliki pengendalian yang didesain untuk memungkinkan pelanjutan (resumption) cepat
dari operasional normal setelah ada kejadian yang menganggu ketersediaan sistem.

Tujuan Pengendalian utama

1. Untuk meminimalkan risiko Pengendalian Utama
penghentian sistem Pemeliharaan preventif
Toleransi kesalahan
Lokasi dan desain pusat data
Pelatihan
Manajemen patch dan perangkat lunak
antivirus
2. Pemulihan yang cepat dan lengkap Prosedure backup
serta pelanjutan operasi normal Disaster recovery plan (DRP)
Business continuity plan (BCP)

a. Meminimalkan risiko penghentian sistem

Perusahaan dapat melakukan berbagai tindakan untuk meminimalkan risiko
penghentian sistme. Manajemen DSS01.05 COBIT 5 mengidentifikasi kebutuhan akan
pemeliharaan yang preventif. Penggunaan komponen komponen yang berulang
menyediakan toleransi kesalahan (fault tolerance) yang merupakan kemampuan sebuah
sistem untuk terus berfungsi dalam kejadian ketika komponen gagal.

b. Pemulihan dan penerusan operasi normal

Praktik manajemen DSS01.05 COBIT 5 mendiskusikan prosedure backup yang
diperlukan backup adalah sebuah salinan yang sama persis dengan versi terbaru dari
database, file atau program perangkat lunak yang dapat digunakan jika data aslinya
tidak lagi tersedian. Oleh karenanya perusahaan memerlukan rencana pemulihan
bencana dan rencana kelangsungan bisnis (DRP-BCP).
1. DRP (disaster recovery plan)
Adalah rencana rencana yang digunakan untuk pemulihan TI suatu perusahaan
akibat kejadian hancurnya pusat data karena bencana alam/ tindakan terorisme. Ada
dua pilihan cara yang di gunakan yaitu situs dingi (cold site) dan situs panas (hot
site)
2. BCP (business continuity plan)
Adalah prosedure yang lebih spesifik lagi yang tidak hanya berfokus pada masalah
fungsi TI tetapi juga seluruh proses bisnis termasuk relokasi ke kantor baru dan
menggunakan pengganti sementara, dengan syarat kejadian yang terjadi tidak
hanya menghancurkan pusat data perusahaan saja namun juga kantor utamanya.

6.1 Authorization/Access Control

 Kontrol otorisasi, adalah proses membatasi akses pengguna dikonfirmasi ke bagian
tertentu dari sistem dan membatasi tindakan apa yang mereka diizinkan untuk melakukan.
Kontrol otorisasi sering dilaksanakan dengan menciptakan matriks kontrol akses. Kemudian,
ketika seorang karyawan mencoba untuk mengakses sistem informasi khususnya sumber daya,
sistem melakukan tes kompatibilitas yang cocok kredensial otentikasi pengguna terhadap
matriks kontrol akses untuk menentukan apakah karyawan yang harus diizinkan untuk
mengakses sumber daya itu dan melakukan tindakan yang diminta.
 DAFTAR PUSTAKA

Ikatan Akuntan Indonesia (2015). Modul Chartered Accountant (Sistem Informasi dan
Pengendalian Internal). Jakarta

Krismiaji, 2015. Sistem Informasi Akuntansi, Edisi Keempat; Yogyakarta : Upp Stim.
Perusahaan YKPN

M. B. Romney and P. J Steintbart (2012). Accounting Information System 12th Edition Prentice
Hall

http://purnamiap.blogspot.co.id/2017/01/rmk-pengendalian-kerahasiaan-dan-privasi.html

http://blog.pasca.gunadarma.ac.id/2012/07/17/audit-sia-pengendalian-umum-dan-pengendalian-
aplikasi/

http://www.e-akuntansi.com/2015/11/pengendalian-umum-dan-aplikasi.html

http://www.e-akuntansi.com/2015/11/authorization-access-control.html