Anda di halaman 1dari 20

BAB I

PENDAHULUAN

1.1 Sistem Informasi Dan Pengendalian Internal

1.1.1 Sistem

Sistem berasal dari bahasa Latin (systēma) dan bahasa Yunani (sustēma) adalah suatu
kesatuan yang terdiri komponen atau elemen yang dihubungkan bersama untuk memudahkan
aliran informasi, materi atau energi untuk mencapai suatu tujuan. Istilah ini sering
dipergunakan untuk menggambarkan suatu set entitas yang berinteraksi, di mana suatu model
matematika seringkali bisa dibuat.

Sistem juga merupakan kesatuan bagian-bagian yang saling berhubungan yang berada
dalam suatu wilayah serta memiliki item-item penggerak, contoh umum misalnya seperti
negara. Negara merupakan suatu kumpulan dari beberapa elemen kesatuan lain seperti
provinsi yang saling berhubungan sehingga membentuk suatu negara di mana yang berperan
sebagai penggeraknya yaitu rakyat yang berada dinegara tersebut.

1.1.2 Informasi

Informasi adalah pesan (ucapan atau ekspresi) atau kumpulan pesan yang terdiri
dari order sekuens dari simbol, atau makna yang dapat ditafsirkan dari pesan atau kumpulan
pesan. Informasi dapat direkam atau ditransmisikan. Hal ini dapat dicatat sebagai tanda-
tanda, atau sebagai sinyal berdasarkan gelombang. Informasi adalah jenis acara yang
mempengaruhi suatu negara dari sistem dinamis. Para konsep memiliki banyak arti lain
dalam konteks yang berbeda. Informasi bisa di katakan sebagai pengetahuan yang didapatkan
dari pembelajaran, pengalaman, atau instruksi. Namun, istilah ini memiliki banyak arti
bergantung pada konteksnya dan secara umum berhubungan erat dengan konsep seperti arti,
pengetahuan, negentropy, Presepsi, Stimulus, Komunikasi, kebenaran, representasi dan
rangsangan mental.

Dalam beberapa hal pengetahuan tentang peristiwa-peristiwa tertentu atau situasi


yang telah dikumpulkan atau diterima melalui proses komunikasi, pengumpulan intelejen,
ataupun didapatkan dari berita juga dinamakan informasi. Informasi yang berupa koleksi data
dan fakta seringkali dinamakan informasi statistik. Dalam bidang ilmu komputer, informasi
adalah data yang disimpan, diproses, atau ditransmisikan. Penelitian ini memfokuskan pada

1
definisi informasi sebagai pengetahuan yang didapatkan dari pembelajaran, pengalaman, atau
instruksi dan alirannya

2
BAB II

TINJAUAN PUSTAKA

2.1 Konsep Dasar Pengendalian Sistem Informasi

Saat ini, hampir seluruh organisasi mengandalkan teknologi informasi (TI).


Manajemen ingin memastikan bahwa informasi yang dihasilkan oleh sistem akuntansinya
andal. Manajemen juga mengetahui investasinya dalam TI merupakan informasi yang cost-
effective. Oleh karena itu sangat penting untuk memastikan adanya pengendalian yang
memadai terhadap sumber-sumber daya TI untuk memastikan informasi yang diberikan
memenuhi tujuh kriteria utama dalam kerangka pengendalian COBIT:

1. Efektivitas - informasi harus relevan dan tepat waktu

2. Efisiensi - nformasi harus dihasilkan dengan cara yang paling hemat biaya

3. Kerahaasiaan - informasi sensitif harus dilindungi dari pengungkapan informasi yang


tidak sah

4. Integritas - informasi harus akurat, lengkap dan valid

5. Ketersediaan - informasi harus tersedia kapanpun diperlukan

6. Kepatuhan - pengendalian harus memastikan kepatuhan dengan kebijakan internal


dan dengan ketentuan hukum dan perundang-undangan

7. Keandalan – Manajemen harus memiliki akses ke dalam informasi yang diperlukan


untuk aktivitas sehari-hari untuk menjalankan amanahnya dan untuk menjalankan
tanggungjawab tata kelola.

3
Berdasarkan kerangka pengendalian COBIT, proses IT umum yang harus dikelola dan
dikendalikan dengan baik dalam rangka menghasilkan informasi yang memenuhi tujuh
kriteria diatas dikelompokkan ke dalam empat kelompok aktivitas manajemen berikut:

1. Perencanaan dan organisasi (Plan and organize)

Terdapat sepuluh proses penting untuk merencanakan dan mengelola sistem informasi
organisasi, yakni:

a. Mendefinisikan perencanaan strategis TI

b. Mendefinisikan arsitektur informasi

c. Menentukan arahan terkait teknologi

d. Mendefinisikan proses, organisasi dan hubungan TI

e. Mengelola investasi TI

f. Mengkomuni kasikan sasaran dan arahan manajemen

g. Mengelola sumber daya manusia TI

h. Mengelola kualitas

i. Menilai dan mengelola risiko TI

2. Perolehan dan implementasi (acquire and implement)

Terdapat tujuh proses penting untuk mendapatkan dan menerapkan solusi teknologi:

a. Mengidentifikasi solusi-solusi otomisasi

b. Perolehan dan pemeliharaan piranti lunak aplikasi

c. Perolehan dan pemeliharaan infrastruktur teknologi

d. Operasi dan penggunaan

e. Perolehan sumber daya TI

f. Mengelola perubahan

g. Memasang dan mengakreditasi solusi dan perubahan

4
3. Pelaksanaan dan dukungan (delivery and support)

Terdapat 12 proses penting untuk pelaksanaan sistem informasi yang efektif dan efisien serta
memberikan manajemen informasi yang diperlukan untuk menjalankan organisasi, yakni:

a. Mendefinisikan dan mengelola tingkat layanan

b. Mengelola layanan pihak ketiga

c. Mengelola kinerja dan kapasitas

d. Memastikan layanan berkelanjutan

e. Mengidentifikasi dan mengalokasikan biaya

f. Mengedukasi dan melatih para pengguna

g. Mengelola meja layanan dan insiden

h. Mengelola konfigurasi

i. Mengelola masalah

j. Mengelola data

k. Mengelola lingkungan fisik

l. Mengelola operasi

4. Monitor dan Evaluasi

Terdapat empat proses penting untuk menilai operasi dari sistem informasi organisasi:

a. Monitor dan evaluasi kinerja T1

b. Monitor dan evaluasi pengendalian internal

c. Memastikan kepatuhan dengan peraturan eksternal

d. Melaksanakan tata kelola TI

5
Dalam pengendalian internal atas keamanan sistem informasi, terdapat dua konsep
fundamental yang perlu dipahami, yakni

1. Keamanan informasi merupakan persoalan manajemen, bukan persoalan teknologi

SOX mengharuskan para CEO dan CFO perusahaan untuk memberikan pernyataan
bahwa laporan keuangan mencerminkan hasil dari aktivitas perusahaan. Akurasi dari laporan
keuangan perusahaan bergantung pada keandalan sistem informasi. Dengan demikian,
kemananan informasi merupakan dasar dari keandalan sistem. Akibatnya, keamanan
informasi merupakan tanggungjawab manajemen.

2. Defense-in-depth dan time-based model dari keamanan informasi

Ide defense in-depth adalah menggunakan beberapa lapisan pengendalian untuk


menghindari adanya satu titik kegagalan. Misalnya, banyak organisasi tidak hanya
menggunakan firewall, namun juga menggunakan metode metode autentikasi (misalnya
password, token, dan biometric) untuk membatasi akses. Penggunaan pengendalian berlapis,
tambahan, dan berulang dapat meningkatkan efektivitas pengendalian secara keseluruhan
karena jika satu jenis pengendalian gagal masih ada metode pengendalian lainnya yang
berjalan sesuai rencana.

2.2 Pengendalian Preventif, Korektif dan Detektif

2.2.1 Pengendalian Preventif

Organisasi biasanya membatasi akses terhadap sumber-sumber daya informasi


sebagai pengendalian preventif atas keamanan TI. Lebih spesifiknya, contoh tindakan
preventif dalam rangka mengendalikan keamanan sumber TI antara lain:

1) Pelatihan

memegang peranan penting dalam keamanan informasi. Para pegawai harus


memahami dan mengikuti kebijakan keamanan organisasi. Sehingga pelatihan merupakan
pengendalian Preventif. Semua pegawai harus diajarkan mengapa keamanan sangat
penting bagi keselamatan perusahaan dalam jangka panjang. Mereka harus diajarkan
untuk tidak berbagi password. Tidak membuka email-email yang mencurigakan, hanya
menggunakan piranti lunak yang asli. dan melakukan langkah-langkah yang diperlukan
untuk komputernya secara fisik.

6
2) Kendali atas akses para pengguna (autentifikasi dan otorisasi)

Tujuan dari pengendalian akses pengguna adalah untuk mengidentifikasi setiap


orang yang mengakses sistem informasi organisasi dan menelusuri tindakan-tindakan
yang mereka lakukan. Terdapat dua jenis pengendalian akses pengguna yang digunakan,
yakni pengendalian otentifikasi yang membatasi siapa saja yang dapat mengakses sistem
informasi organisasi, dan pengendalian otorisasi yang membatasi apa saja yang boleh
dilakukan oleh setiap orang jika mereka diberikan akses terhadap sistem informasi
organisasi

3) Kendali atas akses fisik

Kendali atas akses fisik dimulai dari titik masuk ke gedung tempat aset secara
berada. Idealnya, hanya ada satu titik masuk yang tidak terkunci selama jam kerja normal.
Pada kondisi darurat seperti antisipasi atas kejadian kebakaran, biasanya diperlukan pintu
darurat keluar, namun akses terhadap pintu darurat ini tidak boleh diberikan pada pihak
luar dan harus dihubungkan dengan sistem alarm yang secara otomatis akan berbunyi
ketika pintu darurat terbuka. Selain itu, resepsionis atau petugas jaga harus berada di
lokasi pintu masuk utama untuk memverifikasi identitas pengunjung Para pengunjung
harus mendaftarkan diri dan didampingi oleh karyawan kapanpun mereka masuk ke
dalam gedung.

Di dalam gedung, akses fisik ke tempat peralatan komputer berada juga harus
dibatasi. Ruangan ini harus selalu terkunci dan semua pintu masuk dan keluar ruangan
harus di monitor dengan sistem CCTV (closed circuit television). Akses masuk yang
gagal berkali-kali harus secara otomatif memicu alarm berbunyi. Ruangan yang berisi
server yang menyimpan data sensitif perusahaan dilengkapi dengan kunci pengamanan
yang lebih canggih, seperti card reader, numeric keypad, atan biometric seperti mata atau
retina, sidik jari, dan sebagainya.

Pengendalian atas akses fisik harus mempertimbangkan faktor biaya manfaat.


Dengan demikian perlu adanya keterlibatan manajemen puncak dalam merencanakan
pengendalian keamanan akses fisik untuk memastikan bahwa semua sumber sistem
informasi telah dinilai dengan tepat serta sifat dan kombinasi akses pengendalian
merefleksikan nilai dari aset yang dijaga tersebut.

7
4) Kendali atas akses jaringan

Banyak perusahaan kini memberikan akses jarak jauh kepada para pegawai,
pelanggan dan pemasok terhadap sistem informasi perusahaan. Biasanya akses ini terjadi
melalui internet. Namun di beberapa perusahaan. masih ada yang menggunakan jaringan
khusus milik mereka sendiri atau menggunakan akses dial-up langsung dengan modern.
Banyak perusahaan juga kini memberikan akses nirkabel terhadap sistem informasinya
Metode pengendalian yang dapat digunakan untuk mengendalikan akses jaringan sesuai
dengan COBIT antara lain:

a. Menggunakan balasan batasan pengamanan seperti router, Firewall dan


intrusion prevention system lainnya. Piranti yang disebut border router
menghubungkan sistem informasi organisasi ke internet. Dibalik setiap border
router terdapat firewall utama, Router dan firewall ini bersama-sama bertindak
sebagai filter untuk mengendalian informasi apa saja yang boleh dimasuki dan
diambil dari sistem organisasi .

b. Perlindungan terhadap pengiriman data, dengan menggunakan transmission


control protocol yang mengatur prosedur membagi file dokumen ke dalam
paket-paket untuk dikirim melalui internet dan metode untuk menyusun
kembali data tersebut ke dalam paket-paket untuk dikirim melalui internet dan
metode untuk menyusun kembai data tersebut ke dalam file atau dokumen
originalnya setelah diterima ti tempat tujuan.

c. Perlindungan terhadap akses nirlaba dengan mengaktifkan fitur fitur


pengaman yag ada, otentikasi semua peralatan yang akan digunakan untuk
mengakses dta nirkabel ke jaringan sebelum memberikan IP address ke setiap
peralatan tersebut.

8
5. Kendali atas piranti kers dan piranti lunak

Router, firewall didesain untuk melindungi jaringan. Namun, sebagaimana


halnya rumah yang dilengkapi dengan kunci pengaman tambahan, perusahaan juga
dapat meningkatkan pengendalian dengan melakukan pengendalian pencegahan
tamabahan pada perimeter jaringannya dengan memberikan pencegahan tambahan
pada workstation, server, printer, dan piranti lainnya (yang secara kolektif disebut
end-point).. Terdapat tiga area yang harus mendapat perhatian khusus yakni (1)
konfigurasi end point, (2) manajemen akun pengguna. 3) rancangan piranti lunak

Konfigurasi end-point dapat dibuat dengan lebih aman dengan memodifikasi


konfigurasinya. Konfigurasi standar (defaul) di hampir semua piranti kerja biasanya
mengaktifkan semua pengaturan opsional yang seringkali jarang atau tidak pernah
digunakan. Demikian pula instalasi standar di hampir semua sistem operasi
mengaktifkan banyak sekali program bertujuan khusus, yang disebut service, yang
tidak penting. Setiap program yang berjalan mencerminkan titik potensial serangan
karena adanya kemungkinan titik-titik kelemahan didalamnya, yang disebut dengan
vulnerabilities, yang dapat dieksploitasi menjadi sistem yang rusak (crush) atau
pengambilalihan kendali atas sistem tersebut. Piranti yang disebut vulnerability
scanner dapat digunakan untuk mengidentifikasi program program yang tidak
digunakan sehingga potensi ancaman keamanannya bisa dicegah.

Sesuai dengan COBIT control objective DS5.4. manajemen akun pengguna


khususnya dibutuhkan akun-akun yang memiliki hak tidak terbatas (administratif)
atas komputer. Hak administratif diperlukan dalam rangka memasang piranti lunak
dan mengubah banyak konfigurasi. Kekuasaan yang sangat besar ini menjadikan
akun-akun yang memiliki hak administrative menjadi sasaran utama para penyerang
sistem. Selain itu, banyak vulnerabilities yang hanya mempengaruhi akun-akun yang
memiliki hak administrative. Oleh karena itu, pegawai yang memerlukan kekuasaan
administrative atas computer tertentu harus diberikan dua akun: satu akun dengan hak
admnistratif, dan satu akun lainnya yang hanya memiliki hak yang terbatas. Para
pegawai yang memiliki hak administrative ini harus dilatih untuk menggunakan akun
dengan hak terbatas untuk melakukan tugas-tugas harian rutin, dan baru
menggunakan akun dengan hak administrative jika diperlukan untuk melakukan

9
tindakan tertentu seperti pemasangan piranti lunak baru, yang memang memerlukan
hak administratif.

2.2.2 Pengendalian Detektif.

Pengendalian detektif meningkatkan keamanan dengan cara memonitor efektivitas


pengendalian preventif dan mendeteksi insiden yang berhasil ditangani oleh pengendalian
preventif. Pengendalian deteksi yang digunakan antara lain:

1. Analisis Log
Hampir sebagian besar sistem memiliki kapabilitas yang besar untuk mencatat siapa saja
yang mengakses sistem dan tindakan spesifik apa saja yang dilakukan oleh setiap
pengguna. Log atau catatan ini membentuk suatu jejak audit (audit trail) atas akses
sistem. Sama halnya dengan jejak audit lainnya, catatan-catatan ini hanya bermakna jika
secara rutin diperiksa. Log analysis merupakan proses untuk memeriksa catatan atas siapa
saja yang mengakses sistem untuk mengidentifikasi potensi kemungkinan serangan yang
dapat terjadi.

2. Intrusion Detection system


Intrusion Detection system (IDs) berisi seperangkat sensor dan unit monitoring pusat
yang menghasilkan catatan trafik jaringan yang telah diizinkan untuk melewati firewall
dan kemudian menganalisis tanda-tanda usaha untuk melakukan intrusi atau gangguan
atau gangguan yang sudah terjadi.

3. Laporan Manajemen
COBIT bagian MEI dan ME2 mengharuskan manajeman untuk memonitor dan
mengevaluasi kinerja sistem maupun pengendalian sistem. Kerangka COBIT memberikan
panduan bagi manajemen untuk mengidentifikasi faktor kunci kesuksesan yang terkait
dengan setiap tujuan dan menyarankan indikator kunci yang dapat digunakan oleh
manajemen dalam memonitor dan menilai efektivitas pengendalian

10
4. Pengujian Keamanan
COBIT control objective DS 5.5 mencatat perlunya dilakukan pengujian secara berkala
atas efektivitas prosedur pengamanan yang saat ini sudah ada.Salah satunya adalah
dengan menggunakan vulnerability scanner untuk mengidentifikasi potensi kelemahan
dalam konfigurasi sistem. Selain itu, penetratiom testing juga dapat digunakan sebagai
alat tes yang lebih kuat untuk menguji efektivitas keamanan informasi perusahaan.
Penetration test merupakan usaha yang disahkan yang dilakukan oleh tim audit intern
atau tim konsultan TI eksternal untuk menerobos masuk ke dalam sistem informasi
organisasi. Tim ini mencoba semua cara yang mungkin untuk menerobos keamanan
sistem perusahaan. Hal ini perlu dilakukan untuk mengidentifikasi dimana saja
perlindungan khusus harus diberikan untuk mencegah adanya akses tidak sah terhadap
sistem perusahaan

2.2.3 Pengendalian Korektif

Banyak pengendalian korektif yang mengandalkan penilaian manusia.


Konsekuensinya, efektivitasnya tergantung pada sejauh mana perencanaan dan persiapan
sudah dilakukan. Hal menyebabkan COBI control objective DS 5.6 mengharuskan untuk
mendefinisikan dan mengkomunikasikan karakteristik insiden untuk memfasilitas klasifikasi
dan perlakuan yang tepat.

11
2.3 Pengendalian Umum Dan Pengendalian Aplikasi

Proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem


komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga
integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta
menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000).

Pada dasarnya, proses Sistem Informasi dibedakan menjadi dua kategori, yaitu:

1. Pengendalian umum
2. Pengendalian aplikasi

2.3.1 Pengendalian umum

Secara sederhana pengendalian umun adalah semua bentuk pengendalian yang tidak
terkait langsung dengan aplikasi komputer. Contohnya, memastikan bahwa ruang kantor
terkunci, kemudian penempatan satpam di tugas jaga.

Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam
sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan
untuk melakukan pemrosesan data. Pengendalian umum meliputi :

a. Pengendalian organisasi
Organisasi menetapkan hubungan kerja antara karyawan dan unit organisasi.
Struktur organisasi dirancang sedemikian rupa sehingga menghasilkan organisasi
yang independen. Organisasi yang independen adalah struktur organisasi yang
memisahkan wewenang dan tanggungjawab sedemikian rupa sehingga fungsi yang
tidak kompatibel dipisahkan. Selain melalui tugas, pengendalian juga dicapai dengan
monitoring.
Dalam sistem manual, karyawan yang menangani aset mesti dipisahkan dari
karyawan yang memiliki otoritas untuk melaksanakan suatu transaksi dan karyawan
yang bertanggungjawab utuk mencatat transaksi.
Sistem informasi memiliki tanggungjawab untuk merekam dan memproses
data. Oleh karena itu sistem informasi mesti independen dari semua departemen yang
menggunakan data dan informasi tersebut. Departemen pengguna adalah departemen
yang memiliki tanggungjawab untuk menginisiasi dan mengotorisasi transaksi. Selain
itu, fungsi pengembangan sistem mesti dipisahkan dari sistem pemrosesan transaksi.

12
b. Pengendalian dokumentasi
Dokumentasi yang baik berguna untuk efisiensi dalam perbaikan system,
untuk efisiensi dalam pengembangan tambahan aplikasi baru, serta untuk pelatihan
karyawan dalam mengenalkan sistem aplikasi.

Dokumentasi yang diperlukan meliputi :

a) Kebijakan terkait dengan sistem, seperti kebijakan pengembangan sistem,


kebijkan pengujian sistem, kebijakan operasi komputer, dan kebijakan
penanganan bencana dan keamanan sistem.
b) Dokumentasi aplikasi sistem, seperti flowchart, dan data flow diagram, kode
rekening, deskripsi prosedur, prosedur koreksi kesalahan, prosedur
pengendalian, deskripsi file (termasuk kamus data), format output sistem, dan
deskripsi input output sistem.
c) Dokumentasi program.
d) Dokumentasi data.
e) Dokumentasi operasi.
f) Dokumtasi untuk pengguna.

c. Pengendalian akuntabilitas aset


Pengendalian akuntabilitas aset perusahaan dapat dilakukan dengan cara :
a) Penggunaan buku pembantu dalam catatan akuntansi
b) Rekonsilasi atas catatan dengan perhitungan fisik aset ( seperti rekonsilasi kas
dan persediaan ).
c) Prosedur acknowledgement sebagai bentuk wujud pertanggungjawaban atas
aset yang ditangani oleh seseorang atau suatu bagian.
d) Penggunaan log dan register.
e) Review independen.

13
d. Pengendalian praktik manajemen
Pengendalian praktik manajemen ini meliputi kebijakan dan praktik sumber
daya manusia, komitmen terhadap kompetensi, praktik perencanaan, praktik audit,
dan pengendaliaan pengembangan sistem aplikasi (prosedur perubahan sistem dan
prosedur pengembangan sistem baru).
e. Pengendalian sistem informasi pusat informasi.
f. Pengendalian otoritas.
g. Pengendalian akses.

2.3.2 Pengendalian Aplikasi

Pengendalian aplikasi adalah pengendalian terkait dengan aplikasi (peranti lunak)


tertentu. Pengendalian aplikasi ini meliputi pengendalian input, pengendalian proses dan
pengendalian output.

Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam
sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan
untuk melakukan pemrosesan data.

Pengendalian aplikasi meliputi :

a. Pengendalian masukan (input)


Pengendalian aplikasi input yang lazim diterapkan dalam suatu peranti lunak antara
lain :
a) Otorisasi
Otorisasi membatasi orang yang dapat mengakses data atau mengakses
aplikasi tertentu. Otorisasi ini dapat diterapkan melalui penggunaan nama
login dan password.
b) Approval (persetujuan)
Transaksi dapat diproses lebih lanjut, setelah adanya Approval dari pihak yang
berwenang.
c) Menandai dokumen
Dokumen yang sudah diinput agar tidak terjadi penginputan ganda dari satu
dokumen yang sama.

14
d) Pengecekan format
Memastikan bahwa pengguna memasukan data sesuai dengan tipe data yang
benar. Sebagai contoh : field nama tertentu tidak boleh memuat data selain
alfabet dan field tanggal mestinya tidak akan menerima masukan selain
tanggal.
e) Pengecekan kelengkapan user dalam memasukan data
Misalkan, untuk setiap konsumen baru harus ada alamat dan nomer telpon.
Oleh karena itu, jika pengguna tidak mengisi field alamat dan nomer telpon,
maka penambahan user baru tersebut tidak dapat disimpan.
f) Test reasonableness
Maksudnya, kebenaran data yang diinput dibandingkan dengan satu nilai yang
wajar. Sebagai contoh, dalam satu minggu seseorang karyawan, maksimum
bisa lembur 18 jam (setelah mereka bekerja selama 40 jam). Jadi, jika
karyawan bagian personalia keliru measukan jam lembur lebih dari 18 jam,
maka program dapat dibuat untuk meanmpilkan peringatan bahwa total jam
lembur diluar jam kewajaran. Transaksi mungin akan dapat diterima dan
diproses, tetapi, komputer dapat dibuat otomatis menghasilkan exception
report kepada atasan terkait.
g) Validaty cek
Cek yang berguna untuk memastikan bahwa user memasukan data yang valid.
Valid dalam artian sesuai dengan data di master file. Perancangan sistem dapat
menggunakan listbox (control yang menampilkan daftar nilai / pilihan untuk
memudahkan memasukan data ) untuk memaksa user memilih dari alternatif
yang tersedia.
h) Readback
Meminta konfirmsi dari pengguna untuk mengecek kembali data yang telah
dimasukan,
i) Batch control total
Setelah diproses control group membandingkan total batch keluaran dengan
total batch semula, menyelidiki, dan menyelesaikan perbedaan-perbedaan
yang timbul. Keluaran yang diterima oleh departemen pemakai dari control
group kemudian dibandingkan dengan total batch masukan. Untuk
mempermudah dan memperjelas tanggung jawab orang yang berwenang

15
melakukan operasi koversi data, maka manajemen harus menyediakan
instruksi tertulis sebagai suatu standar kerja.

b. Pengendalian proses (processing control)


Pengendalian proses ialah pengendalian intern untuk mendeteksi jangan
sampai data (khususnya data yang sesungguhnya sudah valid) menjadi salah karena
adanya kesalahan proses.
Kemungkinan yang paling besar untuk menimbulkan terjadinya eror adalah
kesalahan logika program, salah rumus, salah urutan program, ketidakperpaduaan
antara subsistem ataupun kesalahan teknisi lainnya.

c. Pengendalian keluaran (output)


Pengendalian keluaran ialah pengendalian interen untuk mendeteksi jangan
sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya,
atau didistribusikan kepda orang orang yang tidak berhak. Kemungkinan resiko yang
dihadapi yang tekait ddengan keluaran ialah seperti disebutkan diatas : laporan tidak
akurat, tidak lengkap, terlambat atau data tidak up to date, banyak item data yang
tidak relavan, bias, dibaca oleg pihak yang tidak berhak. Dalam sistem yang sudah
lebih terbuka (menggunakan jaringan komunikasi publik) potensi akses oleh hacker,
atau orang yang tidak berwenang lainnya.

16
2.4 Kerahasiaan Dan Privasi

2.4.1 Kerahasiaan

Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan pada
sistem organisasi yang tidak boleh diakses atau digunakan oleh orang-orang yang tidak
berhak. Aspek ini dapat tidak terpenuhi jika ada pengguna (internal) yang memiliki izin
tetapi menyalah gunakan izin tersebut lalu pengguna tersebut menyebar luaskan data-data
organisasi yang bersifat rahasia tersebut kepada orang lain atau pesaing yang membuat
organisasi merasa dirugikan atau juga pengguna tersebut menggunakan secara pribadi rahasia
tersebut untuk menyaingi perusahaan.

Terdapat empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas
informasi sensitif:

a. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi.


Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi
bisnis sensitive lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan
orang yang mengaksesnya. Setelah informasi yang perlu untuk dilindungi telah
diidentifikasi, langkah selanjutnya adalah mengklasifikasikan informasi untuk organisasi
berdasarkan nilainya. Praktik manajemen COBIT 5 menunjukkan bahwa klasifikasi
merupakan tanggung jawab pemilik informasi, bukan professional keamanan informasi
karena hanya pemilik informasilah yang memahami bagaimana informasi digunakan.
b. Melindungi kerahasian dengan enkripsi.
Enkripsi adalah alat yang penting dan efektif untuk melindungi kerahasiaan. Enkripsi
adalah satu-satunya cara untuk melindungi informasi melalui internet seperti melindungi
informasi yang disimpan di website atau jaringan umum.
c. Mengendalikan akses atas informasi sensitif.
Pengendalian autentikasi dan otorisasi tidaklah cukup untuk melindungi kerahasiaan
karena hanya mengendalikan akses awal terhadap informasi yang disimpan secara
digital. Perangkat lunak information rights management (IRM) memberikan tambahan
lapisan perlindungan terhadap informasi yang disimpan dengan format digital,
menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file tetapi juga
memerinci tindakan-tindakan yang dapat dilakukan individuyang diberi akses terhadap
sumber daya tersebut.

17
Saat ini organisasi secara konstan mempertukarkan informasi dengan rekan bisnis dan
pelanggan, perangkat lunak data loss prevention bekerja seperti antivirus secara terbalik
mengeblok pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci yang
terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi.
d. Pelatihan
Melatih para pegawai untuk menangani informasi secara tepat. Pelatihan adalah
pengendalian yang penting untuk melindungi kerahasiaan. Para pegawai perlu
mengetahui jenis informasi yang dapat mereka bagikan dan jenis informasi yang
dilindungi. Dengan pelatihan yang memadai, para pegawai dapat memainkan peran
penting untuk melindungi kerahasiaan informasi organisasi dan meningkatkan efektivitas
pengendalian terkait.

2.4.2 Privasi

Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip kerahasiaan,
perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi pribadi mengenai
pelanggan, pegawai, pemasok, atau rekan bisnis dari pada data keorganisasian. Langkah
pertama untuk melindungi privasi yaitu mengidentifikasi jenis informasi yang dimiliki
organisasi, letak ia simpan, dan orang yang memiliki akses terhadapnya. Demi melindungi
privasi, organisasi harus menjalankan program data masking yaitu program yang
menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu sebelum mengirimkan
data tersebut kepada pengembang program dan sistem pengujian. Terdapat dua permasalahan
utama terkait privasi:

a. Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten
serangan. Spam merupakan permasalahan yang terkait privasi karena penerima sering
kali menjadi target tujuan atas akses tak terotorisasi terhadap daftar dan databasee-
mail yang berisi informasi pribadi.
b. Pencuri identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi
seseorang demi keuntungan pelaku. Organisasi harus memiliki kewajiban etis dan moral
untuk menerapkan pengendalian demi melindungi informasi pribadi yang organisasi
kumpulkan.

18
Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi individu
telah menghasilkan berbagai regulasi pemerintah. Untuk membantu organisasi agar hemat
biaya dalam mematuhi banyaknya persyaratan ini, American Institute of Certified Public
Accountant (AICPA) dan Canadian Institute of Chartered Accountants (CICA) bersama-
sama mengembangkan sebuah kerangka yang disebut prinsip-prinsip yang diterima umum
(Generally Accepted Privacy Principles – GAAP).

Kerangka tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik


terbaik untuk melindungi privasi informasi pribadi para pelanggan yang terdiri dari: 1).
Manajemen; 2). Pemberitahuan; 3). Pilihan dan persetujuan; 4). Pengumpulan; 5).
Penggunaan dan Retensi; 6). Akses; 7). Pengungkapan kepada pihak ketiga; 8). Keamanan;
9). Kualitas; 10). Pengawasan dan penegakan.

19
DAFTAR PUSTAKA

Ikatan Akuntan Indonesia. (2015). Modul Chartered Accountant, sistem informasi dan
pengendalian internal.. Jakarta: Ikatan Akuntan Indonesia.

http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-pengendalian.html

http://www.academia.edu/9163201/BAB_3_PENGENDALIAN_INTERNAL_A._PENGER
TIAN_PENGENDALIAN_INTERNAL_DAN_PENGENDALIAN_MANAJEMEN

20