AKUNTANSI
Dosen Pengampu Annisa Hakim P, SE,M.Sc
Kelompok 5:
Makalah ini disusun untuk memenuhi tugas mata kuliah Sistem Informasi Akuntansi (SIA).
Makalah ini dibuat agar mahasiswa dapat memahami konsep pengendalian dasar dan
pentingnya pengendalian computer, mengetahui aktivitas pengendalian dalam perusahaan
dan pengawasan proses pengendalian pada organisasi.
Kami menyaadari bahwa pembuatan makalah ini masih banyak kekurangan. Oleh karena itu
kami selaku penulis mengharapkan kritik dan saran yang bersifat membangun demi
kesempurnaan makalah ini. Akhir kata semoga makalah ini dapat bermanfaat bagi kita
semua.
Penulis
DAFTAR ISI
Contents
KATA PENGANTAR ............................................................................................................................ 2
DAFTAR ISI........................................................................................................................................... 3
BAB I ...................................................................................................................................................... 5
PENDAHULUAN .................................................................................................................................. 5
A. Pendahuluan ................................................................................................................................ 5
B. Rumusan Masalah ....................................................................................................................... 5
C. Tujuan ......................................................................................................................................... 5
BAB II..................................................................................................................................................... 6
PEMBAHASAN ..................................................................................................................................... 6
A. Pendahuluan ................................................................................................................................ 6
B. Ikhtisar Konsep Pengendalian ..................................................................................................... 6
C. Kerangka Pengendalian............................................................................................................... 6
a. Kerangka COBIT .................................................................................................................... 6
b. Kerangka Pengendalian Internal COSO ................................................................................. 7
c. Kerangka Manajemen Risiko Perusahaan COSO ................................................................... 7
d. Kerangka Manajemen Risiko Perusahaan vs Kerangka Pengendalian Internal ...................... 7
D. Lingkungan Internal .................................................................................................................... 7
E. Penetapan Tujuan ........................................................................................................................ 9
F. Penilaian Risiko dan Respons Risiko.......................................................................................... 9
G. Aktivitas Pengendalian ............................................................................................................. 11
H. Informasi dan Komunikasi ........................................................................................................ 12
I. Pengawasan ............................................................................................................................... 12
PENGENDALIAN UNTUK KEAMANAN INFORMASI ................................................................ 14
A. Dua konsep keamanan informasi fundamental ......................................................................... 14
B. Memahami serangan yang ditargetkan...................................................................................... 15
C. Pengendalian Preventif ............................................................................................................. 15
D. PENGENDALIAN DETEKTIF ............................................................................................... 16
a. Analisis Log (Log Analysis) ................................................................................................. 17
b. Ids (Intrusion On Detection Systems)/ Sistem Deteksi Gangguan ....................................... 17
c. Uji Penetrasi/ Penetration Testing......................................................................................... 17
d. Pengawasan Berkelanjutan/Continuous Monitoring ............................................................. 17
E. PENGENDALIAN KOREKTIF ............................................................................................... 17
1. Computer Incident Response Team (CIRT) ......................................................................... 17
2. Chief Information Security Officer (CISO) .......................................................................... 17
3. Manajemen Patch .................................................................................................................. 17
F. IMPLIKASI KEAMANAN VIRTULISASI DAN CLOUD .................................................... 18
BAB III ................................................................................................................................................. 19
PENUTUP ............................................................................................................................................ 19
A. KESIMPULAN ......................................................................................................................... 19
DAFTAR PUSTAKA ........................................................................................................................... 20
BAB I
PENDAHULUAN
A. Pendahuluan
Definisi yang popular mengidentifikasi lingkungan sebagai segala sesuatu yang berada diluar
batas organisasi. Secara garis besar sebuah perusahaan akan dipengaruhi oleh lingkungan
perusahaan dimana lingkungan tersebut dapat dibagi kedalam dua bagian besar, yaitu
lingkungan eksternal dan lingkungan internal. Faktor internal mencakup kekuatan dan
kelemahan dalam internal perusahaan itu sendiri.
Aktivitas pengendalian bertujuan untuk mengarahkan karyawan agar karyawan dapat
bertindak sesuai dengan arahan manajer.
Penerapan teknologi informasi dan komunikasi banyak digunakan para usahawan. Kebutuhan
efisiensi waktu dan biaya menyebabkan setiap pelaku usaha merasa perlu menerapkan
teknologi informasi dalam lingkungan kerja. Penerapan teknologi infomasi dan komunikasi
menyebabkan perubahan pada kebiasaan kerja.
B. Rumusan Masalah
1. mengapa pengendalian dan keamanan computer itu penting?
2. Apa perbedaan kerangka pengendalian COBIT, COSO, dan ERM?
3. Apa elemen-elemen utama di dalam lingkungan internal perusahaan?
4. Apa tujuan pengendalian yang perlu dibuat oleh perusahaan?
5. Bagaimana menilai dan merespon risiko menggunakan model ERM?
6. Bagaimana cara mengkomunikasikan informasi dan mengawasi proses pengendalian pada
organisasi?
7. Bagaimana keamanan informasi mempengaruhi keandalan dalam sisem informasi?
8. Bagaimana sebuah kombinasi dari pengendalian preventif, detektif, dan korektif dapat
digunakan untuk memberikan jaminan memadai mengenai keamanan system informasi
sebuah perusahaan?
C. Tujuan
1. Untuk mengetahui pentingnya pengendalian dan keamanan computer
2. Untuk mengetahui perbedaan kerangka pengendalian COBIT, COSO, dan ERM
3. Untuk mengetahui elemen-elemen utama di dalam lingkungan internal perusahaan
4. Untuk mengetahui tujuan pengendalian yang perlu dibuat oleh perusahaan
5. Untuk mengetahui bagaimana menilai dan merespon risiko menggunakan model ERM
6. Untuk mengetahui cara mengkomunikasikan informasi dan mengawasi proses
pengendalian pada organisasi
7. Untuk mengetahui keamanan informasi mempengaruhi keandalan dalam sisem informasi
8. Untuk mengetahui pengendalian preventif, detektif, dan korektif dapat digunakan untuk
memberikan jaminan memadai mengenai keamanan system informasi sebuah perusahaan
BAB II
PEMBAHASAN
A. Pendahuluan
Mengapa ancaman terhadap system informasi akuntansi meningkat ?
C. Kerangka Pengendalian
a. Kerangka COBIT
Information Systems Audit and Control Association (ISACA) mengembangkan kerangka
control objective for Information and Related Technology (COBIT). COBIT menggabungkan
standar-standar pengendalian dari banyak sumber berbeda ke dalam sebuah kerangka tunggal
yang memungkinkan (1) mananjemen untuk membuat tolok ukur praktik-praktik keamanan
dan pengendalian lingkungan. (2)para pengguna layanan TI dijamin dengan adanya
keamanan dan pengendalian yang memadai. (3) para auditor memperkuat opini pengendalian
internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.
D. Lingkungan Internal
Lingkungan Internal atau budaya perusahaan mempengaruhi cara organisasi menetapkan
stategi dan tujuannya, membuat struktur aktivitas bisnis, dan mengidentifikasi, menilai, serta
merespons risiko. Sebuah lingkungan internal mencakup hal-hal sebagai berikut:
4. Struktur organisasi.
Sebuah struktur organisasi perusahaan memberikan sebuah kerangka untuk operasi
perencanaan, pelaksanaan, pengendalian, dan pengawasan. Aspek-aspek penting dari
struktur organisasi menyertakan hal-hal berikut
Sentralisasi atau desentralisasi wewenang.
Hubungan pengarahan atau matriks pelaporan.
Organisasi berdasarkan industry, lini produk, lokasi, atau jaringan pemasaran.
Organisasi dan garis wewenang untuk akuntansi, pengauditan dan fungsi system
infromasi.
Ukuran dan jenis aktivitas perusahaan.
5. Metode penetapan wewenang dan tanggung jawab.
Kebijakan dan prosedur manual menjelaskan praktik bisnis yang sesuai, mendeskripsikan
pengetahuan dan pengalaman yang dibutuhkan, menjelaskan prosedur dokumen,
menjelaskan cara menangani transaksi, dan mendata SD yang disediakan untuk
melaksanakan tugas-tugas tertentu.
6. Standar-standar SDM yang menarik, mengembangkan dan mempertahankan individu
yang kompeten.
Perkrutan.
7. Mengompensasi, mengevaluasi, dan mempromosikan.
8. Pelatihan.
9. Pengelolaan para pegawai yang tidak puas.
10. Pemberhentian.
11. Liburan dan rotasi tugas.
12. Perjanjian kerahasiaan dan asuransi ikatan kesehatan.
13. Menuntut dan memenjarakan pelaku
14. Pengaruh eksternal.
E. Penetapan Tujuan
Manajemen menetapkan tujuan pada tingkatan perusahaan dan kemudian membaginya ke
dalam tujuan yang lebih spesifik untuk subunit perusahaan. perusahaan menentukan hal yang
harus berjalan dengan benar untuk mencapai tujuan dan menetapkan ukuran kinerja guna
menentukan apakah ukuran-ukuran kinerja tersebut terpenuhi.
Tujuan strategis: tujuan tingkat tinggi yang disejajarkan dan mendukung misi perusahaan
serta menciptakan nilai pemegang saham.
Tujuan operasi: tujuan yang berhubungan dengan efektivitas dan efisiensi operasi
perusahaan serta menentukan cara mengalokasikan sumber daya
Tujuan pelaporan: tujuan yang membantu memastikan ketelitian, kelengkapan, dan
keterandalan laporan perusahaan, meningkatkan pembuatan keputusan, dan mengawasi
aktivitas serta kinerja perusahaan.
Tujuan kepatuhan: tujuan yang membantu perusahaan mematuhi seluruh hukum dan
peraturan yang berlaku
Nilai prosedur kontrol adalah perbedaan antara Perkiraan Kerugian dengan prosedur kontrol
dan kerugian yang diperkirakan tanpa prosedur kontrol.
Menentukan efektivitas Biaya/Manfaat
Manajemen harus menentukan apakah sebuah kendali memberikeuntungan biaya.
Sebagai contoh, pada Atlantic Richfield kesalahandata seringterjadi yang memerlukan
keseluruhan pembayaran harus diproses ulang, pada biaya $ 10.000,-. Langkah validasi data
harus dapat mengurangi kemungkinanterjadinya kejadian sebesar 15% hingga 1% pada biaya
$600 per periode pembayaran.
Mengimplementasikan Pengendalian/Menerima, Membagi / Menghindari Risiko
Kendali biaya efektif harus dilaksanakan untuk mengurangi resiko.Resiko yang tidak
dikurangi harus diterima, dibagi, atau dihindari. Resiko harusdapat diterima jika masih dalam
batas toleransi resiko perusahaan. Sebagai contohyaitu resiko dengan kemungkinan dan
pengaruh yang kecil. Respon untuk mengurangi atau membagi resiko yang akan membawa
resiko residual ke dalam batas toleransi resiko yang dapat diterima. Sebuah perusahaan dapat
memilihmenghidari resiko dimana tidak ada cara yang bersifat biaya efektif untuk membawa
resiko ke dalam batas toleransi yang dapat diterima.
G. Aktivitas Pengendalian
Aktivitas pengendalian merupakan kebijakan dan prosedur yang menyediakan jaminan yang
masuk akal yang mengendalikan tujuan agar tercapai dan respon terhadap resiko dapatdiatasi.
Merupakan tanggung jawab manajemenmengembangkan sistem kendali yang aman dan
memadai.
Pengendalian akan lebih efektif bila ditempatkan dalam sistem sebagai manasistem
tersebut dibangun. Hasilnya manajer harus melibatkan penganalisa sistem, perancang dan
akhirnya pemakai saat merancang sistem yang berbasis kendalikomputer. Penting kiranya,
aktivitas kontrol dilaksanakan selama musim liburanakhir tahun, karena sejumlah besar
kecurangan komputer dan pembobolankeamanan terjadi selama musim tersebut. Beberapa
alasan kejadian ini terjadiadalah karena (1) lamanya liburan karyawan berarti bahwa makin
sedikit orangyang “menjaga toko”; (2) pelajar tidak masuk sekolah dan memiliki banyak
waktuuntuk bekerja; dan (3) penggemar hacker meningkatkan serangan mereka.Prosedur
kendali memiliki beberapa katagori diantaranya :
1. Otorisasi transaksi dan kegiatan yang memadai
2. Pemisahan tugas
3. Pengembangan proyek dan pengendalian akuisisi
4. Mengubah kendali manajemen
5. Mendesain & menggunakan dokumen serta catatan
6. Pengamanan aset, catatan & data
7. Pengecekan Kinerja yang independen
I. Pengawasan
Segala kekurangan harus dilaporkan kepada manajemen senior dan dewan direksi. Metode-
metode utama dalam pengawasan kinerja :
Menjalankan Evaluasi Pengendalian Internal
Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal atau evaluasi
penilaian diri.
Implementasi Pengawasan yang efektif
Pengawasan efektif melibatkan dan mendampingi pegawai, mengawasi kinerja mereka,
mengkoreksi kesalahan & mengawasi pegawai yang memiliki akses terhadap aset.
Menggunakan Sistem Akuntansi Pertanggungjawaban
Meliputi anggaran, kuota, jadwal, biaya standar, dan standar kualitas, perbandingan laporan
kinerja aktual dan yang direncanakan dan prosedur untuk menyelidiki serta mengkoreksi
varian yang signifikan.
Mengawasi Aktivitas Sistem
Paket perangkat lunak analisis dan manajemen risiko meninjau ukuran-ukuran keamanan
komputer dan jaringan, mendeteksi akses ilegal, menguji kelemahan dan kerentanan
melaporakan kelemahan yang ditemukan dan menyarankan perbaikan.
Melacak Perangkat Lunak & Perangkat Bergerak Yang Dibeli
Business Software Alliance (BSA) melacak & mendenda perusahaan yang melanggar
perjanjian lisensi perangkat lunak. Peningkatan jumlah perngkat bergerak harus dilacak dan
diawasi karena kerugiaannya dapat menunjukkan pengungkapan yang substansial.
Menjalankan Audit Berkala
Audit kemanan eksternal, internal, dan jaringan dapat menilai & megawasi risiko maupun
mendeteksi penipuan & kesalahan. Para auditor menguji pengendalian sistem secara reguler
dan menelusuri file pengguna sistem untuk mencari altivitas mencurigakan secara periodik.
Memperkerjakan Petugas Keamanan Komputer & Chief Compliance Officer
Computer security officer (CSO) seorang pegawai yang independen dari fungsi sitem
informasi yang mengawasi sistem, menyebarkan informasi mengenai penggunaan sistem
yang tidak sesuai dan konsekuensinya, serta melaporkan kepada manajemen puncak.
Chief Compliance Officer (CCO) seorang pegawai yang bertanggung jawab atas semua tugas
kepatuhan yang terkait SOX serta pengaturan hukum & peraturan.
Menyewa Spesialis Forensik
Penyelidik forensi, Individu yang memiliki spesialis dalam penipuan, sebagai besar dari
mereka memiliki pelatihan khusus dari agen-agen penek hukum lainnya. Seperti FBI atau
IRS atau memiliki sertifikat profesional.
Spesialis forensik komputer, pakar komputer yang menemukan, mengekstraksi,
mengamankan, dan mengdokumentasikan bukti komputer seperti keabsahan, akurasi,
integritas bahwa tidak akan menyerah pada tantangan hukum.
Memasang Perangkat Lunak Deteksi Penipuan.
Jaringan saraf, sistem yang meniru proses pembelajaran otak dengan menggunakan jaringan
prosesor yang terhubung satu sama lain dengan menjalankan berbagai operasi secara serentak
& berinteraksi dengan denamis.
Mengimplementasikan Hotline Penipuan
Hotline penipuan, nomor telepon yang dapat dihubungi oleh para pegawai untuk melaporkan
penipuan & penyalahgunaan secara anonim (tanpa nama).
PENGENDALIAN UNTUK KEAMANAN INFORMASI
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan
sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap
tahapan daam proses pengelolaan informasi. Pengendalian sistem informasi adalah
keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan
mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti
memindahkan sebagaian dari sistem informasinya kecloud. Untuk mengatasi
permasalahanpengendalian tersebut, AICPA dan CICA mengembangkan Trust Service
Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust Service
Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara
bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data di
dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive (seperti
rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, atau
rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta
terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat, lengkap,
tepat waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.
Keamanan informasi merupakan landasan keandalan sistem dan diperlukan untuk mencapai
masing-masing dari empat prinsip lainnya.Prosedur keamanan informasi membatasi akses ke
sistem hanya untuk pengguna yang terotorisasi, sehingga melindungi kerahasiaan data
keorganisasian yang sensitif dan privasi atas informasi pribadi yang dikumpulkan dari
pelanggan.Selain itu, prosedur keamanan melindungi integritas informasi dengan mencegah
terjadinya transaksi tanpa ijin atau fiktif serta memberikan perlindungan terhadap berbagai
serangan termasuk virus dan worm.
C. Pengendalian Preventif
Berbagai pengendalian preventif selaras bersamaan seperti kepingan-kepingan
puzzleyang menyediakan defense-in-depth secara kolektif. Meskipun seluruh
kepingan penting,komponen “orang-orang” adalah yang paling penting.
Orang-orang
1.Penciptaan sebuah budaya “Sadar Keamanan”Unt uk m enci pt akan sebuah
budaya sadar keam anan agar para pegawai m em at uhi kebijakan
keorganisasian, manajamen puncak tidak hanya harus
mengkomunikasikankebijakan keamanan organisasi, tetapi juga harus memandu dengan
mencontohkannya.
2. Pelatihan, Seluruh pegawai harus diajarkan tentang pentingnya ukuran-
ukuran keamanan bagikebertahanan jangka-panjang organisasi. Pelatihan penting
dilakukan untuk melatih parapegawai tentang serangan rekayasa sosial.
Proses:
Pengendalian Akses Pengguna
Pentingnya untuk mengetahui bahwa “orang luar” bukan satu-satunya sumber
ancaman.Oleh karena itu, organisasi perlu menerapkan satu set pengendalian yang
dirancang untukmelindungi asset informasi mereka dari penggunaan dan akses tanpa
izin yang dilakukan olehpara pegawai. Agar tujuan tercapai, praktik manajamen
menekankan perlu pengendalianuntuk mengelola identitas pengguna dan
akses logis. Penerapan praktik manajamen inimelibatkan dua jenis pengendalian
akses pengguna yang saling berhubungan, tetapi berbeda:
1. Pengendalian autentifikasi adalah prose veifikasi identitas seseorng atau perangkat
yang mencoba untuk mengakses sistem (sandi, kartu pintar, sidik jari)
- Multifaktor = dengan penggabungan dua jenis atau lebih sistem verifikasi
- Multimodal = dua jenis alat verifikasi yng sama
2. Pengendalian otorisasi adalah proses memperketat akses pengguna terotorisasi atas
bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan
untuk dilakukan.
Untuk mendukung pelaksanaaan kedua pengendalian tersebut, maka solusi di bidang
teknologi informasi sendiri pun diperlukan. Terdapat beberapa solusi teknologi informasi
yang dapat digunakan:
a. Pengendalian antimalware. Malware dapat menghancurkan informasi atau
memperoleh akses tanpa ijin. Oleh karena itu, salah satu dari bagian COBIT 5
DSS05.01 mendaftarkan perlindungan malware sebagi salah satu dari kunci
keamanan yang efektif.
b. Pengendalian akses jaringan. Banyak organisasi menyediakan akses nirkabel
terhadaap sistem mereka. Praktik manajemen COBIT 5 DSS05.02 menunjukkan
keamanan jaringan organisasi dan seluruh upaya untuk tersambung ke dalamnya.
c. Pengendalian pengukuhan peralatan dan perangkat lunak. Firewall didesain untuk
melindungi parimeter jaringan, namun diperlukan tambahan pengendalian
preventif pada stasiun kerja, server, printer, dan perangkat lainnya (secara kolektif
disebut endpoint) yang meliputi jaringan organisasi. Praktik manajemen COBIT 5
DSS05.03 menjelakan aktivitas yang terlibat dalam mengelola keamanan
endpoint.
d. Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses
tanpa ijin terhadap informasi sensitif.
Organisasi secara konstan memodifikasi sistem informasi untuk menunjukkan
praktik-praktik bisnis baru. Pengendalian perubahan dan manajemen perubahan
merupakan proses formal yang digunakan untuk memastikan bahwa modifikasi
pada perangkas kera, perangkat lunak, atau pada proses tidak mengurangi
keandalan sistem.
D. PENGENDALIAN DETEKTIF
Pengendaian preventif tidak pernah 100% efektif dalam mengeblok seluruh serangan. Oleh
karena itu, salah satu praktik manajemen COBIT 5 DSS05.07 menjelaskan aktivitas-aktivitas
yang juga dibutuhkan organisasi untuk memungkinkan deteksi gangguan dan masalah secara
tepat waktu.
IDS dapat diinstal pada perangkat tertentu untuk memantau upaya tidak sah untuk untuk
mengubah konfigurasi perangkat ini.
E. PENGENDALIAN KOREKTIF
1. Computer Incident Response Team (CIRT)
Sebuah tim yang bertanggungjawab untuk mengatasi insiden keamanan utama. Sebuah CIRT
harus mengarahkn proses respons insiden organisasi melalui empat tahap:
a. Pemberitahuan adanya masalah
b. Penahanan masalah
c. Pemulihan
d. Tindak lanjut
3. Manajemen Patch
Proses untuk secara teratur menerapkan patch dan memperbarui perangkat lunak.
Sedangkan Patch adalah kode yang dirilis pengembang perangkat lunak untuk memperbaiki
kerentanan tertentu.
F. IMPLIKASI KEAMANAN VIRTULISASI DAN CLOUD
Virtualisasi menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
Komputasi Cloud menggunakan sebuah browser untuk mengakses perangkat lunak,
penyimpanan data, perangkat keras, dan aplikasi dari jarak jauh.
BAB III
PENUTUP
A. KESIMPULAN
Jadi dapat disimpulkan bahwa pengendalian internal adalah sebuah proses karena menyebar ke
seluruh aktivitas pengoperasian perusahaan dan merupakan bagian integral dari aktivitas
manajemen. Pengendalian internal memberikan jaminan memadai jaminan menyeluruh yang
sulit dicapai dan terlalu mahal. Pengendalian internal menjalankan tiga fungsi penting sbb:
Pengendalian preventif, Pengendalian detektif, Pengendalian korektif. Selain itu
pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan
sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap
tahapan daam proses pengelolaan informasi. Pengendalian sistem informasi adalah
keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan
mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI).
DAFTAR PUSTAKA