PENGENDALIAN DAN SISTEM INFORMASI

AKUNTANSI
Dosen Pengampu Annisa Hakim P, SE,M.Sc

Kelompok 5:

1. Fifin Afiyanti (16.0102.0138)

2. Purwati (16.0102.0165)
3. Murti Wijayanti (16.0102.0177)
4. Istianto Zenuari (16.0102.0205)

Prodi Akuntansi Fakultas Ekonomi dan Bisnis

Universitas Muhammadiyah Magelang

Tahun Ajaran 2018/2019

 KATA PENGANTAR
Puji syukur kami panjatkan kepada Allah SWT karena atas rahmat dan nikmat yang telah
dilimpahkan kepada kami, sehingga kami dapat menyelesaikan makalah yang berjudul
“Pengendalian dan Sistem Informasi Akuntansi”.

Makalah ini disusun untuk memenuhi tugas mata kuliah Sistem Informasi Akuntansi (SIA).
Makalah ini dibuat agar mahasiswa dapat memahami konsep pengendalian dasar dan
pentingnya pengendalian computer, mengetahui aktivitas pengendalian dalam perusahaan
dan pengawasan proses pengendalian pada organisasi.

Kami menyaadari bahwa pembuatan makalah ini masih banyak kekurangan. Oleh karena itu
kami selaku penulis mengharapkan kritik dan saran yang bersifat membangun demi
kesempurnaan makalah ini. Akhir kata semoga makalah ini dapat bermanfaat bagi kita
semua.

Magelang, 21 Oktober 2018

Penulis
DAFTAR ISI

Contents
KATA PENGANTAR ............................................................................................................................ 2
DAFTAR ISI........................................................................................................................................... 3
BAB I ...................................................................................................................................................... 5
PENDAHULUAN .................................................................................................................................. 5
A. Pendahuluan ................................................................................................................................ 5
B. Rumusan Masalah ....................................................................................................................... 5
C. Tujuan ......................................................................................................................................... 5
BAB II..................................................................................................................................................... 6
PEMBAHASAN ..................................................................................................................................... 6
A. Pendahuluan ................................................................................................................................ 6
B. Ikhtisar Konsep Pengendalian ..................................................................................................... 6
C. Kerangka Pengendalian............................................................................................................... 6
a. Kerangka COBIT .................................................................................................................... 6
b. Kerangka Pengendalian Internal COSO ................................................................................. 7
c. Kerangka Manajemen Risiko Perusahaan COSO ................................................................... 7
d. Kerangka Manajemen Risiko Perusahaan vs Kerangka Pengendalian Internal ...................... 7
D. Lingkungan Internal .................................................................................................................... 7
E. Penetapan Tujuan ........................................................................................................................ 9
F. Penilaian Risiko dan Respons Risiko.......................................................................................... 9
G. Aktivitas Pengendalian ............................................................................................................. 11
H. Informasi dan Komunikasi ........................................................................................................ 12
I. Pengawasan ............................................................................................................................... 12
PENGENDALIAN UNTUK KEAMANAN INFORMASI ................................................................ 14
A. Dua konsep keamanan informasi fundamental ......................................................................... 14
B. Memahami serangan yang ditargetkan...................................................................................... 15
C. Pengendalian Preventif ............................................................................................................. 15
D. PENGENDALIAN DETEKTIF ............................................................................................... 16
a. Analisis Log (Log Analysis) ................................................................................................. 17
b. Ids (Intrusion On Detection Systems)/ Sistem Deteksi Gangguan ....................................... 17
c. Uji Penetrasi/ Penetration Testing......................................................................................... 17
d. Pengawasan Berkelanjutan/Continuous Monitoring ............................................................. 17
 E. PENGENDALIAN KOREKTIF ............................................................................................... 17
1. Computer Incident Response Team (CIRT) ......................................................................... 17
2. Chief Information Security Officer (CISO) .......................................................................... 17
3. Manajemen Patch .................................................................................................................. 17
F. IMPLIKASI KEAMANAN VIRTULISASI DAN CLOUD .................................................... 18
BAB III ................................................................................................................................................. 19
PENUTUP ............................................................................................................................................ 19
A. KESIMPULAN ......................................................................................................................... 19
DAFTAR PUSTAKA ........................................................................................................................... 20
 BAB I
PENDAHULUAN
A. Pendahuluan
Definisi yang popular mengidentifikasi lingkungan sebagai segala sesuatu yang berada diluar
batas organisasi. Secara garis besar sebuah perusahaan akan dipengaruhi oleh lingkungan
perusahaan dimana lingkungan tersebut dapat dibagi kedalam dua bagian besar, yaitu
lingkungan eksternal dan lingkungan internal. Faktor internal mencakup kekuatan dan
kelemahan dalam internal perusahaan itu sendiri.
Aktivitas pengendalian bertujuan untuk mengarahkan karyawan agar karyawan dapat
bertindak sesuai dengan arahan manajer.
Penerapan teknologi informasi dan komunikasi banyak digunakan para usahawan. Kebutuhan
efisiensi waktu dan biaya menyebabkan setiap pelaku usaha merasa perlu menerapkan
teknologi informasi dalam lingkungan kerja. Penerapan teknologi infomasi dan komunikasi
menyebabkan perubahan pada kebiasaan kerja.

B. Rumusan Masalah
1. mengapa pengendalian dan keamanan computer itu penting?
2. Apa perbedaan kerangka pengendalian COBIT, COSO, dan ERM?
3. Apa elemen-elemen utama di dalam lingkungan internal perusahaan?
4. Apa tujuan pengendalian yang perlu dibuat oleh perusahaan?
5. Bagaimana menilai dan merespon risiko menggunakan model ERM?
6. Bagaimana cara mengkomunikasikan informasi dan mengawasi proses pengendalian pada
organisasi?
7. Bagaimana keamanan informasi mempengaruhi keandalan dalam sisem informasi?
8. Bagaimana sebuah kombinasi dari pengendalian preventif, detektif, dan korektif dapat
digunakan untuk memberikan jaminan memadai mengenai keamanan system informasi
sebuah perusahaan?

C. Tujuan
1. Untuk mengetahui pentingnya pengendalian dan keamanan computer
2. Untuk mengetahui perbedaan kerangka pengendalian COBIT, COSO, dan ERM
3. Untuk mengetahui elemen-elemen utama di dalam lingkungan internal perusahaan
4. Untuk mengetahui tujuan pengendalian yang perlu dibuat oleh perusahaan
5. Untuk mengetahui bagaimana menilai dan merespon risiko menggunakan model ERM
6. Untuk mengetahui cara mengkomunikasikan informasi dan mengawasi proses
pengendalian pada organisasi
7. Untuk mengetahui keamanan informasi mempengaruhi keandalan dalam sisem informasi
8. Untuk mengetahui pengendalian preventif, detektif, dan korektif dapat digunakan untuk
memberikan jaminan memadai mengenai keamanan system informasi sebuah perusahaan
 BAB II
PEMBAHASAN
A. Pendahuluan
Mengapa ancaman terhadap system informasi akuntansi meningkat ?

 Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada.

 Informasi pada jaringan computer distribusi sulit dikendalikan.
 Pelanggan serta pemasok memiliki akses ke system dan data satu sama lain.

Organisasi belum melindungi data dengan baik karena:

 Beberapa perusahaan memandang kehilangan atas informasi penting sebagai sebuah

ancaman yang tidak mungkin terjadi
 Implikasi pengendalian atas pemindahan dan system computer tersentralisasi ke system
berbasis internet tidak sepenuhnya dipahami
 Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber daya
stategis dan melindungi informasi harus menjadi sebuah ketentuan strategis.
 Produktivitas dan penekanan biaya memotivasi manajemen untuk mengabaikan ukuran
pengendalian yang memakan waktu

B. Ikhtisar Konsep Pengendalian

Pengendalian internal adalah sebuah proses karena ia menyebar ke seluruh aktivitas
pengoperasian perusahaan dan merupakan bagian integral dari aktivitas manajemen.
Pengendalian internal memberikan jaminan memadai jaminan menyeluruh yang sulit dicapai
dan terlalu mahal. Pengendalian internal menjalankan tiga fungsi penting sbb:

1. Pengendalian preventif, mencegah masalah sebelum timbul

Contoh: merekrut personel berkualifikasi, memisahkan tugas pegawai, dan
mengendalikan akses fisik atas asset dan informasi.
2. Pengendalian detektif, menemukan masalah yang tidak terelakkan.
Contoh: menduplikasi pengecekan kalkulasi dan menyiapkan rekonsiliasi bank serta
neraca saldo bulanan
3. Pengendalian korektif. Mengidentifikasi dan memperbaiki masalah serta memperbaiki
dan memulihkannya dari kesalahan yang dihasilkan.

C. Kerangka Pengendalian

a. Kerangka COBIT
Information Systems Audit and Control Association (ISACA) mengembangkan kerangka
control objective for Information and Related Technology (COBIT). COBIT menggabungkan
standar-standar pengendalian dari banyak sumber berbeda ke dalam sebuah kerangka tunggal
yang memungkinkan (1) mananjemen untuk membuat tolok ukur praktik-praktik keamanan
dan pengendalian lingkungan. (2)para pengguna layanan TI dijamin dengan adanya
keamanan dan pengendalian yang memadai. (3) para auditor memperkuat opini pengendalian
internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.

b. Kerangka Pengendalian Internal COSO

Committee of Sponsoring Organization (COSO) terdiri dari Asosiasi Akuntansi Amerika
(American Accounting Assosiation), AICPA, Ikatan Auditor Internal, Ikatan Akuntan
Manajemen, dan Ikatan Eksekutif Keuangan. Pada 1992, COSO menerbitkan pengendalian
internal –kerangka terintegrasi, yang diterima secara luas sebagai otoritas untuk pengendalian
internal yang digabungkan kedalam kebijakan, peraturan dan regulasi, yang digunakan untuk
mengendalikan aktivitas bisnis.

c. Kerangka Manajemen Risiko Perusahaan COSO

Manajemen Risiko Peusahaan (Enterprise Risk Management)—ERM adalah sebuah
kerangaka COSO yang memperbaiki proses manajemen risiko dengan memperluas
(menambahkan tiga elemen tambahan) pengendalian COSO terintegrasi.

d. Kerangka Manajemen Risiko Perusahaan vs Kerangka Pengendalian Internal

Kerangka IC untuk mengevaluasi pengendalian internal, kerangka ERM yang lebih
komprehensif menggunakan pendekatan berbasis risiko daripada berbasis pengendalian.
ERM menambahkan tiga elemen tambahan ke dalam IC COSO: penetapan tujuan,
pengidentifikasian kejadian yang mungkin mempengaruhi perusahaan, dan pengembangan
sebuah respons untuk risiko yang dinilai. Hasilnya, pengendalian bersifat fleksibel dan
relevan karena ditautkan dengan tujuan organisasi terkini. Model ERM, juga mengakui
bahwa risiko, selain dikendalikan, dapat pula diterima, dihindari,dibuat berjenis-jenis, dibagi
atau ditransfer.

D. Lingkungan Internal
Lingkungan Internal atau budaya perusahaan mempengaruhi cara organisasi menetapkan
stategi dan tujuannya, membuat struktur aktivitas bisnis, dan mengidentifikasi, menilai, serta
merespons risiko. Sebuah lingkungan internal mencakup hal-hal sebagai berikut:

1. Filosofi manajemen, gaya pengoperasian, dan selera risiko.

Selara keseluruhan, sebuah organisasi memiliki sebuah filosofi atau kepercayaan dan
sikap yang dianut bersama, tentang risiko yang mempengaruhi kebijakan, prosedur,
komunikasi lisan dan tulisan, serta keputusan. Perusahaan juga memiliki selera risiko
yaitu jumlah risiko yang bersedia diterima oleh sebuah perusahaan untuk mencapai tujuan
dan sasarannya. Untuk menghindari risiko yang tidak semestinya, selera risiko harus
selaras dengan strategi perusahaan.
2. Komitmen terhadap integritas, nilai-nilai etis dan kompetensi.
Organisasi membutuhkan sebuah budaya yang menekankan integritas dan komitmen pada
nilai-nilai etis serta kompetensi. Etika berbayar standar-standar etis merupakan bisnis
yang baik. Integritas dimulai dari puncak kepemimpinan dengan pegawai perusahaan
mengadopsi sikap manajemen puncak tentang risiko dan pengendalian.
Perusahaan mendukung integritas dengan:
 Mengajarkan dan mensyaratkan secara aktif.
  Menghindari pengharapan atau insentif yang tidak realistis, sehingga memotivasi
tindakan dusta atau legal.
 Memberikan penghargaan atas kejujuran serta memberikan label verbal pada perilaku
jujur dan tidak jujur secara konsisten.
 Mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit perilaku
jujur dan tidak jujur.
 Mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau illegal dan
mendisiplinkan pegawai yang diketahui tidak melaporkannya.
 Membuat sebuah komitmen untuk kompetensi.
3. Pengawasan pengendalian internal oleh dewan direksi.
SOX mensyaratkan perusahaan public untuk memiliki sebuah komite audit dari dewan
luar dan independen. Komite audit bertanggungjawab atas pelaporan keuangan,
kepatuhan terhadap peraturan, pengendalian internal, serta perekrutan dan pengawasan
baik auditor internal maupun eksternal, yang melaporkan seluruh kebijakan dan praktik
akuntansi penting kepada komite tersebut. Para dewan harus menyetujui strategi
perusahaan dan meninjau kebijakan-kebijakan kamanan.

4. Struktur organisasi.
Sebuah struktur organisasi perusahaan memberikan sebuah kerangka untuk operasi
perencanaan, pelaksanaan, pengendalian, dan pengawasan. Aspek-aspek penting dari
struktur organisasi menyertakan hal-hal berikut
 Sentralisasi atau desentralisasi wewenang.
 Hubungan pengarahan atau matriks pelaporan.
 Organisasi berdasarkan industry, lini produk, lokasi, atau jaringan pemasaran.
 Organisasi dan garis wewenang untuk akuntansi, pengauditan dan fungsi system
infromasi.
 Ukuran dan jenis aktivitas perusahaan.
5. Metode penetapan wewenang dan tanggung jawab.
Kebijakan dan prosedur manual menjelaskan praktik bisnis yang sesuai, mendeskripsikan
pengetahuan dan pengalaman yang dibutuhkan, menjelaskan prosedur dokumen,
menjelaskan cara menangani transaksi, dan mendata SD yang disediakan untuk
melaksanakan tugas-tugas tertentu.
6. Standar-standar SDM yang menarik, mengembangkan dan mempertahankan individu
yang kompeten.
Perkrutan.
7. Mengompensasi, mengevaluasi, dan mempromosikan.
8. Pelatihan.
9. Pengelolaan para pegawai yang tidak puas.
10. Pemberhentian.
11. Liburan dan rotasi tugas.
12. Perjanjian kerahasiaan dan asuransi ikatan kesehatan.
13. Menuntut dan memenjarakan pelaku
14. Pengaruh eksternal.
E. Penetapan Tujuan
Manajemen menetapkan tujuan pada tingkatan perusahaan dan kemudian membaginya ke
dalam tujuan yang lebih spesifik untuk subunit perusahaan. perusahaan menentukan hal yang
harus berjalan dengan benar untuk mencapai tujuan dan menetapkan ukuran kinerja guna
menentukan apakah ukuran-ukuran kinerja tersebut terpenuhi.

 Tujuan strategis: tujuan tingkat tinggi yang disejajarkan dan mendukung misi perusahaan
serta menciptakan nilai pemegang saham.
 Tujuan operasi: tujuan yang berhubungan dengan efektivitas dan efisiensi operasi
perusahaan serta menentukan cara mengalokasikan sumber daya
 Tujuan pelaporan: tujuan yang membantu memastikan ketelitian, kelengkapan, dan
keterandalan laporan perusahaan, meningkatkan pembuatan keputusan, dan mengawasi
aktivitas serta kinerja perusahaan.
 Tujuan kepatuhan: tujuan yang membantu perusahaan mematuhi seluruh hukum dan
peraturan yang berlaku

F. Penilaian Risiko dan Respons Risiko

Resiko-risiko kejadian yang teridentifikasi dinilai dalam beberapa cara yang berbeda yaitu
kemungkinan, dampak positif dan negatif,secara individu dan berdasarkankatagori,
pengaruhnya terhadap unit organisasi baik pada resiko turunan maupun resiko berbasis
residual.Risiko bawaan adalah kelemahan sebuah penetapan akun atau transaksi pada
masalah pengendalian yang signifikan tanpa adanya pengendalian internal. Risiko risidual
adalah risiko yang tersisa setelah manajemen melakukan kendali internal atau respon lainnya
terhadap resiko.
Manajemen dapat merespon resiko dengan salahsatu diantara 4(empat) cara berikut:
 Mengurangi. Mengurangi kemungkinan dan pengaruh resikodengan melaksanakan
sistem yang efektif terhadap kendali internal.
 Menerima. Menerima kemungkinan dan pengaruh resiko.
 Membagikan. Membagikan resiko atau mentransfer resiko tersebut keorang lain dengan
membeli asuransi, mengalihdayakan aktivitas, atau memasukkan ke dalam transaksi
lindung nilai.
 Menghindari. Menghindari resiko dengan tidak melakukan kegiatan yang menghasilkan
resiko. Hal ini perusahaan perlu menjual sebuah devisi, keluar dari lini produk, atau
tidak memperluas perusahaan seperti yang diharapkan.
Akuntan dan perancang sistem membantu manajemen merancang sistem kendali yang
efektif untuk menghindari resiko bawaan. Mereka juga mengevaluasi sistem kendali
internal untuk memastikan bahwa sistem bekerja secara efektif.
Memperkirakan kemungkinan & Dampak
 Memperkirakan Kemungkinan dan Pengaruh Resiko Beberapa kejadian menunjukkan
resiko yang lebih besar karena kejadiantersebut akan lebih mungkin terjadi. Karyawan akan
lebih mungkin melakukan kesalahan dibanding melakukan kecurangan, perusahaan akan
lebih mungkinmenjadi korban kecurangan dibandaing korban gempa bumi.
Kemungkinanterjadinya gempa bumi mungkin kecil namun pengaruhnya dapat
menghancurkan perusahaan. Pengaruh terjadinya kecurangan biasanya tidak begitu besar,
karena kebanyakan fraud terjadi secara instan tidak mengancam keberadaan perusahaan.
Kemungkinan dan pengaruh harus disamakan. Apakah peningkatan, baik secara material
kejadian dan kebutuhan akan perlindungan terhadap peningkatan kecurangan.
Perangkat software membantu menjalankan penilaian resiko dan responakan resiko.
Sebuah perusahaan di Florida yaitu Blue Cross Blue Shieldmenggunakan software ERM
yang memungkinkan manajer masuk ke dalamresiko yang terlihat jelas; menilai sifat resiko,
kemungkinannya dan pengaruh danmenempatkannya dengan rating bilangan. Keseluruhan
penilaian resiko perusahaan dikembangkan dengan memisahkan semua rangking/urutan-
urutan.
Mengidentifikasi Pengendalian
Manajemen harus mengenali kendali yang melindungi perusahaan darisetiap kejadian.
Mencegah kendali biasanya lebih dulu dari mendeteksi kendali.Saat kendali pencegahan
gagal, kendali deteksi diperlukan untuk menemukan permasalahan. Koreksi kendali
membantu memperbaiki masalah yang ada. Sistemkendali internal yang baik harus digunakan
untuk ketiganya.
Memperkirakan Biaya & Manfaat
Tujuan perancangan sistem kendali internal adalah menyediakan jaminanyang masuk
akal yang memungkinkan suatu kejadian tidak terjadi. Tidak adasistem kendali internal yang
menyediakan proteksi yang mudah terhadap semuakejadian, karena memiliki terlalu banyak
kendali mengakibatkan larangan biayadan secara negatif mempengaruhi efisiensi operasional.
Sebaliknya memilikikontrol yang sedikitpun tidak akan memberikan jaminan yang masuk
akal.
Keuntungan dari sebuah prosedur kendali internal harus melebihi biayanya.
Keuntungan, yang sukar dijumlahkan secara akurat, termasuk peningkatan penjualan dan
produktifitas, pengurangan kerugian, integrasi yanglebih baik antara pelanggan dan supplier,
meningkatkan kesetiaan pelanggan,keuntungan yang kompetitif, dan premi asuransi yang
lebih rendah.Salah satu carauntuk memperkirakan nilai kendali internal melibatkan perkiraan
kerugian, hasilmatematis terhadap pengaruh dan kemungkinan tersebut adalah :
 Perkiraan Kerugian = Pengaruh x Kemungkinan

Nilai prosedur kontrol adalah perbedaan antara Perkiraan Kerugian dengan prosedur kontrol
dan kerugian yang diperkirakan tanpa prosedur kontrol.
Menentukan efektivitas Biaya/Manfaat
Manajemen harus menentukan apakah sebuah kendali memberikeuntungan biaya.
Sebagai contoh, pada Atlantic Richfield kesalahandata seringterjadi yang memerlukan
keseluruhan pembayaran harus diproses ulang, pada biaya $ 10.000,-. Langkah validasi data
harus dapat mengurangi kemungkinanterjadinya kejadian sebesar 15% hingga 1% pada biaya
$600 per periode pembayaran.
Mengimplementasikan Pengendalian/Menerima, Membagi / Menghindari Risiko
Kendali biaya efektif harus dilaksanakan untuk mengurangi resiko.Resiko yang tidak
dikurangi harus diterima, dibagi, atau dihindari. Resiko harusdapat diterima jika masih dalam
batas toleransi resiko perusahaan. Sebagai contohyaitu resiko dengan kemungkinan dan
pengaruh yang kecil. Respon untuk mengurangi atau membagi resiko yang akan membawa
resiko residual ke dalam batas toleransi resiko yang dapat diterima. Sebuah perusahaan dapat
memilihmenghidari resiko dimana tidak ada cara yang bersifat biaya efektif untuk membawa
resiko ke dalam batas toleransi yang dapat diterima.

G. Aktivitas Pengendalian
Aktivitas pengendalian merupakan kebijakan dan prosedur yang menyediakan jaminan yang
masuk akal yang mengendalikan tujuan agar tercapai dan respon terhadap resiko dapatdiatasi.
Merupakan tanggung jawab manajemenmengembangkan sistem kendali yang aman dan
memadai.

Pengendalian akan lebih efektif bila ditempatkan dalam sistem sebagai manasistem
tersebut dibangun. Hasilnya manajer harus melibatkan penganalisa sistem, perancang dan
akhirnya pemakai saat merancang sistem yang berbasis kendalikomputer. Penting kiranya,
aktivitas kontrol dilaksanakan selama musim liburanakhir tahun, karena sejumlah besar
kecurangan komputer dan pembobolankeamanan terjadi selama musim tersebut. Beberapa
alasan kejadian ini terjadiadalah karena (1) lamanya liburan karyawan berarti bahwa makin
sedikit orangyang “menjaga toko”; (2) pelajar tidak masuk sekolah dan memiliki banyak
waktuuntuk bekerja; dan (3) penggemar hacker meningkatkan serangan mereka.Prosedur
kendali memiliki beberapa katagori diantaranya :
1. Otorisasi transaksi dan kegiatan yang memadai
 2. Pemisahan tugas
3. Pengembangan proyek dan pengendalian akuisisi
4. Mengubah kendali manajemen
5. Mendesain & menggunakan dokumen serta catatan
6. Pengamanan aset, catatan & data
7. Pengecekan Kinerja yang independen

H. Informasi dan Komunikasi

Hal ini berkaitan langsung dengan tujuan utama SIA yaitu untuk mengumpulkan,mencatat,
memproses, menyimpan, meringkas, dan mengkomunikasikaninformasi atas suatu organisasi.
Hal ini berarti bahwa akuntan harus memahami bagaimana (1) transaksi diawali, (2) data
didapat dalam bentuk yang dapat dibacaoleh mesin, atau data diubah dari dokumen sumber
ke bentuk yang dapat dibacaoleh mesin, (3) file komputer diakses dan diperbarui, (4) data
diproses untuk mempersiapkan sebuah informasi, dan (5) informasi dilaporkan ke para
pemakaiinternal dan pihak eksternal. Akuntan juga harus memahami catatan dan
prosedur akuntansi, dokumen-dokumen pendukung, dan akun laporan keuangan tertentuyang
terlibat dalam pemrosesan dan pelaporan transaksi.Hal-hal tersebut membuat sistem dapat
melakukan jejak audit (audt trail).Jejak audit muncul ketika transaksi suatu perusahaan dapat
dilacak di sepanjangsistem mulai dari asalnya sampai tujuan akhirnya pada laporan keuangan.

I. Pengawasan
Segala kekurangan harus dilaporkan kepada manajemen senior dan dewan direksi. Metode-
metode utama dalam pengawasan kinerja :
Menjalankan Evaluasi Pengendalian Internal
Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal atau evaluasi
penilaian diri.
Implementasi Pengawasan yang efektif
Pengawasan efektif melibatkan dan mendampingi pegawai, mengawasi kinerja mereka,
mengkoreksi kesalahan & mengawasi pegawai yang memiliki akses terhadap aset.
Menggunakan Sistem Akuntansi Pertanggungjawaban
Meliputi anggaran, kuota, jadwal, biaya standar, dan standar kualitas, perbandingan laporan
kinerja aktual dan yang direncanakan dan prosedur untuk menyelidiki serta mengkoreksi
varian yang signifikan.
Mengawasi Aktivitas Sistem
Paket perangkat lunak analisis dan manajemen risiko meninjau ukuran-ukuran keamanan
komputer dan jaringan, mendeteksi akses ilegal, menguji kelemahan dan kerentanan
melaporakan kelemahan yang ditemukan dan menyarankan perbaikan.
Melacak Perangkat Lunak & Perangkat Bergerak Yang Dibeli
Business Software Alliance (BSA) melacak & mendenda perusahaan yang melanggar
perjanjian lisensi perangkat lunak. Peningkatan jumlah perngkat bergerak harus dilacak dan
diawasi karena kerugiaannya dapat menunjukkan pengungkapan yang substansial.
Menjalankan Audit Berkala
Audit kemanan eksternal, internal, dan jaringan dapat menilai & megawasi risiko maupun
mendeteksi penipuan & kesalahan. Para auditor menguji pengendalian sistem secara reguler
dan menelusuri file pengguna sistem untuk mencari altivitas mencurigakan secara periodik.
Memperkerjakan Petugas Keamanan Komputer & Chief Compliance Officer
Computer security officer (CSO) seorang pegawai yang independen dari fungsi sitem
informasi yang mengawasi sistem, menyebarkan informasi mengenai penggunaan sistem
yang tidak sesuai dan konsekuensinya, serta melaporkan kepada manajemen puncak.
Chief Compliance Officer (CCO) seorang pegawai yang bertanggung jawab atas semua tugas
kepatuhan yang terkait SOX serta pengaturan hukum & peraturan.
Menyewa Spesialis Forensik
Penyelidik forensi, Individu yang memiliki spesialis dalam penipuan, sebagai besar dari
mereka memiliki pelatihan khusus dari agen-agen penek hukum lainnya. Seperti FBI atau
IRS atau memiliki sertifikat profesional.
Spesialis forensik komputer, pakar komputer yang menemukan, mengekstraksi,
mengamankan, dan mengdokumentasikan bukti komputer seperti keabsahan, akurasi,
integritas bahwa tidak akan menyerah pada tantangan hukum.
Memasang Perangkat Lunak Deteksi Penipuan.
Jaringan saraf, sistem yang meniru proses pembelajaran otak dengan menggunakan jaringan
prosesor yang terhubung satu sama lain dengan menjalankan berbagai operasi secara serentak
& berinteraksi dengan denamis.
Mengimplementasikan Hotline Penipuan
Hotline penipuan, nomor telepon yang dapat dihubungi oleh para pegawai untuk melaporkan
penipuan & penyalahgunaan secara anonim (tanpa nama).
PENGENDALIAN UNTUK KEAMANAN INFORMASI
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan
sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap
tahapan daam proses pengelolaan informasi. Pengendalian sistem informasi adalah
keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan
mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti
memindahkan sebagaian dari sistem informasinya kecloud. Untuk mengatasi
permasalahanpengendalian tersebut, AICPA dan CICA mengembangkan Trust Service
Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust Service
Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara
bersamaan terhadap keandalan sistem:

1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data di
dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive (seperti
rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, atau
rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta
terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat, lengkap,
tepat waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.

Keamanan informasi merupakan landasan keandalan sistem dan diperlukan untuk mencapai
masing-masing dari empat prinsip lainnya.Prosedur keamanan informasi membatasi akses ke
sistem hanya untuk pengguna yang terotorisasi, sehingga melindungi kerahasiaan data
keorganisasian yang sensitif dan privasi atas informasi pribadi yang dikumpulkan dari
pelanggan.Selain itu, prosedur keamanan melindungi integritas informasi dengan mencegah
terjadinya transaksi tanpa ijin atau fiktif serta memberikan perlindungan terhadap berbagai
serangan termasuk virus dan worm.

A. Dua konsep keamanan informasi fundamental

 Keamanan merupakan masalah manjemen, bukan hanya masalah teknologi
- Berhubungan dengan sanksi yang akan diberikan akan ketidakpatuhan
- Level keamanan tingkt tinggi
 Defense-in-depth dan model keamanan informasi berbasis waktu
- Defense-in-depth adalah penggunaan nernagai lapisan pengendalian untuk
menghindari satu poin kegagalan.melibatkan penggunaan sebuah kombinasi dari
pengendalian preventif, defektif dan korektif.
- Tujuan dari model keamanan berasis waktu adala menggunkan kombinasi
perlindungan preventif, detektif, korektif yng melindungi aset informasi cukup
 lama agar memungkinkan organisasi mengenali bahwa sebah serangan tengah
terjdi dan megambillangkah-langkah untuk menggaglkannya.

B. Memahami serangan yang ditargetkan

Langkah-langkah dasar yang dilakukan parah penjahat untuk menyerang sistem

informasisuatu perusahaan:
1. Melakukan Pengintaian (conduct reconnaissance). Tujuan pengintaian awal
adalahuntuk mempelajari sebanyak mungkin tentang target serta
mengindentifikasikankerentanan potensial.
2. Mengupayakan rekayasa sosial (attempt social engineering). Rekayasa sosial
dapatterjadi melalui banyak cara. Hanya dibatasi oleh kreativitas dan imajinasi
penyerang.
3. Memindai dan memetakan target (scan and the map target). Penyerang
menggunakanberbagai alat otomatis untuk mengidentifikasi komputer yang dapat
dikendalikan darijarak jauh serta berbagai jenis perangkat lunak yang mereka jalankan.
4. Penelitian (research). Setelah penyerang mengidentifikasi target-target spesifik
danmengetahui jenis versi perangkat lunak yang dijalankan, langka selanjutnya
adalahmelakukan penelitian untuk menemukan kerentanan yang terdeteksi pada
program-program tersebut serta mempelajari bagaimana memanfaatkan kerentanan
tersebut.
5. Mengeksekusi serangan (execute the attack). Penyerang memanfaatkan
kerentananuntuk mendapatkan akses tanpa izin terhadap system informasi target.
6. Menutupi jejak (cover tracks). Setelah memasuki system informasi
pengguna,sebagian besar penyerang berupaya untuk menutupi jejak mereka dan
menciptakan“pintu belakang” yang dapat mereka gunakan untuk mendapatkan akses
jika seranganawal mereka diketahui dan pengendalian diimplementasikan untuk
mengeblok metodeentri tersebut.

C. Pengendalian Preventif
Berbagai pengendalian preventif selaras bersamaan seperti kepingan-kepingan
puzzleyang menyediakan defense-in-depth secara kolektif. Meskipun seluruh
kepingan penting,komponen “orang-orang” adalah yang paling penting.
Orang-orang
1.Penciptaan sebuah budaya “Sadar Keamanan”Unt uk m enci pt akan sebuah
budaya sadar keam anan agar para pegawai m em at uhi kebijakan
keorganisasian, manajamen puncak tidak hanya harus
mengkomunikasikankebijakan keamanan organisasi, tetapi juga harus memandu dengan
mencontohkannya.
2. Pelatihan, Seluruh pegawai harus diajarkan tentang pentingnya ukuran-
ukuran keamanan bagikebertahanan jangka-panjang organisasi. Pelatihan penting
dilakukan untuk melatih parapegawai tentang serangan rekayasa sosial.
 Proses:
Pengendalian Akses Pengguna
Pentingnya untuk mengetahui bahwa “orang luar” bukan satu-satunya sumber
ancaman.Oleh karena itu, organisasi perlu menerapkan satu set pengendalian yang
dirancang untukmelindungi asset informasi mereka dari penggunaan dan akses tanpa
izin yang dilakukan olehpara pegawai. Agar tujuan tercapai, praktik manajamen
menekankan perlu pengendalianuntuk mengelola identitas pengguna dan
akses logis. Penerapan praktik manajamen inimelibatkan dua jenis pengendalian
akses pengguna yang saling berhubungan, tetapi berbeda:
1. Pengendalian autentifikasi adalah prose veifikasi identitas seseorng atau perangkat
yang mencoba untuk mengakses sistem (sandi, kartu pintar, sidik jari)
- Multifaktor = dengan penggabungan dua jenis atau lebih sistem verifikasi
- Multimodal = dua jenis alat verifikasi yng sama
2. Pengendalian otorisasi adalah proses memperketat akses pengguna terotorisasi atas
bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan
untuk dilakukan.
Untuk mendukung pelaksanaaan kedua pengendalian tersebut, maka solusi di bidang
teknologi informasi sendiri pun diperlukan. Terdapat beberapa solusi teknologi informasi
yang dapat digunakan:
a. Pengendalian antimalware. Malware dapat menghancurkan informasi atau
memperoleh akses tanpa ijin. Oleh karena itu, salah satu dari bagian COBIT 5
DSS05.01 mendaftarkan perlindungan malware sebagi salah satu dari kunci
keamanan yang efektif.
b. Pengendalian akses jaringan. Banyak organisasi menyediakan akses nirkabel
terhadaap sistem mereka. Praktik manajemen COBIT 5 DSS05.02 menunjukkan
keamanan jaringan organisasi dan seluruh upaya untuk tersambung ke dalamnya.
c. Pengendalian pengukuhan peralatan dan perangkat lunak. Firewall didesain untuk
melindungi parimeter jaringan, namun diperlukan tambahan pengendalian
preventif pada stasiun kerja, server, printer, dan perangkat lainnya (secara kolektif
disebut endpoint) yang meliputi jaringan organisasi. Praktik manajemen COBIT 5
DSS05.03 menjelakan aktivitas yang terlibat dalam mengelola keamanan
endpoint.
d. Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses
tanpa ijin terhadap informasi sensitif.
Organisasi secara konstan memodifikasi sistem informasi untuk menunjukkan
praktik-praktik bisnis baru. Pengendalian perubahan dan manajemen perubahan
merupakan proses formal yang digunakan untuk memastikan bahwa modifikasi
pada perangkas kera, perangkat lunak, atau pada proses tidak mengurangi
keandalan sistem.

D. PENGENDALIAN DETEKTIF
Pengendaian preventif tidak pernah 100% efektif dalam mengeblok seluruh serangan. Oleh
karena itu, salah satu praktik manajemen COBIT 5 DSS05.07 menjelaskan aktivitas-aktivitas
yang juga dibutuhkan organisasi untuk memungkinkan deteksi gangguan dan masalah secara
tepat waktu.

a. Analisis Log (Log Analysis)

Merupakan proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Log
perlu dianalisis secara teratur untuk mendeteksi masalah pada waktu yang tepat. Analisis log
akhirnya membutuhkan penilaian manusia untuk menafsirkan laporan dan mengidentifikasi
situasi yang tidak normal.

b. Ids (Intrusion On Detection Systems)/ Sistem Deteksi Gangguan

IDS adalah sistem yang menciptakan log dari semua lalu lintas jaringan yang diizinkan untuk
lulus firewall kemudian menganalisa log mereka untuk tanda atas gangguan yang diupayakan
telah berhasil dilakukan atau intrusi sukses.

IDS dapat diinstal pada perangkat tertentu untuk memantau upaya tidak sah untuk untuk
mengubah konfigurasi perangkat ini.

c. Uji Penetrasi/ Penetration Testing

Sebuah upaya pihak berwenang baik oleh tim audit internal atau sebuah perusahaan konsultan
keamanan eksternal untuk masuk ke sistem informasi organisasi.

d. Pengawasan Berkelanjutan/Continuous Monitoring

Praktik manajemen COBIT 5 menekankan pentingnya terus memantau kedua kepatuhan
karyawan dengan kebijakan keamanan informasi organisasi dan kinerja keseluruhan proses
bisnis.

E. PENGENDALIAN KOREKTIF
1. Computer Incident Response Team (CIRT)
Sebuah tim yang bertanggungjawab untuk mengatasi insiden keamanan utama. Sebuah CIRT
harus mengarahkn proses respons insiden organisasi melalui empat tahap:
a. Pemberitahuan adanya masalah
b. Penahanan masalah
c. Pemulihan
d. Tindak lanjut

2. Chief Information Security Officer (CISO)

CISO harus memahami lingkungan teknologi perusahaan dan bekerja dengan Chief
Information Officer (CIO) untuk mendesain, mengimplementasi, serta membangun kebijakan
dan prosedur keamanan yang baik.

3. Manajemen Patch
Proses untuk secara teratur menerapkan patch dan memperbarui perangkat lunak.
Sedangkan Patch adalah kode yang dirilis pengembang perangkat lunak untuk memperbaiki
kerentanan tertentu.
F. IMPLIKASI KEAMANAN VIRTULISASI DAN CLOUD
Virtualisasi menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
Komputasi Cloud menggunakan sebuah browser untuk mengakses perangkat lunak,
penyimpanan data, perangkat keras, dan aplikasi dari jarak jauh.
 BAB III
PENUTUP
A. KESIMPULAN
Jadi dapat disimpulkan bahwa pengendalian internal adalah sebuah proses karena menyebar ke
seluruh aktivitas pengoperasian perusahaan dan merupakan bagian integral dari aktivitas
manajemen. Pengendalian internal memberikan jaminan memadai jaminan menyeluruh yang
sulit dicapai dan terlalu mahal. Pengendalian internal menjalankan tiga fungsi penting sbb:
Pengendalian preventif, Pengendalian detektif, Pengendalian korektif. Selain itu
pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan
sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap
tahapan daam proses pengelolaan informasi. Pengendalian sistem informasi adalah
keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan
mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI).
 DAFTAR PUSTAKA

Romney, B Marshall. 2014. Sistem Informasi Akuntansi. Jakarta: Salemba Empat.