Anda di halaman 1dari 12

TUGAS SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

Chapter 8

Nama : Grace Laurensia


PPA 2019
Universitas Tarumanagara
1. Pengendalian Sistem Informasi
7 kriteria utama dalam kerangka pengendalian Control Objectives for Information and
Related Technology (COBIT):
a. Efektivitas
 Informasi harus relevan dan tepat waktu.
b. Efisiensi
 Informasi harus dihasilkan dengan cara yang paling hemat biaya.
c. Kerahasiaan
 Informasi sensitif harus dilindungi dari pengungkapan informasi yang tidak
sah.
d. Integritas
 Informasi harus akurat, lengkap dan valid.
e. Ketersediaan
 Informasi harus tersedia kapanpun diperlukan.
f. Kepatuhan
 Pengendalian harus memastikan kepatuhan dengan kebijakan internal dan
dengan ketentuan hukum dan perundang-undangan.
g. Keandalan
 Manajemen harus memiliki akses ke dalam informasi yang diperlukan untuk
melakukan aktivitas sehari-hari untuk menjalankan amanahnya dan untuk
menjalankan tanggungjawab tata kelola.

Berdasarkan pengendalian COBIT, Proses teknologi Informasi (TI) umum harus dikelola
dan dikendalikan dengan baik dalam rangka menghasilkan informasi yang memenuhi
tujuh kriteria diatas dikelompokkan kedalam empat kelompok aktivitas manajemen
berikut:
1. Perencanaan dan organisasi
Terdapat sepuluh proses penting untuk merencanakan dan mengelola sistem
informasi organisasi, yaitu:
a. Mendefinisikan perencanaan strategis TI.
b. Mendefinisikan arsitektur informasi.
c. Menentukan arahan terkait teknologi.
d. Mendefinisikan proses, organisasi dan hubungan TI.
e. Mengelola investasi TI.
f. Mengkomunikasikan sasaran dan arahan manajemen.
g. Mengelola sumber daya manusia TI.
h. Mengelola kualitas.
i. Menilai dan mengelola risiko TI.
2. Perolehan dan implementasi
Terdapat tujuh proses penting untuk mendapatkan dan menerapkan solusi teknologi:
a. Mengidentifikasi solusi-solusi otomisasi.
b. Perolehan dan pemeliharaan piranti lunak aplikasi.
c. Perolehan dan pemeliharaan infrastruktur teknologi.
d. Operasi dan penggunaan.
e. Perolehan sumber daya TI.
f. Mengelola perubahan.
g. Memasang dan mengakreditasi solusi dan perubahan.
3. Pelaksanaan dan dukungan
Terdapat 12 proses penting untuk pelaksanaan sistem informasi yang efektif dan
efisien serta memberikan manajemen informasi yang diperlukan untuk menjalankan
organisasi, yaitu:
a. Mendefinisikan dan mengelola tingkat layanan.
b. Mengelola layanan pihak ketiga.
c. Mengelola kinerja dan kapasitas.
d. Memastikan layanan berkelanjutan.
e. Mengidentifikasi dan mengalokasikan biaya.
f. Mengedukasi dan melatih para pengguna.
g. Mengelola meja layanan dan insiden.
h. Mengelola konfigurasi.
i. Mengelola masalah.
j. Mengelola data.
k. Mengelola lingkungan fisik.
l. Mengelola operasi.
4. Monitor dan evaluasi
Terdapat empat proses penting untuk menilai operasi dari sistem informasi
organisasi:
a. Monitor dan evaluasi kinerja TI.
b. Monitor dan evaluasi pengendalian internal.
c. Memastikan kepatuhan dengan peraturan eksternal.
d. Melaksanakan tata kelola TI.
Dalam pengendalian internal atas keamanan sistem informasi, terdapat dua konsep
fundamental yang perlu dipahami, yaitu:
1. Keamanan informasi merupakan persoalan manajemen, bukan persoalan teknologi.
 SOX mengharuskan CEO dan CFO perusahaan untuk memberikan pernyataan
bahwa laporan keuangan mencerminkan hasil dari aktivitas perusahaan.
Akurasi dari laporan keuangan perusahaan bergantung pada keandalan
sistem informasi. Dengan demikian, keamanan informasi merupakan dasar
dari keandalan sistem. Akibatnya, keamanan informasi merupakan tanggung
jawab manajemen.
2. Defense-in-depth dan time-based model dari keamanan informasi

 Ide defense-in-depth adalah menggunakan beberapa lapisan pengendalian


untuk menghindari adanya satu titik kegagalan. Misalnya, banyak organisasi
tidak hanya menggunakan firewall, namun juga menggunakan metode-
metode autentikasi (Contoh: password, token dan biometric) untuk
membatasi akses.
2. Pengendalian Preventif, Korektif dan Detektif
1. Pengendalian Preventif
Organisasi biasanya membatasi akses terhadap sumber-sumber daya informasi
sebagai pengendalian preventif atas keamanan TI. Contoh tindakan preventif
dalam rangka mengendalikan keamanan sumber TI antara lain:
a. Pelatihan
 Para pegawai harus memahami dan mengikuti kebijakan keamanan
organisasi. Semua pegawai harus diajarkan mengapa keamanan sangat
penting bagi keselamatan perusahaan dalam jangka panjang. Mereka
harus diajarkan untuk tidak berbagi password, tidak membuka email yang
mencurigakan, hanya menggunakan piranti lunak yang asli dan melakukan
langkah-langkah yang diperlukan untuk melindungi komputernya secara
fisik.
b. Kendali atas akses para pengguna
 Untuk mengidentifikasi setiap orang yang mengakses sistem informasi
organisasi dan menelusuri tindakan-tindakan yang mereka lakukan. Yaitu
dengan pengendalian otentifikasi yang membatasi siapa saja yang dapat
mengakses sistem informasi organisasi dan pengendalian otorisasi yang
membatasi apa saja yang boleh dilakukan oleh setiap orang jika mereka
diberikan akses terhadap sistem informasi organisasi.
c. Kendali atas akses fisik
 Dimulai dari titik masuk ke gedung tempat aset secara fisik berada.
Idealnya, hanya ada satu titik masuk yang tidak terkunci selama jam kerja
normal.
d. Kendali atas akses jaringan
 Memberikan akses jarak jauh kepada para pegawai, pelanggan dan
pemasok terhadap sistem informasi perusahaan, biasanya akses ini terjadi
melalui internet. Metode pengendalian yang dapat digunakan untuk
mengendalikan akses jaringan sesuai dengan COBIT antara lain:
1. Menggunakan batasan-batasan pengamanan seperti router, firewall
dan intrusion prevention system lainnya.
2. Perlindungan terhadap pengiriman data, dengan menggunakan
Transmission Control Protocol/ Internet Protocol yang mengatur
prosedur membagi file dan dokumen ke dalam paket-paket untuk
dikirim melalui internet dan metode untuk menyusun kembali data
tersebut ke dalam file atau dokumen originalnya setelah diterima di
tempat tujuan.
3. Perlindungan terhadap akses nirlaba dengan mengaktifkan fitur-fitur
pengaman yang ada, otentikasi semua peralatan yang akan digunakan
untuk mengakses data nirkabel ke jaringan dan konfigurasi semua
piranti nirlaba.
e. Kendali atas piranti keras dan piranti lunak
 Router, firewall dan intrusion prevention system didesain untuk
melindungi jaringan. Dapat meningkatkan pengendalian dengan
melakukan pengendalian pencegahan tambahan pada perimeter
jaringannya.
2. Pengendalian Detektif
Pengendalian detektif meningkatkan keamanan dengan cara memonitor efektivitas
pengendalian preventif dan mendeteksi insiden yang berhasil ditangani oleh
pengendalian preventif. Pengendalian deteksi yang digunakan antara lain:
a. Analisis Log
 Hampir sebagian besar sistem memiliki kapabilitas yang besar untuk
mencatat siapa saja yang mengakses sistem dan tindakan spesifik apa saja
yang dilakukan oleh setiap pengguna. Catatan ini membentuk suatu jejak
audit atas akses sistem.
b. Instrusion Detection System
 Berisi seperangkat sensor dan unit monitoring pusat yang menghasilkan
catatan trafik jaringan yang telah diizinkan untuk melewati firewall dan
kemudian menganalisis catatan tersebut untuk mendeteksi adanya tanda-
tanda usaha.
c. Laporan Manajemen
 COBIT bagian ME1 dan ME2 mengharuskan manajemen untuk memonitor
dan mengevaluasi kinerja sistem maupun pengendalian sistem. Kerangka
COBIT memberikan panduan bagi manajemen untuk mengidentifikasi faktor
kunci kesuksesan yang terkait dengan setiap tujuan pengendalian.
d. Pengujian Keamanan
 Mencatat perlunya dilakukan pengujian secara berkala atas efektivitas
prosedur pengamanan yang saat ini sudah ada. Salah satunya adalah dengan
menggunakan vulnerability scanner untuk mengidentifikasi potensi
kelemahan delam konfigurasi sistem.
3. Pengendalian Korektif
Banyak pengendalian korektif yang mengandalkan penilaian manusia. Konsekuensinya,
efektivitasnya tergantung pada sejauh mana perencanaan dan persiapan sudah
dilakukan. Hal ini menyebabkan COBIT DS 5.6 mengharuskan untuk mendefinisikan dan
mengkomunikasikan karakteristik insiden keamanan untuk memfasilitas klasifikasi dan
perlakuan yang tepat.
1. Pengendalian Umum dan Pengendalian Aplikasi
o Pengendalian Umum

 adalah semua bentuk pengendalian yang tidak terkait langsung dengan


aplikasi komputer, meliputi:
a. Pengendalian Organisasi
Organisasi menetapkan hubungan kerja antara karyawan dan unit
organisasi. Struktur organisasi dirancang sedemikian rupa sehingga
menghasilkan organisasi yang independen. Organisasi yang independen
adalah struktur organisasi yang memisahkan wewenang dan tanggung
jawab sedemikian rupa sehingga fungsi yang tidak kompatibel dipisahkan.
Selalin melalui pemisahan tugas, pengendalian juga dicapai dengan
monitoring.
b. Pengendalian dokumentasi
Dokumentasi yang baik berguna untuk efisiensi perbaikan bug system,
efisiensi dalam pengembangan tambahan aplikasi baru serta untuk
pelatihan karyawan dalam mengenalkan sistem aplikasi.
Dokumentasi yang diperlukan meliputi:
1. Kebijakan terkait dengan sistem, contoh: kebijakan pengembangan
sistem, kebijakan operasi komputer dan keamanan sistem.
2. Dokumentasi aplikasi sistem, contoh: flowchart, data flow diagram,
kode rekening dan deskripsi input output sistem.
3. Dokumentasi program.
4. Dokumentasi data.
5. Dokumentasi operasi.
6. Dokumentasi untuk pengguna.
c. Pengendalian Akuntabilitas Aset
Dapat dilakukan dengan cara:
1. Penggunaan buku pembantu dalam catatan akuntansi.
2. Rekonsiliasi atas catatan dengan perhitungan fisik aset.
3. Prosedur acknowledgement sebagai bentuk wujud
pertanggungjawaban atas aset yang ditangani oleh seseorang atau
suatu bagian.
4. Penggunaan log dan register.
5. Review independen.
d. Pengendalian Praktik Manajemen
Meliputi kebijakan dan praktik sumber daya manusia, komitmen terhadap
kompetensi, praktik perencanaan, praktik audit dan pengendalian
pengembangan sistem aplikasi.
e. Pengendalian operasi pusat informasi
f. Pengendalian otorisasi
g. Pengendalian akses
o Pengendalian Aplikasi

 Adalah pengendalian terkait dengan aplikasi (peranti lunak) tertentu,


meliputi:
a. Pengendalian Masukan
Pengendalian aplikasi input yang lazim diterapkan dalam suatu peranti
lunak antara lain:

 Otorisasi
Membatasi orang yang dapat mengakses data atau mengakses
aplikasi tertentu. Otorisasi ini dapat diterapkan melalui
penggunaan nama login dan password.

 Approval
Transaksi dapat diproses lebih lanjut, setelah adanya approval dari
pihak yang berwenang.

 Menandai dokumen
Yang sudah diinput agar tidak terjadi penginputan ganda dari satu
dokumen yang sama.

 Pengecekan format
Memastikan bahwa pengguna memasukkan data sesuai dengan
tipe data yang benar.

 Pengecekan kelengkapan user


Dalam memasukkan data, harus memasukkan kelengkapan data
user.

 Test reasonableness
Kebenaran data yang diinput dibandingkan dengan satu nilai yang
wajar.

 Validity cek
Cek yang berguna untuk memastikan bahwa user memasukkan
data yabg valid.

 Readback
Meminta konfirmasi dari pengguna untuk mengecek kembali data
yang telah dimasukkan.

 Batch control total


b. Pengendalian Proses
Adalah pengendalian intern untuk mendeteksi jangan sampai data
menjadi salah karena adanya kesalahan proses.
Kemungkinan yang paling besar untuk menimbulkan terjadinya error
adalah kesalahan logika program, salah rumus, salah urutan program,
ketidakterpaduan antar subsistem ataupun kesalahan teknis lainnya.
c. Pengendalian Keluaran
Adalah pengendalian intern untuk mendeteksi jangan sampai informasi
yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya atau
didistribusikan kepada orang-orang yang tidak berhak.
3. Kerahasiaan dan Privasi
Organisasi harus melindungi informasi yang sensitif seperti rencana strategis, rahasia
dagang, informasi biaya, dokumen-dokumen hukum dan perbaikan proses. Tindakan yang
harus dilakukan untuk melindungi kerahasiaan informasi sensitif perusahaan antara lain:
a. Identifikasi dan klasifikasi informasi yang harus dilindungi
Hal ini merupakan langkah pertama yang dilakukan untuk mengidentifikasi dimana
informasi sensitif tersebut berada dan siapa yang memiliki akses terhadap informasi
tersebut.
b. Melindungi kerahasiaan dengan enkripsi
Enkripsi merupakan satu-satunya cara untuk melindungi informasi yang singgah
melalui internet.
c. Pengendalian akses terhadap informasi sensitif
Peranti lunak Information Rights Management (IRM) memberikan tambahan
perlindungan untuk sumber informasi tertentu, memberikan kemampuan tidak hanya
membatasi akses ke arsip atau dokumen tertentu, namun juga terhadap tindakan
tertentu yang diberikan kepada setiap orang untuk mengakses sumber daya tersebut.
d. Pelatihan
Para pegawai harus mengetahui informasi apa yang boleh mereka bagi dengan pihak
eksternal dan informasi apa yang harus dilindungi. Mereka harus diajarkan bagaimana
caranya melindungi data rahasia.
4. Integritas dan Keandalan pemrosesan
 Prinsip kerangka privasi The Trust Service terkait erat dengan prinsip kerahasiaan,
namun perbedaan mendasarnya adalah privasi lebih menekankan pada perlindungan
atas informasi personal mengenai pelanggan daripada data organisasi. Akibatnya,
pengendalian yang perlu diterapkan untuk melindungi privasi adalah perlindungan
yang sama seperti perlindungan atas kerahasiaan, yakni: identifikasi informasi yang
harus dilindungi, enkripsi dan kendali atas akses dan pelatihan.

Contoh Kasus:
Pengendalian sistem informasi pada KAP Johan Malonda Mustika & Rekan.
1. Pengendalian Preventif
Pembatasan akses terhadap sumber-sumber daya informasi, dengan tindakan preventif
antara lain:
a. Pelatihan
 Kebijakan Perusahaan dengan melakukan pelatihan mengenai keamanan sistem
informasi, dimana setiap akses ke server perusahaan harus dilakukan login dan
password yang berbeda antar karyawan, dan diajarkan untuk tidak berbagi
username dan password kepada siapapun.
b. Kendali atas akses para pengguna
 Dalam perusahaan terdiri dari beberapa group audit dimana setiap group audit
hanya dapat mengakses data audit di dalam server perusahaan untuk group
tersebut dan tidak bisa mengakses data-data group lain maupun divisi-divisi lain
selain audit.
c. Kendali akses fisik
 Dalam setiap lantai dilengkapi dengan akses card untuk dapat masuk keruangan
kantornya, pada bagian finance dan kasir, tidak ada karyawan manapun yang bisa
masuk kecuali divisi bersangkutan, untuk keperluan dengan bagian kasir terdapat
loketnya.
d. Kendali akses jaringan
 Terdapat batasan pengaman seperti router, firewall dan sistem lainnya. Dimana
jika karyawan menggunakan internet, maka bagian IT dapat mengkontrolnya.
2. Pengendalian Detektif
Pengendalian yang digunakan antara lain:
a. Analisis log
 Dikarenakan masing-masing group hanya dapat mengakses data yang
bersangkutan, maka terdapat jejak audit atas siapa saja yang mengakses dan
tindakan spesifik apa saja yang dilakukan dapat tercatat.
b. Laporan Manajemen
 Para group leader di masing-masing bagian memonitor dan mengevaluasi kinerja
sistem dan pengendalian sistemnya.
3. Pengendalian Korektif
Meliputi antara lain:
a. Pengendalian Organisasi
 Terdapat pemisahan fungsi antar bagian (bagian penagihan dengan bagian
pencatatan dan juga dengan kasir).
 Jika ada karyawan yang ingin meminta uang advance, maka harus ada approval
dari group leader atas group bersangkutan dan ttd oleh office director.
b. Pengendalian dokumentasi
 Untuk bagian audit, setiap dokumentasi atas hasil fieldwork audit di klien, di copy
ke dalam server dan hardcopy atas dokumen-dokumen terkait di filing di dalam
ordner, yang akan di review oleh bagian quality dan assurance.
c. Pengendalian praktik manajemen
 Sebelum melakukan audit fieldwork, akan dilakukan planning dan briefing atas
team audit yang akan bertugas, dan juga supervisi lapangan oleh manajer audit
selama audit fieldwork di klien.
d. Pengendalian proses
 Mendeteksi data yang diberikan oleh klien, mengevaluasi kertas kerja audit
apakah ada kesalahan rumus ataupun kesalahan dalam penghitungan selama
audit fieldwork dilakukan.