MENINGKAT
Beberapa kegagalan utama dalam mengendalikan keamanan dan integritas sistem komputer :
Ancaman/kejadian (threat/event): segala potensi kejadian yang merugikan atau kejadian tidak
diinginkan yang dapat merusak SIA atau organisasi.
Paparan/dampak (exposure/impact): kerugian uang yang potensial dari sebuah ancaman
tertentu yang akan menjadi kenyataan.
Kemungkinan (likelihood): probabilitas bahwa suatu ancaman akan terjadi.
Robert Simons, seorang profesor bisnis Harvard, menganut empat kaitan pengendalian untuk
membantu manajemen menyelesaikan konflik di antara kreativitas dan pengendalian:
1. Sistem kepercayaan (belief system): sistem yang menjelaskan cara sebuah perusahaan
menciptakan nilai, membantu pegawai memahami visi perusahaan, mengomunikasikan
nilai-nilai dasar perusahaan, dan menginspirasi pegawai untuk bekerja berdasarkan nilai-
nilai tersebut.
2. Sistem batas (boundary system): sistem yang membantu pegawai bertindak secara etis
dengan membangun batas pada perilaku kepegawaian.
3. Sistem pengendalian diagnostik (diagnostic control system): sistem yang mengukur,
mengawasi, dan membandingkan perkembangan perusahaan aktual dengan anggaran dan
tujuan kinerja.
4. Sistem pengendalian interaktif (interactive control system): sistem yang membantu
manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih
terlibat di dalam keputusan mereka.
1. Public Company Accounting Oversight Board (PCAOB): dewan yang dibuat oleh SOX
yang mengatur profesi pengauditan; dibuat sebagai bagian dari SOX.
2. Aturan-aturan baru bagi para auditor.
3. Peran baru bagi komite audit.
4. Aturan baru bagi manajemen.
5. Ketentuan baru pengendalian internal.
Setelah SOX dikeluarkan, SEC (Securities and Exchange Comission) memerintahkan bahwa
manajemen harus:Mendasarkan evaluasinya pada sebuah kerangka pengendalian yang berlaku.
Kerangka Pengendalian
ada tiga kerangka pengendalian untuk mengembangkan sistem pengendalian internal :
Kerangka Cobit
Control Objective for Information and Related Technology (COBIT) : sebuah kerangka
keamanan dan pengendalian yang memungkinkan (1) manajemen untuk membuat tolok ukur
praktik-praktik keamanan dan pengendalian lingkungan TI; (2) para pengguna layanan TI dijamin
dengan adanya keamanan dan pengendalian yang memadai; (3) para auditor memperkuat opini
pengendalian internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang
dilakukan.
5 prinsip utama tata kelola dan manajemen TI (COBIT 5):
Lingkungan Internal
Lingkungan internal (internal environment) : budaya perusahaan yang merupakan fondasi dari
seluruh elemen ERM lainnya karena ini memengaruhi cara organisasi menetapkan strategi dan
tujuannya; membuat struktur aktivitas bisnis; dan mengidentifikasi, menilai, serta merespons
risiko. Sebuah lingkungan internal mencakup :
Komite audit (audit committee): sejumlah anggota dewan direksi yang berasal dari luar dan
independen yang bertanggung jawab untuk pelaporan keuangan, kepatuhan terhadap peraturan,
pengendalian internal, serta perekrutan dan pengawasan auditor internal dan eksternal.
Struktur Organisasi
Aspek-apek penting dari struktur organisasi:
1. Perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah bencana
hubungan publik.
2. Penegak hukum dan pengadilan sibuk dengan kriminal kekerasan dan memiliki lebih
sedikit waktu dan ketertarikan pada penipuan komputer yang tidak menimbulkan
kerusakan secara fisik.
3. Menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan waktu.
4. Banyak petugas penegak hukum, pengacara dan hakim kurang memiliki kecapakan
komputer yang diperlukan untuk menyelidiki dan menuntut kejahatan komputer.
5. Hukuman untuk penipuan biasanya ringan.
Pengaruh Eksternal
Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek, Financial
Accounting Standars Board (FASB), PCAOB, dan SEC.
Penetapan Tujuan
1. Tujuan strategis (strategic objective): tujuan tingkat tinggi yang disejajarkan dan
mendukung misi perusahaan serta menciptakan nilai pemegang saham.
2. Tujuan operasi (operation objective): tujuan yang berhubungan dengan efektivitas dan
efisiensi operasi perusahaan serta menentukan cara mengalokasikan sumber daya.
3. Tujuan pelaporan (reporting objective): tujuan yang membantu memastikan ketelitian,
kelengkapan, dan keterandalan laporan perusahaan; meningkatkan pembuatan keputusan;
dan mengawasi aktivitas serta kinerja perusahaan.
4. Tujuan kepatuhan (compliance objective): tujuan yang membantu perusahaan
mematuhi
Aktivitas Pengendalian
Aktivitas pengendalian (control activities): kebijakan, prosedur, dan aturan yang memberikan
jaminan memadai bahwa tujuan pengendalian telah dicapai dan respons risiko dilakukan.
Manajemen harus memastikan bahwa:
1. Pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level
yang dapat diterima.
2. Pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi.
3. Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan
prosedur perusahaan yang telah ditentukan.
1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk
mendukung pengendalian internal.
2. Mengomunikasikan informasi secara internal, termasuk tujuan dan tanggungjawab yang
diperlukan untuk mendukung komponen-komponen lain dari pengendalian internal.
3. Mengomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-pihak
eksternal.
Pengawasan
1. MENJALANKAN EVALUASI PENGENDALIAN INTERNAL. Efektivitas
pengendalian internal diukur dengan menggunakan evaluasi formal atau evaluasi
penilaian diri.
2. IMPLEMENTASI PENGAWASAN YANG EFEKTIF. Pengawasan yang efektif
melibatkan melatih dan mendampingi pegawai, mengawasi kinerja mereka, mengoreksi
kesalahan, dan mengawasi pegawai yang memiliki akses terhadap aset.
3. MENGGUNAKAN SISTEM AKUNTANSI PERTANGGUNGJAWABAN. Meliputi
anggaran, kuota, jadwal, biaya standar, dan standar kualitas; perbandingan laporan kinerja
aktual dan yang direncanakan; dan prosedur untuk menyelidiki serta mengoreksi varians
yang signifikan.
4. MENGAWASI AKTIVITAS SISTEM. Seluruh transaksi dan aktivitas sistem harus
direkam di dalam sebuah log yang mengindikasikan siapa mengakses data apa, kapan,
dan dari perangkat online yang mana.
5. MELACAK PERANGKAT LUNAK DAN PERANGKAT BERGERAK YANG
DIBELI. Untuk mematuhi hak cipta dan melindungi dirinya dari gugatan pembajakan
perangkat lunak, perusahaan harus melakukan audit perangkat lunak secara periodik.
6. MENJALANKAN AUDIT BERKALA. Audit keamanan eksternal, internal, dan
jaringan dapat menilai dan mengawasi risiko maupun mendeteksi penipuan dan
kesalahan.
7. MEMPEKERJAKAN PETUGAS KEAMANAN KOMPUTER DAN CHIEF
COMPLIANCE OFFICER. Computer Security Officer (CSO): seorang pegawai yang
independen dari fungsi sistem informasi yang mengawasi sistem, menyebarkan informasi
mengenai penggunaan sistem yang tidak sesuai dan konsekuensinya, serta melaporkan
kepada manajemen puncak. Chief Compliance Officer (CCO): seorang pegawai yang
bertanggung jawab atas semua tugas kepatuhan yang terkait SOX serta pengaturan hukum
dan peraturan.
8. MENYEWA SPESIALIS FORENSIK. Penyelidik forensik: individu yang memiliki
spesialisasi dalam penipuan, sebagian besar dari mereka memiliki pelatihan khusus dari
agen-agen penegak hukum lainnya, seperti FBI atau IRS atau memiliki sertifikasi
profesional seperti Certified Fraud Examiner (CFE).
9. MEMASANG PERANGKAT LUNAK DETEKSI PENIPUAN. Jaringan
saraf (neural network): sistem komputasi yang meniru proses pembelajaran otak dengan
menggunakan jaringan prosesor yang terhubung satu sama lain dengan menjalankan
berbagai operasi secara serentak dan berinteraksi dengan dinamis.
10. MENGIMPLEMENTASIKAN HOTLINE PENIPUAN. Hotline penipuan: nomor
telepon yang dapat dihubungi oleh para pegawai untuk melaporkan penipuan dan
penyalahgunaan secara anonim (tanpa nama).