BAB 7

MENGAPA ANCAMAN TERHADAP SISTEM INFORMASI AKUNTANSI MENINGKAT

Lebih dari 60% organisasi mengalami kegagalan utama dalam mengendalikan keamanan dan integritas
sistem komputer. Alasan untuk kegagalan tersebut meliputi:

 Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada. Sebagai contoh, Chevron
memiliki 35.000 PC.
 Informasi pada jaringan komputer distribusi sulit dikendalikan.
 Pelanggan serta pemasok memiliki akses ke sistem dan data satu sama lain.

Organisasi belum melindungi data dengan baik karena:

 Beberapa perusahaan memandang kehilangan atas informasi penting sebagai sebuah ancaman
yang tidak mungkin terjadi.
 Implikasi pengendalian atas pemindahan dari sistem komputer tersentralisasi ke sistem berbasis
internet tidak sepenuhnya dipahami.
 Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber daya strategi dan
melindungi informasi harus menjadi sebuah ketentuan strategis.
 Produktivitas dan penekanan biaya memotivasi manajemen untuk mengabaikan ukuran-ukuran
pengendalian yang memakan waktu.

Ancaman/kejadian (threat/event): segala potensi kejadian yang merugikan atau kejadian tidak

diinginkan yang dapat merusak SIA atau organisasi.
Paparan/dampak (exposure/impact): kerugian uang yang potensial dari sebuah ancaman tertentu yang
akan menjadi kenyataan.
Kemungkinan (likelihood): probabilitas bahwa suatu ancaman akan terjadi.

IKHTISAR KONSEP PENGENDALIAN

Pengendalian internal (internal control): proses dan prosedur yang dijalankan untuk menyediakan
jaminan memadai bahwa tujuan pengendalian dipenuhi. Tujuan-tujuan tersebut sebagai berikut:

 Mengamankan aset - mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang
tidak sah.
  Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan
wajar.
 Memberikan informasi yang akurat dan reliabel.
 Menyiapkan laporan keuangan yang sesuai dengan kriteria yang telah ditetapkan.
 Mendorong dan memperbaiki efisiensi operasional.
 Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan.
 Mematuhi hukum dan peraturan yang berlaku.

Pengendalian internal menjalankan tiga fungsi penting sebagai berikut:

1. Pengendalian preventif (preventive control): pengendalian yang mencegah masalah sebelum

timbul. Contoh: merekrut personel berkualifikasi, memisahkan tugas pegawai, dan mengendalian
akses fisik atas aset dan informasi.
2. Pengendalian detektif (detective control): pengendalian yang didesain untuk menemukan
masalah pengendalian yang tidak terelakkan. Contoh: menduplikasi pengecekan kalkulasi dan
menyiapkan rekonsiliasi bank serta neraca saldo tahunan.
3. Pengendalian korektif (corrective control): pengendalian yang mengidentifikasi dan
memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang dihasilkan.
Contoh: menjaga salinan backup pada file, perbaikan kesalahan entri data, dan pengumpulan
ulang transaksi-transaksi untuk pemrosesan selanjutnya.

Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut:

1. Pengendalian umum (deneral control): pengendalian yang didesain untuk memastikan sistem

informasi organisasi serta pengendalian lingkungan stabil dan dikelola dengan baik. Contoh:
keamanan; infrastruktur TI; dan pengendalian pembelian perangkat lunak, pengembanagan, dan
pemeliharaan.
2. Pengendalian aplikasi (application control): pengendalian yang mencegah, mendeteksi, dan
mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi. Pengendalian ini fokus
terhadap ketepatan, kelengkapan, validitas, serta otorisasi data yang didapat, dimasukkan,
diproses, disimpan, ditransmisikan ke sistem lain, dan dilaporkan.

Robert Simons, seorang profesor bisnis Harvard, telah menganut empat kaitan pengendalian untuk
membantu manajemen menyelesaikan konflik di antara kreativitas dan pengendalian.
 1. Sistem kepercayaan (belief system): sistem yang menjelaskan cara sebuah perusahaan
menciptakan nilai, membantu pegawai memahami visi perusahaan, mengomunikasikan nilai-nilai
dasar perusahaan, dan menginspirasi pegawai untuk bekerja berdasarkan nilai-nilai tersebut.
2. Sistem batas (boundary system):  sistem yang membantu pegawai bertindak secara etis dengan
membangun batas pada perilaku kepegawaian.
3. Sistem pengendalian diagnostik (diagnostic control system): sistem yang mengukur,
mengawasi, dan membandingkan perkembangan perusahaan aktual dengan anggaran dan tujuan
kinerja.
4. Sistem pengendalian interaktif (interactive control system): sistem yang membantu manajer
untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih terlibat di dalam
keputusan mereka.

PRAKTIK KORUPSI ASING DAN SARBANES-OXLEY ACTS

Foreign Corrupt Practices Act (FCPA): undang-undang yang dikeluarkan untuk mencegah perusahaan
menyuap pejabat asing agar mendapatkan bisnis; juga mengharuskan semua perusahaan milik publik
untuk memelihara sebuah sistem pengendalian akuntansi internal.
Sarbanes-Oxley Act (SOX): undang-undang yang dimaksudkan untuk mencegah kejahatan laporan
keuangan, membuat laporan keuangan lebih transparan, memberikan perlindungan pada investor,
memperkuat pengendalian internal pada perusahaan publik, dan menghukum eksekutif yang melakukan
kejahatan. Berikut beberapa aspek terpenting SOX:

 Public Company Accounting Oversight Board (PCAOB): dewan yang dibuat oleh SOX yang
mengatur profesi pengauditan; dibuat sebagai bagian dari SOX.
 Aturan-aturan baru bagi para auditor.
 Peran baru bagi komite audit.
 Aturan baru bagi manajemen.
 Ketentuan baru pengendalian internal.

Setelah SOX dikeluarkan, Securities and Exchange Comission (SEC) memerintahkan bahwa manajemen

haru:

 mendasarkan evaluasinya pada sebuah kerangka pengendalian yang berlaku.

 mengungkapkan semua kelemahan pengendalian internal material.
  menyimpulkan bahwa sebuah perusahaan tidak memiliki pengendalian internal pelaporan
keuangan yang efektif jika terdapat kelemahan material.

KERANGKA PENGENDALIAN
Pada pembahasan ini, ada tiga kerangka yang digunakan untuk mengembangkan sistem pengendalian
internal.
KERANGKA COBIT
Control Objective for Information and Related Technology (COBIT): sebuah kerangka keamanan dan
pengendalian yang memungkinkan 1) manajemen untuk membuat tolok ukur praktik-praktik keamanan
dan pengendalian lingkungan TI; 2) para pengguna layanan TI dijamin dengan adanya keamanan dan
pengendalian yang memadai; 3) para auditor memperkuat opini pengendalian internal dan
mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.
Beberapa prinsip yang memungkinkan dalam membantu organisasi membangun sebuah tata kelola yang
efektif dan kerangka manajemen yang melindungi investasi pemangku kepentingan dan menghasilkan
sistem informasi terbaik:

 memenuhi keperluan pemangku kepentingan.

 mencakup perusahaan dari ujung ke ujung.
 mengajukan sebuah kerangka terintegrasi dan tunggal.
 memungkinkan pendekatan holistik.
 memisahkan tata kelola dari manajemen. Tata kelola menciptakan nilai dengan mengoptimalkan
penggunaan sumber daya organisasi untuk menghasilkan manfaat yang diinginkan dengan cara
yang secara efektif mengatasi risiko.

COBIT 5: sebuah kerangka komprehensif yang membantu perusahaan mencapai tujuan tata kelola dan
manajemen TI. 
Model COBIT 5 tentang referensi proses mengidentifikasi lima proses tata kelola (merujuk pada
mengevaluasi, mengarahkan, mengawasi- evaluate, direct, dan monitor atau EDM) dan 32 proses
manajemen. Tiga puluh dua proses manajemen dibagi ke dalam empat domain sebagai berikut:

1. menyelaraskan, merencanakan, dan mengatur (align, plan, dan organize - APO)

2. membangun, mengakuisisi, menerapkan (build, acquire, dan implement - BAI)
3. mengantar, melayani, mendukung (deliver, service, dan support - DSS)
4. mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess - MEA)
KERANGKA PENGENDALIAN INTERNAL COSO
Committee of Sponsoring Organizations (COSO): sebuah kelompok sektor swasta yang terdiri atas
Asosiasi Akuntansi Amerika (American Accounting Association), AICPA, Ikatan Auditor
Internal(Institute of Management Accountans), dan Ikatan Eksekutif Keuangan (Financial Executives
Institute).
Pengendalian Internal (Internal Control)-Kerangka Terintegrasi-IC: sebuah kerangka COSO yang
menjelaskan pengendalian internal dan memberikan panduan untuk mengevaluasi dan meningkatkan
sistem pengendalian internal.

KERANGKA MANAJEMEN RISIKO PERUSAHAAN COSO

Manajemen Risiko Perusahaan (Enterprise Risk Management)-Kerangka Terintegrasi(Integrated
Framework)-ERM: sebuah kerangka COSO yang memperbaiki proses manajemen risiko dengan
memperluan (menambahkan tiga elemen tambahan) Pengendalian Internal COSO-Terintegrasi. Prinsip-
prinsip dasar dibalik ERM:

 perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.

 manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima saat
menciptakan nilai.
 ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu secara negatif
memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai.
 ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa sesuatu secara
postifi memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai.
 kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan nilai.

KERANGKA MANAJEMEN RISIKO PERUSAHAAN VERSUS KERANGKA PENGENDALIAN

Kerangka IC telah mengadopsi secara luas sebagai cara untuk mengevaluasi pengendalian internal, seperti
yang ditentukan oleh SOX. Kerangka ERM yang lebih komprehensif menggunakan pendekatan berbasis
risiko daripada berbasis pengendalian. ERM menambah tiga elemen tambahan ke kerangka IC COSO:
penetapan tujuan, pengidentifikasian kejadian yang mungkin memengaruhi perusahaan, dan
pengembangan sebuah respons utuk risiko yang dinilai. Hasilnya, pengendalian bersifat fleksibel dan
relevan karena mereka ditautkan dengan tujuan organisasi terkini. Model ERM juga mengakui bahwa
risiko, selain dikendalikan, dapat pula diterima, dihindari, dibuat berjenis-jenis, dibagi, atau ditransfer.

LINGKUNGAN INTERNAL
Lingkungan internal (internal environment): budaya perusahaan yang merupakan fondasi dari seluruh
elemen ERM lainnya karena ini memengaruhi cara organisasi menetapkan strategi dan tujuannya;
membuat struktur aktivitas; dan mengidentifikasi, menilai, serta merespons risiko. Sebuah lingkungan
internal mencakup:

1. filosofi manajemen, gaya pengoperasian, dan selera risiko.

2. komitmen terhadap integritas, nilai-nilai etis, dan kompentensi.
3. pengawasan pengendalian internal oleh dewan direksi.
4. struktur organisasi. 
5. metode penetapan wewenang dan tanggung jawab.
6. standar-standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan
individu yang kompeten.
7. pengaruh eksternal.

FILOSOFI MANAJEMEN, GAYA PENGOPERASIAN, DAN SELERA RISIKO

Selera risiko (risk appetite): jumlah risiko yang sebuah perusahaan ingin terima untuk mencapai tujuan
dan tujuannya. Untuk menghindari risiko yang tidak semestinya, selera risiko harus selaras dengan
strategi perusahaan.

KOMITMEN TERHADAP INTEGRITAS, NILAI ETIS, DAN KOMPETENSI

Perusahaan mendukung integritas dengan:

 mengajarkan dan mensyaratkannya secara aktif.

 menghindari pengharapan atau insentif yang tidak realistis.
 memberikan penghargaan atas kejujuran serta memberikan label verbal pada perilaku jujur dan
tidak jujur secara konsisten.
 mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit perilaku-perilaku
jujur dan tidak jujur.
 mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan mendisiplinkan
pegawai yang diketahui tidak melaporkannya.
 membuat sebuah komitmen untuk kompetensi.

PENGAWASAN PENGENDALIAN INTERNAL OLEH DEWAN DIREKSI

Komite audit (audit committee): sejumlah anggota dewan direksi yang berasal dari luar dan independen
yang bertanggung jawab untuk pelaporan keuangan, kepatuhan terhadap peraturan, pengendalian internal,
serta perekrutan dan pengawasan auditor internal dan eksternal.

STRUKTUR ORGANISASI
Aspek-apek penting dari struktur organisasi menyertakan hal-hal berikut:

 sentralisasi atau desentralisasi wewenang.

 hubungan pengarahan atau matriks pelaporan.
 organisasi berdasarkan industri, lini produk, lokasi, atau jaringan pemasaran.
 bagaimana alokasi tanggung jawab memengaruhi ketentuan informasi.
 organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi sistem informasi.
 ukuran dan jenis aktivitas perusahaan.

METODE PENETAPAN WEWENANG DAN TANGGUNG JAWAB

Kebijakan dan prosedur manual (policy and procedures manual): sebuah dokumen yang menjelaskan
praktik bisnis yang sesuai, mendeskripsikan pengetahuan dan pengalaman yang dibutuhkan, menjelaskan
cara menangani transaksi serta mendata sumber daya yang tersedia untuk melaksanakan tugas-tugas
tertentu.

STANDAR SUMBER DAYA MANUSIA YANG MENARIK, MENGEMBANGKAN, DAN

MEMPERTAHANKAN INDIVIDU YANG KOMPETEN
Kekuatan pengendalian terbesar adalah kejujuran pegawai; dan salah satu kelemahan pengendalian
terbesar adalah ketidakjujuran pegawai. Adanya kebijakan dan praktik-praktik yang mengatur kondisi
kerja, insentif pekerjaan, dan kemajuan karier dapat menjadi kekuatan untuk mendorong kejujuran,
efisiensi, dan layanan yang loyal.

PEREKRUTAN
Pengecekan latar belakang (background check): sebuah investigasi para pegawai atau calon pegawai
yang memasukkan verifikasi pendidikan dan pengalaman kerja mereka, berbicara berdasarkan referensi,
pengecekan catatan kriminal atau masalah kredit, dan pemeriksaan informasi lain yang tersedia secara
publik.

MENGOMPENSASI, MENGEVALUASI, DAN MEMPROMOSIKAN

Pembayaran yang wajar dan insentif bonus yang sesuai membantu memotivasi dan memperkuat kinerja
pegawai yang hebat. Para pegawai seharusnya diberi penilaian kinerja periodik untuk membantu mereka
memahami kekuatan dan kelemahan mereka.

PELATIHAN
Pelatihan mengajarkan pegawai baru akan tanggung jawab mereka.

PENGELOLAAN PARA PEGAWAI YANG TIDAK PUAS

Perusahaan membutuhkan prosedur untuk mengidentifikasi pegawai yang tidak puas dan membantu
mereka mengatasi perasaan itu untuk memindahkan mereka dari pekerjaan yang sensitif.

PEMBERHENTIAN
Pegawai yang diberhentikan harus segera dipindahkan dari pekerjaan yang sensitif dan ditolak aksesnya
ke sistem informasi.

LIBURAN DAN ROTASI KERJA

Melakukan rotasi tugas pegawai secara periodik dan membuat pegawai mengambil liburan dapat
mencapai hasil yang sama.

PERJANJIAN KERAHASIAAN DAN ASURANSI IKATAN KESETIAAN

Seluruh pegawai, pemasok, dan kontraktor menandatangani dan mematuhi sebuah perjanjian kerahasiaan.
Asuransi ikatan kesetiaan melingkupi para pegawai kunci yang melindungi perusahaan terhadap kerugian
yang timbul dari tindakan penipuan yang disengaja.

MENUNTUT DAN MEMENJARAKAN PELAKA

Sebagian besar penipuan tidak dilaporkan karena:

1. perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah bencana hubungan
publik.
2. penegak hukum dan pengadilan sibuk dengan kriminal kekerasan dibandingkan dengan penipuan.
3. menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan waktu.
4. banyak petugas penegak hukum, pengacaram dan hakim kurang memiliki kecapakan komputer
yang diperlukan untuk menyelidiki dan menuntut kejahatan komputer.
5. hukuman untuk penipuan biasanya ringan.
PENGARUH EKSTERNAL
Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek, Financial
Accounting Standars Board (FASB), PCAOB, dan SEC.

PENETAPAN TUJUAN
Tujuan strategis (strategic objective): tujuan tingkat tinggi yang disejajarkan dan mendukung misi
perusahaan serta menciptakan nilai pemegang saham.
Tujuan operasi (operation objective): tujuan yang berhubungan dengan efektivitas dan efisiensi operasi
perusahaan serta menentukan cara mengalokasikan sumber daya.
Tujuan pelaporan (reporting objective): tujuan yang membantu memastikan ketelitian, kelengkapan,
dan keterandalan laporan perusahaan; meningkatkan perbuatan keputusan; dan mengawasi aktivitas serta
kinerja perusahaan.
Tujuan kepatuhan (compliance objective): tujuan yang membantu perusahaan mematuhi seluruh hukum
dan peraturan yang berlaku.

IDENTIFIKASI KEJADIAN
Kejadian (event): sebuah insiden atau peristiwa positif atau negatif dari sumber-sumber internal dan
eksternal yang memengaruhi implementasi strategi atau pencapaian tujuan.

PENILAIAN RISIKO DAN RESPONS RISIKO

Risiko bawaan (inherent risk): kelemahan dari sebuah penetapan akun atau transaksi pada masalah
pengendalian yang signifikan tanpa adanya pengendalian internal.
Risiko residual (residual risk): risiko yang tersisa setelah manajemen mengimplementasikan
pengendalian internal atau beberapa respons lainnya terhadap risiko. Manajemen dapat merespon risiko
dengan salah satu dari empat cara berikut:

1. mengurangi kemungkinan dan dampak risiko.

2. menerima kemungkinan dan dampak risiko.
3. membagikan risiko.
4. menghindari risiko.

Berikut pendekatan penilaian risiko untuk perancangan pengendalian internal:

MEMPERKIRAKAN KEMUNGKINAN DAN DAMPAK
Setiap kejadian memiliki risiko, sehingga harus ada perkiraan kemungkinan risiko dan dampak dari risiko
itu sendiri.

MENGIDENTIFIKASI PENGENDALIAN
Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan dari setiap kejadian.

MEMPERKIRAKAN BIAYA DAN MANFAAT

Kerugian yang diperkirakan (expexted loss): hasil matematis dari kerugian finansial potensial yang
akan terjadi jika sebuah ancaman menjadi kenyataan (disebut dampak atau paparan) dan risiko atau
probabilitas bahwa ancaman akan terjadi (disebut kemungkinan). 
Rumusnya: Kerugian yang diperkirakan = Dampak x Kemungkinan

MENENTUKAN EFEKTIVITAS BIAYA/MANFAAT

MENGIMPLEMENTASIKAN PENGENDALIAN ATAU MENERIMA, PMEMBAGI, ATAU

MENGHINDARI RISIKO
Pengendalian biaya efektif harus diimplementasikan untuk mengurangi risiko. Risiko yang tidak
dikurangi harus diterima, dibagi, atau dihindari.

AKTIVITAS PENGENDALIAN
Aktivitas pengendalian (control activities): kebijakan, prosedur, dan aturan yang memberikan jaminan
memadai bahwa tujuan pengendalian telah dicapai dan respons risiko dilakukan. Manajemen harus
memastikan bahwa:

1. pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level yang
dapat diterima,
2. pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi,
3. aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan prosedur
perusahaan yang telah ditentukan.

Prosedur pengendalian dilakukan dalam kategori-kategori berikut:

1. Otorisasi transaksi dan aktivitas yang layak.

2. Pemisahan tugas.
3. Pengembangan proyek dan pengendalian akuisisi (perolehan).
4. Mengubah pengendalian manajemen.
5. Mendesain dan menggunakan dokumen serta cararan.
6. Pengamanan aset, catatan, dan data.
7. Pengecekan kinerja yang independen.

OTORISASI TRANSAKSI DAN AKTIVITAS YANG TEPAT

Otorisasi (authorization): penetapan kebijakan bagi para pegawai untuk diikuti dan kemudian
memberdayakan mereka guna melakukan fungsi organisasi tertentu. Otorisasi sering didokumentasikan
dengan penandatanganan, penginisialisasian, atau pemasukan kode pengotorisasian pada sebuah dokumen
atau catatan.
Tanda tangan digital (digital signature): cara penandatanganan sebuah dokumen secara elektronik
dengan data yang tidak dapat dipalsukan.
Otorisasi khusus (specific authorization): persetujuan khusus yang dibutuhkan oleh seorang pegawai
agar diizinkan untuk menangani sebuah transaksi.
Otorisasi umum (general authorization): otorisasi yang diberikan kepada pegawai untuk menangani
transaksi rutin tanpa persetujuan khusus.

PEMISAHAN TUGAS
Pemisahan tugas terdiri dari beberapa pemisahan yang akan dibahas berikut ini.

PEMISAHAN TUGAS AKUNTANSI 

Pemisahan tugas akuntansi (segregation of accounting duties): pemisahan fungsi akuntansi otorisasi,
penyimpanan, dan pencatatan guna meminimalkan kemampuan pegawai untuk melakukan penipuan.
Pemisahan tugas akuntansi akan efektif jika fungsi-fungsi berikut dipisahkan:

 Otorisasi - menyetujui transasksi dan keputusan.

 Pencatatan - mempersiapkan dokumen sumber; memasukkan data ke dalam sistem komputer,
memelihara jurnal, buku besar, file, atau database; dan mempersiapkan rekonsiliasi dan laporan
kinerja.
 Penyimpanan - menangani kas, peralatan, persediaan, atau aktiva tetap; menerima cek pelanggan
yang datang; menulis cek.

Berikut pemisahan tugas:

Kolusi (collusion): kerja sama antara dua orang atau lebih dalam sebuah upaya untuk menggagalkan
pengendalian internal.

PEMISAHAN TUGAS SISTEM

Pemisahan tugas sistem (segregation of system duties): penerapan prosedur-prosedur pengendalian
untuk membagi wewenang dan tanggung jawab secara jelas di dalam fungsi sistem informasi. Wewenang
dan tanggung jawab harus dibagi dengan jelas menurut fungsi-fungsi berikut:
 1. Administrator sistem (system administrator): orang yang bertanggung jawab untuk memastikan
bahwa sistem beroperasi dengan lancar dan efisien.
2. Manajemen jaring (network manager): orang yang bertanggung jawab untuk memastikan
bahwa perangkat yang berlaku ditautkan ke jaringan perusahaan dan memastikan pula bahwa
jaringan beroperasi dengan baik.
3. Manajemen keamanan (security management): orang yang bertanggung jawab untuk
memastikan bahwa sistem yang ada aman dan terlindungi baik dari ancaman internal maupun
eksternal.
4. Manajemen perubahan (change management): proses untuk memastikan perubahan dibuat
dengan lancar dan efisien serta tidak memengaruhi keterandalan, keamanan, kerahasiaan,
integritas, dan ketersediaan sistem secara negatif.
5. Pengguna (users): orang yang mencatat transaksi, melakukan otorisasi data untuk diprosesm dan
menggunakan output sistem.
6. Analisis sistem (system analysis): orang yang membantu pengguna menentukan kebutuhan
informasi mereka dan mendesai sistem agar sesuai dengan kebutuhan tersebut.
7. Pemrograman (programmer): orang yang membuat desain analisis dan mengembangkan,
mengodekan, serta menguji program komputer.
8. Operasi komputer (computer operator): orang yang mengoperasikan komputer perusahaan.
9. Perpustakaan sistem informasi (information system library): sebuah koleksi database, file,dan
program perusahaan yang disimpan di dalam sebuah area penyimpanan terpisah dan dikelola oleh
pustakawan sistem.
10. Kelompok pengendalian data (data control group): orang yang memastikan bahwa data
sumber telah disetujui dengan semestinya, mengawasi alur kerja melalui komputer,
merekonsiliasi input dan output, memelihara catatan input untuk memastikan kebenaran dan
kepatuhannya kembali, serta mendistribusikan output sistem.

PENGEMBANGAN PROYEK DAN PENGENDALIAN AKUISISI (PEROLEHAN)

1. Komite pengarah (steering committee): sebuah komite tingkat eksekutif untuk merencanakan

dan mengawasi fungsi sistem informasi.
2. Rencana induk strategis (strategic master plan): sebuah rencana multitahunan yang
menjabarkan proyek perusahaan yang harus terselesaikan untuk mencapai tujuan jangka
panjangnya dan sumber daya yang dibutuhkan untuk mencapai rencana tersebut.
 3. Rencana pengembangan proyek (project development plan): sebuah dokumen yang
menunjukkan cara sebuah proyek akan diselesaikan. Tonggak proyek (project milestones):poin-
poin kemajuan ditinjau dan waktu penyelesaian aktual serta perkiraan dibandingkan.
4. Jadwal pengolahan data (data processing schedule): sebuah jadwal yang menunjukkan kapan
tiap-tiap tugas pengolahan data seharusnya dilakukan.
5. Pengukuran kinerja sistem (system performance measurement): cara-cara untuk mengevaluasi
dan menilai sebuah sistem. Output per unit waktu (throughtput): jumlah pekerjaan yang
dilakukan oleh sebuah sistem selama periode waktu
tertentu. Pemanfaatan(utilization): persentase waktu penggunaan sebuah sistem. Waktu
respons (response time):lama waktu yang diperlukan sebuah sistem untuk merespon.
6. Tinjauan pasca-implementasi (postimplementation review): tinjauan yang dilakukan setelah
sistem baru beroperasi untuk periode yang singkat, guna memastikan hal itu sesuai dengan tujuan
yang telah ditencanakan.

Sistem integrator (system integrator): pihak luar yang dipekerjakan untuk mengelola usaha

pengembangan sistem perusahaan.
Perusahaan juga harus melakukan:

 mengembangkan spesifikasi yang jelas.

 mengawasi proyek.

MENGUBAH PENGENDALIAN MANAJEMEN

Organisasi memodifikasi sistem yang berjalan untuk merefleksikan praktik-praktik bisnis baru dan untuk
memanfaatkan penggunaan TI.

MENDESAIN DAN MENGGUNAKAN DOKUMEN DAN CATATAN

Desain dan penggunaan dokumen elektronik dan kertas yang sesuai dapat membantu memastikan
pencatatan yang akurat serta lengkap dari seluruh data transaksi yang relevan.

PENGAMANAN ASET, CATATAN, DAN DATA

Sebuah perusahaan harus melindungi kas dan aset fisik beserta informasinya.
Selain itu juga penting melakukan:

 menciptakan dan menegakkan kebijakan dan prosedur yang tepat.

  memelihara catatan akurat dari seluruh aset.
 membatasi akses terhadap aset.
 melindungi catatan dan dokumen.

PENGECEKAN KINERJA YANG INDEPENDEN

 Tinjauan tingkat atas.

 Tinjauan analitis
 Rekonsiliasi catatan-catatan yang dikelola secara independen.
 Perbandingan terhadap kuantitas aktual dengan jumlah dicatat.
 Akuntansi double-entry.
 Tinjauan independen.

INFORMASI DAN KOMUNIKASI

Jejak audit (audit trail): sebuah jalur yang memungkinkan transaksi untuk ditelusuri melalui sistem
pengolahhan data dari titik asal ke output atau sebaliknya dari output ke titik awal. 
PENGAWASAN MENJALANKAN EVALUASI PENGENDALIAN INTERNAL Efektivitas
pengendalian internal diukur dengan menggunakan evaluasi formal atau evaluasi penilaian diri. 
IMPLEMENTASI PENGAWASAN YANG EFEKTIF Pengawasan yang efektif meliputi melatih dan
mendampingi pegawai, mengawasi kinerja pegawai, mengoreksi kesalahan, dan mengawasi pegawai yang
memiliki akses terhadap aset. 
MENGGUNAKAN SISTEM AKUNTANSI PERTANGGUNGJAWABAN Sistem akuntansi
pertanggungjawaban meliputi anggaran, kuota, jadwal, biaya standar, dan standar kualitas; perbandingan
laporan kinerja aktual dan yang direncanakan; dan prosedur untuk menyelidiki serta mengoreksi varians
yang signifikan. 
MENGAWASI AKTIVITAS SISTEM Seluruh transaksi dan aktivitas sistem harus direkam di dalam
sebuah log yang mengindikasikan siapa mengakses data apa, kapan, dan dari perangkat online yang
mana. 
MELACAK PERANGKAT LUNAK DAN PERANGKAT BERGERAK YANG DIBELI Untuk
mematuhi hak cipta dan melindungi dirinya dari gugatan pembajakan perangkat lunak, perusahaan harus
melakukan audit perangkat lunak secara periodik. 
MENJALANKAN AUDIT BERKALA Audit keamanan eksternal, internal, dan jaringan dapat menilai
dan mengawasi risiko maupun mendeteksi penipuan dan kesalahan.
MEMPEKERJAKAN PETUGAS KEAMANAN KOMPUTER DAN CHIEF COMPLIANCE OFFICER
Computer Security Officer (CSO): seorang pegawai yang independen dari fungsi sistem informasi yang
mengawasi sistem, menyebarkan informasi mengenai penggunaan sistem yang tidak sesuai dan
konsekuensinya, serta melaporkan kepada manajemen puncak.
Chief Compliance Officer (CCO): seorang pegawai yang bertanggung jawab atas semua tugas
kepatuhan yang terkait SOX serta pengaturan hukum dan peraturan.

MENYEWA SPESIALIS FORENSIK

Penyelidik forensik (computer forensics specialist): individu yang memiliki spesialisasi dalam
penipuan, sebagian besar dari mereka memiliki pelatihan khusus dari agen-agen penegak hukum lainnya,
seperti FBI atau IRS atau memiliki sertifikasi profesional seperti Certified Fraud Examiner(CFE).

MEMASANG PERANGKAT LUNAK DETEKSI PENIPUAN

Jaringan saraf (neural network): sistem komputasi yang meniru proses pembelajaran otak dengan
menggunakan jaringan prosesor yang terhubung satu sama lain dengan menjalankan berbagai operasi
secara serentak dan berinteraksi dengan dinamis.

MENGIMPLEMENTASIKAN HOTLINE PENIPUAN

Hotline peniputan (fraud hotline): nomor telepon yang dapat dihubungi oleh para pegawai untuk
melaporkan penipuan dan penyalahgunaan secara anonim (tanpa nama).