Information and related technology control

Ancaman Terhadap Sistem Informasi Akuntansi

Dengan meningkatnya intensitas implementasi Sistem Informasi Akuntansi pada

organisasi. Terdapat ancaman-ancaman yang dapat mengganggu keberadaan Sistem
Informasi Akuntansi pada organisasi tersebut. Sistem Informasi Akuntansi dapat
membantu organisasi mencapai tujuannya sesuai dengan rencana. Apabila Sistem
Informasi Akuntansi terganggu karena ancaman-ancaman tersebut. Maka pencapaian
tujuan organisasi menjadi terhambat. Ancaman-ancaman tersebut antara lain:

1. Bencana alam dan bencana politik

Bencana alam seperti banjir, kebakaran, dan gempa dapat mengancam Sistem
Informasi Akuntansi karena bencana alam dapat merusak server fisik sehingga
Sistem Informasi Akuntansi tidak dapat digunakan kembali atau membutuhkan
perbaikan. Bencana politik seperti serangan terosis juga dapat mengancam
keberadaan Sistem Informasi Akuntansi sama seperti bencana alam

2. Kesalahan software dan malfungsi peralatan

Kesalahan software dan malfungsi peralatan seperti bug pada software, hadware
failures, dan padamnya listrik dapat mengancam Sistem Informasi Akuntansi.
Karena Sistem Informasi Akuntansi membutuhkan software dan peralatan yang
mumpuni agar dapat berjalan dengan lancar. Oleh karena itu, kesalahan software
dan malfungsi peralatan menjadi ancaman bagi Sistem Informasi Akuntansi.

3. Kejadian yang tidak disengaja/kecelakaan

Kecelakaan dapat disebabkan oleh beberapa hal seperti: perilaku ceroboh, tidak
mengikuti prosedur yang berlaku, kurangnya pelatihan, dan buruknya
pengawasan kerja. Kecelakaan dapat menyebabkan beberapa hal seperti:
hilangnya data, kesalahan penyimpanan data, dan hancurnya data. Beberapa hal
tersebut tentunya dapat mengancam Sistem Informasi Akuntansi untuk berjalan
sesuai dengan yang direncanakan. Karena data pada Sistem Informasi Akuntansi

Visit us: 2
 sangatlah penting karena data tersebut akan digunakan untuk berbagai macam
keperluan yang akan membuat organisasi mencapai tujuannya.

4. Kejadian yang disengaja

Kejadian yang disengaja yang dapat mengancam Sistem Informasi Akuntansi
meliputi: Sabotase, computer fraud, penyalahgunaan data, penyalahgunaan aset,
dan kecurangan dalam penyajian laporan keuangan. Sistem Informasi Akuntansi
semakin rentan terhadap ancaman ini karena orang-orang yang tidak
bertanggungjawab selalu mencari celah untuk memperolah keuntungan pribadi.
Celah sekecil apapun itu akan disalahgunakan. Oleh karenanya diperlukan
pengendalian agar celah tersebut dapat tertutup sehingga tidak bisa
disalahgunakan.

Tata Kelola Teknologi Informasi

Suatu kebutuhan akan penjaminan nilai bisnis teknologi informasi, manajemen terhadap
risiko terkait teknologi informasi, dan kebutuhan yang semakin meningkat akan
pengendalian terhadap informasi yang merupakan tanggung jawab eksekutif dan dewan
direktur dalam upaya mencapai tujuan dan strategi organisasi.

Tata kelola teknologi informasi menyediakan struktur untuk menyelaraskan strategi

terknologi informasi dengan strategi bisnis. Dengan mengikuti kerangka kerja formal,
organisasi dapat mengukur hasil untuk mencapai strategi dan tujuan organisasi.

Program tata kelola teknologi informasi harus berada dalam lingkup organisasi mana
pun dan jenis industri apa pun. Keduanya perlu mematuhi peraturan yang terkait dengan
akuntabilitas keuangan dan teknologi. Namun, dalam menerapkan program tata kelola
teknologi informasi yang komprehensif membutuhkan banyak waktu dan upaya.

Cara termudah adalah memulai dengan framework yang telah dibuat oleh pakar industri
dan digunakan oleh ribuan organisasi. Banyak kerangka kerja termasuk panduan
implementasi untuk membantu fase organisasi dalam program tata kelola teknologi
informasi.

Value, risk, dan control merupakan inti dari tata keola teknologi informasi.

Visit us: 3
COBIT Control Frameworks

Informasi merupakan suatu sumber daya bagi organisasi. Teknologi memegang peranan penting
yang dapat meningkatkan fungsi informasi pada organisasi dan lingkungan bisnis. COBIT
memberikan layanan frameworks secara komprehensif untuk membantu pemerintah dan
manajemen teknologi informasi dalam sebuah organisasi mencapai tujuan yang diharapkan.
Frameworks ini mengemukakan berbagai hal tentang pengendalian dari tiga dimensi:

1. Business Objectives
Untuk mencapai business objectives/tujuan bisnis, informasi harus sesuai dengan
kriteria tertentu yang disebut sebagai “business requirements for information”.
Kriteria tersebut dipetakan ke tujuan-tujuan COSO sebagai berikut:
a. Efectiveness
Informasi yang didapat haruslah berkaitan dengan proses bisnis, dapat
dipercaya, tepat waktu, dan konsisten.
b. Efficiency
Informasi didapatkan dengan menggunakan sumber daya yang cukup dan
tidak berlebihan.
c. Confidentiality
Informasi hanya bisa diakses oleh pihak-pihak yang diberikan
wewenang/memiliki hak otorisasi.
d. Integrity
Informasi yang disajikan haruslah lengkap sebagaimana saat informasi
tersebut didapatkan. Tidak ada informasi yang ditambah atau dikurangi.
e. Availability
Informasi harus tersedia ketika dibutuhkan, baik sekarang ataupun di masa
depan.

f. Compliance with legal requirements

Pemenuhan informasi sesuai dengan hukum, kontrak bisnis, dan peraturan
yang berlaku.

Visit us: 4
 g. Reliability
Informasi bebas dari kesalahan dan bias dan menggambarkan apa yang
sebenarnya.

2. IT Resources
Merupakan semua sumber daya yang digunakan oleh organisasi untuk membuat
aspek teknologi informasi maupun sistem informasi berjalan sesuai dengan
rencana. IT resources mencakup beberapa hal sebagai berikut:

a. People
Merupakan sumber daya manusia yang memiliki pengetahuan dan
kemampuan yang cukup untuk mengoperasikan sistem informasi.
b. Application System
Merupakan aplikasi yang memungkinkan sistem menerima perintah sebagai
input.
c. Technology
Merupakan alat-alat yang digunakan untuk mempermudah pencapaian tujuan
organisasi.
d. Facilities
Sarana yang menunjang pengoperasian sistem informasi seperti bangunan.
e. Data
Merupakan kumpulan fakta yang belum memiliki arti bagi penggunanya.

3. IT Processes
Dalam frameworks COBIT, IT processes dibagi menjadi 34 aktivitas di dalam 4
domain. IT control nantinya akan diterapkan pada 34 aktivitas tersebut.
Pembagian domain dan aktivitas tersebut adalah sebagai berikut:
a. Plan and Organise (PO)

Domain ini mencakup taktik dan strategi yang menyangkut identifikasi

tentang bagaimana teknologi informasi dapat memberikan kontribusi terbaik
dalam pencapaian tujuan organisasi. Domain ini memiliki beberapa aktivitas
sebagai berikut:

Visit us: 5
 1) PO1 Define a strategic IT plan
2) PO2 Define the information architecture
3) PO3 Determine technological direction
4) PO4 Define the IT processes, organization and relationships
5) PO5 Manage the IT investment
6) PO6 Communicate management aims and direction
7) PO7 Manage IT human resources
8) PO8 Manage quality
9) PO9 Assess and manage IT risks
10)PO10 Manage projects

b. Acquire and Implement (AI)

Dalam perwujudannya, strategi teknologi informasi memerlukan solusi

teknologi informasi yang diidentifikasi, diperoleh, dibangun, dan
diimplementasikan serta diintegrasikan ke dalam proses bisnis. Domain ini
memiliki beberapa aktivitas sebagai berikut:

1) AI1 Identify automated solution.

2) AI2 Acquire and maintain application software
3) AI3 Acquire and maintain technology infrastructure
4) AI4 Enable operation and use
5) AI5 Procure IT resources
6) AI6 Manage changes
7) AI7 Install and accredit solutions and changes

c. Deliver and Support (DS)

Domain ini berhubungan dengan penyampaian layanan yang diinginkan,

yang terdiri dair operasi pada security dan aspek kesinambungan bisnis

Visit us: 6
 sampai dengan pengadaan training. Domain ini memiliki beberapa aktivitas
sebagai berikut:

1) DS1 Define and manage service levels

2) DS2 Manage third-party service
3) DS3 Manage performance and capacity
4) DS4 Ensure continuous service
5) DS5 Ensure systems security
6) DS6 Identify and allocate costs
7) DS7 Educate and train users
8) DS8 Manage service desk and incidents
9) DS9 Manage the configuration
10)DS10 Manage problems
11)DS11 Manage data
12)DS12 Manage the physical environment
13)DS13 Manage operations

d. Monitor and Evaluate (ME)

Semua proses teknologi informasi perlu dinilai secara teratur dan berkala
sebagaimana kualitas dan kesesuaiannya dengan kebutuhan control. Domain
ini memiliki beberapa aktivitas sebagai berikut:

1) ME1 Monitor and evaluate IT performance.

2) ME2 Monitor and evaluate internal control.
3) ME3 Ensure compliance with external requirements.
4) ME4 Provide IT governance

Ukuran Sistem yang Handal

Visit us: 7
Sistem dapat dikatakan handal dan dapat diandalkan apabila memiliki dimensi-dimensi
sebagai berikut:

1. Keamanan (Security)
2. Kerahasiaan (Confidentiality)
3. Terbatas (Privacy)
4. Integritas (Processing Integrity)
5. Ketersediaan (Availability)

IT Control

Mengacu kepada Guidline ISACA no G11 : Effect of Pervasive IS Controls

IT Control terdiri menjadi:

1. Pervasive Control
• General Control (Pervasive)
2. Detailed Control
• General Control (Detailed)
• Application Control

General Control (Pengendalian Umum)

Merupakan pengendalian yang menyeluruh yang bertujuan untuk memberikan

keyakinan bahwa prosedur yang deprogram (software) telah berjalan secara efektif
pada seluruh aktivitas bisnis. General control meliputi:

1. Pemisahan tugas dalam fungsi sistem (segregation of duties)

Apabila tidak dilakukan, maka akan ada ancaman terjadinya computer fraud.
Contoh dari pengendalian ini adalah dengan memisahkan tugas orang yang
menyimpan uang dengan orang yang mencatat uang.

2. Pengendalian manajemen SIA

Visit us: 8
 Apabila tidak dilakukan, maka ada ancaman terjadinya pemborosan sumber daya.
Contoh dari pengendalian ini adalah membuat timetable untuk project
pengembangan sistem yang di dalamnya termasuk master plan dan milestones
untuk melaksanakan formal progress review.

3. Pengendalian akses fisik

Apabila tidak dilakukan, maka ada ancaman terjadinya kerusakan terhadap
peralatan fisik seperti server atau komputer. Contoh dari pengendalian ini adalah
dengan membatasi akses karyawan untuk masuk ke dalam ruangan yang berisi
server dengan cara menambahkan pintu yang dapat dibuka dengan Id card.

4. Pengendalian akses logis

Apabila tidak dilakukan, maka ada ancaman terjadinya akses yang tidak
terotorisasi terhadap software sistem, application program, data, dan sumber
daya sistem yang lain. Contoh dari pengendalian ini adalah dengan membatasi
akses terhadap sistem dengan menggunakan password.

5. Pengendalian penyimpanan data

Apabila tidak dilakukan, maka ada ancaman terjadinya penyajian informasi yang
tidak terotorisasi atau rusaknya data yang disimpan. Contoh dari pengendalian ini
adalah dengan mengenkripsi data sehingga tidak dengan mudah dapat diretas dan
disebarkan atau dirusak.

6. Pengendalian transmisi data

Apabila tidak dilakukan, maka ada ancaman terjadinya transmisi data yang tidak
terotorisasi atau kesalahan dalam transmisi data. Contoh dari pengendalian ini
adalah dengan menggunakan password dalam prosedur transmisi data, sehingga
hanya orang-orang yang telah terotorisasi yang boleh melakukan transmisi data.

7. Standar dokumentasi
Apabila tidak dilakukan, maka ada ancaman terjadinya design, operasi, review,
dan audit yang tidak efektif serta adanya modifikasi terhadap application system.
Contoh dari pengendalian ini adalah dengan mengembangkan dan melaksanakan

Visit us: 9
 standar yang berhubungan dengan dokumentasi administratif yang mencakup
standar proses dan prosedur. Dokumentasi sistem dan dokumentasi operasi
untuk semua aplikasi komputer.

8. Meminimalisir downtime pada sistem

Apabila tidak dilakukan, maka ada ancaman terjadinya kegagalan sistem yang
sementara dan dapat menyebabkan terganggunya operasi bisnis yang sangat
penting. Contoh dari pengendalian ini adalah dengan melaksanakan perawatan
secara berkala pada komponen utama sistem sebagai pengendalian preventif.

9. Rencana pemulihan dari bencana

Apabila tidak dilakukan, maka ada ancaman terganggunya data processing dan
operasi bisnis yang berkepanjangan akibat dari bencana seperti kebakaran, banjir,
sabotase, dan serangan teroris. Contoh dari pengendalian ini adalah dengan
membuat fasilitas cadangan apabila terjadi bencana.

10. Pengendalian pada personal computer dan jaringan client/server network

Apabila tidak dilakukan, maka ada ancaman terjadinya kerusakan pada peralatan
komputer dan akses yang tidak terotorisasi terhadap data yang rahasia. Contoh
dair pengendalian ini adalah dengan menginstall antivirus serta firewall agar
komputer selalu terjaga dari serangan-serangan yang muncul akibat pertukaran
data melalui flashdisk.

11. Pengendalian internet dan e-commerce

Apabila tidak dilakukan, maka ada ancaman terjadinya kerusakan pada data dan
peralatan serta adanya akses yang tidak terotorisasi terhadap data yang rahasia.
Contoh dari pengendalian ini adalah dengan menginstall antivirus serta firewall
agar komputer selalu terjaga dari serangan-serangan yang muncul akibat user
mengakses internet.

Application Control (Pengendalian Aplikasi)

Visit us: 10
Merupakan pengendalian khusus atas setiap aplikasi komputer yang digunakan,
juga meliputi prosedur-prosedur baik yang diotomatisasi maupun manual yang
dilaksanakan untuk menjamin bahwa hanya data-data yang sah saja yang dapat
diproses secara lengkap dan akurat oleh suatu aplikasi Application control
meliputi:

1. Source data control

Apabila tidak dilakukan, maka ada ancaman terjadinya ketidak akuratan,
belum selesainya atau tidak validnya source data input. Contoh dari
pengendalian ini adalah dengan melakukan review terhadap source data input
untuk otorisasi yang sesuai.

2. Batch totals
Apabila tidak dilakukan, maka ada ancaman terjadinya loss input record dan
bogus input record pada data entry dan data processing. Contoh dari
pengendalian ini adalah dengan menggunakan record counts pada data entry
sehingga jumlah record dapat dibandingkan dengan jumlah transaksi yang
terjadi untuk meminimalisir terjadinya input record palsu.

3. Input validation control

Apabila tidak dilakukan, maka ada ancaman terjadinya kesalahan/error pada
data yang dikirim untuk diproses. Contoh dari pengendalian ini adalah dengan
melakukan serangkaian pemeriksaan seperti field check, sequence check, sign
check, limit check, dll sehingga kesalahan dapat diminimalisir dan data
processing dapat berjalan dengan lancar.

4. Online data entry control

Apabila tidak dilakukan, maka ada ancaman terjadinya kesalahan/error pada
data yang dikirim untuk diproses. Contoh dari pengendalian ini adalah dengan
membatasi akses pada online data entry dengan menggunakan id dan
password sehingga hanya orang-orang yang memiliki akses saja yang bisa
melakukan data entry.

Visit us: 11
5. File processing and maintenance control
Apabila tidak dilakukan, maka ada ancaman kurang akuratnya dan tidak
lengkapnya data di dalam computer-processed master files. Contoh dari
pengendalian ini adalah dengan melakukan rekonsiliasi data pada master files
dengan data yang dikelola eksternal.

6. Output control
Apabila tidak dilakukan, maka ada ancaman kurang akuratnya dan tidak
lengkapnya output komputer. Contoh dari pengendalian ini adalah dengan
melakukan user review untuk keakuratan dan kelengkapan output.

Visit us: 12
Analisa Pengendalian Aplikasi pada Proses Bisnis

Poin penting dalam analisa pengendalian aplikasi pada proses bisnis:

1. Fokus pada proses bisnis tertentu.

2. Menggunakan matriks pengendalian.
3. Memberikan poin penting dalam mengevaluasi pengendalian pada proses bisnsi
tertentu, mana yang peru dan hadir, dan mana yang kurang.
4. Dapat didasarkan pada kerangka tertentu, biasanya COSO.

Sample matriks pengendalian:

Visit us: 13
Langkah Pembuatan Matriks Pengendalian

I. Menentukan tujuan pengendalian

1. Identifikasi Tujuan Proses Operasi
a. Tujuan efektifitas
Memastikan keberhasilan pencapaian tujuan yang ditetapkan untuk proses
bisnis terkait.
b. Tujuan efisiensi
Memastikan bahwa seluruh sumberdaya yang digunakan sepanjang proses
bisnis digunakan secara produktif.
c. Tujuan keamanan
Memastikan sumber daya entitas terlindungi dari hilang, kerusakan, terlihat,
terkopi, terjual, atau penyalahgunaan lainnya.

2. Identifikasi Tujuan Proses Informasi

a. Tujuan input
Memastikan validitas input, kelangkapan input, dan akurasi input.
b. Tujuan update
Memastikan kelengkapan update dan akurasi update.

II. Merekomendasikan Rencana Pengendalian

1. Meneliti rencana pengendalian yang “ada” pada model proses bisnis
(Flowchart, UML Activity Diagram, atau DFD).
2. Mengevaluasi rencana pengendalian yang “ada” tersebut pada matriks yang
dilihat dari tujuan pengendalian dan rencana pengendalian mana yang cocok.
3. Mengidentifikasi dan mengevaluasi rencana pengendalian yang “hilang”.
4. Memberikan penjelasan pada semua prosedur atau rencana pengendalian
yang sudah dievaluasi.

Visit us: 14
Referensi Bacaan

ITGID. (2019). CobIT (Control Objectives for Information Technology). Retrieved from IT
Governance Indonesia: https://itgid.org/cobit-control-objectives-for-
information-technology/
ITGID. (2019). Pengertian COBIT 5 dan Fungsinya Untuk Information Security. Retrieved
from IT Governance Indonesia: https://itgid.org/pengertian-cobit-5/
ITGID. (2019). Tata Kelola Teknologi Informasi: Cara untuk Menyelaraskan Strategi IT
dan Proses Bisnis. Retrieved from IT Governance Indonesia:
https://itgid.org/tata-kelola-teknologi-informasi-cara-untuk-menyelaraskan-
strategi-it-dan-proses-bisnis/
Romney, M. B. (2018). Accounting Information Systems, 14th Edition. Utah: Pearson.

Visit us: 15