Risiko dan Pengendalian Internal dalam Sistem TI

1. Gambaran umum pengendalian internal untuk sistem TI

Untuk sebagian besar organisasi, sistem komputer sangat penting untuk operasi yang
berkelanjutan. Salah satu fungsi penting dalam sistem TI adalah sistem informasi
akuntansi. Sistem TI telah menjadi sangat penting sehingga organisasi tidak akan
dapat beroperasi jika sistem TI mereka tiba-tiba gagal. Pengetahuan tentang sistem TI
dan risiko serta kontrol terkait merupakan faktor penting dalam memperoleh
pemahaman tentang proses bisnis dan pencatatan, ringkasan, pemantauan, dan
pelaporan hasil.
Dari hari-hari awal penggunaan komputer dalam akuntansi, pengendalian internal
untuk sistem berbasis komputer telah digambarkan sebagai dua jenis: pengendalian
umum dan pengendalian aplikasi. Kontrol umum berlaku secara keseluruhan untuk
sistem akuntansi TI; mereka tidak terbatas pada aplikasi akuntansi tertentu. Contoh
dari kontrol umum adalah penggunaan kata sandi untuk mengizinkan hanya pengguna
yang berwenang untuk masuk ke sistem akuntansi berbasis TI. Tanpa memperhatikan
pemrosesan data dalam aplikasi tertentu, kata sandi harus digunakan dalam sistem TI.
Kontrol aplikasi digunakan secara khusus dalam aplikasi akuntansi untuk mengontrol
input, pemrosesan, dan output. Kontrol aplikasi dimaksudkan untuk memastikan
bahwa input dan pemrosesan akurat dan lengkap dan bahwa output didistribusikan,
dikontrol, dan dibuang dengan benar. Contoh dari kontrol aplikasi masukan adalah
pemeriksaan validitas.
2. Kontrol umum untuk sistem TI
a. Otentikasi Pengguna dan Membatasi Pengguna yang Tidak Sah
Otentikasi pengguna adalah proses atau prosedur dalam sistem TI untuk
memastikan bahwa orang yang mengakses sistem TI adalah pengguna yang sah.
Pengguna tidak sah yang mencoba mengakses sistem TI adalah masalah umum,
sulit, dan berkelanjutan yang harus coba dikendalikan oleh organisasi. Pengguna
yang tidak sah mungkin adalah peretas atau orang di luar organisasi, atau pengguna
dalam perusahaan yang mencoba mendapatkan akses ke data yang bukan hak
mereka. Untuk membatasi akses yang tidak sah, ada banyak kendali umum yang
harus dilakukan.
b. Peretasan dan pembobolan jaringan lainnya
 Ketika sistem TI terhubung ke jaringan internal atau Internet, jaringan tersebut
terbuka untuk peluang akses yang tidak sah. Semakin luas rangkaian koneksi
jaringan, semakin besar peluang untuk akses tidak sah oleh peretas, orang lain di
luar organisasi, dan karyawan yang tidak sah. Ketika sistem TI memiliki koneksi
jaringan, organisasi harus menggunakan satu atau lebih firewall dalam jaringan.
c. Struktur organisasi
Organisasi dengan sistem TI yang luas harus mengatur keseluruhan pengembangan
dan pengoperasian sistem TI melalui penggunaan komite tata kelola TI, biasanya
terdiri dari eksekutif puncak. Fungsinya untuk mengatur keseluruhan
pengembangan dan pengoperasian sistem TI.
d. Lingkungan fisik dan keamanan fisik sistem
Kontrol umum untuk sistem TI harus mencakup kontrol atas lingkungan fisik
sistem dan kontrol akses fisik untuk membatasi siapa yang berhubungan dengan
sistem. Lingkungan fisik mencakup lokasi, lingkungan operasi, dan sistem
cadangan sistem TI. Keamanan fisik dimaksudkan untuk membatasi akses fisik ke
perangkat keras dan perangkat lunak komputer sehingga tindakan jahat atau
perusakan tidak mengganggu sistem, dan agar data terlindungi.
Perangkat keras dan data dalam sistem TI juga rentan terhadap kerusakan,
kehancuran, gangguan, atau pencurian jika orang yang tidak berwenang dapat
mengaksesnya secara fisik. Sistem TI skala besar harus dilindungi oleh kontrol
akses fisik. Kontrol tersebut meliputi:
1. Akses terbatas ke ruang komputer melalui lencana ID karyawan atau kunci kartu
2. Peralatan pengawasan video
3. Log orang yang masuk dan keluar dari ruang komputer
4. Penyimpanan data cadangan dan data cadangan luar kantor yang terkunci
e. Keberlangsungan bisnis
Business Continuity Planning (BCP) adalah program proaktif untuk
mempertimbangkan risiko terhadap kelangsungan bisnis serta mengembangkan
rencana dan prosedur untuk mengurangi risiko tersebut. Karena sejumlah besar
organisasi bergantung pada sistem TI untuk beroperasi, kelanjutan sistem TI
merupakan bagian integral dari kelangsungan bisnis. BCP adalah jenis perencanaan
yang luas yang berfokus pada personel kunci, sumber daya, dan aktivitas penting
untuk kelanjutan bisnis.
3. Kontrol umum dari perspektif Prinsip Layanan Kepercayaan
 Setiap organisasi harus memutuskan kombinasi kontrol TI mana yang paling sesuai
untuk sistem TI-nya, memastikan bahwa manfaat dari setiap kontrol lebih besar
daripada biayanya. Sebagai contoh, Anda mungkin tidak akan mengeluarkan uang
untuk memasang sistem alarm pencuri mobil yang ekstensif di Honda Civic 1988
Anda. Biaya alarm pencuri akan lebih besar daripada manfaatnya.
Saat mempertimbangkan risiko TI, organisasi harus menerapkan kontrol TI yang
menguntungkan secara biaya. Sebagai kerangka kerja untuk membahas risiko TI ini,
AICPA Trust Services Principles mengkategorikan kontrol dan risiko TI ke dalam
lima kategori:
a. Keamanan. Sistem dilindungi dari akses yang tidak sah (fisik dan logis).
b. Ketersediaan. Sistem tersedia untuk pengoperasian dan penggunaan sesuai
komitmen atau kesepakatan.
c. Integritas pemrosesan. Pemrosesan sistem selesai, akurat, tepat waktu, dan resmi.
d. Privasi online. Informasi pribadi yang diperoleh sebagai hasil dari perdagangan
elektronik dikumpulkan, digunakan, diungkapkan, dan disimpan sebagai komitmen
atau persetujuan.
e. Kerahasiaan. Informasi yang ditetapkan sebagai rahasia dilindungi sebagai
kesepakatan atau kesepakatan.
4. Eksposur perangkat keras dan perangkat lunak dalam sistem TI
a. Sistem operasi
Sistem operasi adalah perangkat lunak yang mengontrol aktivitas input dan output
dasar komputer. Sistem operasi menyediakan instruksi yang memungkinkan CPU
membaca dan menulis ke disk, membaca input keyboard, mengontrol output ke
monitor, mengelola memori komputer, dan berkomunikasi antara CPU, memori,
dan penyimpanan disk.
b. Basis data
Keberadaan database menawarkan banyak keuntungan operasional seperti
peningkatan efisiensi TI dan pengambilan data yang mudah. Bagaimanapun,
database juga merupakan area eksposur. Ini adalah bagian dari sistem TI yang
rentan terhadap risiko keamanan, ketersediaan, integritas pemrosesan, dan
kerahasiaan.
c. Sistem manajemen basis data (DBMS)
Sistem manajemen basis data (DBMS) adalah sistem perangkat lunak yang
mengelola antarmuka antara banyak pengguna dan basis data.
 d. Jaringan area lokal (LAN)
Jaringan area lokal, atau LAN, adalah jaringan komputer yang mencakup area
geografis kecil. Dalam kebanyakan kasus, LAN berada di dalam satu gedung atau
grup bangunan lokal. Kebanyakan LAN adalah sekumpulan komputer pribadi
atau workstation yang terhubung untuk berbagi data dan perangkat seperti printer.
Biasanya, LAN terhubung ke komputer yang lebih besar, server, tempat data dan
beberapa program berada dan dibagikan melalui LAN. Sekelompok LAN yang
terhubung satu sama lain untuk mencakup area geografis yang lebih luas disebut
jaringan area luas, atau WAN.
e. Jaringan nirkabel
Jaringan nirkabel telah menjadi sangat populer di organisasi karena
memungkinkan pekerja untuk terhubung ke jaringan tanpa harus ditambatkan ke
kabel jaringan. Jaringan nirkabel dapat menghemat banyak waktu, biaya, dan
tenaga dalam menjalankan kabel jaringan. Selain itu, memungkinkan pekerja
untuk menjelajah dan terus bekerja melalui jaringan. Jaringan nirkabel mewakili
titik masuk potensial lain dari akses yang tidak sah dan oleh karena itu
menimbulkan empat eksposur risiko keamanan, kerahasiaan, ketersediaan, dan
integritas pemrosesan.
f. Internet dan World Wide Web
Sambungan Internet yang diperlukan untuk menjalankan bisnis berbasis Web
dapat membuka jaringan perusahaan untuk pengguna yang tidak sah, peretas, dan
seni pembobol jaringan lainnya. Volume pengguna World Wide Web secara
dramatis meningkatkan potensi jumlah peretas atau pengguna tidak sah yang
mungkin mencoba mengakses jaringan komputer organisasi. Pengguna yang tidak
sah dapat membahayakan keamanan dan kerahasiaan, dan memengaruhi
ketersediaan dan integritas pemrosesan dengan mengubah data atau perangkat
lunak atau dengan memasukkan program virus atau worm.
g. Pertukaran data elektronik (EDI)
Electronic data interchange (EDI) adalah transfer dokumen bisnis standar dari
perusahaan ke perusahaan dalam bentuk elektronik. EDI banyak digunakan oleh
bisnis untuk membeli dan menjual barang dan material.
5. Perangkat lunak aplikasi dan kontrol aplikasi
Perangkat lunak aplikasi menyelesaikan tugas pengguna akhir seperti pengolah kata,
spreadsheet, pemeliharaan database, dan fungsi akuntansi. Semua perangkat lunak
 aplikasi berjalan di atas perangkat lunak sistem operasi dan menggunakan input dasar,
output, dan fungsi penyimpanan data dari sistem operasi. Semua perangkat lunak
akuntansi dianggap sebagai perangkat lunak aplikasi. Perangkat lunak aplikasi
merupakan titik masuk lain di mana pengguna atau peretas yang tidak sah dapat
memperoleh akses.
Kontrol aplikasi adalah kontrol internal atas input, pemrosesan, dan output aplikasi
akuntansi. Kontrol aplikasi yang dimaksudkan untuk meningkatkan akurasi,
kelengkapan, dan keamanan input, pemrosesan, dan output dijelaskan sebagai berikut:
a. Pengendalian masukan dimaksudkan untuk menjamin keakuratan dan
kelengkapan prosedur penginputan data dan data yang dihasilkan.
b. Pengendalian pemrosesan dimaksudkan untuk memastikan keakuratan dan
kelengkapan pemrosesan yang terjadi dalam aplikasi akuntansi.
c. Kontrol keluaran dimaksudkan untuk membantu memastikan keakuratan,
kelengkapan, dan keamanan keluaran yang dihasilkan dari pemrosesan aplikasi.
6. Masalah etika dalam sistem TI
Sekumpulan kontrol internal yang kuat dapat membantu mencegah perilaku tidak etis
seperti penipuan dan penyalahgunaan. Manajemen memiliki tugas untuk memelihara
kontrol internal atas sistem TI karena beberapa alasan. Terutama, manajer memiliki
tanggung jawab kepengurusan untuk melindungi aset dan dana yang dipercayakan
kepada mereka oleh pemilik organisasi, dan memenuhi tanggung jawab ini
mensyaratkan adanya kontrol untuk melindungi aset. Sistem TI itu sendiri, seperti
perangkat keras dan perangkat lunak komputer, merupakan aset yang harus dilindungi
dari pencurian, penyalahgunaan, atau penyalahgunaan. Tanpa kontrol yang tepat pada
sistem TI, sistem komputer dapat dengan mudah disalahgunakan oleh pihak luar atau
karyawan.

7. Artikel T-4