SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

RPS 7
KONSEP DAN PERAN SISTEM INFORMASI
DAN PENEGENDALIAN INTERN - 2

Dosen Pengampu: Dr. Dodik Ariyanto, SE., M.si., Ak., CA

OLEH:

KADEK SASWATA ABHIMANA NEGARA 2007612009

Program Profesi Akuntansi (PPAk)

Fakultas Ekonomi dan Bisnis

Universitas Udayana

2021

1
 SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
A. KONSEP DASAR PENGENDALIAN SISTEM INFORMASI
Saat ini, hampir seluruh organisasi mengandalkan teknologi informasi (TI). Manajemen ingin
memastikan bahwa informasi yang dihasilkan oleh sistem akuntansinya andal.
1. Efektivitas 5. Ketersediaan.
2. Efisiensi 6. Kepatuhan
3. Kerahaasiaan 7. Keandalan
4. Integritas
Berdasarkan kerangka pengendalian COBIT, proses TI umum yang harus dikelola dan
dikendalikan dengan baik dalam rangka menghasilkan informasi yang memenuhi tujuh kriteria di atas
dikelompokkan ke dalam empat kelompok aktivitas manajemen berikut:
1. Perencanaan dan organisasi (plan and organize).
2. Perolehan dan implementasi (acquire and implement)
3. Pelaksanaan dan dukungan (delivery and support)
4. Monitor dan evaluasi
B. PENGENDALIAN PREVENTIF, KOREKTIF DAN DETEKTIF
PENGENDALIAN PREVENTIF
Organisasi biasanya membatasi akses terbadap sumber-sumber daya informasi sebagai
pengendalian preventif atas keamanan TI .
1. Pelatihan 4. Kendali atas akses jaringan
2. Kendali atas akses para pengguna (autentifikasi dan 5. Kendali atas piranti keras dan piranti lunak
otorisasi)
3. Kendali atas akses fisik
PENGENDALIAN DETEKTIF
Pengendalian detektif meningkatkan keamanan dengan cara memonitor efektivitas
pengendalian preventif dan mendeteksi insiden yang berhasil ditangani oleh pengendalian preventif.
1. Analisis Log
2. Intrusion Detection System
3. Laporan Manajemen
4. Pengujian Keamanan
PENGENDALIAN KOREKTIF
Banyak pengendalian korektif yang mengandalkan penilaian manusia.
Konsekuensinya, efektivitasnya tergantung pada sejauh mana perencanaan dan persiapan
sudah dilakukan

2
C. PENGENDALIAN UMUM DAN PENGENDALIAN APLIKASI
Secara sederhana, pengendalian umum adalah semua bentuk pengendalian yang tidak terkait
langsung dengan aplikasi komputer.
PENGENDALIAN UMUM
Pengendalian umum meliputi:
1. Pengendalian Organisasi 5. Pengendalian operasi pusat informasi
2. Pengendalian Dokumentasi 6. Pengendalian otorisasi
3. Pengendalian Akuntabilitas Aset 7. Pengendalian akses
4. Pengendalian Praktik Manajemen
PENGENDALIAN APLIKASI
1. Pengendalian Masukan
2. Pengendalian Proses
3. Pengendalian Keluaran
D. KERAHASIAAN DAN PRIVASI
Organisasi harus melindungi informasi yang sensitif seperti rencana strategis, rahasia dagang,
informasi biaya, dokumen-dokumen hukum, dan perbaikan proses.
1. Identifikasi dan klasifikasi informasi yang harus dilindungi
2. Melindungi kerahasiaan dengan enkripsi
3. Pengendalian akses terhadap informasi sensitif
4. Pelatihan
E. INTEGRITAS DAN KEANDALAN PEMROSESAN
Prinsip kerangka privasi The Trust Service terkait erat dengan prinsip kerahasiaan, namun
perbedaan mendasarnya adalah privasi lebih menekankan pada perlindungan atas informasi personal
mengenai pelanggan daripada data organisasi.
F. AUTORIZATION / ACCESS CONTROL
Organisasi biasanya membatasi akses terhadap sumber-sumber daya informasi sebagai
pengendalian preventif atas keamanan TI . Lebih spesifiknya, batasan-batasan akses yang dapat
diterapkan perusahaan dalam rangka mengendalikan keamanan sumber TI antara lain:
1. Kendali atas akses para pengguna (autentifikasi dan otorisasi)
2. Kendali atas akses fisik
3. Kendali atas akses jaringan
4. Kendali atas piranti keras dan piranti lunak

3
 Jawaban soal multiple choice BAB 8 mengenai Pengendalian untuk Keamanan
Informasi pada buku Romney

1. Manakah dari pernyataan berikut yang benar?

a. Konsep dari defense-in-depth merefleksikan fakta bahwa keamanan melibatkan
sedikit penggunaan pengendalian teknis yang rumit.
b. Keamanan informasi diperlukan untuk melindungi kerahasiaan, privasi,
integritas pemrosesan, dan ketersediaan sumber daya informasi
c. Model keamanan berbasis waktu dapat digambarkan dalam formula berikut: P < D +
C
d. Keamanan informasi utamanya adalah masalah TI, bukan masalah manajerial

Pembahasan: a. (Konsep dari defense-in-depth didasarkan pada ide bahwa dengan waktu
dan sumber daya yang ada, segala pengendalian serumit apa pun tidak
masalah, dapat dilalui - maka, penggunaan pengendalian yang berulang
dan tumpang-tindih akan memaksimalkan keamanan)
a. (Keamanan adalah salah satu fondasi untuk mencapai empat komponen
keandalan sistem yang lainnya)
b. (Formulanya adalah P > D + C)
c. (Keamanan utamanya adalah masalah manajerial karena hanya
manajemen yang dapat memilih respon risiko yang sesuai untuk
melindungi sumber daya informasi organisasi)

2. Berikut ini manakah yang merupakan pengendalian preventif?

a. Pelatihan
b. Analisis log
c. CIRT
d. Virtualisasi
Pembahasan: a. (Pelatihan didesain untuk mencegah pegawai menjadi korban serangan
rekayasa sosial dan praktik-praktik yang tidak aman, seperti mengeklik
pada tautan yang dilekatkan dalam e-mail dengan sumber yang tidak
diketahui)
a. (Analisis log melibatkan pemeriksaan sebuah catatan kejadian untuk
menemukan anomali. Oleh karena itu, tindakan ini adalah pengendalian
detektif)
b. (Tujuan dari computer incident response team (CIRT) adalah merespons
dan mengatasi masalah serta insiden. Oleh karena itu, tindakan ini adalah
pengendalian korektif)
c. (Virtualisasi melibatkan penggunaan satu komputer fisik untuk
menjalankan berbagai mesin virtual. Utamanya merupakan sebuah ukuran
pengendalian-biaya, bukan sebuah prosedur pengendalian keamanan
informasi)

4
3. Prosedur pengendalian yang didesain untuk membatasi porsi-porsi dari sebuah sistem
informasi yang dapat diakses seorang pegawai dan tindakan yang dapat ia lakukan
disebut _____.
a. Autentikasi
b. Otorisasi
c. Pencegahan gangguan
d. Deteksi gangguan
Pembahasan: a. (Autentikasi adalah proses memverifikasi indentitas seorang pengguna |
untuk memutuskan apakah akan memberikan akses atau tidak kepada orang

tersebut)
a. (Otorisasi adalah proses pengendalian tindakan - baca, tulis, hapus, dsb. -
yang seorang pengguna diizinkan untuk melakukannya)
b. (Pencegahan gangguan mengawasi pola-pola dalam lalu lintas jaringan
untuk mengidentifikasi dan menghentikan serangan)
c. (Deteksi gangguan adalah sebuah pengendalian detektif yang
mengidentifikasi ketika sebuah serangan telah terjadi)

4. Sebuah kelemahan yang dapat dimanfaatkan dengan baik oleh seorang penyerang untuk
mematikan atau mengambil kendali dari sebuah sistem disebut dengan _____.
a. Exploit
b. Patch
c. Kerentanan
d. Serangan
Pembahasan: a. (Sebuah exploit adalah kode perangkat lunak yang digunakan untuk
memanfaatkan sebuah kelemahan)
b. (Patch adalah sebuah kode yang didesain untuk memperbaiki sebuah
kelemahan)
c. (Kerentanan adalah segala kelemahan yang dapat digunakan untuk
mematikan atau mengambil kendali sebuah sistem)
e. (Sebuah serangan adalah tindakan yang melwan sistem. Agar berhasil, ia
mengeksploitasi sebuah kerentanan)

5. Berikut ini manakah yang bukan merupakan pengendalian korektif yang didesain untuk
memperbaiki kerentanan?
a. Virtualisasi
b. Manajemen patch
c. Uji penetrasi
d. Otorisasi
Pembahasan: a. (Virtualisasi melibatkan penggunaan satu komputer fisik untuk menjalankan

5
 berbagai mesin virtual. Utamanya merupakan sebuah ukuran pengendalian-
biaya, bukan sebuah prosedur pengendalian keamanan informasi)
b. (Manajemen patch melibatkan penggantian kode cacat yang menunjukkan
sebuah kerentanan dengan kode yang dikoreksi, yang disebut patch)
c. (Pengujian penetrasi merupakan pengendalian detektif)
d. (Otorisasi adalah pengujian preventif yang digunakan untuk membatasi
tindakan yang dapat dilakukan pengguna)

6. Berikut ini manakah yang merupakan pengendalian detektif?

a. Pengukuhan endpoint
b. Pengendalian akses fisik
c. Uji penetrasi
d. Manajemen patch
Pembahasan: a. (Pengukuhan adalah pengendalian preventif yang mencoba untuk
mengeliminasi kerentanan dengan mengonfigurasi ulang perangkat dan
perangkat lunak)
b. (Pengendalian akses fisik adalah sebuah pengendalian preventif yang
didesain untuk membatasi akses terhadap sebuah sistem)
c. (Pengujian penetrasi adalah pengendalian detektif yang didesain untuk
mengidentifikasi lamanya waktu yang diperlukan untuk mengeksploitasi
sebuah kerentanan)
d.(Manajemen patch adalah sebuah pengendalian korektif yang
memperbaiki kerentanan)

7. Manakah dari pernyataan berikut yang benar?

a. Perubahan “darurat” perlu didokumentasi segera setelah masalah teratasi
b. Perubahan harus diuji dengan sebuah yang terpisah dari sistem yang digunakan
untuk memproses transaksi
c. Pengendalian perubahan diperlukan untuk memelihara pemisahan tugas yang sesuai
d. Semua pernyataan benar

8. Manakah dari teknik-teknik berikut yang merupakan cara paling efektif dalam sebuah
penggunaan firewall untuk melindungi perimeter?
a. Deep packet inspection
b. Penyaringan paket
c. Daftar pengendalian akses
d. Semuanya sama efektif
Pembahasan: a. (Deep packet inspection memeriksa isi data di dalam tubuh paket IP, bukan

hanya informasi pada header paket. Ini adalah cara terbaik untuk
menangkap kode berbahaya)

6
 b. (Penyaringan paket memeriksa header paket IP. Ia dapat dikecoh oleh
serangan yang memalsukan alamat sumber atau tujuan atau
menyembunyikan kode berbahaya di dalam paket)
c. (Daftar pengendalian akses adalah satu set aturan yang dapat digunakan
untuk melakukan baik penyaringan paket maupun deep packet inspection)
d. (Pilihan b kurang efektif dibandingkan pilihan a, dan pilihan c yang
merupakan bagian dari penyaringan paket dan deep packet inspection)

9. Manakah dari kombinasi tanda bukti berikut yang merupakan sebuah contoh dari
autentikasi multifaktor?
a. Pengenal suara dan pembaca sidik jari
b. PIN dan kartu ATM
c. Kata sandi dan ID pengguna
d. Semuanya
Pembahasan: a. (Pengenal suara dan pembaca sidik jari adalah sebuah kombinasi dari dua
tanda bukti biometri dan merupakan sebuah contoh dari autentikasi
multfaktorl)
i. (PIN adalah sesuatu yang diketahui seseorang, kartu ATM adalah sesuatu
yang dipunyai seseorang)
ii. (Keduanya adalah hal yang diketahui seseorang dan menunjukkan sebuah
contoh dari autentikasi multimodal)

10. Memodifikasi konfigurasi dasar untuk mematikan program dan fitur yang tidak perlu
untuk meningkatkan keamanan disebut ____.
a. Manajemen akun pengguna
b. Defense-in-path
c. Pemindai kerentanan
d. Pengukuhan
Pembahasan: a. (Manajemen akun pengguna adalah sebuah pengendalian preventif yang
membatasi tindakan yang dapat dilakukan seorang pengguna)
b. (Defense-in-path adalah prinsip keamanan umum atas penggunaan berbagai
pengendalian yang tumpang-tindih untuk melindungi sebuah sistem)
1. (Pemindai kerentanan adalah pengendalian detektif yang didesain untuk
mengidentifikasi kelemahan)
2. (Pengukuhan adalah kegiatan memodifikasi dasar untuk memastikan
program dan fitur yang tidak perlu untuk meningkatkan keamanan)

7
 Jawaban soal Past Exam CA 2015

61. Di antara hal-hal berikut yang bukan merupakan bagian dari lingkungan pengendalian
internal adalah: 
A. Filosofi dan gaya manajemen
B. Struktur organisasi perusahaan
C. Desain dokumen yang baik
D. Peran Dewan Komisaris dan Komite Audit

Pembahasan: Lingkungan Pengendalian dari suatu organisasi menekankan pada berbagai

macam faktor yang secara bersamaan mempengaruhi kebijakan dan prosedur
pengendalian. Lingkungan pengendalian mencakup: filosofi dan gaya
operasional manajemen, struktur organisasi, dewan komisaris dan audit
komite, metode pengendalian wewenang dan tanggung jawab, metode
pengendalian manajemen, kebijakan dan praktik kepegawaian, pengaruh
eksternal.

62. Apakah perbedaan kunci antara pemisahan fungsi dan tanggungjawab dalam sistem
manual dan sistem berbasis komputer?
A. Tidak ada perbedaan prinsip
B. Dalam sistem manual, pemisahan fungsi dilakukan secara fisik, sedang dalam
sistem berbasis komputer berbasis akses file
C. Dalam sistem manual, dokumen harus dibuat rangkap, sedang dalam sistem berbasis
komputer, dokumen tidak boleh dicetak, karena ada di layar
D. Dalam sistem manual, dokumen harus ditandatangani, sedang dalam sistem berbasis
komputer, dokumen tidak perlu ditandatangani 

Pembahasan: Perbedaan sistem komputer dan manual hanya pada proses pengolahan
datainput menjadi output. Pada sistem informasi akuntansi basis komputer data
diolah olehkomputer yang biasa disebut sebagai pengolahan data elektronik.

63. Salah satu penerapan preventive control adalah 

A. Daftar harga barang dari pemasok 
B. Saldo utang kepada pemasok
C. Dokumen pesanan pembelian
D. Dokumen pengiriman barang

Pembahasan: Preventive Control adalah suatu langkah pencegahan yang diambil sebelum

keadaan darurat, kehilangan, atau masalah terjadi. Ini termasuk penggunaan
alarm dan kunci, pemisahan tugas (untuk mencegah perekam uang tunai dari
kas dan mengendalikan persediaan personil dari pengendalian persediaan)
ditambah umum lainnya dan kebijakan-kebijakan otorisasi khusus. Bisa

8
 diartikan bahwa preventive control adalah mengendalikan sistem di muka
sebelum proses dimulai dengan menerapkan hal-hal yang merugikan untuk
masuk ke dalam sistem, sehingga dirancang untuk mencegah kesalahan atau
penyimpangan dari terjadi (misalnya pengolahan voucher hanya setelah
tandatangan telah diperoleh dari personil yang tepat).

64. Firewalls merupakan: 

A. Alat yang salah satu komputer dari komputer lain yang berfungsi untuk melindungi
komputer tersebut  
B. Sebuah fasilitas yang menjamin akses di antara dua jaringan komputer tidak mudah
diganggu 
C. Sebuah program untuk menyaring dan membatasi akses ke Internet 
D. Sebuah program yang berfungsi sebagai berfungsi antivirus 

Pembahasan: Firewalls merupakan sistem keamanan yang melindungi computer dari

berbagai ancaman di jaringan internet. Firewall bekerja sebagai sekat atau
tembok yang membatasi computer dari jaringan internet

65. Manakah sistem Informasi yang untuk mencatat data transaksi?  

A. Sistem Informasi Akuntansi (SIA) 
B. Sistem informasi Manajemen (SIM)
C. Sistem Informasi Eksekutif (SIE)
D. Semua sistem informasi (SIA, SIM, SIE) bertugas mencatat transaksi

Pembahasan: Sistem Informasi Akuntansi (SIA) adalah pengaturan formula, catatan dan
laporan yang dikoordinasikan sedemikian rupa untuk menyediakan informasi
keuangan yang dibutuhkan oleh manajemen, guna memudahkan pengelolaan
perusahaan. Salah satu fungsinya adalah membuat dan mencatat data transaksi
dengan benar ke dalan jurnal-jurnal yang diperlukan dalam proses akuntansi
sesuai dengan urutan dan tanggal terjadinya transaksi

Sistem Informasi Manajemen (SIM) adalah sistem perencanaan bagian dari

pengendalian internal dalam bisnis yang terdiri atas pemanfaatan dokumen,
manusia, teknologi, serta prosedur dalam akuntansi manajemen.

Sistem Informasi Eksekutif (SIE) adalah sistem yang menyediakan informasi

bagi eksekutif mengenai kinerja keseluruhan perusahaan. Informasi dapat
diambil dengan mudah dan dalam berbagai tingkat rincian.

66. Apa hubungan antara siklus akuntansi dengan bagian-bagian atau departemen di dalam
perusahaan?
A. Siklus akuntansi tidak harus merupakan suatu bagian, tetapi suatu bagian biasanya
mewakili suatu siklus

9
 B. Satu siklus akuntansi akan diwakili oleh satu bagian di dalam perusahaan
C. Satu bagian di dalam perusahaan menjalankan berbagai siklus akuntansi
D. Siklus akuntansi tidak ada hubungannya dengan bagian di dalam perusahaan 

Pembahasan: SIA yang digunakan dalam sebuah organisasi yang melakukan berbagai
aktivitas dapat dikelompokkan menjadi lima siklus, yang masingmasing akan
saling berhubungan dalam pengiriman data yang nantinya bermuara pada
Sistem Buku Besar dan Pelaporan. Siklus pertama SIA adalah Siklus
Pendapatan (Revenue Cycle) terdiri dari semua aktivitas yang berhuungan
dengan pertukaran dasar ekonomi dari penjualan barang dan jasa dan
mendapatkan kas dari penjualan tersebut. Kedua, Siklus Pengeluaran (Expense
Cycle) yang melibatkan berbagai aktivitas yang berhubungan dengan
mendapatkan dan membayar barang dan jasa. Ketiga adalah Siklus Produksi
(Production Cycle) yang terdiri dari berbagai aktivitas yang berhubungan
dengan penggunaan tenaga kerja dan perlengkapan untuk mengubah bahan
baku mentah menjadi barang jadi. Keempat berfokus pada Siklus Sumber
Daya Manusia/Penggajian (Human Resource Management/Payroll cycle),
yang membicarakan berbagai masalah tentang pengembagan dan manajemen
yang efektif atas sumber daya organisasi yang paling berharga; para karyawan
(employees), dan sistem penggajian. Kelima adalah Sistem Buku Besar dan
Peloporan (General Ledger and Reporting) yang berbicara mengenai barbagai
masalah dalam penyediaan informasi keuangan dan non keuangan bagi pihak
manajemen yang akurat dan tepat waktu, yaitu mengenai efektivitas dan
efisiensi organisasi dalam melaksanakan berbagai aktivita bisnis.

67. Metode pengembangan sistem konvensional sering juga disebut:

A. End user computing
B. System development life cycle
C. Pilot project
D. Prototype

Pembahasan: End-user computing satisfaction merupakan evaluasi secara keseluruhan atas

sistem informasi yang digunakan oleh pengguna sistem informasi sehubungan
dengan pengalaman penggunaan sistem informasi tersebut.

SDLC digunakan untuk membangun suatu sistem informasi agar dapat berjalan
sesuai dengan apa yang diharapkan. SDLC (Systems Development Life Cycle,
Siklus Hidup Pengembangan Sistem) atau Systems Life Cycle (Siklus Hidup
Sistem), dalam rekayasa sistem dan rekayasa perangkat lunak, adalah proses
pembuatan dan pengubahan sistem serta model dan metodologi yang
digunakan untuk mengembangkan sistem-sistem tersebut.

Definisi pilot project merujuk pada pelaksanaan kegiatan proyek percontohan

yang dirancang sebagai pengujian atau trial dalam rangka untuk menunjukkan

10
 keefektifan suatu pelaksanaan program, mengetahui dampak pelaksanaan
program dan keekonomisannya. Uji coba implementasi sistem terkait
pengembangan sistem informasi yang baru tersebut umumnya dilakukan pada
beberapa unit kerja dengan metode percontohan 

Prototyping merupakan metode pengembangan perangat lunak, yang berupa

model fisik kerja sistem dan berfungsi sebagai versi awal dari sistem

68. Dalam lingkungan Electronic Data Interchange (EDI), jejak audit (audit trail) berupa: 
A. Cetakan semua transaksi pembelian dan penjualan yang dilakukan oleh perusahaan
B. Catatan elektronik yang disimpan dalam file (logs) dari semua transaksi
C. Tabel yang berisi penanggungjawab transaksi transaksi dalam EDI 
D. Daftar semua file yang digunakan dalam EDI 

Pembahasan: Jejak audit atau audit trail adalah urutan dokumen, file komputer, dan catatan lain
yang diperiksa selama audit, mulai dari inisiasi hingga ke finalisasi. Ini
menunjukkan bagaimana transaksi telah ditangani oleh entitas dari awal hingga
selesai. Definisi Electronic Data Interchange (EDI) atau pertukaran data secara
elektronik adalah metode untuk saling bertukar data bisnis atau transaksi secara
elektronik melalui jaringan komputer dan internet.

69. Ketika seorang auditor memeriksa program yang digunakan, tujuan audit yang manakah
yang sedang ia uji? 
A. Melindungi aplikasi dan perubahan yang tidak diotorisasi 
B. Meyakinkan bahwa aplikasi yang digunakan tidak mengandung kesalahan
C. Melindungi fasilitas komputer dari akses oleh orang yang tidak berhak 
D. Mencegah adanya kesalahan program sehingga dapat diketahui dan dicegah

Pembahasan: Ketika melaksanakan audit sistem informasi, para auditor harus memastikan
tujuan-tujuan berikut ini dipenuhi :Perlengkapan keamanan melindungi
perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak
sah, modifikasi, atau penghancuran.Pengembangan dan perolehan program
dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak
manajemen.Modifikasi program dilaksanakan dengan otorisasi dan persetujuan
pihak manajemen.Pemrosesan transaksi, file, laporan, dan catatan komputer
lainnya telah akurat dan lengkap.Data sumber yang tidak akurat. atau yang
tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan
kebijakan manajerial yang telah ditetapkan.File data komputer telah akurat,
lengkap, dan dijaga kerahasiaannya.

70. Berikut ini yang merupakan hash total adalah:

A. Jumlah gaji yang dibayar Rp25 Juta
B. Banyaknya karyawan adalah 15 orang

11
 C. Jumlah semua nomor pegawai adalah 250162
D. Jumlah jam kerja adalah 200 jam 
Pembahasan: Jumlah total lain-lain (hash total) adalah jumlah field yang biasanya tidak
ditambahkan, seperti jumlah nomor rekening pelanggan atau nomor
identifikasi pegawai.

DAFTAR PUSTAKA
Ikatan Akuntan Indonesia. 2015. Sistem Informasi dan Pengendalian Internal. Jakarta: IAI.

12