RPS 7
KONSEP DAN PERAN SISTEM INFORMASI
DAN PENEGENDALIAN INTERN - 2
OLEH:
Universitas Udayana
2021
1
SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
A. KONSEP DASAR PENGENDALIAN SISTEM INFORMASI
Saat ini, hampir seluruh organisasi mengandalkan teknologi informasi (TI). Manajemen ingin
memastikan bahwa informasi yang dihasilkan oleh sistem akuntansinya andal.
1. Efektivitas 5. Ketersediaan.
2. Efisiensi 6. Kepatuhan
3. Kerahaasiaan 7. Keandalan
4. Integritas
Berdasarkan kerangka pengendalian COBIT, proses TI umum yang harus dikelola dan
dikendalikan dengan baik dalam rangka menghasilkan informasi yang memenuhi tujuh kriteria di atas
dikelompokkan ke dalam empat kelompok aktivitas manajemen berikut:
1. Perencanaan dan organisasi (plan and organize).
2. Perolehan dan implementasi (acquire and implement)
3. Pelaksanaan dan dukungan (delivery and support)
4. Monitor dan evaluasi
B. PENGENDALIAN PREVENTIF, KOREKTIF DAN DETEKTIF
PENGENDALIAN PREVENTIF
Organisasi biasanya membatasi akses terbadap sumber-sumber daya informasi sebagai
pengendalian preventif atas keamanan TI .
1. Pelatihan 4. Kendali atas akses jaringan
2. Kendali atas akses para pengguna (autentifikasi dan 5. Kendali atas piranti keras dan piranti lunak
otorisasi)
3. Kendali atas akses fisik
PENGENDALIAN DETEKTIF
Pengendalian detektif meningkatkan keamanan dengan cara memonitor efektivitas
pengendalian preventif dan mendeteksi insiden yang berhasil ditangani oleh pengendalian preventif.
1. Analisis Log
2. Intrusion Detection System
3. Laporan Manajemen
4. Pengujian Keamanan
PENGENDALIAN KOREKTIF
Banyak pengendalian korektif yang mengandalkan penilaian manusia.
Konsekuensinya, efektivitasnya tergantung pada sejauh mana perencanaan dan persiapan
sudah dilakukan
2
C. PENGENDALIAN UMUM DAN PENGENDALIAN APLIKASI
Secara sederhana, pengendalian umum adalah semua bentuk pengendalian yang tidak terkait
langsung dengan aplikasi komputer.
PENGENDALIAN UMUM
Pengendalian umum meliputi:
1. Pengendalian Organisasi 5. Pengendalian operasi pusat informasi
2. Pengendalian Dokumentasi 6. Pengendalian otorisasi
3. Pengendalian Akuntabilitas Aset 7. Pengendalian akses
4. Pengendalian Praktik Manajemen
PENGENDALIAN APLIKASI
1. Pengendalian Masukan
2. Pengendalian Proses
3. Pengendalian Keluaran
D. KERAHASIAAN DAN PRIVASI
Organisasi harus melindungi informasi yang sensitif seperti rencana strategis, rahasia dagang,
informasi biaya, dokumen-dokumen hukum, dan perbaikan proses.
1. Identifikasi dan klasifikasi informasi yang harus dilindungi
2. Melindungi kerahasiaan dengan enkripsi
3. Pengendalian akses terhadap informasi sensitif
4. Pelatihan
E. INTEGRITAS DAN KEANDALAN PEMROSESAN
Prinsip kerangka privasi The Trust Service terkait erat dengan prinsip kerahasiaan, namun
perbedaan mendasarnya adalah privasi lebih menekankan pada perlindungan atas informasi personal
mengenai pelanggan daripada data organisasi.
F. AUTORIZATION / ACCESS CONTROL
Organisasi biasanya membatasi akses terhadap sumber-sumber daya informasi sebagai
pengendalian preventif atas keamanan TI . Lebih spesifiknya, batasan-batasan akses yang dapat
diterapkan perusahaan dalam rangka mengendalikan keamanan sumber TI antara lain:
1. Kendali atas akses para pengguna (autentifikasi dan otorisasi)
2. Kendali atas akses fisik
3. Kendali atas akses jaringan
4. Kendali atas piranti keras dan piranti lunak
3
Jawaban soal multiple choice BAB 8 mengenai Pengendalian untuk Keamanan
Informasi pada buku Romney
Pembahasan: a. (Konsep dari defense-in-depth didasarkan pada ide bahwa dengan waktu
dan sumber daya yang ada, segala pengendalian serumit apa pun tidak
masalah, dapat dilalui - maka, penggunaan pengendalian yang berulang
dan tumpang-tindih akan memaksimalkan keamanan)
a. (Keamanan adalah salah satu fondasi untuk mencapai empat komponen
keandalan sistem yang lainnya)
b. (Formulanya adalah P > D + C)
c. (Keamanan utamanya adalah masalah manajerial karena hanya
manajemen yang dapat memilih respon risiko yang sesuai untuk
melindungi sumber daya informasi organisasi)
4
3. Prosedur pengendalian yang didesain untuk membatasi porsi-porsi dari sebuah sistem
informasi yang dapat diakses seorang pegawai dan tindakan yang dapat ia lakukan
disebut _____.
a. Autentikasi
b. Otorisasi
c. Pencegahan gangguan
d. Deteksi gangguan
Pembahasan: a. (Autentikasi adalah proses memverifikasi indentitas seorang pengguna |
untuk memutuskan apakah akan memberikan akses atau tidak kepada orang
tersebut)
a. (Otorisasi adalah proses pengendalian tindakan - baca, tulis, hapus, dsb. -
yang seorang pengguna diizinkan untuk melakukannya)
b. (Pencegahan gangguan mengawasi pola-pola dalam lalu lintas jaringan
untuk mengidentifikasi dan menghentikan serangan)
c. (Deteksi gangguan adalah sebuah pengendalian detektif yang
mengidentifikasi ketika sebuah serangan telah terjadi)
4. Sebuah kelemahan yang dapat dimanfaatkan dengan baik oleh seorang penyerang untuk
mematikan atau mengambil kendali dari sebuah sistem disebut dengan _____.
a. Exploit
b. Patch
c. Kerentanan
d. Serangan
Pembahasan: a. (Sebuah exploit adalah kode perangkat lunak yang digunakan untuk
memanfaatkan sebuah kelemahan)
b. (Patch adalah sebuah kode yang didesain untuk memperbaiki sebuah
kelemahan)
c. (Kerentanan adalah segala kelemahan yang dapat digunakan untuk
mematikan atau mengambil kendali sebuah sistem)
e. (Sebuah serangan adalah tindakan yang melwan sistem. Agar berhasil, ia
mengeksploitasi sebuah kerentanan)
5. Berikut ini manakah yang bukan merupakan pengendalian korektif yang didesain untuk
memperbaiki kerentanan?
a. Virtualisasi
b. Manajemen patch
c. Uji penetrasi
d. Otorisasi
Pembahasan: a. (Virtualisasi melibatkan penggunaan satu komputer fisik untuk menjalankan
5
berbagai mesin virtual. Utamanya merupakan sebuah ukuran pengendalian-
biaya, bukan sebuah prosedur pengendalian keamanan informasi)
b. (Manajemen patch melibatkan penggantian kode cacat yang menunjukkan
sebuah kerentanan dengan kode yang dikoreksi, yang disebut patch)
c. (Pengujian penetrasi merupakan pengendalian detektif)
d. (Otorisasi adalah pengujian preventif yang digunakan untuk membatasi
tindakan yang dapat dilakukan pengguna)
8. Manakah dari teknik-teknik berikut yang merupakan cara paling efektif dalam sebuah
penggunaan firewall untuk melindungi perimeter?
a. Deep packet inspection
b. Penyaringan paket
c. Daftar pengendalian akses
d. Semuanya sama efektif
Pembahasan: a. (Deep packet inspection memeriksa isi data di dalam tubuh paket IP, bukan
hanya informasi pada header paket. Ini adalah cara terbaik untuk
menangkap kode berbahaya)
6
b. (Penyaringan paket memeriksa header paket IP. Ia dapat dikecoh oleh
serangan yang memalsukan alamat sumber atau tujuan atau
menyembunyikan kode berbahaya di dalam paket)
c. (Daftar pengendalian akses adalah satu set aturan yang dapat digunakan
untuk melakukan baik penyaringan paket maupun deep packet inspection)
d. (Pilihan b kurang efektif dibandingkan pilihan a, dan pilihan c yang
merupakan bagian dari penyaringan paket dan deep packet inspection)
9. Manakah dari kombinasi tanda bukti berikut yang merupakan sebuah contoh dari
autentikasi multifaktor?
a. Pengenal suara dan pembaca sidik jari
b. PIN dan kartu ATM
c. Kata sandi dan ID pengguna
d. Semuanya
Pembahasan: a. (Pengenal suara dan pembaca sidik jari adalah sebuah kombinasi dari dua
tanda bukti biometri dan merupakan sebuah contoh dari autentikasi
multfaktorl)
i. (PIN adalah sesuatu yang diketahui seseorang, kartu ATM adalah sesuatu
yang dipunyai seseorang)
ii. (Keduanya adalah hal yang diketahui seseorang dan menunjukkan sebuah
contoh dari autentikasi multimodal)
10. Memodifikasi konfigurasi dasar untuk mematikan program dan fitur yang tidak perlu
untuk meningkatkan keamanan disebut ____.
a. Manajemen akun pengguna
b. Defense-in-path
c. Pemindai kerentanan
d. Pengukuhan
Pembahasan: a. (Manajemen akun pengguna adalah sebuah pengendalian preventif yang
membatasi tindakan yang dapat dilakukan seorang pengguna)
b. (Defense-in-path adalah prinsip keamanan umum atas penggunaan berbagai
pengendalian yang tumpang-tindih untuk melindungi sebuah sistem)
1. (Pemindai kerentanan adalah pengendalian detektif yang didesain untuk
mengidentifikasi kelemahan)
2. (Pengukuhan adalah kegiatan memodifikasi dasar untuk memastikan
program dan fitur yang tidak perlu untuk meningkatkan keamanan)
7
Jawaban soal Past Exam CA 2015
61. Di antara hal-hal berikut yang bukan merupakan bagian dari lingkungan pengendalian
internal adalah:
A. Filosofi dan gaya manajemen
B. Struktur organisasi perusahaan
C. Desain dokumen yang baik
D. Peran Dewan Komisaris dan Komite Audit
62. Apakah perbedaan kunci antara pemisahan fungsi dan tanggungjawab dalam sistem
manual dan sistem berbasis komputer?
A. Tidak ada perbedaan prinsip
B. Dalam sistem manual, pemisahan fungsi dilakukan secara fisik, sedang dalam
sistem berbasis komputer berbasis akses file
C. Dalam sistem manual, dokumen harus dibuat rangkap, sedang dalam sistem berbasis
komputer, dokumen tidak boleh dicetak, karena ada di layar
D. Dalam sistem manual, dokumen harus ditandatangani, sedang dalam sistem berbasis
komputer, dokumen tidak perlu ditandatangani
Pembahasan: Perbedaan sistem komputer dan manual hanya pada proses pengolahan
datainput menjadi output. Pada sistem informasi akuntansi basis komputer data
diolah olehkomputer yang biasa disebut sebagai pengolahan data elektronik.
8
diartikan bahwa preventive control adalah mengendalikan sistem di muka
sebelum proses dimulai dengan menerapkan hal-hal yang merugikan untuk
masuk ke dalam sistem, sehingga dirancang untuk mencegah kesalahan atau
penyimpangan dari terjadi (misalnya pengolahan voucher hanya setelah
tandatangan telah diperoleh dari personil yang tepat).
Pembahasan: Sistem Informasi Akuntansi (SIA) adalah pengaturan formula, catatan dan
laporan yang dikoordinasikan sedemikian rupa untuk menyediakan informasi
keuangan yang dibutuhkan oleh manajemen, guna memudahkan pengelolaan
perusahaan. Salah satu fungsinya adalah membuat dan mencatat data transaksi
dengan benar ke dalan jurnal-jurnal yang diperlukan dalam proses akuntansi
sesuai dengan urutan dan tanggal terjadinya transaksi
66. Apa hubungan antara siklus akuntansi dengan bagian-bagian atau departemen di dalam
perusahaan?
A. Siklus akuntansi tidak harus merupakan suatu bagian, tetapi suatu bagian biasanya
mewakili suatu siklus
9
B. Satu siklus akuntansi akan diwakili oleh satu bagian di dalam perusahaan
C. Satu bagian di dalam perusahaan menjalankan berbagai siklus akuntansi
D. Siklus akuntansi tidak ada hubungannya dengan bagian di dalam perusahaan
Pembahasan: SIA yang digunakan dalam sebuah organisasi yang melakukan berbagai
aktivitas dapat dikelompokkan menjadi lima siklus, yang masingmasing akan
saling berhubungan dalam pengiriman data yang nantinya bermuara pada
Sistem Buku Besar dan Pelaporan. Siklus pertama SIA adalah Siklus
Pendapatan (Revenue Cycle) terdiri dari semua aktivitas yang berhuungan
dengan pertukaran dasar ekonomi dari penjualan barang dan jasa dan
mendapatkan kas dari penjualan tersebut. Kedua, Siklus Pengeluaran (Expense
Cycle) yang melibatkan berbagai aktivitas yang berhubungan dengan
mendapatkan dan membayar barang dan jasa. Ketiga adalah Siklus Produksi
(Production Cycle) yang terdiri dari berbagai aktivitas yang berhubungan
dengan penggunaan tenaga kerja dan perlengkapan untuk mengubah bahan
baku mentah menjadi barang jadi. Keempat berfokus pada Siklus Sumber
Daya Manusia/Penggajian (Human Resource Management/Payroll cycle),
yang membicarakan berbagai masalah tentang pengembagan dan manajemen
yang efektif atas sumber daya organisasi yang paling berharga; para karyawan
(employees), dan sistem penggajian. Kelima adalah Sistem Buku Besar dan
Peloporan (General Ledger and Reporting) yang berbicara mengenai barbagai
masalah dalam penyediaan informasi keuangan dan non keuangan bagi pihak
manajemen yang akurat dan tepat waktu, yaitu mengenai efektivitas dan
efisiensi organisasi dalam melaksanakan berbagai aktivita bisnis.
SDLC digunakan untuk membangun suatu sistem informasi agar dapat berjalan
sesuai dengan apa yang diharapkan. SDLC (Systems Development Life Cycle,
Siklus Hidup Pengembangan Sistem) atau Systems Life Cycle (Siklus Hidup
Sistem), dalam rekayasa sistem dan rekayasa perangkat lunak, adalah proses
pembuatan dan pengubahan sistem serta model dan metodologi yang
digunakan untuk mengembangkan sistem-sistem tersebut.
10
keefektifan suatu pelaksanaan program, mengetahui dampak pelaksanaan
program dan keekonomisannya. Uji coba implementasi sistem terkait
pengembangan sistem informasi yang baru tersebut umumnya dilakukan pada
beberapa unit kerja dengan metode percontohan
68. Dalam lingkungan Electronic Data Interchange (EDI), jejak audit (audit trail) berupa:
A. Cetakan semua transaksi pembelian dan penjualan yang dilakukan oleh perusahaan
B. Catatan elektronik yang disimpan dalam file (logs) dari semua transaksi
C. Tabel yang berisi penanggungjawab transaksi transaksi dalam EDI
D. Daftar semua file yang digunakan dalam EDI
Pembahasan: Jejak audit atau audit trail adalah urutan dokumen, file komputer, dan catatan lain
yang diperiksa selama audit, mulai dari inisiasi hingga ke finalisasi. Ini
menunjukkan bagaimana transaksi telah ditangani oleh entitas dari awal hingga
selesai. Definisi Electronic Data Interchange (EDI) atau pertukaran data secara
elektronik adalah metode untuk saling bertukar data bisnis atau transaksi secara
elektronik melalui jaringan komputer dan internet.
69. Ketika seorang auditor memeriksa program yang digunakan, tujuan audit yang manakah
yang sedang ia uji?
A. Melindungi aplikasi dan perubahan yang tidak diotorisasi
B. Meyakinkan bahwa aplikasi yang digunakan tidak mengandung kesalahan
C. Melindungi fasilitas komputer dari akses oleh orang yang tidak berhak
D. Mencegah adanya kesalahan program sehingga dapat diketahui dan dicegah
Pembahasan: Ketika melaksanakan audit sistem informasi, para auditor harus memastikan
tujuan-tujuan berikut ini dipenuhi :Perlengkapan keamanan melindungi
perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak
sah, modifikasi, atau penghancuran.Pengembangan dan perolehan program
dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak
manajemen.Modifikasi program dilaksanakan dengan otorisasi dan persetujuan
pihak manajemen.Pemrosesan transaksi, file, laporan, dan catatan komputer
lainnya telah akurat dan lengkap.Data sumber yang tidak akurat. atau yang
tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan
kebijakan manajerial yang telah ditetapkan.File data komputer telah akurat,
lengkap, dan dijaga kerahasiaannya.
11
C. Jumlah semua nomor pegawai adalah 250162
D. Jumlah jam kerja adalah 200 jam
Pembahasan: Jumlah total lain-lain (hash total) adalah jumlah field yang biasanya tidak
ditambahkan, seperti jumlah nomor rekening pelanggan atau nomor
identifikasi pegawai.
DAFTAR PUSTAKA
Ikatan Akuntan Indonesia. 2015. Sistem Informasi dan Pengendalian Internal. Jakarta: IAI.
12