SISTEM INFORMASI DAN PENGENDALIAN INTERNAL (BAGIAN 2)

Saat ini, hampir seluruh organisasi mengandalkan teknologi informasi (TI). Manajemen
ingin memastikan bahwa informasi yang dihasilkan oleh sistem akuntansinya andal.
Manajemen juga mengetahui investasinya dalam TI merupakan informasi yang cost-effective.
Oleh karena itu sangat penting untuk memastikan adanya pengendalian yang memadai
terhadap sumber-sumber daya TI untuk memastikan informasi yang diberikan memenuhi
tujuh kriteria utama dalam kerangka pengendalian COBIT: (1) Efektivitas – informasi harus
relevan dan tepat waktu. (2) Efisiensi – informasi harus dihasilkan dengan cara yang paling
hemat biaya. (3) Kerahaasiaan – informasi sensitif harus dilindungi dari pengungkapan
informasi yang tidak sah. (4) Integritas – informasi harus akurat, lengkap dan valid. (5)
Ketersediaan – informasi harus tersedia kapanpun diperlukan. (6) Kepatuhan – pengendalian
harus memastikan kepatuhan dengan kebijakan internal dan dengan ketentuan hokum dan
perundang-undangan. (7) Keandalan – manajemen harus memiliki akses ke dalam informasi
yang diperlukan untuk melakukan aktivitas sehari-hari untuk menjalankan amanahnya dan
untuk menjalankan tanggungjawab tata kelola. Berdasarkan kerangka pengendalian COBIT,
proses IT umum yang harus dikelola dan dikendalikan dengan baik dalam rangka
menghasilkan informasi yang memenuhi tujuh kriteria diatas dikelompokkan ke dalam empat
kelompok aktivitas manajemen berikut:
1) Perencanaan dan organisasi (plan and organize). Terdapat sepuluh proses penting untuk
merencanakan dan mengelola sistem informasi organisasi, yakni: (a) Mendefinisikan
perencanaan strategis TI. (b) Mendefinisikan arsitektur informasi. (c) Menentukan
arahan terkait teknologi. (d) Mendefinisikan proses, organisasi dan hubungan TI. (e)
Mengelola investasi TI. (f) Mengkomunikasikan sasaran dan arahan manajemen. (g)
Mengelola sumber daya manusia TI. (h) Mengelola kualitas. (i) Menilai dan mengelola
risiko TI.
2) Perolehan dan implementasi (acquire and implement). Terdapat tujuh proses penting
untuk mendapatkan dan menerapkan solusi teknologi: (a) Mengidentifikasi solusi-solusi
otomisasi (b) Perolehan dan pemeliharaan piranti lunak aplikasi. (c) Perolehan dan
pemeliharaan infrastruktur teknologi. (d) Operasi dan penggunaan. (e) Perolehan sumber
daya TI. (f) Mengelola perubahan. (g) Memasang dan mengakreditasi solusi dan
perubahan.
3) Pelaksanaan dan dukungan (delivery and support). Terdapat 12 proses penting untuk
pelaksanaan sistem informasi yang efektif dan efisien serta memberikan manajemen
informasi yang diperlukan untuk menjalankan organisasi, yakni: (a) Mendefinisikan dan
mengelola tingkat layanan. (b) Mengelola layanan pihak-ketiga. (c) Mengelola kinerja
dan kapasitas. (d) Memastikan layanan berkelanjutan. (e) Mengidentifikasi dan
mengalokasikan biaya. (f) Mengedukasi dan melatih para pengguna. (g) Mengelola meja
layanan dan insiden. (h) Mengelola konfigurasi. (i) Mengelola masalah. (j) Mengelola
data. (k) Mengelola lingkungan fisik. (l) Mengelola operasi.
4) Monitor dan evaluasi. Terdapat empat proses penting untuk menilai operasi dari sistem
informasi organisasi: (a) Monitor dan evaluasi kinerja TI. (b) Monitor dan evaluasi
pengendalian internal. (c) Memastikan kepatuhan dengan peraturan eksternal. (d)
Melaksanakan tata kelola TI.
Dalam pengendalian internal atas keamanan sistem informasi, terdapat dua konsep
fundamental yang perlu dipahami, yakni: 1. Keamanan informasi merupakan persoalan
manajemen, bukan persoalan teknologi. SOX mengharuskan para CEO dan CFO perusahaan
untuk memberikan pernyataan bahwa laporan keuangan mencerminkan hasil dari aktivitas
perusahaan. Akurasi dari laporan keuangan perusahaan bergantung pada keandalan sistem
informasi. Dengan demikian, kemananan informasi merupakan dasar dari keandalan sistem.
Akibatnya, keamanan informasi merupakan tanggung jawab manajemen. 2. Defense-in-depth
dan time-based model dari keamanan informasi. Ide defense-in-depth adalah menggunakan
beberapa lapisan pengendalian untuk menghindari adanya satu titik kegagalan. Misalnya,
banyak organisasi tidak hanya menggunakan firewall, namun juga menggunakan metode-
metode autentikasi untuk membatasi akses. Penggunaan pengendalian berlapis, tambahan,
dan berulang dapat meningkatkan efektivitas pengendalian secara keseluruhan karena jika
satu jenis pengendalian gagal masih ada metode pengendalian lainnya yang berjalan sesuai
rencana.
Pengendalian Preventif. Organisasi biasanya membatasi akses terhadap sumber-sumber
daya informasi sebagai pengendalian preventif atas keamanan TI. Lebih spesifiknya, contoh
tindakan preventif dalam rangka mengendalikan keamanan sumber TI antara lain: (1)
Pelatihan, (2) Kendali atas akses para pengguna (autentifikasi dan otorisasi), (3) Kendali atas
akses fisik, (4) Kendali atas akses jaringan, (5) Kendali atas piranti keras dan piranti lunak.
Pengendalian Detektif, meningkatkan keamanan dengan cara memonitor efektivitas
pengendalian preventif dan mendeteksi insiden yang berhasil ditangani oleh pengendalian
preventif. Pengendalian deteksi yang digunakan antara lain: (1) Analisis Log, (2) Intrusion
Detection System, (3) Laporan Manajemen, (4) Pengujian Keamanan. Pengendalian
Korektif, banyak pengendalian korektif yang mengandalkan penilaian manusia.
Konsekuensinya, efektivitasnya tergantung pada sejauh mana perencanaan dan persiapan
sudah dilakukan. Hal ini menyebabkan COBI control objective DS 5.6 mengharuskan untuk
mendefinisikan dan mengkomunikasikan karakteristik insiden keamanan untuk memfasilitas
klasifikasi dan perlakuan yang tepat.
a) Pengendalian Umum dan Pengendalian Aplikasi. Secara sederhana, pengendalian umum
adalah semua bentuk pengendalian yang tidak terkait langsung dengan aplikasi
komputer. Contohnya, memastikan bahwa ruang kantor terkunci, kemudian penempatan
satpam di tugas jaga. Sedangkan pengendalian aplikasi adalah semua pengendalian
terkait dengan aplikasi tertentu. Semua pengendalian yang dilekatkan dengan satu
aplikasi. Pengendalian Umum meliputi: (a) Pengendalian organisasi, (b) Pengendalian
dokumentasi, (c) Pengendalian akuntabilitas aset, (d) Pengendalian praktik manajemen,
(e) Pengendalian operasi pusat informasi, (f) Pengendalian otorisasi, (g) Pengendalian
akses. Sedangkan, Pengendalian aplikasi ini meliputi pengendalian input, pengendalian
proses dan pengendalian output.
b) Mengidentifikasi dan Menjelaskan Pengendalian yang Dirancang untuk Melindungi
Kerahasiaan Informasi yang Sensitif dan Privasi dari Informasi Personal Pelanggan.
Organisasi harus melindungi informasi yang sensitif seperti rencana strategis, rahasia
dagang, informasi biaya, dokumen-dokumen hukum, dan perbaikan proses. Tindakan
yang harus dilakukan untuk melindungi kerahasiaan informasi sensitif perusahaan antara
lain: Identifikasi dan klasifikasi informasi yang harus dilindungi, Melindungi kerahasiaan
dengan enkripsi, Pengendalian akses terhadap informasi sensitif dan Pelatihan.
c) Mengidentifikasi dan Menjelaskan Pengendalian yang Dirancang untuk Memastikan
Integritas Pemrosesan dan Ketersediaan Sistem. Prinsip kerangka privasi The Trust
Service terkait erat dengan prinsip kerahasiaan, namun perbedaan mendasarnya adalah
privasi lebih menekankan pada perlindungan atas informasi personal mengenai
pelanggan daripada data organisasi. Akibatnya, pengendalian yang perlu diterapkan
untuk melindungi privasi adalah perlindungan yang sama seperti perlindungan atas
kerahasiaan, yakni: identifikasi informasi yang harus dilindungi, enkripsi, kendali atas
akses dan pelatihan.
Pengendalian Privasi. Langkah pertama dalam melindungi privasi informasi personal
yang didapatkan dari pelanggan adalah untuk mengidentifikasi informasi apa yang
didapatkan, dimana disimpan informasi tersebut dan siapa saja yang boleh mengakses
informasi tersebut. Fokus Privasi. Dua fokus utama dalam perlindungan atas privasi data
terkait pelanggan adalah spam dan pencurian indentitas. Spam merupakan email yang masuk
tanpa diminta yang berisi iklan yang ofensif. Pencurian identitas adalah penggunaan
informasi personal milik orang lain tanpa seijin orang tersebut, yang dilakukan untuk
kepentingan si pencuri identitas itu sendiri.