CONTROL AND ACCOUNTING INFORMATION SYSTEMS

Organisasi masih terdapat yang belum cukup melindungi data karena beberapa alasan:
 Beberapa perusahaan memandang hilangnya informasi penting sebagai ancaman yang jauh dan
tidak mungkin terjadi.
 Implikasi kontrol dari perpindahan dari sistem komputer terpusat ke sistem berbasis Internet tidak
sepenuhnya dipahami.
 Banyak perusahaan tidak menyadari bahwa informasi adalah sumber daya strategis dan
melindunginya harus menjadi persyaratan strategis.
 Produktivitas dan tekanan biaya memotivasi manajemen untuk melupakan tindakan pengendalian
yang memakan waktu.
Kontrol internal adalah proses yang diterapkan untuk memberikan jaminan yang wajar bahwa
tujuan kontrol berikut tercapai:
 Menjaga aset, mencegah atau mendeteksi akuisisi, penggunaan, atau pembuangan yang tidak sah.
 Memelihara catatan dengan cukup detail untuk melaporkan aset perusahaan secara akurat dan adil.
 Memberikan informasi yang akurat dan dapat diandalkan.
 Menyusun laporan keuangan sesuai dengan kriteria yang telah ditetapkan.
 Mempromosikan dan meningkatkan efisiensi operasional.
 Mendorong kepatuhan terhadap kebijakan manajerial yang ditentukan.
 Mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal melakukan tiga fungsi penting: 1. Pengendalian preventif mencegah
masalah sebelum timbul. 2. Kontrol detektif menemukan masalah yang tidak dicegah. 3. Kontrol korektif
mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang
dihasilkan. Pengendalian internal sering dipisahkan menjadi dua kategori: 1. Pengendalian umum
memastikan lingkungan pengendalian organisasi stabil dan dikelola dengan baik. 2. Kontrol aplikasi
mencegah, mendeteksi, dan memperbaiki kesalahan transaksi dan penipuan dalam program aplikasi.
Prinsip-prinsip ini membantu organisasi membangun kerangka tata kelola dan manajemen yang
efektif yang melindungi investasi pemangku kepentingan dan menghasilkan sistem informasi terbaik. 1.
Memenuhi kebutuhan pemangku kepentingan. Ini membantu pengguna menyesuaikan proses dan
prosedur bisnis untuk menciptakan sistem informasi yang menambah nilai bagi para pemangku
kepentingannya. 2. Meliputi perusahaan dari ujung ke ujung. Ini tidak hanya fokus pada operasi TI, tetapi
juga mengintegrasikan semua fungsi dan proses TI ke dalam fungsi dan proses di seluruh perusahaan. 3.
Menerapkan kerangka kerja tunggal yang terintegrasi. Ini dapat disejajarkan pada tingkat tinggi dengan
standar dan kerangka kerja lain sehingga kerangka kerja menyeluruh untuk tata kelola dan manajemen TI
dibuat. 4. Memungkinkan pendekatan holistik. Ini memberikan pendekatan holistik yang menghasilkan
tata kelola dan manajemen yang efektif dari semua fungsi TI di perusahaan. 5. Memisahkan tata kelola
dari manajemen. Ini membedakan antara tata kelola dan manajemen.
Lingkungan pengendalian yang lemah atau tidak memadai sering mengakibatkan kerusakan dalam
manajemen dan pengendalian risiko. Ini pada dasarnya adalah hal yang sama dengan lingkungan kontrol
dalam kerangka IC. Lingkungan pengendalian terdiri dari: 1. Filosofi manajemen, gaya operasi, dan
selera risiko. 2. Komitmen terhadap integritas, nilai-nilai etika, dan kompetensi. 3. Pengawasan
pengendalian intern oleh direksi. 4. Struktur organisasi. 5. Metode pemberian wewenang dan tanggung
jawab. 6. Standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan individu
yang kompeten. 7. Pengaruh eksternal.
Secara kolektif, sebuah organisasi memiliki filosofi, atau keyakinan dan sikap bersama, tentang
risiko yang mempengaruhi kebijakan, prosedur, komunikasi lisan dan tertulis, dan keputusan. Untuk
menghindari risiko yang tidak semestinya, risk appetite harus sejalan dengan strategi perusahaan. Dewan
direksi dan manajemen puncak harus mengatur nada yang tepat di atas; yaitu, mereka perlu menunjukkan
melalui tindakan mereka bahwa mereka mendukung integritas dan perlunya sistem pengendalian internal
yang kuat. Semakin bertanggung jawab filosofi dan gaya operasi manajemen, dan semakin jelas mereka
dikomunikasikan, semakin besar kemungkinan karyawan akan berperilaku secara bertanggung jawab.
Jika manajemen kurang memperhatikan pengendalian internal dan manajemen risiko, maka karyawan
kurang rajin dalam mencapai tujuan pengendalian.
Perusahaan mendukung integritas dengan:
 Mengembangkan kode etik tertulis yang secara eksplisit menjelaskan perilaku jujur dan tidak
jujur.
  Menerapkan proses untuk menggunakan kode etik perusahaan untuk mengevaluasi kinerja
individu dan tim dan untuk mengatasi setiap penyimpangan secara tepat waktu dan konsisten.
 Secara aktif mengajar dan mewajibkan kode etik, misalnya memperjelas bahwa laporan yang jujur
lebih penting daripada laporan yang menguntungkan.
 Menghindari ekspektasi atau insentif yang tidak realistis yang memotivasi tindakan tidak jujur
atau ilegal, seperti praktik penjualan yang terlalu agresif, taktik negosiasi yang tidak adil atau
tidak etis, dan bonus secara berlebihan berdasarkan hasil keuangan yang dilaporkan.
 Secara konsisten menghargai kejujuran dan memberi label verbal pada perilaku jujur dan tidak
jujur.
 Mewajibkan karyawan untuk melaporkan tindakan yang tidak jujur atau ilegal dan mendisiplinkan
karyawan yang sengaja tidak melaporkannya.
 Membuat komitmen terhadap kompetensi. Perusahaan harus mempekerjakan karyawan yang
kompeten dengan pengetahuan, pengalaman, pelatihan, dan keterampilan yang diperlukan.
Aspek penting dari struktur organisasi adalah sebagai berikut: 1) Sentralisasi atau desentralisasi
kewenangan. 2) Hubungan pelaporan langsung atau matriks. 3) Organisasi menurut industri, lini produk,
lokasi, atau jaringan pemasaran. 4) Bagaimana alokasi tanggung jawab mempengaruhi persyaratan
informasi. 5) Organisasi dan garis wewenang untuk fungsi akuntansi, audit, dan sistem informasi. 6)
Ukuran dan sifat kegiatan perusahaan.
Risiko bawaan adalah kerentanan sekumpulan akun atau transaksi terhadap masalah pengendalian
yang signifikan tanpa adanya pengendalian internal. Risiko residual adalah risiko yang tersisa setelah
manajemen menerapkan pengendalian internal atau respons lain terhadap risiko. Untuk menyelaraskan
risiko yang teridentifikasi dengan toleransi risiko perusahaan, manajemen harus mengambil pandangan
risiko secara keseluruhan. Mereka harus menilai kemungkinan dan dampak risiko, serta biaya dan
manfaat dari tanggapan alternatif. Manajemen dapat menanggapi risiko dengan salah satu dari empat
cara: 1) Mengurangi, Mengurangi kemungkinan dan dampak risiko dengan menerapkan sistem
pengendalian internal yang efektif. 2) Terima, Menerima kemungkinan dan dampak risiko. 3) Bagikan,
Bagikan risiko atau transfer ke orang lain dengan membeli asuransi, melakukan outsourcing aktivitas,
atau melakukan transaksi lindung nilai. 4) Hindari, Menghindari risiko dengan tidak terlibat dalam
aktivitas yang menghasilkan risiko. Ini mungkin mengharuskan perusahaan untuk menjual divisi, keluar
dari lini produk, atau tidak berkembang seperti yang diantisipasi.
Prosedur pengendalian termasuk dalam kategori berikut: 1. Otorisasi transaksi dan aktivitas yang
tepat. 2. Pemisahan tugas. 3. Pengembangan proyek dan kontrol akuisisi. 4. Ubah kontrol manajemen. 5.
Desain dan penggunaan dokumen dan catatan. 6. Pengamanan aset, catatan, dan data. 7. Pemeriksaan
independen atas kinerja. pemisahan tugas akuntansi yang efektif tercapai bila fungsi berikut dipisahkan:
1) Otorisasi, menyetujui transaksi dan keputusan. 2) Perekaman, menyiapkan dokumen sumber;
memasukkan data ke dalam sistem komputer; dan memelihara jurnal, buku besar, file, atau database. 3)
Penitipan, menangani uang tunai, peralatan, inventaris, atau aset tetap; menerima cek pelanggan yang
masuk; menulis cek.
Kontrol pengembangan sistem yang penting mencakup hal-hal berikut: 1. Komite pengarah
memandu dan mengawasi pengembangan dan akuisisi sistem. 2. Rencana induk strategis dikembangkan
dan diperbarui setiap tahun untuk menyelaraskan sistem informasi organisasi dengan strategi bisnisnya. 3.
Rencana pengembangan proyek menunjukkan tugas yang harus dilakukan, siapa yang akan
melakukannya, biaya proyek, tanggal penyelesaian, dan pencapaian proyek, poin penting saat kemajuan
ditinjau dan waktu penyelesaian aktual dan perkiraan dibandingkan. 4. Jadwal pemrosesan data
menunjukkan kapan setiap tugas harus dilakukan. 5. Pengukuran kinerja sistem dibuat untuk
mengevaluasi sistem. 6. Tinjauan pasca implementasi dilakukan setelah proyek pengembangan selesai
untuk menentukan apakah manfaat yang diantisipasi telah tercapai. Kerangka kerja IC yang diperbarui
menetapkan bahwa tiga prinsip berikut berlaku untuk proses informasi dan komunikasi: 1. Memperoleh
atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk mendukung pengendalian internal.
2. Mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab, yang diperlukan
untuk mendukung komponen pengendalian internal lainnya. 3. Mengkomunikasikan hal-hal terkait
pengendalian internal kepada pihak eksternal.
CONTROLS FOR INFORMATION SECURITY
Trust Services Framework mengatur kontrol terkait TI ke dalam lima prinsip yang secara
bersama-sama berkontribusi pada keandalan sistem: 1. Keamanan, akses ke sistem dan datanya
dikendalikan dan dibatasi untuk pengguna yang sah. 2. Kerahasiaan, informasi organisasi yang sensitive,
dilindungi dari pengungkapan yang tidak sah. 3. Privasi, informasi pribadi tentang pelanggan, karyawan,
pemasok, atau mitra bisnis dikumpulkan, digunakan, diungkapkan, dan dipelihara hanya sesuai dengan
kebijakan internal dan persyaratan peraturan eksternal dan dilindungi dari pengungkapan yang tidak sah.
4. Integritas Pemrosesan, data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi
yang tepat. 5. Ketersediaan, sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan
kontrak.
Meskipun keamanan informasi yang efektif memerlukan penyebaran alat teknologi seperti
firewall, antivirus, dan enkripsi, keterlibatan dan dukungan manajemen senior di seluruh fase siklus hidup
keamanan sangat penting untuk keberhasilan. Langkah pertama dalam siklus hidup keamanan adalah
menilai ancaman terkait keamanan informasi yang dihadapi organisasi dan memilih respons yang sesuai.
Langkah 2 melibatkan pengembangan kebijakan keamanan informasi dan mengkomunikasikannya
kepada semua karyawan. Langkah 3 dari siklus hidup keamanan melibatkan akuisisi atau pembangunan
alat teknologi tertentu. Manajemen senior harus mengizinkan investasi sumber daya yang diperlukan
untuk mengurangi ancaman yang diidentifikasi dan mencapai tingkat keamanan yang diinginkan.
Terakhir, langkah 4 dalam siklus hidup keamanan memerlukan pemantauan kinerja secara berkala untuk
mengevaluasi efektivitas program keamanan informasi organisasi. Meskipun tidak satu pun dari tiga
kredensial otentikasi dasar, dengan sendirinya, sangat mudah, penggunaan dua atau ketiga jenis bersama,
proses yang disebut sebagai otentikasi multifaktor, cukup efektif. Dalam beberapa situasi, menggunakan
beberapa kredensial dari jenis yang sama, proses yang disebut sebagai otentikasi multimodal, juga dapat
meningkatkan keamanan. Misalnya, banyak situs perbankan online menggunakan beberapa hal yang
diketahui seseorang (kata sandi, ID pengguna, dan pengenalan gambar grafis) untuk otentikasi. Demikian
pula, karena kebanyakan laptop sekarang dilengkapi dengan kamera dan mikrofon, ditambah pembaca
sidik jari, dimungkinkan untuk menggunakan otentikasi biometrik multimodal yang melibatkan
kombinasi pengenalan wajah, suara, dan sidik jari untuk memverifikasi identitas. Otorisasi adalah proses
membatasi akses pengguna yang diautentikasi ke bagian tertentu dari sistem dan membatasi tindakan apa
yang diizinkan untuk mereka lakukan. Kontrol otorisasi sering diimplementasikan dengan membuat
matriks kontrol akses.
Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.
Sistem deteksi intrusi jaringan (IDSs) terdiri dari satu set sensor dan unit pemantauan pusat yang
membuat log lalu lintas jaringan yang diizinkan untuk melewati firewall dan kemudian menganalisis log
tersebut untuk tanda-tanda upaya penyusupan atau berhasil. Honeypot adalah sistem yang terlihat seperti
bagian sah dari jaringan internal organisasi tetapi hanya sistem umpan. Komponen kunci untuk dapat
merespons insiden keamanan dengan cepat dan efektif adalah pembentukan tim respons insiden komputer
(CIRT). CIRT harus memimpin proses respons insiden organisasi melalui empat langkah berikut: 1.
Pengakuan bahwa ada masalah. Biasanya, ini terjadi ketika IPS atau IDS memberi sinyal peringatan,
tetapi juga bisa menjadi hasil analisis log oleh administrator sistem. 2. Penahanan masalah. Setelah intrusi
terdeteksi, tindakan cepat diperlukan untuk menghentikannya dan menahan kerusakan. 3. Pemulihan.
Kerusakan yang disebabkan oleh serangan itu harus diperbaiki. Ini mungkin melibatkan pemberantasan
malware dan memulihkan data dari cadangan dan menginstal ulang program yang rusak. 4. Tindak lanjut.
Setelah pemulihan sedang dalam proses, CIRT harus memimpin analisis tentang bagaimana insiden itu
terjadi.
Uji penetrasi adalah upaya resmi oleh tim audit internal atau perusahaan konsultan keamanan
eksternal untuk membobol sistem informasi organisasi. Karakteristik proses pengendalian perubahan dan
manajemen perubahan yang dirancang dengan baik meliputi: 1) Dokumentasi semua permintaan
perubahan, mengidentifikasi sifat perubahan, alasan, tanggal permintaan, dan hasil permintaan. 2)
Persetujuan terdokumentasi atas semua permintaan perubahan oleh tingkat manajemen yang sesuai. 3)
Pengujian semua perubahan dalam sistem yang terpisah, bukan yang digunakan untuk proses bisnis
sehari-hari. Ini mengurangi risiko bahwa "bug" dalam modifikasi mengganggu bisnis normal. 4) Kontrol
konversi untuk memastikan bahwa data ditransfer secara akurat dan lengkap dari sistem lama ke sistem
baru. 5) Memperbarui semua dokumentasi (instruksi program, deskripsi sistem, manual prosedur, dll.)
untuk mencerminkan perubahan yang baru diterapkan. 6) Proses khusus untuk peninjauan, persetujuan,
dan dokumentasi "perubahan darurat" yang tepat waktu segera setelah krisis jika memungkinkan. 7)
Pengembangan dan dokumentasi rencana “backout” untuk memfasilitasi pengembalian ke konfigurasi
sebelumnya jika perubahan baru menimbulkan masalah yang tidak terduga. 8) Pemantauan dan
peninjauan yang cermat terhadap hak dan hak pengguna selama proses perubahan untuk memastikan
pemisahan tugas yang tepat dipertahankan.